Dans cet article, vous allez savoir si votre adresse e-mail ou votre mot de passe a été hacké/piraté (l’emploi du terme change peu ici).

On utilisera pour cela le site haveibeenpwned de l’expert en sécurité australien Troy Hunt, dont la toute dernière mise à jour nous permet de chercher des mots de passe afin de découvrir si ceux-ci se sont retrouvés dans la nature suite à une fuite de données après un piratage.

Pour mieux comprendre et mettre les choses dans leur contexte : cela ne vous garantira pas de façon 100% certaine que personne n’a jamais trouvé votre mot de passe, ni même que vous allez être piraté(e). Mais cela vous aidera à savoir si votre mot de passe ou votre adresse e-mail sont potentiellement « connus » sur Internet. Avec les conséquences que cela peut engendrer : spamming, phishing, cracking de mot de passe, usurpation d’identité, piratage etc…

Haveiquoi ?

Si vous ne connaissez pas encore le site Haveibeenpwned, une petite explication s’impose. Et pour commencer, quel est donc ce nom ?

Le nom du site vient de l’anglais « Have I been pwned? » que l’on peut traduire par « Me suis-je fait(e) avoir ? »

Ce site a été créé par un chercheur en sécurité appelé Troy Hunt qui a décidé de récupérer les données partagées par les pirates après leurs piratages afin de proposer à tous les internautes de voir si leur adresse e-mail ou mots de passe se trouvent dans ces données dérobées. Le tout gratuitement.

Vous avez des doutes sur la légitimité de ce site ? Sachez qu’il est utilisé par les gouverments Britannique et Australien afin de surveiller les données volées venant du personnel du gouvernent.

J’en avais également parlé dans cet article.

Mais quelles données piratées ? Pourquoi y aurait-il des informations me concernant ?

Tout simplement car tout internaute « normal » est inscrit sur divers sites web populaires. Et il arrive que ces sites web populaires se fassent pirater, exposant les données de leurs utilisateurs à tout le monde. Quand on parle de sites « populaires », on pense par exemple à Dailymotion, LinkedIn, Adobe, Domino’s Pizza, Yahoo, uTorrent, Snapchat ou encore Badoo. Ces sites vous disent quelque chose ? Vous êtes inscrit(e) sur l’un d’eux ? Alors vous êtes concerné(e). Haveibeenpwned connaît plus de 100 millions de données pour chaque site cité ci-dessus, et ce n’est pas tout ! La liste de sites piratés est très grande (270 sites à l’heure actuelle).

Comment tester si mon adresse e-mail a pu être récupérée via un piratage ?

C’est très simple, il suffit de vous rendre sur la page principale de Haveibeenpwned et d’entrer votre adresse dans le champ.

haveibeenpwned adresse email

Ce n’est pas mon adresse e-mail, mais rien que pour l’exemple, celle-ci se trouve dans 16 fuites de données via des sites comme 000webhost, Adobe, Dailymotion ou encore Pokébip.

Je vous propose d’essayer avec vos adresses e-mail dès maintenant.

« Vérifiez si votre adresse e-mail a été récupérée par des pirates »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Mon adresse se trouve dans une fuite de données, que dois-je faire ?

Malheureusement, vous avez plus de chances d’apprendre que votre adresse a été exposée à une fuite de données que l’inverse. En fonction des données compromises (Haveibeenpwned vous dira lesquelles dans la ligne Compromised data).

Toutes les informations récupérées par le site ne sont pas disponibles en clair. Cela veut dire qu’on ne trouvera pas forcément votre mot de passe tel que vous le tapez au clavier, car celui-ci sera habituellement chiffré à l’origine, sur le site qui a été piraté. Il est chiffré car c’est un standard lorsqu’on gère un site web : on chiffre les mots de passe des utilisateurs dans les bases de données.

Deux choses à noter :

  1. Cela n’implique pas que votre mot de passe est indéchiffrable.
  2. Cela vous donne un sérieux avertissement vous poussant à changer les mots de passe des adresses e-mail concernées ET DE TOUS LES COMPTES UTILISANT LE MÊME MOT DE PASSE.

