Des millions d’adresses email se retrouvent chaque année dans des bases de données piratées et revendues sur des forums clandestins. Si votre adresse email fuite de données figure dans l’une d’elles, cela n’est pas forcément synonyme de comptes compromis. Cela exige toutefois une réaction rapide et méthodique. Voici comment vérifier si une fuite a exposé vos données et quelles actions concrètes prendre pour vous protéger.
D’abord, vérifiez si votre adresse figure dans des bases de données de fuites connues. Plusieurs outils gratuits permettent cette vérification en quelques secondes.
Le site haveibeenpwned.com est la référence mondiale pour ce type de contrôle. Il suffit de saisir votre adresse email dans le formulaire de recherche. Le site indique alors si votre adresse apparaît dans ses bases de données. Il précise également les fuites concernées, leur date et les catégories de données touchées (mots de passe, numéros de téléphone, adresses physiques…). Ce service est gratuit. Par ailleurs, le site ne conserve pas votre adresse à d’autres fins que la vérification.
Vous pouvez également vous abonner aux notifications de Have I Been Pwned. Vous recevrez ainsi une alerte automatique si votre adresse apparaît dans de nouvelles fuites détectées à l’avenir.
Si vous utilisez un gestionnaire de mots de passe comme Bitwarden, 1Password ou Dashlane, ceux-ci intègrent souvent une fonctionnalité de surveillance des fuites. En effet, ils comparent vos identifiants enregistrés avec des bases de données de fuites et vous alertent si des pirates ont compromis l’un d’eux. C’est pourquoi ces outils gagnent chaque année de nouveaux utilisateurs.
Si votre adresse figure dans une fuite, la priorité absolue est de changer le mot de passe des comptes associés. Commencez donc par les comptes les plus sensibles : messagerie principale, banque, réseaux sociaux, services de paiement (PayPal, Amazon…).
Un bon mot de passe est long (au moins 12 caractères), unique pour chaque service et aléatoire. Mémoriser des dizaines de mots de passe forts reste pratiquement impossible. C’est pourquoi nous recommandons fortement un gestionnaire de mots de passe. Ces outils génèrent des mots de passe complexes à votre place. Ils remplissent également les formulaires automatiquement.
Votre boîte mail est souvent la clé de voûte de votre identité en ligne. En effet, un pirate qui y accède peut demander des réinitialisations de mot de passe pour l’ensemble de vos autres comptes. Si votre adresse email principale figurait dans la fuite, changez donc impérativement son mot de passe en priorité absolue.
Le MFA (Multi-Factor Authentication), aussi appelé authentification à deux facteurs (2FA), ajoute une couche de protection supplémentaire à vos comptes. Ainsi, même si un pirate obtient votre mot de passe, il ne peut pas se connecter sans le second facteur. Ce second facteur change à chaque connexion et votre seul téléphone y donne accès.
Activez le MFA en priorité sur votre messagerie principale, vos comptes bancaires, vos réseaux sociaux et tout service contenant des données sensibles. Le MFA par application (Google Authenticator, Authy, Microsoft Authenticator) offre plus de sécurité que le MFA par SMS. En effet, des attaquants peuvent détourner un numéro de téléphone via des attaques de type SIM swapping et ainsi intercepter ces SMS. Toutefois, si le service ne propose que le SMS, c’est néanmoins bien mieux que l’absence totale de MFA.
Une fois les mesures immédiates prises, restez vigilant dans les semaines qui suivent. En effet, les cybercriminels n’exploitent pas toujours les données volées immédiatement. Ils les revendent parfois plusieurs fois avant de les utiliser, ce qui retarde l’impact réel pour les victimes.
Surveillez votre boîte email pour détecter des tentatives de connexion non autorisées. Repérez notamment les emails de réinitialisation de mot de passe que vous n’avez pas demandés. La plupart des services envoient des alertes de connexion depuis un nouvel appareil ou un nouvel emplacement. Activez donc ces notifications si elles sont disponibles.
Par ailleurs, si vous constatez que quelqu’un a exploité votre adresse email fuite de données pour tenter de pirater un compte, signalez-le immédiatement au service concerné. Certaines plateformes proposent en outre de bloquer les connexions suspectes de manière préventive.
Surveillez également vos relevés bancaires pour détecter des transactions inhabituelles. Si la fuite a touché vos données bancaires, signalez-le à votre banque sans tarder. Elle peut ainsi bloquer préventivement votre carte et en émettre une nouvelle.
En cas de doute : si vous recevez une demande de rançon par email prétendant avoir accès à vos données ou à votre ordinateur, il s’agit très probablement d’une arnaque. Ne payez pas et ne répondez pas. Signalez ce type d’email sur cybermalveillance.gouv.fr.
Sources : Have I Been Pwned (haveibeenpwned.com), ANSSI (ssi.gouv.fr), cybermalveillance.gouv.fr, CNIL (cnil.fr).