Fuites de donnees : votre email est-il compromis ?

Chronologie des fuites : une epidemie croissante

Les fuites de donnees se sont accelerees de facon spectaculaire ces deux dernieres decennies. En 2013, Yahoo a subi ce qui reste la plus grande fuite de l'histoire, avec les 3 milliards de comptes compromis. LinkedIn a perdu 117 millions d'identifiants en 2012. Adobe, Equifax, Marriott, Facebook, T-Mobile — la liste des entreprises victimes de fuites ressemble au gotha de l'economie numerique.

Selon la base de donnees Have I Been Pwned, l'adresse email moyenne apparait dans 2 a 5 fuites. Si vous utilisez la meme adresse depuis plus de quelques annees, la probabilite qu'elle ait ete divulguee approche les 100 %. Ce n'est pas une question de « si », mais de « combien de fois ».

Ce qui se passe apres une fuite

Lorsqu'une entreprise subit une fuite, les donnees volees suivent un cycle de vie previsible. D'abord, elles sont echangees en prive entre hackers. En quelques semaines ou mois, elles apparaissent sur les places de marche du dark web. Finalement, lorsque des fuites plus recentes surviennent, les anciens jeux de donnees sont diffuses gratuitement.

Les donnees exposees varient : les adresses email sont presque toujours incluses. Les mots de passe (parfois haches, parfois en clair), numeros de telephone, adresses physiques, dates de naissance et informations financieres peuvent aussi etre presents. Les fuites les plus dangereuses exposent des hachages de mots de passe utilisant des algorithmes faibles (MD5, SHA-1), qui peuvent etre casses en quelques secondes.

Les consequences concretes

Une adresse email divulguee devient une cible pour plusieurs types d'attaques :

• Credential stuffing : Les attaquants prennent des paires email-mot de passe d'une fuite et les testent sur des centaines d'autres services. Comme la plupart des gens reutilisent leurs mots de passe, c'est devastateur.
• Phishing cible : Savoir quels services vous utilisez permet de creer des emails d'hameconnage convaincants.
• Vol d'identite : Avec suffisamment de donnees de multiples fuites, les attaquants peuvent usurper votre identite.
• Escalade du spam : Votre email entre dans l'ecosysteme permanent du spam.

Comment verifier si vous etes concerne

L'outil le plus fiable est Have I Been Pwned (haveibeenpwned.com), un service gratuit gere par le chercheur en securite Troy Hunt. Entrez votre adresse email et il vous montrera chaque fuite connue qui incluait vos donnees. Firefox Monitor et le controle de mots de passe de Google offrent des fonctionnalites similaires.

Ce que vous devez faire si votre email apparait dans des fuites :

• Changez immediatement le mot de passe du service concerne — et de tous les services ou vous utilisez le meme mot de passe.
• Activez l'authentification a deux facteurs sur tous les comptes importants.
• Adoptez un gestionnaire de mots de passe et generez des mots de passe uniques.
• Surveillez vos comptes pour toute activite suspecte.

Prevention : limiter votre exposition aux fuites

La strategie la plus efficace a long terme consiste a reduire le nombre de services qui possedent votre veritable adresse email. Chaque compte que vous creez est un vecteur de fuite potentiel. Pour les services que vous utilisez une seule fois ou rarement — essais gratuits, achats ponctuels, inscriptions a des evenements, abonnements a des newsletters — utiliser une adresse jetable de TempoMail elimine entierement le risque.

La compartimentation est la defense la plus efficace contre les effets en cascade des fuites de donnees. Un email different pour chaque type d'usage, c'est la cle.