Un site qui vous dit si votre mot de passe a été volé, ça existe
Ce n'est pas un secret qu'un grand nombre de personnes utilisent le même mot de passe sur toute une multitude de sites. Pour les hackers, cette nonchalance est une véritable manne : une fois qu'ils connaissent votre mot de passe pour un site, il leur suffit d'essayer la même paire « mail / paire mot de passe » sur un maximum de sites. Le processus est bien entendu automatisé et il a même un nom : « credential stuffing ».Pour rendre la vie un peu moins facile aux hackers, Troy Hunt a donc créé Haveibeenpwned.com. Auparavant, le site permettait de saisir une adresse mail pour savoir si le mot de passe correspondant était tombé entre les mains des escrocs. Pour des raisons évidentes d'éthique, le site ne précisait pas le mot de passe en question, ni pour quel site cette paire « mail / paire mot de passe » était utilisée. Il permettait tout simplement d'avertir les gens lorsqu'un de leurs comptes sur Internet était compromis.
Plus de 300 millions de mots de passe dans la nature
La démarche de Troy Hunt a une visée pédagogique : faire prendre conscience de la facilité à deviner un mot de passe facile ou d'en voler un d'une part, et du risque encouru lorsque vous réutilisez un même mot de passe sur un autre site d'autre part. Désormais, Troy Hunt passe à la vitesse supérieure : depuis le 3 août 2017, son site répertorie les mots de passe volés. Cela, sans mentionner à quelles adresses mail ils correspondent évidemment.306 millions de mots de passe, obtenus sur des forums de hackers, ont été uploadés sur le site le 3 août 2017. 14 autres millions les ont rejoints le lendemain, et la base de données est appelée à continuer à s'étoffer.
