Il divulgue 10 millions d'identifiants et de mots de passe "pour la bonne cause"

Il divulgue 10 millions d'identifiants et de mots de passe "pour la bonne cause"

DirectLCI
SÉCURITÉ - Un consultant en sécurité informatique vient de mettre en ligne un fichier contenant 10 millions d'identifiants et de mots de passe. Objectif : aider à renforcer la sécurité sur le Net. Au-delà de la polémique, nos conseils pour vérifier si vous êtes concerné.

Il s'appelle Mark Burnett et vient de se faire 10 millions d'ennemis en un clic. Comment ? Ce consultant en sécurité informatique a publié le 9 février sur le Net pas moins de 10 millions d'identifiants et de mots de passe associés . Autant de combinaisons de sécurité qui sont désormais disponibles à tous. Pourquoi ? L'homme explique avoir voulu "fourni un listing propre de données au monde entier" afin d'aider à mieux comprendre "le comportement des internautes et d'aider à promouvoir l'importance de la sécurité par mot de passe."

Des mots de passe vieux de 15 ans pour certains

Concrètement, il existe de nombreux listings sur l'Internet "underground" qui rassemblent des identifiants et mots de passe. Il a récolté des échantillons sur différents sites et créer un seul et même fichier avec 10 millions de références et s'est assuré qu'on pouvait l'utiliser le plus simplement possible. Trop sympa, Mark Burnett. Mais une démarche qui a généré bien des critiques.

Au point que le consultant en sécurité a dû publier un nouveau post sur son blog afin de justifier sa démarche. Il y explique que ces données sont anciennes et circulent depuis bien longtemps sur le Net. Lui-même en collecte quotidiennement depuis 15 ans sur le Web, les forums, IRC, Usenet et les réseaux P2P. Selon lui, les hackers n'ont pas besoin de lui pour collecter ce type de données, d’autant plus qu'elles sont déjà anciennes donc certainement périmées depuis le temps.

EN PRATIQUE

Comment vérifier si mon identifiant et mon mot de passe figurent sur la liste en question ?
Si vous avez vraiment peur, il suffit de télécharger ce très gros fichier Magnet  puis d'effectuer une recherche dans le listing sur votre identifiant. Si la réponse est positive, modifiez immédiatement votre mot de passe et utilisez-en un différent pour chaque compte.

 Puis être alerté au quotidien d'une possible intrusion ?
Mark Burnett suggère de se créer une alerte Google sur votre identifiant. A condition bien sûr qu'il soit assez unique en son genre… Vous pouvez aussi créer une alerte sur Pastebin sur votre identifiant, votre (vos) compte mail et éventuellement votre nom de domaine si vous en possédez un. N'hésitez pas non plus à activer la double identification sur vos différents comptes (Google, Microsoft, Apple, etc.).

 Comment savoir si je figure sur une liste suspecte ?
Lancez des alertes sur des sites comme  haveibeenpwned.com , pwnedlist.com , breachalarm.com , canary.pw . Ils surveillent les fichiers douteux qui circulent sous le manteau sur le Net et vous alertent si votre identifiant apparaît à un moment ou un autre.

 Comment sécuriser au mieux mes comptes ?
On ne le répétera jamais assez : il faut un mot de passe différent (et complexe) pour chaque compte. Pour cela, deux solutions. Soit vous utilisez une solution mnémotechnique , soit vous avez recours à un service qui centralise vos mots de passe (et vous suggère des combinaisons sécurisées).

EN SAVOIR +
>> Et le mot de passe le plus piraté au monde est…
>> 
Astuce geek : installez un antivirus gratuit en 5 minutes chrono
>>  Facebook : prenez garde à ce malware qui se propage via une vidéo porno >> Faille Zero Day : attention danger si vous utilisez Internet Explorer >> Astuce geek : comment créer un mot de passe ultrasécurisé (et s'en souvenir) >> Dashlane : oubliez la galère des mots de passe

Sur le même sujet

Plus d'articles

Lire et commenter