Ouvrir le menu principal

MacGeneration

Recherche

Pwned Passwords : votre mot de passe fait-il partie de ces 500 millions qui ont fuité ?

Stéphane Moussie

vendredi 23 février 2018 à 11:10 • 81

Logiciels

Régulièrement, on apprend que telle ou telle entreprise a laissé fuiter des milliers voire des millions de mots de passe dans la nature. Dans le pire des cas, ces mots de passe ne sont pas chiffrés et viennent enrichir les bases de données de vilains hackers… et de Pwned Passwords.

Ce service vous permet de vérifier si vos mots de passe ne sont pas compromis. Troy Hunt, un expert en sécurité qui travaille pour Microsoft, a mis en ligne cette semaine la v2 qui porte à plus de 500 millions le nombre de mots de passe recensés et qui améliore son fonctionnement.

L’utilisation est simplissime : vous tapez un de vos mots de passe dans le champ et vous cliquez sur « pwned? ». Si c’est rouge, votre sésame fait partie d’une fuite de données et il faut le changer. Le nombre de fois où il apparaît dans les sources est spécifié.

Ce n’est pas une bonne idée d’utiliser « azerty » comme mot de passe.

Si c’est vert, votre mot de passe n’a pas fuité… mais cela ne signifie pas à 100 % qu’il est sûr. Il peut avoir été subtilisé individuellement ou bien être trop faible pour ne pas être deviné un jour ou l’autre (lire aussi : rappel de quelques conseils pour vos mots de passe).

Un mot de passe non compromis (je ne précise pas lequel, ce serait contre-productif).

Mais ce n’est pas dangereux de vérifier ses mots de passe en les entrant sur une page web ? Si, ça peut l’être. Pour sa part, Pwned Passwords est reconnu dans le milieu comme un service fiable. D’une part son créateur a pignon sur rue, d’autre part son fonctionnement est expliqué en détail et sûr jusqu’à preuve du contraire.

Votre mot de passe, disons « P@ssw0rd », n’est pas stocké ni même envoyé au service. Il est hashé automatiquement avec l’algorithme SHA–1, ce qui le transforme en ceci (c’est ce qu’on appelle le hash ou condensat) : « 21BD12DC183F740EE76F27B78EB39C8AD972A757 ». Ce hash n’est pas non plus envoyé au serveur, car il pourrait permettre au créateur du site de découvrir le mot de passe derrière.

Ce sont seulement les cinq premiers caractères du hash, 21BD1 dans le cas présent, qui sont envoyés et comparés aux hash des 500 millions de mots de passe recensés. Problème, ce début de hash est celui de 475 mots de passe différents, et non d’un seul :

  • 21BD10018A45C4D1DEF81644B54AB7F969B88D65:1 (mot de passe « lauragpe »)
  • 21BD100D4F6E8FA6EECAD2A3AA415EEC418D38EC:2 (« alexguo029 »)
  • 21BD1011053FD0102E94D6AE2F8B83D76FAF94F6:1 (« BDnd9102 »)
  • etc.

Le serveur envoie alors les 475 hash complets qui débutent par 21BD1 et en local Pwned Passwords les compare avec celui de « P@ssw0rd ». Si un hash correspond, c’est que le mot de passe fait partie de la base de données du service.

Le gestionnaire de mots de passe 1Password a jugé Pwned Passwords assez sûr et utile pour commencer à l’intégrer à son service. Si vous avez un compte 1Password.com, vous pouvez activer l’intégration sur la web app en appuyant sur Shift-Control-Option-C. La fonction sera ajoutée en bonne et due forme dans la partie Audit de sécurité dans une future version.

Si malgré tout vous n’avez pas confiance en Pwned Passwords, vous pouvez télécharger sa base de données de 500 millions de hash de mots de passe pour l’utiliser entièrement en local (le fichier pèse près de 9 Go). Troy Hunt propose aussi un service, have i been pwned?, pour voir si votre adresse email ou votre pseudo fait partie d’une fuite de données.

Pour aller plus loin :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Sauvegarde en ligne : peut-on trouver mieux que Backblaze en 2025 ?

10:00

• 21


Apple et le changement d’heure, une longue liste de ratés

08:58

• 60


Phishing Disney+ & co : stop aux arnaques, protégez vos données 📍

29/03/2025 à 23:47


Elon Musk se vend X à lui-même, en faisant racheter le réseau par xAI

29/03/2025 à 22:15

• 35


Êtes-vous impatient de tester Apple Intelligence ?

29/03/2025 à 14:15

• 96


Sortie de veille : WWDC 2025, l’édition de tous les risques ?

29/03/2025 à 08:00

• 18


Pourquoi la France est-elle privée d’AI Overviews par Google ?

28/03/2025 à 21:15

• 53


Quand la reconnaissance faciale vous interdit l’entrée d’un concert pour un post sur les réseaux sociaux

28/03/2025 à 20:30

• 100


Apple, Meta : l’Union Européenne aurait prévu des amendes modestes pour limiter les tensions avec Donald Trump

28/03/2025 à 18:45

• 83


Faites le grand ménage de printemps sur votre Mac avec Mac Washing Machine X9 ! 📍

28/03/2025 à 18:10


Le Mac Studio 2025 est compatible avec le HDMI CEC

28/03/2025 à 17:17

• 8


macOS Sequoia empêche l'installation d'une ancienne version de macOS en externe

28/03/2025 à 12:45

• 26


iBoff a développé sa copie du SSD de Mac mini M4, vendue à un prix plus faible qu'Apple

28/03/2025 à 11:15

• 32


GPT-4o : OpenAI peine à suivre la demande pour son nouveau générateur d’images

28/03/2025 à 09:58

• 35


Final Cut Pro se met aussi à la page Image Playgrounds sur le Mac

28/03/2025 à 07:57

• 13


Test du BenQ MA270U : un écran 4K pensé pour le Mac

27/03/2025 à 23:30

• 17