Pourquoi changer tous les comptes utilisant le même mot de passe ? Tout simplement pour éviter ce que l’on appelle le credential stuffing consistant à profiter des utilisateurs qui ont le même mot de passe et la même adresse e-mail à travers différents sites, pour les pirater.

Saura-t-on que j’étais inscrit(e) sur un site sensible/peu recommandable ?

Non. Le site a prévu ce cas (en sachant que des sites de rencontres extra-conjugales ont été piratés) et a donc empêché l’accès public à ces informations. Cela dit, vous pouvez faire vérifier votre adresse e-mail et ainsi savoir si votre adresse e-mail se trouve bien dans ces données sensibles.

Comment tester si mon mot de passe a pu être récupéré suite à un piratage ?

Le mot de passe est une donnée très sensible, je vous rassure donc par avance, il n’est pas question de communiquer votre mot de passe à qui que ce soit, ne serait-ce que pour « tester » s’il est connu. On utilisera pour cela un redoutable stratagème nous permettant de « chiffrer » notre mot de passe et de comparer ce « chiffrement » avec les mots de passe en version chiffrée que connaît le site haveibeenpwned. Et en parlant de mots de passe que connaît haveibeenpwned, sachez qu’il y a, à l’heure de la rédaction de ces lignes, 501 millions de mots de passe uniques, soit 9 Go de mots de passe !

La page suivante vous permet de tester si votre mot de passe est connu mais avant de cliquer je vous propose d’ajouter un niveau de sécurité supplémentaire avant de transmettre votre mot de passe. Le risque zéro n’existe pas, alors autant prendre des précautions :

On va tout d’abord « chiffrer » notre mot de passe à l’aide de l’algorithme de hachage SHA-1.

Note pour les connaisseurs : même si j’utilise le mot « chiffrer », il s’agit de hachage et non pas de « chiffrement » à proprement parler. Car avec SHA-1 il n’est pas possible de retrouver les données avec un quelconque « déchiffrement ». Et cela tombe bien, c’est ce que l’on souhaite obtenir. On va comparer des hashs entre eux sans avoir à connaître le mot de passe initial. Cela fonctionne car si par exemple le hash de « motdepasse » est 12ef45, alors si l’on teste 12ef45 et que celui-ci existe, c’est que « motdepasse » existe.

En fait, haveibeenpwned nous permet de passer par une API pour tester un mot de passé hashé en SHA-1. Mieux encore, il nous permet d’envoyer qu’une partie du hash afin d’obtenir tous les mots de passe commençant par ce hash. Il nous restera à vérifier si notre hash se trouve dans la liste retournée.

Une seule étape est donc nécessaire : générer le hash SHA-1 de notre mot de passe…et là le même problème se pose : il est possible de le faire en ligne, mais souhaitons-nous partager notre mot de passe sur un autre site ? Autant le faire directement sur Haveibeenpwned… Ou alors, on va créer notre propre script local qui nous permet d’effectuer ce « hachage SHA-1 ».

On décide de créer un script car malheureusement aucun outil de base sous Windows ne nous permet de faire un hachage SHA-1.

Méthode avec un script PowerShell

Disclaimer : Vous pouvez utiliser n’importe quel autre moyen de générer un hash, la méthode suivante est l’une des plus directe sous Windows, mais rien ne vous y oblige.

Vous pouvez ouvrir le Bloc Notes de Windows et y copier le texte suivant (pas d’inquiétude, c’est une fonction qui va uniquement calculer le hash SHA-1 d’une chaîne de caractère donnée) :

Function Get-StringHash([String] $String)
{
$StringBuilder = New-Object System.Text.StringBuilder
[System.Security.Cryptography.HashAlgorithm]::Create("SHA1").ComputeHash([System.Text.Encoding]::UTF8.GetBytes($String))|%{
[Void]$StringBuilder.Append($_.ToString("x2"))
}
$StringBuilder.ToString()
}

$pass = Read-Host -Prompt 'Entrez une expression a hacher en SHA1'
Get-StringHash $pass
Write-Host "Appuyez sur une touche pour quitter ..."
$pause = $host.UI.RawUI.ReadKey("NoEcho,IncludeKeyDown")

Puis enregistrer ce fichier sous un nom finissant par l’extension « .ps1 » :

Notez les guillemets autour du nom de fichier qui sont nécessaires.

