Imaginez une valise contenant un nombre astronomique d’adresses e-mail et de mots de passe volés mise en vente sur Internet… Ce scénario n’est pas le fruit de l’imagination débordante d’un réalisateur de séries télé : il s’est joué « pour de vrai » début janvier et est susceptible d’impacter des milliards d’utilisateurs à travers le monde.
Appelée « Collection#1 », la liste en question – qui rassemble les fuites de données de plus de 12’000 sources web différentes (émanent notamment de sites Internet qui ont été piratés) – a été découverte il y a quelques jours par un célèbre chasseur de failles australien, Troy Hunt, alors qu’elle était vendue sur un forum pour le prix déconcertant de… 45 dollars.
Les chiffres sont démesurés. Plus de 700 millions d’adresses e-mail uniques et plus de 1,1 milliard de paires distinctes d’identifiants/mots de passe (en clair) ont pu être extraites de cette collection.
Notons que les données rassemblées dans « Collection#1 » sont, pour la plupart, assez anciennes. Les mots de passe changés récemment ont donc moins de risque de figurer dans cette compilation.
Le SIEN a pris des mesures
Notre pays et notre canton sont bien sûr aussi concernés par cette gigantesque liste de données. En collaboration avec la Centrale suisse d’enregistrement et d’analyse pour la sûreté de l’information (MELANI), les experts en sécurité du SIEN ont ainsi extrait les données qui concernent les collaboratrices et les collaborateurs de l’Etat. Ces personnes seront très prochainement averties personnellement pour qu’elles puissent réagir rapidement et efficacement.
Les sites de l’Etat ne sont pas en cause
Il est également nécessaire de rappeler ici que ces données ne proviennent pas d’une fuite d’un site appartenant à l’Etat de Neuchâtel, mais qu’elles émanent de multiples vols sur divers forums de discussion ainsi que sur des sites privés, tels que LinkedIn, Adobe ou Spotify.
Comment se protéger ?
Si votre adresse fait partie des identifiants qui ont été volés, les mesures à prendre
dépendent principalement des pratiques utilisées dans la gestion des mots de passe :
- Si le même mot de passe est utilisé pour plusieurs comptes associés à cette adresse email, il est nécessaire de le modifier pour chacun des comptes, et de ne plus jamais utiliser le mot de passe compromis. Afin de réduire les risques en cas de nouvelle fuite de données, il est important de choisir un mot de passe fort et unique pour chaque compte, en s’aidant d’un gestionnaire de mots de passe pour s’en souvenir au besoin.
- Lorsqu’elle est possible, une très bonne mesure de prévention consiste en l’utilisation d’une authentification à deux facteurs (2FA), procédure d’identification qui ajoute un second élément au traditionnel mot de passe. Concrètement, il s’agit de détenir une deuxième information secrète, qui n’est accessible qu’à l’aide d’un élément physique possédé par l’utilisateur (comme un téléphone). En cas de compromission du mot de passe, la personne malintentionnée n’aura pas accès à ce deuxième facteur d’authentification.
Bonnes pratiques pour la gestion des mots de passe
Pour continuer cette lecture
- En ce qui concerne nos adresses privées, notons qu’il est aussi possible de vérifier par soi-même – sur le site Have I Been Pwned qui se traduit littéralement par : « Est-ce que je me suis fait avoir » – si une adresse e-mail fait partie des identifiants qui ont été volés une fois (dépasse la liste de collection#1). Une marche à suivre en français peut se révéler utile, car le service n’est malheureusement proposé qu’en anglais : Have I Been Pwned (en anglais) Marche à suivre (renseignements en français).
- Firefox Monitor (en français, mais moins complet).
- Vérifier si un mot de passe est connu dans un vol de données : Pwned Passwords (en anglais uniquement).
- En savoir plus:
Source: Intranet.ne.ch