Une récente étude menée par Risk Based Security recensait en 2020 plus de 3 932 violations de données en baisse de 48% par rapport à 2019. Pas de quoi se réjouir pour autant, car près de la moitié de ces incidents se sont terminés par des vols de données à un niveau jamais atteint, 37 milliards d’enregistrements. L’actualité récente en apporte aussi la preuve avec la mise en ligne d’une archive de 3,7 milliards d’identifiants de messagerie compilés. La question de savoir si votre compte fait partie de cette longue liste peut donc légitimement se poser. Mais où se tourner pour savoir si c’est le cas et comment le surveiller. Il existe plusieurs moyens pour cela.
Des services incontournables
Deux sites servent de vérificateur : HaveIBeenPwned et le service géré par l’Institut Hass-Platner Institut à Berlin (HPI). Tous les deux vous demandent de saisir votre adresse électronique et ils compareront cet identifiant avec les bases de données des violations de données connues. Les deux services sont intéressants.
La réputation de HaveIBeenPwned attire ceux qui veulent communiquer sur leurs attaques. Ainsi, le signalement des violations de données semble être complet. Lors de la recherche, le site est capable d’énumérer les informations complémentaires à l’adresse mail comme le sexe ou le numéro de téléphone. Le site organise les vols de données en fonction du service attaqué et non de la date. Pourquoi est-ce important ? Car si votre courriel a été exposé lors d’un incident en 2016, il y a de forte chance que le mot de passe ait été depuis modifié. Par contre, s’il a été diffusé le mois dernier, des mesures sont à prendre rapidement. Inconvénient du service, il est possible de tester plusieurs adresses mails sans souci de confidentialité.
HaveIBeenPwned publie les services qui ont été piratés et pourraient comprendre vos identifiants. (Crédit Photo : Mark Hachman / IDG)
Le site du HPI adopte une approche différente. Il répertorie les incidents par date, ainsi qu'un extrait des informations qui ont été exposées. Si vous saisissez une adresse électronique sur le site, un rapport de sécurité sera envoyé à cette adresse, accompagné d'un tableau à code couleur indiquant les données à risque et les violations.
Le rapport du HPI est plus synthétique et personnalisé. (Crédit Photo : Mark Hachman / IDG)
Une surveillance gratuite via les navigateurs
On a tendance à les oublier, mais les navigateurs peuvent se révéler des aides précieuses en matière de surveillance des mots de passe.
Google Check-up
Ainsi Google a ajouté en 2019 un plugin pour Chrome qui avertit si vous vous connectez sur un site compromis ou si votre email et mot de passe ont été touchés. Depuis Chrome 79, le navigateur surveille la navigation pour éviter le phishing ou la divulgation de mot de passe.
Le vérificateur de mots de passe de Google dispose d'un tableau de bord pratique pour afficher si votre identifiant a été compromis. (Crédit Photo : Mark Hachman / IDG)
Il est possible aussi d’aller sur le site passwords.google.com et après authentification, le vérificateur de mots de passe en ligne de Google vous donnera un tableau de bord rapide des mots de passe qui ont été exposés à des failles de sécurité, ceux qui ont été réutilisés sur différents sites, et ceux qui pourraient être améliorés en les renforçant. Il existe également des liens pour modifier les mots de passe sur les sites eux-mêmes. Toutefois, cela ne fonctionne que si vous avez stocké les mots de passe en utilisant Google lui-même.
Firefox Lockwise
Ce service fonctionne de manière légèrement différente par rapport à Chrome. Il n'offre pas les recommandations de Google sur les mots de passe redondants et faibles, mais la surveillance reste la même. Le moyen le plus simple d'accéder à Lockwise est de taper about:logins dans la barre d'URL de Firefox. Si les identifiants ont été exposés, vous verrez apparaître une bannière rouge vif, le compte et le mot de passe en question et un lien pour accéder au compte en question.
Firefox Lockwise intègre la surveillance des mots de passe dans le navigateur Firefox. (Crédit Photo : Mark Hachman / IDG)
L'année dernière, Microsoft a promis un moniteur de mots de passe dans Microsoft Edge, qui sera bientôt intégré à Microsoft Edge 88. Comme les autres services similaires offerts par d'autres fabricants de navigateurs, il sera gratuit.
Microsoft Edge Password Monitor
La firme de Redmond fait évoluer son navigateur sur la sécurité des authentifications en mettant en place un générateur de mots de passe complexe. Elle devrait dans un proche avenir lancer un outil surveillance des identifiants dans la version 88 du navigateur.
Un générateur de mots de passe dans Edge en approche. (Crédit Photo : Microsoft)
Une surveillance payante : les gestionnaires de mots de passe
Un rappel toujours nécessaire, mais il existe aussi des services payants pour s’assurer de la surveillance et de la protection de ses précieux sésames. Voici quelques solutions connues sur le marché.
LastPass
Le service de LogMeIn propose une version gratuite de son coffre-fort d’identifiants, mais la surveillance est par-contre une offre payante. LastPass gardera alors un œil sur le dark web au cas où un mot de passe est détecté et lancera une alerte à l’utilisateur. Les navigateurs ne proposent pas encore cette notification. Le service vaut-il 2,90 euros TTC par mois ? C’est le cas si vous souhaitez verrouiller complètement l’accès à vos données.
LastPass surveille la toile noire pour détecter les mots de passe piratés, moyennant un abonnement mensuel (Crédit Photo: LastPass)
Dashlane
Dashlane fournit lui aussi la surveillance du dark web comme une offre payante et la facture s'élève à 4 euros par mois et à 6 euros par mois dans le cadre d’un abonnement Famille.
1Password
1Password ne propose pas de modèle gratuit, mais son service de base est à 3 dollars par mois. Il comprend notamment Watchtower, une fonction qui vous avertit en cas de compromission de vos comptes et sur la faiblesse de vos identifiants. 1Password fonctionne avec le service HaveIBeenPwned pour vérifier vos mots de passe (et non votre adresse mail) par rapport à sa base de données. Comme mesure de sécurité supplémentaire, 1Password n'envoie qu'une partie de votre mot de passe (ou, plus précisément, une partie du hachage du password), recueille toutes les correspondances potentielles, puis les vérifie en privé sur votre PC.
Le service de surveillance Watchtower de 1Password (Crédit Photo: 1Password)
Il existe d’autres gestionnaires de mots de passe dispensant une surveillance des identifiants contre abonnement, mais qui sait ? A l’avenir cette vigilance deviendra peut-être gratuite sous l’influence de Microsoft, Google et Mozilla.