Vous pouvez ensuite faire un clic droit sur votre fichier puis cliquer sur « Exécuter avec PowerShell ».

Celui-ci vous demandera enfin d’entrer un mot de passe et vous générera le hash SHA-1 en appuyant sur entrée.

Pour copier le hash, il suffit de le sélectionner et de faire un clic droit.

J’ai ici tapé le mot de passe super sécurisé « mdp ».

Si jamais vous avez des doutes ou que vous ne savez pas comment faire, je vous propose de ne rien faire ou d’utiliser une autre méthode : programme C#, script Javascript…etc pour générer le SHA-1 d’un mot de passe. Vous n’êtes pas non plus obligé(e) de tester votre propre mot de passe si vous n’avez pas envie.

J’admets à présent qu’on a un hash SHA-1, le « mien » étant ici : 00d70c561892a94980befd12a400e26aeb4b8599

Vérifions enfin sur le site haveibeenpwned, et plus précisément en le passant à l’API (attendez un peu si vous l’avez fait avec votre vrai mot de passe, on verra comment le faire de façon encore plus sécurisée dans quelques secondes) :

https://api.pwnedpasswords.com/pwnedpassword/00d70c561892a94980befd12a400e26aeb4b8599

Note : il faut bien passer le hash dans l’URL et non pas dans un autre champ de recherche.

Note 2 : L’API change régulièrement, et il ne m’est pas possible de suivre à la trace chaque changement en direct. Je vous propose donc de lire la documentation si les liens/méthodes présenté(e)s ici ne fonctionnent plus : https://haveibeenpwned.com/API/v2

Vous pouvez voir que non seulement il est connu mais qu’en plus 339 personnes ont utilisé le mot de passe « mdp » parmi toutes les données ayant été récupérées !

Vous pouvez aussi le vérifier en tapant directement « mdp » sur la page suivante : https://haveibeenpwned.com/Passwords

Encore mieux

Nous ne sommes même pas obligés d’envoyer tout le hash, mais seulement les 5 premiers caractères/chiffres. Dans ce cas le site nous renvoie tous les hashs qui commencent par la même série et c’est à nous de chercher la suite de ce hash parmi la liste retournée (une façon d’améliorer encore la sécurité du transfert de données) :

https://api.pwnedpasswords.com/range/00d70

Notez que le lien a changé, il utilise à présent « range ».

Et nous avons notre mot de passe mdp ici :

Les hashs retournés par le site sont incomplets, seule la partie APRÈS les 5 premiers caractères ou chiffres et affichée. Il vous faut donc chercher à partir du 6ème caractère de votre hash.

Est-ce que cela implique qu’on connaît le mot de passe de mon adresse e-mail ? (et potentiellement de mes autres comptes)

Non, pas forcément. Notamment si un autre utilisateur utilise le même mot de passe que vous. Dans l’exemple précédent, il n’y pas qu’un seul utilisateur qui a créé 339 comptes avec le mot de passe « mdp », quoique ?

Mais dans ce cas, c’est tout de même un avertissement que votre mot de passe est potentiellement facile à trouver avec des outils automatisés. En d’autres termes, si votre mot de passe est votre adresse e-mail sont détectés, mieux vaut changer cette paire adresse e-mail / mot de passe par mesure de sécurité.

Puis-je obtenir une alerte en cas de piratage de données contenant mes informations ?

Oui et c’est l’une des fonctionnalités les plus intéressantes du site haveibeenpwned. Pour cela, cliquez sur le lien « Notifiy me » en haut de l’écran et entrez votre adresse e-mail.

Des questions, des remarques ou des choses à ajouter, n’hésitez pas à écrire un commentaire.

Source et explications additionnelles.

Que faire si votre compte a été piraté.

Articles similaires

25 Commentaires
Cliquez ici pour ajouter un commentaire

  • Bonjour Michel,

    J’ai créé le fichier sha1.ps1 dans le dossier documents. mais lorsque je l’exécute comme tu le dis avec powershell, la fenêtre DOS s’ouvre et se referme aussitôt. Je peux apercevoir l’écriture en rouge.
    As-tu une idée de se qui ne fonctionne pas.

