Une question légitime que tout à chacun peut se poser. Si un aficionado de la technique n’aurait pas de mal à répondre en usant de ses compétences, ce n’est pas le cas de tout le monde. Troy Hunt, Directeur régional de Microsoft en Australie, souhaite que nous puissions tous répondre à cette question en quelques clics. Ainsi, il a créé le site : « Have I Been pwned ? » (« Est-ce que je me suis fait avoir ? »). En plus de permettre de tester un mot de passe, Troy Hunt partage la liste des mots de passes compromis sur laquelle se base son outil. Ce partage est notamment très utile pour les entreprises qui souhaitent faire un audit des mots de passe de leurs utilisateurs.
Comment cela fonctionne ?
Il vous suffit d’entrer l’un de vos mots de passe pour découvrir s’il a été compromis lors d’une fuite de données connue. Sachez que le mot de passe que vous saisissez n’est pas envoyé au serveur. Pas d’enregistrement à votre insu, tout le traitement s’effectue au niveau de votre navigateur. Pour ce faire, votre navigateur a besoin de trouver le mot de passe parmi ceux compromis. Étant donné leur nombre très important, il est nécessaire de les filtrer pour obtenir une liste plus petite.
Ce filtre sera les cinq premiers caractères parmi les 40 du mot de passe chiffré en SHA-1. Votre navigateur va demander au serveur de lui renvoyer la liste des mots de passe (chiffrés également en SHA-1) commençant par ces 5 caractères. Une fois obtenue, votre navigateur va chercher si votre mot de passe chiffré se trouve dans cette liste. S’il le trouve, il vous affichera le nombre de fois où il a été vu. Sinon, il vous indiquera que votre mot de passe n’a pas été compromis.
Par exemple, le schéma ci-dessous illustre chaque étape du système pour tester le mot de passe « 123soleil » :
N’hésitez pas à cliquer sur l’image pour l’agrandir.
Ce système permet d’assurer la confidentialité de vos mots de passe saisis tout en vous informant. Bien entendu, il est vivement recommandé de ne plus utiliser un mot de passe compromis et de le changer. Aussi, n’oubliez pas qu’un mot de passe non compromis peut l’être dans un futur proche comme lointain. Pensez alors à vérifier de temps en temps la sûreté de vos mots de passe.