3,2 milliards de logins et mots de passe piratés ont fuité : vérifiez si votre adresse email en fait partie

Des pirates viennent de mettre en ligne une base de donnée de 3,2 milliards de comptes volés. Baptisée COMB, cette fuite est l'une des plus massives de ces dernières années. Il est possible de vérifier la présence de votre email dans le fichier. Voici comment savoir si votre sécurité est menacée. 

Nos confrères de CyberNews viennent de mettre en ligne l'une des plus grosses bases de données contenant des paires de login et mots de passe volées lors de diverses attaques de firmes comme Netflix et LinkedIn. Baptisée COMB pour Compilation of Many Breaches, cette fuite de donnée n'est donc pas issue d'un piratage inédit, mais compile de nombreux piratages passés – sans donner le détail de ces piratages. Parmi les plus gros piratages de ces dernières années, on se souvient notamment de :

• Adobe (octobre 2013, 153 millions de comptes)
• Adult Friend Finder (octobre 2016, 412,2 millions de comptes)
• Canva (mai 2019, 137 millions de comptes)
• eBay (mai 2014, 145 millions de comptes)
• Equifax (29 juillet 2017, 147,9 millions de comptes)
• LinkedIn (2012 et 2016, 165 millions de comptes)
• Marriott International (2014-2018, 500 millions de comptes)
• My Fitness Pal (février 2018, 150 millions de comptes)
• MySpace (2013, 360 millions de comptes)
• NetEase (octobre 2015, 235 millions de comptes)
• Sina Weibo (mars 2020, 538 millions de comptes)
• Yahoo (2013-2014, 3 milliards de comptes)

CyberNews a construit un moteur de recherche autour de la fuite pour vérifier, un peu à la manière du site HaveIBeenPwned, si votre email fait partie de la fuite. Par sécurité, le moteur de recherche ne vous dit pas exactement quel compte est concerné – et se contente de vous recommander de modifier tous les mots de passe associés à votre adresse email.

Lire également : Voici le top 200 des pires mots de passe de 2020

Comment savoir si votre compte fait partie de la fuite massive

Pour cela :

• Cliquez ici pour accéder à la base de données COMB (via CyberNews)
• Entrez votre adresse email dans le champ de recherche
• Appuyez sur le bouton vert CHECK NOW
• Un message vous dit si votre adresse email est présente dans la base ou non, et vous invite à changer vos mots de passe le cas échéant

Notez qu'il existe également deux autres bases de données très complètes : HaveIBeenPwned et HPI identity Leak Checker du Hasso-Plattner-Institut. Il est recommandé de vérifier également la présence de votre adresse email dans ces bases réputées qui sont tenues par des chercheurs en sécurité. On le souligne, en aucun cas ces sites ne révèlent d'infos en clair comme le mot de passe associé à votre adresse. Ces sites sont simplement construits pour vous dire si votre adresse email fait ou non partie de la fuite de mots de passe.

Bien sûr, il est fortement conseillé de ne pas prendre la présence de votre email dans l'une de ces bases à la légère. L'accès à l'un de vos comptes, que ce soit un compte de réseau social, celui de votre adresse email, ou d'un service en lien avec votre entreprise peut donner accès à des pirates à des données ou des systèmes extrêmement sensibles. Et si vos données se trouvent dans ces bases, cela signifie peut-être que des acteurs mal intentionnés peuvent les exploiter. Récemment par exemple, un hacker a ainsi réussi à pirater l'approvisionnement en eau d'une ville de Floride et a tenté de l'empoisonner en prenant contrôle de la régie d'eau et en ajoutant du désinfectant à des niveaux dangereux pour la santé humaine.

L'histoire ne le dit pas précisément, mais ce type d'accès frauduleux est souvent la conséquence du piratage de comptes d'employés. Alors comment mieux se protéger ?

1. Changez régulièrement de mots de passe – suivez nos conseil pour choisir des mots de passe plus sécurisés
2. Evitez d'utiliser le même mot de passe sur plusieurs comptes, même si il vous semble sécurisé
3. Générez et gérez vos mots de passe avec un gestionnaire comme 1Password ou LastPass
4. Activez l'authentification double facteurs sur les sites et services qui le permettent
5. Protégez vos comptes les plus sensibles avec une clé de sécurité physique FIDO