    Merci

    Laurent

    Répondre
    • Bonjour Laurent,
      L’écriture en rouge indique à priori une erreur de syntaxe : peut-être un code mal recopié ou simplement quelque chose qui s’affiche mal sur cette page. L’écriture en question devrait donner des détails sur l’erreur…encore faudrait-il avoir le temps de lire.

      Répondre
    • Bonjour Michel. Merci pour l’article vraiment intéressant!

      Répondre
  • Bonjour, merci pour cet article qui m’as permis de trouver les identifiants de mon compte Spotify qui a été piraté.

    Répondre
  • Bonjour merci pour cet article mais j’ai une question qui me trotte la tête depuis plusieurs mois… j’aimerai acheter un ordinateur cependant je souhaite rester anonyme de ce fait je vais installer un vpn (express vpn plus précisément) sauf que l’ordinateur en question propose un Lecteur d’empreintes digitales, j’aimerai savoir si je m’identifie grâce au lecteur d’empreinte et non par mot de passe si mon anonymat est perdue car je suis déjà identifié sur l’ordinateur ? Le le vpn ne pourrai pas changer grand chose ? Ou c’est tout à fait le contraire ?

    Merci

    Répondre
    • Bonjour, non le VPN ne changera rien par rapport au lecteur d’empreinte. Celui-ci améliore la sécurité au niveau de l’accès physique mais effectivement il faut bien que votre empreinte soit enregistrée quelque part. C’est donc une affaire de confiance, et c’est pour cela que je parle habituellement d’anonymat « relatif ».
      Bonne continuation.

      Répondre
  • Merci beaucoup pour cet article.

    Répondre
  • Super article que j’ai largement partagé. Le seul petit truc à améliorer serait de préciser que le hash est dans la barre d’adresse de l’API car ça ne saute pas immédiatement aux yeux. Merci encore pour cet excellent article.

    Répondre
  • tres bon article et tres bien detaille c’est de l’excellent travail !! merci

    Répondre
  • Alors se site est bizarre quand-même troy hunt annonce le piratage de compte et mdp avec plus de 22 millions de compte.

    Suite à ca judge hype sort un article avec le même site pseudo sponso pour vendre un service sécurisé a abonnement…

    Je test de suite avec un compte deja hack par le passé depuis changement de mdp et double sécurité.

    Test de l’email à 14h sur pwned annoncer 3 hack avec la fameuse liste… ok pas de soucis

    17h15 je reçois un mail scam de sextorsion hahaha avec mon ancien mdp qui avait été hack…

    Quand meme bizarre de recevoir ce mail quelques heures après le test sur pwned….

    Je me pose vraiment des question sur ce site ducoup.

    Répondre
    • Bonjour,
      Je ne sais pas si le mail d’arnaque est vraiment lié à l’utilisation de Have I Been Pwned (je penche plutôt pour une coïncidence) sans quoi toute la crédibilité de Troy Hunt tomberait. Et lorsqu’on sait qu’il est soutenu par certains gouvernements et qu’il est très connu dans le milieu de la sécurité, il est dans son intérêt de ne pas arnaquer ses propres visiteurs. Il y a d’autres raisons qui pourraient également expliquer cela (dont un piratage, ou justement le fait qu’un pirate a lu le même mail et s’en est servi pour envoyer des e-mails d’arnaque dans la foulée).

      Répondre
      • Je dois l’avouer c’est à prendre avec des pincettes et je pense que c’est plus lié a la divulgation de cette liste.

        Par contre rajouter une petite partie pour prévenir les gens de ne pas tomber dans la parano avec ce genre de mail « scam, phishing ».

        Beaucoup de personnes se font encore avoir avec ça… Je trouve ça dommage.

        Je suis tombé sur ce blog par hazard. Merci pour tes articles et au temps que tu accordes au commentaires.

