Quand un site laisse échapper des données sur ses utilisateurs, il arrive que les mots de passe soient dévoilés. Comme beaucoup d’utilisateurs ont le même mot de passe pour plusieurs comptes, ces autres comptes sont donc en danger.
Il existe une solution, sans danger, pour savoir si vos mots de passe sont dans la nature, accessibles a des hackers.
Comment vos mots de passe peuvent se retrouver dans la nature ?
Lors d’une attaque, les hackers vont tenter d’exfiltrer des données en utilisant une faille dans le code d’un site ou dans son réseau.
Ils ne ciblent pas quelqu’un en particulier, mais essaient de collecter un maximum de données, dont les identifiants et mots de passe, pour les revendre ensuite sur le darkweb.
Ils n’exploitent pas eux-même le fruit de leur attaque. Il peut donc se passer du temps avant qu’une donnée volée ne soit utilisée. C’est ainsi que, plus tard, un autre groupe de hacker utilisera les données, soit pour entrer avec votre compte sur le site compromis, soit pour tenter un « credential stuffing« , c’est à dire utiliser votre mot de passe sur d’autres sites où vous pourriez potentiellement l’avoir utilisé.
En Novembre 2020, c’est ainsi que 400 000 comptes Spotify ont été compromis, alors même qu’aucune faille n’a été exploitée sur le service même du diffuseur de musique en ligne. Il y a au moins 10 milliards de comptes compromis disponibles sur le darkweb.
L’attaque par « credential stuffing » signifie que les cybercriminels profitent des informations personnelles divulguées lors d’une violation de données, afin de les exploiter massivement sur des sites internet. Cette pratique permet aux attaquants de trouver une multitude de combinaisons d’identifiants que les utilisateurs réemploient, et que les pirates informatiques testent sur des sites afin de pouvoir prendre le contrôle de ces comptes. Leurs procédés sont automatisés, de sorte qu’ils peuvent essayer des milliers d’identifiants simultanément.
Comment savoir si j’ai un compte compromis ?
Grâce au site « Have I been pwned ? », en entrant simplement votre adresse e-mail (et surtout pas votre mot de passe – jamais personne ne doit vous le demander pour faire une telle vérification), vous saurez si vos données ont été compromises lors de l’un des vols de données d’au moins 495 sites.
Comment se protéger contre le « Credential stuffing » ?
La réponse est : en utilisant un mot de passe différent pour chaque site ! Mais dès lors, il n’est plus possible de se souvenir de tout ses mots de passe.
Il faut donc utiliser un coffre-fort pour les stocker. En pratique, c’est un logiciel qui enregistre de façon chiffrée votre identifiant/mot de passe et vous permet de les récupérer facilement, voir de remplir automatiquement le champs de connexion.
Une liste des gestionnaires de mots de passe est disponible dans cet article du site Clubic. Nous vous invitons à privilégier ceux qui sont open-source et sur lesquels vous avez la maitrise du stockage.
Aller plus loin : Gérer ses mots de passe en équipe ?
Il existe des solutions adaptées pour les entreprises, qui permettent de partager les mots de passe entre les membres d’une même équipe.
Ces outils sont conseillés, notamment dans le cadre du « Security by design » demandé par le RGPD.