On a testé ce site qui révèle les adresses mail piratées : notre compte a été hacké 7 fois

Marine Simon

On pensait nos adresses plutôt sûres, mais ça, c'était avant de mettre à l'essai ce service créé par un expert en cybersécurité.

On a testé ce site qui révèle les adresses mail piratées : notre compte a été hacké 7 fois
©  Stephen Phillips - Hostreviews.co.uk / Unsplash

Des millions d'adresses mail se retrouvent chaque année dans des bases de données piratées. On ne s'en rend pas toujours compte, jusqu'au jour où un site nous le rappelle noir sur blanc. Nous avons testé l'un de ces services, censé indiquer si nos informations personnelles ont déjà fuité. Et le résultat a de quoi faire réfléchir.

En entrant une simple adresse Gmail sur ce site, la réponse ne s'est pas fait attendre : sept piratages recensés au cours de ces dernières années. Le plus récent date de 2024, lié à Notsocradar. Avant cela, les données avaient déjà circulé lors d'incidents sur Twitter en 2021, Canva et Deezer en 2019, puis sur 8fit, Shein et Romwe en 2018. Autrement dit, cette adresse, utilisée depuis des années, a été compromise à plusieurs reprises, sur des services très différents, souvent à des périodes éloignées. Pour vérifier si le phénomène se répète, nous avons testé une autre adresse mail, cette fois hébergée sur Hotmail. Six piratages détectés, dont Tumblr et Dailymotion, mais aussi d'autres services jamais utilisés.

site-de-piratage
Capture d'écran du site HaveIBeenPwned © haveibeenpwned

En effet, ce qui interpelle, c'est qu'on ne reconnaît pas tous les noms. Certains sites nous sont totalement étrangers. Pourtant, l'adresse y figure, preuve que les fuites ne concernent pas toujours des comptes créés volontairement. Les données peuvent être revendues, transférées ou agrégées par des plateformes partenaires. Qui plus est, dans ces listes, les informations circulent librement : adresse, mot de passe, parfois même d'autres détails personnels. Vous l'aurez compris, l'idée que des identifiants puissent apparaître là où on n'a jamais mis les pieds peut effectivement être déconcertante, mais néanmoins courante. Dans ce contexte, les fuites massives aspirent des millions de comptes à la fois, sans distinction, avant que les données ne se retrouvent échangées ou revendues.

Le site que nous avons utilisé s'appelle Have I Been Pwned. Créé par Troy Hunt, chercheur en cybersécurité, il recense des milliards d'identifiants issus de piratages publics. Gratuit et reconnu, il est, à l'heure actuelle, l'un des moyens les plus fiables de savoir si une adresse mail a été exposée. 

Ainsi, face à l'inquiétude croissante des utilisateurs, Google a réagi. L'entreprise a publié plusieurs recommandations de sécurité, notamment l'activation de la double authentification et le changement immédiat des mots de passe concernés. Les spécialistes répètent la même chose : utiliser un mot de passe différent pour chaque service, éviter les combinaisons évidentes et activer la vérification en deux étapes. Ces réflexes limitent les dégâts quand une fuite survient. Pensez-y !