        Répondre
  • Bonjour, très novice en la matière, j’aimerai trouver un script qui fonctionne sur Mac. Pourriez-vous m’orienter ?
    D’avance merci

    Répondre
  • Bonsoir Michel , j’aurai souhaité avoir votre aide ..il semblerait que je sois victime d’usurpation d’identité via un pseudo piratage ..j’ai besoin de vos conseils …est il possible de pirater un compte watssap ? Cela est il prouvable ? Merci de vos réponses

    Répondre
  • Bonsoir,
    j’ai reçu le fameux mail envoyé depuis mon adresse mail disant que j’avais été surprise en train de regarder du porno. Hors, le mot de passe envoyé comme preuve m’est totalement inconnu. Cependant, quand je vais sur le site Have I been pwned, cela me dit que mon adresse mail est piraté… mais pas le mot de passe. L’adresse mail en question ayant été piraté il y a quelques années, je pense que c’est cela que le site détecte. Mais je ne suis cependant pas rassurée.
    Pouvez-vous m’aider? Merci d’avance.

    Répondre
    • Bonjour, je vous rassure, vous pouvez ignorer le message (et tout de même changer le mot de passe associé à l’adresse e-mail en question par précaution). Merci pour votre visite et excellente continuation.

      Répondre
  • Bonjour Michel,

    J’ai plus une question qu’un commentaire. J’aimerais savoir si des outils existent pour localiser un interlocuteur avec qui on discute sur skype ou tout autre logiciel de communication. Je viens de passer une semaine à converser avec un pirate sur skype qui pratique l’attaque par le web et ça m’a fais penser que je n’ai pas d’outil pour localiser cet ordure. J’aimerais bien avoir un outils pour localiser les gens qui tente de nous arnaquer.

    Merci.

    Répondre
    • Bonjour, il existe des outils du type « iplogger » qui permettent de générer un lien piégé à envoyer. Chaque clic sur le lien vous donnera l’adresse IP de celui qui clique. Tout repose ensuite sur la capacité à faire cliquer le pirate sur le lien. Bonne continuation et merci pour votre visite.

      Répondre
  • Bonjour, il y a plus d’un mois quelqu’un a pris mon adresse mail, changer le mail de récupération et depuis je n’y ai plus accès, même quand je remplis le formulaire Gmail pour récupérer mon adresse ils disent qu’ils n’ont pas les bonnes infos pour le le redonner, en même temps je me suis faite voler un compte Instagram, je l’ai signalé et il a été supprimé. Cette personne a aussi essayé de me prendre mon compte vinted, j’ai réussi à le récupérer. Le problème c’est que j’utilise internet seulement avec mon téléphone, je n’ai donner mon mdp à personne, j’ai regardé sur le site que vous avez donner si mon adresse mail avait eu une fuite mais non.. et je ne vois aucune trace nul part. Pouvez vous m’aidez svp

    Répondre
    • Bonjour,
      Est-ce que vous aviez le même mot de passe sur tous ces sites ? Si oui j’opterais pour un vol de mot de passe en ligne, si non il y a peut-être une application malveillante sur le téléphone.

      Répondre
  • Bonjour,
    J’ai reçu un mail provenant de Haveibeenpwned qui me signale que mon adresse mail (dont je change régulièrement le MDP) est compromise en cause une fuite de données du site Gravatar.
    Hors je ne connais pas ce site.
    D’ailleurs je n’ai jamais reçu de confirmation d’inscription de ce site.
    Auriez vous une explication et un conseil s’il vous plaît ?
    Merci par avance de votre aide.

    Répondre
    • Bonjour, Gravatar est une plateforme qui permet d’utiliser un avatar associé à votre adresse e-mail de façon à l’afficher uniformément sur le web. Par exemple lorsque vous laissez un commentaire sur ce site avec votre adresse gmail en question, l’avatar lié via Gravatar peut s’afficher. Vous avez donc à priori un compte Gravatar, ou un compte créé à votre insu qui a été trouvé dans une fuite de données.
      Amicalement

      Répondre
  • Bonjour,
    Et à part avoir changer mon mot de passe, je ne fais rien d’autre pour mon adresse mail qui a été kidnappée ?

    Répondre
    • Bonjour,
      Restez vigilante, signalez-le à vos contacts… ne réutilisez plus jamais les mêmes mots de passe. Une adresse compromise le restera vie. Vous ne pourrez pas annuler sa récupération par des pirates. Au sens où elle sera à vie dans des bases de données, et donc utilisée à diverses fins dont le spam principalement…

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu