3 services pour savoir si vos données circulent dans le dark Web

Depuis quelques années, les fuites de données personnelles s’accumulent, qu’on pense par exemple à Capital One, Desjardins, iA Groupe financier et TransUnion. Dans certains cas, ces données se retrouvent dans le Web caché (dark Web), où des individus peu scrupuleux peuvent les obtenir pour les utiliser à des fins frauduleuses.

Des services permettent de vérifier si vos données, ou à tout le moins votre courriel et vos mots de passe, circulent dans le Web clandestin. Si vous réalisez que vos mots de passe ont été volés, allez les changer sur les sites à la source de ces fuites (Dropbox ou LinkedIn, par exemple), mais aussi sur les autres sites où vous avez utilisé ces mêmes mots de passe.

1. Have I Been Pwned?

Le service gratuit Have I Been Pwned est l’un des plus vieux du genre. Constamment mis à jour, il répertorie plus de neuf milliards de comptes piratés sur un total de 430 sites, notamment 500px, 8tracks, Adobe, Ancestry et Ashley Madison.

Pour savoir si vous avez été victime de l’une de ces fuites, il suffit d’entrer votre courriel dans la boîte de recherche et d’appuyer sur «pwned?». Avec mon adresse de courriel personnelle, j’ai obtenu 11 résultats, notamment associés à des fuites sur 500px, 8tracks, Adobe, Dailymotion, Dropbox, Houzz et LinkedIn. Ouch! Évidemment, j’ai changé les mots de passe associés à ces sites. 

Have I Been Pwned indique également le type de données subtilisées : il s’agit très souvent de votre courriel et de votre mot de passe, mais aussi parfois d’autres informations comme votre date de naissance, votre ville, votre numéro de téléphone et votre employeur. Bref, rien de très rassurant.

Le site permet aussi de vous inscrire gratuitement pour recevoir des alertes dès que de nouvelles fuites de données sont répertoriées. Il suffit d’appuyer sur «Notify me» dans le menu en haut de la page, d’entrer votre courriel, de cocher la boîte «Je ne suis pas un robot» et de cliquer sur «Notify me of pwnage».

2. Les gestionnaires de mots de passe

Les versions payantes de la plupart des gestionnaires de mots de passe intègrent un service de surveillance du Web caché. Ainsi, s’ils découvrent que votre courriel est associé à une fuite survenue sur un site comme Dropbox ou LinkedIn, ils vous en informent et vous invitent à changer votre mot de passe. Plusieurs d’entre eux utilisent d’ailleurs la base de données de Have I Been Pwned?. La version payante de Bitwarden, qui est développé en code source ouvert (open source) et qui surveille le Web clandestin, est particulièrement abordable, à seulement 10 $US (13 $CAN) par année.

3. Microfix

Depuis décembre dernier, cette entreprise de Terrebonne offre un service similaire à Have I Been Pwned?. Elle vous permet d’obtenir gratuitement un rapport pour savoir si votre adresse de courriel est associée à des fuites de données dans le Web clandestin. Ce rapport indique seulement le nombre de fuites détectées et la date de ces fuites. Pour 20 $, vous pouvez obtenir un rapport un peu plus détaillé, qui indique l’origine de chaque fuite et les trois premiers caractères de votre mot de passe associé à chacune de ces fuites.

J’ai commandé le rapport payant de Microfix, et les fuites qui y sont identifiées sont presque exactement les mêmes que celles trouvées par Have I Been Pwned?, qui offre ce service gratuitement. Par ailleurs, les trois premiers caractères des mots de passe sont d’une utilité limitée. En effet, puisque la plupart de ces mots de passe circulent sous leur forme chiffrée, ils ne correspondent pas exactement aux mots de passe que vous utilisez. 

Dans tous les cas, le conseil reste le même : changez vos mots de passe sur tous les sites identifiés (500px, Adobe ou autre), ainsi que sur tous les sites où vous avez réutilisé ces mots de passe, parce que si le type de chiffrement utilisé est trop faible, vos mots de passe pourraient éventuellement être décodés. Selon l’expert en sécurité informatique Steve Waterhouse, c’était le cas notamment pour les mots de passe volés lors de fuites chez Ashley Madison et LinkedIn, qui étaient à la base chiffrés mais ont plus tard été décodés par des pirates informatiques.

Enfin, Microfix propose un service de surveillance payant, à 20 $ par mois, qui vous alerte dès que votre courriel est associé à une nouvelle fuite. Personnellement, je n’en vois pas l’intérêt, puisque Have I Been Pwned? offre gratuitement un service similaire; idem pour certains gestionnaires de mots de passe, dont Bitwarden qui est très abordable. Steve Waterhouse est du même avis. «Je ne paierais pas pour ce genre de service, qui de toute façon ne pourra jamais repérer toutes les fuites de données qui se retrouvent dans le Web caché ni vérifier l'authenticité de ces données», dit-il.