- Utilisez Have I Been Pwned pour vérifier votre courriel ou mot de passe parmi des milliards de fuites.
- Si un mot de passe apparaît, changez le immédiatement sur tous les comptes qui l'utilisent.
- La plupart des gestionnaires modernes incluent une surveillance des fuites. Activez la.
- Environ une personne sur cinq sait avoir eu un mot de passe exposé; 39% ne savent pas du tout.
La vérité dérangeante: si vous êtes en ligne depuis plus de quelques années, l'un de vos mots de passe est presque certainement déjà sur une liste de fuites quelque part. La bonne nouvelle: il existe des outils gratuits et fiables pour savoir lesquels, et pour faire quelque chose.
Voici comment vérifier, ce que les résultats signifient, et quoi faire quand l'un des vôtres apparaît.
Pourquoi cela compte pour les Canadiens
Environ 43% des Canadiens disent avoir été touchés par une violation de la vie privée, selon le Commissariat à la protection de la vie privée. Environ une personne sur cinq sait avec certitude qu'au moins un de ses mots de passe a été exposé. 39% ne savent pas du tout.
Les entreprises canadiennes ne sont pas à l'abri. Bell Canada, Indigo, le Registre des naissances de l'Ontario, Nova Scotia Power et l'hôpital SickKids ont tous subi des incidents sérieux ces dernières années. Quand les fuites arrivent, les données de connexion finissent souvent échangées sur des forums clandestins. Votre mot de passe d'inscription à un forum en 2018 pourrait être celui qu'un attaquant essaie sur votre banque demain.
L'outil à utiliser: Have I Been Pwned
Le service gratuit Have I Been Pwned, géré par le chercheur australien Troy Hunt, est la recherche de fuite la plus reconnue au monde. Il indexe des milliards d'enregistrements de violations divulguées publiquement.
Vous pouvez chercher deux choses:
- Par adresse courriel. Entrez votre courriel et le site liste toutes les violations connues où ce courriel apparaît.
- Par mot de passe. Entrez un mot de passe (traité par hachage partiel, jamais envoyé en clair) et le site indique s'il est apparu dans une violation.
La recherche par mot de passe utilise une méthode appelée k-anonymat. Votre navigateur hache le mot de passe, n'envoie que les cinq premiers caractères du hachage, et compare les résultats localement. Le mot de passe complet et le hachage complet ne quittent jamais votre appareil.
Ce que les résultats signifient
Si votre courriel apparaît dans une violation, cela ne veut pas nécessairement dire que votre mot de passe actuel sur ce site est compromis. Cela dépend de ce qu'incluait la fuite.
- Hachages de mots de passe seulement: la fuite incluait des versions chiffrées. Le hachage moderne rend la rétro ingénierie très difficile.
- Mots de passe en clair: le pire des cas. Le mot de passe exact est dans la nature. Considérez compromis tout compte qui l'a utilisé.
- Courriel et données personnelles seulement: pas de mots de passe, mais les données alimentent l'hameçonnage et les attaques de récupération.
Have I Been Pwned vous montre quelles catégories de données ont été exposées dans chaque violation. Lisez attentivement.
Quoi faire quand un mot de passe est dans une fuite
Si un mot de passe précis apparaît dans une liste, ce mot de passe est définitivement brûlé. Trois actions, dans cet ordre:
- Changez le sur tous les comptes qui l'utilisent. Oui, tous. Générez un mot de passe frais et unique pour chacun.
- Activez l'authentification à deux facteurs là où ce n'est pas fait. Voir qu'est ce que la 2FA.
- Surveillez l'activité de connexion inhabituelle sur les comptes touchés pendant quelques semaines.
Même si une année passe sans problème apparent, ce mot de passe est encore dans des dépôts qui circulent. Retirez le pour de bon.
Avertissements intégrés au navigateur
La plupart des navigateurs modernes vous avertissent des mots de passe réutilisés ou compromis. Le Password Checkup de Chrome, la fonction Mots de passe compromis de Safari, et les alertes de violation de Firefox utilisent une recherche similaire par k-anonymat.
Activez les. Elles sont passives, fonctionnent en arrière plan, et font remonter des problèmes que vous manqueriez. L'inconvénient: elles ne vérifient que les mots de passe sauvegardés dans le navigateur.
Surveillance par gestionnaire de mots de passe
La plupart des gestionnaires payants incluent une surveillance des fuites. Watchtower de 1Password, Data Breach Report de Bitwarden Premium, Dark Web Monitoring de Dashlane et Pass Monitor de Proton Pass signalent tous les identifiants apparaissant dans des fuites connues.
Si vous payez déjà pour un gestionnaire, cette fonction est incluse et vaut la peine d'être activée. Elle scanne votre coffre automatiquement et alerte quand il faut agir.
Services de surveillance du dark web
Vous pouvez voir des services payants vantant la surveillance du dark web ou la protection d'identité. La réponse honnête: la plupart de ce qu'ils font est une couche au dessus de Have I Been Pwned, emballée avec surveillance de crédit. Pour la plupart des individus, la vérification gratuite plus la surveillance du gestionnaire suffit largement.
Mot de passe trouvé dans une fuite? Générez un remplacement frais et aléatoire tout de suite. Nous ne voyons jamais ce que vous créez.
Signaler une fuite que vous avez subie
Si vous soupçonnez qu'une organisation canadienne a mal géré vos données, vous pouvez déposer une plainte au Commissariat à la protection de la vie privée du Canada à priv.gc.ca. Pour les résidents du Québec, la Commission d'accès à l'information du Québec gère les plaintes sous la Loi 25.
Sous la LPRPDE, les organisations doivent aviser le CPVP et les personnes concernées quand une violation crée un risque réel de préjudice grave.
À retenir
La vérification est gratuite. Ne rien faire est l'erreur la plus commune. Parmi les Canadiens qui savaient avoir une exposition, environ 9% n'ont rien fait. Ce choix est la différence entre un quasi accident et une vraie perte.
Une fois par an, faites une vérification de vos courriels principaux. Après chaque violation majeure dans les nouvelles, refaites en une. Quand quelque chose remonte, changez les mots de passe et passez à autre chose.