87 gigaoctets d’adresses e-mails et de mots de passe : c’est le contenu d’une gigantesque base de données, mise en ligne mi-janvier sur un service de partage de fichiers, et qu’a analysé le chercheur en sécurité informatique Troy Hunt. Le fichier n’est désormais plus accessible.

• Que contient ce fichier ?

Le dossier compile des bases de données de mots de passes lisibles « en clair » et d’adresses e-mails liées pour de nombreux sites. On y dénombre 772 millions d’adresses e-mails uniques, ce qui est considérable, et plus de 21 millions de mots de passe différents. On ignore qui a compilé ces données avant de les publier.

• S’agit-il d’un nouveau piratage ?

Pas du tout. L’ensemble des adresses et des mots de passe contenus dans les documents proviennent de précédents piratages – selon M. Hunt, les données proviennent d’un peu moins de 3 000 sites différents. Certains des sites qui avaient été piratés étaient très petits, d’autres plus importants – les sites français concernés étaient pour la plupart assez confidentiels. Les différents vols de données semblent avoir eu lieu entre 2015 et 2018.

• L’adresse e-mail personnelle d’Emmanuel Macron figure-t-elle dans ces fichiers ?

Ce dimanche, un article publié par Le Journal du dimanche expliquait que « l’adresse Gmail du chef de l’Etat figure parmi les millions de comptes captés par un hackeur ». Mais l’adresse Gmail qu’Emmanuel Macron utilise depuis plusieurs années ne figure pas dans la liste globale des comptes concernés, désormais intégrée au moteur de recherche spécialisé HaveIbeenPwned. Le site signale, cependant, que l’adresse est listée publiquement sur des sites fréquemment utilisés pour publier des informations piratées – ce qui n’est guère surprenant, puisque cette adresse apparaît notamment dans le contenu des « Macron Leaks », ces milliers d’e-mails de la campagne présidentielle d’En Marche piratés et publiés quelques jours avant l’élection.

Rien n’indique donc à ce stade que le mot de passe Gmail du chef de l’Etat ait pu être piraté – l’Elysée a affirmé au JDD que ce mot de passe était régulièrement changé, et que le président utilisait la double authentification, un système de sécurité dont l’utilisation est fortement recommandée, qui demande à l’internaute d’entrer, en plus de son mot de passe, un code qui lui est transmis sur son téléphone. Reste que l’utilisation, par un chef d’Etat, d’un service de messagerie américain est, pour le moins, étonnante – si le niveau de sécurité offert par Gmail est excellent pour un particulier, il n’en va pas de même pour un dirigeant qui constitue une cible particulièrement intéressante pour les services de renseignement, y compris américains.

• Qu’est-ce que le site HaveIBeenPwned ?

Créé par le chercheur en sécurité informatique Troy Hunt, HaveIBeenPwned propose un service simple : un moteur de recherche dans lequel on peut entrer son adresse e-mail pour voir si elle figure dans une base de données piratée. Si c’est le cas, le site affiche la liste des bases de données concernées et des informations complémentaires, comme la date du piratage, ou le fait de savoir si les données piratées étaient « en clair » (lisibles par tous) ou chiffrées (et donc mieux protégées).

• Que faire si mon adresse figure dans une liste de comptes touchés ?

Le fait de figurer dans les listes de HaveIBeenPwned est malheureusement… très banal. La plupart des internautes s’inscrivent à de très nombreux services en ligne, et de très nombreux services sont victimes chaque année de piratage.

Si un ou plusieurs de vos comptes figurent parmi les victimes de piratage, il est fortement recommandé de changer votre mot de passe pour ces services, mais aussi pour tous les autres services qui utiliseraient le même mot de passe ou un mot de passe proche. Deux protections sont particulièrement efficaces pour éviter les piratages : utiliser des mots de passe différents pour chaque service, ce qui est très simple en utilisant un gestionnaire de mots de passe ; et activer la double authentification, au moins pour les services les plus sensibles, comme Facebook et votre boîte e-mail principale.

Comment choisir un bon mot de passe
Durée : 04:02