Deux listes comprenant ensemble plus d’un milliard de comptes circulent actuellement sur le web. Elles sont probablement utilisées pour pirater les comptes de personnes qui recourent souvent au même mot de passe.
Ces deux listes contenant chacune un demi-milliard de comptes environ avaient été découvertes en décembre dernier déjà par le chercheur en sécurité Troy Hunt, l’homme à l’initiative d’Haveibeenpwned.com. Sur son blog, il signale que ces listes ont été utilisées pour vérifier si des gens utilisent le même mot de passe dans différents buts. Le risque est en effet alors grand que le mot de passe dévoilé et l’adresse e-mail d’un compte LinkedIn par exemple fonctionnent également ailleurs.
Hunt ne publie pas les listes lui-même, mais il a cependant intégré les comptes (sans les mots de passe) à son propre site. Tout utilisateur peut y saisir en toute sécurité son adresse e-mail et savoir si ses données ont déjà fait l’objet d’une fuite quelque part.
On ne sait provisoirement pas d’où émanent ces listes. Hunt soupçonne qu’il s’agit d’une accumulation de fuites précédentes. C’est ainsi que trois-quarts des adresses e-mail étaient déjà connues par son site. Sur le site web Haveibeenpwned.com, vous pouvez contrôler si votre adresse mail est compromise. Si tel est le cas, mieux vaut modifier le mot de passe du service concerné, ainsi que de tous les autres comptes où vous avez utilisé le même mot de passe.
En février, Troy Hunt était de passage en Belgique. Découvrez ici l’entretien qu’il avait accordé à Data News.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici