Ouvrir le menu principal

MacGeneration

Recherche

Pwned Passwords : votre mot de passe fait-il partie de ces 500 millions qui ont fuité ?

Stéphane Moussie

vendredi 23 février 2018 à 11:10 • 81

Logiciels

Régulièrement, on apprend que telle ou telle entreprise a laissé fuiter des milliers voire des millions de mots de passe dans la nature. Dans le pire des cas, ces mots de passe ne sont pas chiffrés et viennent enrichir les bases de données de vilains hackers… et de Pwned Passwords.

Ce service vous permet de vérifier si vos mots de passe ne sont pas compromis. Troy Hunt, un expert en sécurité qui travaille pour Microsoft, a mis en ligne cette semaine la v2 qui porte à plus de 500 millions le nombre de mots de passe recensés et qui améliore son fonctionnement.

L’utilisation est simplissime : vous tapez un de vos mots de passe dans le champ et vous cliquez sur « pwned? ». Si c’est rouge, votre sésame fait partie d’une fuite de données et il faut le changer. Le nombre de fois où il apparaît dans les sources est spécifié.

Ce n’est pas une bonne idée d’utiliser « azerty » comme mot de passe.

Si c’est vert, votre mot de passe n’a pas fuité… mais cela ne signifie pas à 100 % qu’il est sûr. Il peut avoir été subtilisé individuellement ou bien être trop faible pour ne pas être deviné un jour ou l’autre (lire aussi : rappel de quelques conseils pour vos mots de passe).

Un mot de passe non compromis (je ne précise pas lequel, ce serait contre-productif).

Mais ce n’est pas dangereux de vérifier ses mots de passe en les entrant sur une page web ? Si, ça peut l’être. Pour sa part, Pwned Passwords est reconnu dans le milieu comme un service fiable. D’une part son créateur a pignon sur rue, d’autre part son fonctionnement est expliqué en détail et sûr jusqu’à preuve du contraire.

Votre mot de passe, disons « P@ssw0rd », n’est pas stocké ni même envoyé au service. Il est hashé automatiquement avec l’algorithme SHA–1, ce qui le transforme en ceci (c’est ce qu’on appelle le hash ou condensat) : « 21BD12DC183F740EE76F27B78EB39C8AD972A757 ». Ce hash n’est pas non plus envoyé au serveur, car il pourrait permettre au créateur du site de découvrir le mot de passe derrière.

Ce sont seulement les cinq premiers caractères du hash, 21BD1 dans le cas présent, qui sont envoyés et comparés aux hash des 500 millions de mots de passe recensés. Problème, ce début de hash est celui de 475 mots de passe différents, et non d’un seul :

  • 21BD10018A45C4D1DEF81644B54AB7F969B88D65:1 (mot de passe « lauragpe »)
  • 21BD100D4F6E8FA6EECAD2A3AA415EEC418D38EC:2 (« alexguo029 »)
  • 21BD1011053FD0102E94D6AE2F8B83D76FAF94F6:1 (« BDnd9102 »)
  • etc.

Le serveur envoie alors les 475 hash complets qui débutent par 21BD1 et en local Pwned Passwords les compare avec celui de « P@ssw0rd ». Si un hash correspond, c’est que le mot de passe fait partie de la base de données du service.

Le gestionnaire de mots de passe 1Password a jugé Pwned Passwords assez sûr et utile pour commencer à l’intégrer à son service. Si vous avez un compte 1Password.com, vous pouvez activer l’intégration sur la web app en appuyant sur Shift-Control-Option-C. La fonction sera ajoutée en bonne et due forme dans la partie Audit de sécurité dans une future version.

Si malgré tout vous n’avez pas confiance en Pwned Passwords, vous pouvez télécharger sa base de données de 500 millions de hash de mots de passe pour l’utiliser entièrement en local (le fichier pèse près de 9 Go). Troy Hunt propose aussi un service, have i been pwned?, pour voir si votre adresse email ou votre pseudo fait partie d’une fuite de données.

Pour aller plus loin :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Apple : des résultats solide, mais un nouveau recul en Chine qui inquiète

22:56

• 1


La direction de Tesla aurait cherché un remplaçant pour Musk, suite aux difficultés de l’entreprise

21:00

• 29


Microsoft augmente les prix des Xbox, de leurs manettes et de leurs jeux

16:05

• 44


MacBook Air M4 : la chute des prix se poursuit encore sur ce nouvel incontournable 🆕

15:30

• 55


Profitez de Microsoft Office à petit prix pendant les French Days 2025 📍

15:20

• 0


Nos trucs et astuces pour mieux utiliser Apple Pay sur votre iPhone

15:20

• 29


French Days : le très robuste SSD externe Samsung T7 Shield 2 To à 169 € (- 23 %)

11:30

• 9


French Days : Orange et Sosh suppriment les frais de mise en service qui venaient d’être ajoutés

11:00

• 19


Gabriel Attal souhaite limiter drastiquement l’accès des mineurs aux réseaux sociaux, en imitant la Chine

10:30

• 65


Apple mord la poussière face à Epic, mais ne rend pas les armes

10:00

• 57


French Days : CyberGhost, le meilleur VPN pour Mac à 2,03 € par mois (et franchement, vous auriez tort de vous en priver) 📍

30/04/2025 à 23:47

• 0


Google : NotebookLM génère des podcasts en français à partir de vos documents

30/04/2025 à 16:24

• 20


Raycast arrive sur l’iPhone, essentiellement pour les fonctions liées à l’IA

30/04/2025 à 15:06

• 5


Free Pro passe à 8 Gb/s en symétrique pour tous les clients, mêmes les anciens

30/04/2025 à 13:30

• 28


Voler une voiture ? Jamais ! Utiliser une police sans autorisation sur des DVD ? Toujours

30/04/2025 à 12:34

• 38


Starlink offre l'antenne dans certains pays si vous vous engagez pour un an

30/04/2025 à 11:45

• 49