Hier soir Numérama publiait un article sur la récente découverte d'un nouveau fichier provenant de pirates informatiques: 700 millions de comptes emails avec toutes les infos pour s'y connecter.

On va dire que ce n'est que le Nième fichier de la sorte qui circule sur Internet. On se dit que ce ne sont que des emails alors c'est pas bien grave mais les conséquences de telles fuites sont plus importantes que juste les emails.

Je ne parlerai pas ici de sécurité des bases de données où tout mot de passe se doit d'être crypté, idéalement sans pouvoir retrouver la valeur d'origine et éventuellement avec une double authentification. De nombreux scripts et logiciels le permettent. Nous en proposons un gratuitement : Log'n Pass (avec son API pour les développeurs de sites).

Ce qui nous intéresse aujourd'hui c'est de rappeler les conséquences d'une telle fuite d'informations.

La première conséquence, la moins grave, c'est qu'avec ça des spammeurs et hackers peuvent envoyer des emails en masse aux contacts des personnes piratées en se faisant passer pour l'expéditeur. En faisant un peu attention on peut toujours se méfier de ce qu'on reçoit et du contexte de pièces jointes douteuses.

La seconde conséquence c'est la possibilité pour des tiers de prendre la main sur le contenu des boites à lettres. Avec des mois ou années d'historique elles permettent d'en apprendre beaucoup sur leur propriétaire: des listes de services utilisés, des mots de passe, des informations personnelles ou bancaires... Ca sert à des arnaques du style "je suis à l'étranger, j'ai perdu mes papiers, peux-tu me faire un virement urgent par Western union pour me dépanner, je te rembourse à mon retour".

Le fait d'accéder à une boite à lettres et de savoir si quelqu'un a utilisé tel ou tel service permet généralement de prendre la main sur le-dit service. Il suffit pour cela de demander à réinitialiser le mot de passe qui lui est associé et valider la demande reçue dans la boite à lettres. C'est pour cela que la double authentification est maintenant nécessaire partout.

Avoir un email/password qui circule sert aussi à tester ces informations sur des sites intéressants (banques, sites officiels, stockages en cloud, ...).

Si d'une façon ou d'une autre un attaquant accède à un serveur de stockage, tout ce qu'il contient est potentiellement en danger. On peut lire, modifier et supprimer vos données, ajouter des virus, remplacer des programmes d'installation par des programmes frauduleux, ... Et c'est pire si vous stockez des mots de passe dans un fichier texte non crypté (ou des clés de cryptage privées) : les attaquants ont accès à ces mots de passes et peuvent donc agir sur tous les sites et services correspondants !

Donc nous ne pouvons que vous recommander la prudence avec vos mots de passes :

• utilisez des mots de passes différents sur les sites, services et logiciels demandant des mots de passes
• utilisez des mots de passes compliqués mais que vous pourrez vous rappeler, enregistrez les dans votre navigateur ou dans un logiciel spécialisé (l'ANSSI propose une liste de logiciels de sécurité testés et approuvés)
• activez la double authentification lorsqu'elle est proposée par les sites, services et logiciels que vous utilisez
• testez régulièrement si vos adresses emails ont été compromises à l'aide d'un site comme "Have I been pwned ?"
• si un service de stockage ou une boite à lettres contenant des mots de passes d'autres services est compromis, changez tout de suite tous ces mots de passes et profitez en pour supprimer ce fichier du serveur !
• si un site, service ou logiciel est compromis, vérifiez que d'autres personnes ne se sont pas connectées à votre compte et y acccèderaient après changement de votre mot de passe (vérifiez la liste des ordinateurs et application autorisés pour votre compte, supprimez tout ce qui n'a pas de raison d'y être et dans le doute retirez tout)

Avec ces règles de base vous devriez être tranquilles, mais soyez toujours attentif à ce que vous faites en ligne et où vous saisissez vos codes d'accès.