D'immenses bases de données contenant des millions voire des milliards de mots de passe de comptes en ligne circulent sur le Dark Web. Des services en ligne vous permettent de vérifier si vous êtes concerné.

En février 2021, une gigantesque base de données comprenant une compilation d'environ 3 milliards de mots de passe piratés durant plusieurs années avait été démasquée. Baptisée COMB (pour compilation of many breach ou compilation de nombreuses violations en français), elle comprenait, entre autres, des identifiants pour Netflix, LinkedIn mais aussi des comptes Gmail et Hotmail.

Début juin, une nouvelle base de données piratées a été diffusée sur des forums de hackers sur le Dark Web, comme l'ont détecté les spécialistes de CyberNews. Et il ne s'agit pas moins de la plus grosse compilation de sésames jamais élaborée jusqu'à présent. Au sein d'un fichier texte de 100 Go, figurent ainsi de 8,4 milliards de mots de passe interceptés par des pirates. Baptisé RockYou2021 – pour faire suite à une première fuite de sésames organisés dans un fichier nommé RockYou et décelée en 2009 –, ce fichier contient des mots de passe de composés de 6 à 20 caractères, sans caractères non ASCII et sans espaces. Un record !

Le volume surprenant de données qu'il contient est dû à deux facteurs. D'une part, il embarque les bases de données précédentes agrémentées de nouvelles données piratées. D'autre part, il accumule un grand nombre de mots de passe (non associés à un identifiant) provenant plusieurs dictionnaires. Ces mots de passe sont utilisés dans le cas d'attaques par force brute. Cette méthode consiste à utiliser un logiciel s'appuie sur un dictionnaire de mots de passe pour tenter d'accéder à un compte en les essayant les uns après les autres jusqu'à dénicher le bon sésame.

Selon les experts de CyberNews, on dénombre environ 4,7 milliards d'internautes dans le monde. Ce qui signifie que pas un utilisateur ne serait épargné par cette nouvelle base de données dédiées aux pirates. Inquiétant, d'autant que les mots de passe sont rarement uniques et réutilisés à plus d'une occasion. Il est donc urgent de vérifier si vos adresses mail ou vos mots de passe figurent dans le fichier RockYou2021. Si tel est le cas, il faudra procéder rapidement à une mise à jour des comptes concernés afin d'en changer le code d'accès.

Enfin, pour générer des mots de passe efficaces et les conserver à l'abri, vous pouvez toujours vous en remettre à un gestionnaire de mots de passe. Il existe pour cela plusieurs outils comme Dashlane, LastPass, 1Password, NordPass ou encore BitWarden. Suivez les conseils de notre fiche pratique KeePass : un outil gratuit pour gérer des mots de passe pour installer et utiliser par exemple l'outil KeePass gratuit.

Comment vérifier si une adresse mail est compromise ?

Le fichier RockYou2021 comporte plus de 8 milliards d'identifiants et mots de passe. Pour procéder à une vérification, deux moyens sont mis à votre disposition.

Avec le moteur de CyberNews

• Les experts en cybercriminalité du site CyberNews mettent à disposition un outil en ligne pour vérifier si votre ou vos adresses mail font partie du fichier qui circule chez les pirates. Rendez-vous sur la page de CyberNews consacrée à la vérification. Saisissez votre adresse mail et validez d'un clic sur Check Now. Vous pouvez également saisir un numéro de mobile au format international (avec le préfixe +33 pour la France, par exemple +33612345678).

• Si un message s'affiche en vert, cela indique que le mail ou le numéro de téléphone saisi ne figure pas dans la liste. S'il s'affiche en rouge, c'est que les données indiquées figurent dans la liste. Aucune autre indication n'est malheureusement livrée. Impossible de savoir quel compte rattaché à cette adresse est concerné.

Avec le moteur de Have I Been Pwned ?

En service depuis longtemps, le service Have I Been Pwned ? – que l'on pourrait traduire par "est-ce que mon mot de passe a été piraté ?" – permet de vérifier si un compte en ligne a été piraté en indiquant l'adresse mail associée.

• Avec un navigateur Web, allez sur le site Have I Been Pwned ?.

• Dans le champ de recherche affiché sur la page d'accueil, saisissez votre adresse email ou un numéro de téléphone au format international – pour un numéro français, tapez +33 suivi de votre numéro de mobile sans le zéro initial –, puis cliquez sur le bouton pwned ? Après une analyse extrêmement rapide, le verdict s'affiche.
• Si le message Good news — no pwnage found! s'affiche sur fond vert, c'est que vous numéro n'a pas été divulgué. Tut va bien ! Si le message Oh no — pwned! s'affiche sur fond rouge, c'est que  votre adresse mail fait partie des éléments divulgués. Aucune autre indication n'est malheureusement livrée. Impossible de savoir quel compte rattaché à cette adresse est concerné.

Comment vérifier si un mot de passe est piraté ?

CyberNews comme le site Have I Been Pwned ? propose un outil de vérification. Vous pouvez y taper sans crainte le ou les mots de passe que vous utilisez au quotidien. Ces deux services n'ont aucun moyen de savoir à quoi ils correspondent.

Avec le moteur de CyberNews

• Rendez-vous sur la page du site CyberNews dédiée à la vérification de mot de passe. Saisissez l'un de vos sésames et cliquez sur Check Now. Si un message s'affiche en vert, tout va bien. Votre mot de passe est inconnu au bataillon. Si un message s'affiche en rouge, votre mot de passe fait partie de la liste. Il ne vous reste plus qu'à mettre à jour le ou les comptes auxquels il est associé.

Avec le moteur de Have I Been Pwned ?

• Rendez-vous sur la page de Have I Been Pwned dédiée à la vérification de mot de passe. Saisissez l'un de vos sésames et cliquez sur Pwned ? Si un message s'affiche en vert, tout va bien. Votre mot de passe est inconnu au bataillon. Si un message s'affiche en rouge, votre mot de passe fait partie de la liste. Il ne vous reste plus qu'à mettre à jour le ou les comptes auxquels il est associé.

Comment vérifier la sécurité des mots de passe avec Chrome ?

Si vous enregistrez vos sésames dans Chrome, vous disposez sans le savoir d'un outil intégré au gestionnaire de mots de passe du  navigateur de Google permettant de vérifier en quelques clics qu'ils sont toujours sûrs.

• Ouvrez le navigateur Chrome connectez-vous avec votre compte Google. Rendez-vous ensuite à cette adresse. S'affiche alors le gestionnaire de mot de passe de Google.

• Cliquez sur le lien Accéder au Check-up mots de passe.

• Dans la page qui s'affiche cliquez sur le bouton Vérifier les mots de passe. Vous devrez saisir le mot de passe associé à votre compte Google pour poursuivre.

• Après de courtes secondes, Google dresse le tableau de la sécurité des mots de passe que vous avez enregistrés avec Chrome ou depuis un appareil Android. Il peut s'agir de mot de passe qui ont été divulgués, de sésames réutilisés de trop nombreuses fois ou encore de comptes associés à des mots de passe trop peu sûrs.

• Déroulez les menus de chaque section pour procéder aux mises à jour nécessaires.