Le service gratuit Have I Been Pwned, qui permet à quiconque de vérifier si son adresse e-mail a été impliquée dans une fuite de données, vient de s’enrichir de plus d’1,3 milliard de mots de passe uniques.
Créé par Troy Hunt, cet outil liste les brèches connues sans pour autant confirmer un piratage d’un compte spécifique, un bon mot de passe peut encore le protéger un temps. Mais si votre e-mail apparaît, c’est le signal pour changer les mots de passe concernés sans tarder. Cette mise à jour, annoncée cette semaine, porte le total des comptes affectés à deux milliards pour cette collection seule.
Ces nouveaux mots de passe proviennent de la base Synthient, un ensemble de credentials volés via des infostealers (malwares qui capturent noms d’utilisateur et mots de passe sur PC ou mobiles infectés) avant de les envoyer sur des serveurs souvent accessibles au public, comme des groupes Telegram ou du stockage cloud ouvert. Parmi ces données, on trouve des anciens mots de passe obsolètes, mais aussi des récents, même si le pourcentage exact reste flou. Cela peut exposer les utilisateurs à plus de risques de credential stuffing, où des hackers testent ces combos sur d’autres sites. Heureusement, Have I Been Pwned rend tout ça searchable, et pour les fans de KeePass, un check local est possible sans exposer vos infos.
Les implications sont claires car même si une brèche n’est pas liée à un service précis (comme c’est souvent le cas ici), réutiliser le même mot de passe ou une variante légère (« motdepasse », « motdepasse1 ») sur plusieurs comptes vous expose. Troy Hunt ajoute ces collections publiques régulièrement pour alerter, et cette fois, c’est un bond massif qui souligne l’explosion des fuites via malwares. Pas de panique si vous n’êtes pas touché, mais c’est un rappel que la sécurité en ligne est un sport de combat constant.
Pour vous protéger, voilà les étapes basiques :
- Changez immédiatement les mots de passe des comptes impactés.
- Faites de même pour tout autre compte avec un mot de passe similaire ou proche.
- Activez l’authentification à deux facteurs partout où c’est possible.
Pensez aussi aux passkeys comme alternative aux mots de passe classiques, même si tous les services ne les supportent pas encore. Have I Been Pwned reste gratuit et anonyme, testez-le avec votre e-mail dès maintenant.
