On pensait avoir déjà vu défiler des collections d’identifiants démesurées, mais le dernier ajout enterre tous les précédents. Près de deux milliards d’adresses mail et 1,3 milliard de mots de passe rejoignent Have I Been Pwned, dont plusieurs centaines de millions d’identifiants jamais recensés jusqu’ici.
C’est une liste compilée à partir de plusieurs fuites de données précédentes donc je ne suis pas étonné de sa taille même si ça commence à faire beaucoup. Avant dans les logs de connexion du compte Microsoft on voyait les tentatives infructueuses et mon adresse semblait subir plusieurs fois par jour des tentatives d’accès… Microsoft a changé depuis et ne montre que les connexions réussies mais rien à signaler de ce côté. Comme il est indiqué dans l’article, l’authentification à deux facteurs est vraiment une nécessité de nos jours.
2 « J'aime »
@Squeak si tu as vue plein de tentative de connexion sur ton compte Microsoft. C’est un hacker qui utilise la technique de brut force pour accéder à ton compte.
Pour empêcher cela, va dans les paramètres et créé toi un mail dans alias.
Dans ta boite mail outlook , tu auras deux mails.
Retourne dans les paramètres et fait en sorte qu’il n’est pas possible de se connecter avec ton mail principal, mais avec seulement ton mail tout fraichement créer.
Quand une personne essaye de se connecter avec ta boite mail principale, il va recevoir un message que le mail n’existe pas alors qu’en vérité, il existe, mais qu’il n’est plus possible de se connecter.
J’ai ajouté une seconde protection, j’ai supprimé simplement le mot de passe de mon mail secondaire. J’utilise des passkeys et des clés privés.
Même si par hasard, il arrive à trouver mon mail secondaire que j’ai jamais utilisé sur le net, il ne pourra pas se connecter par mot de passe.
1 « J'aime »
dans Pwned Passwords, mon mot de passe n’a pas fuité, mais dans Have I Been Pwned mon (vieil) email et mdp ont fuité… qui croire 
Ils ne peuvent avoir TOUTES les données fuitées, leurs sources sont probablement différentes.
Ne pas être dans une des databases ne veut pas dire que ton mail / mdp n’ont pas été piraté. Mais inversement, si c’est dans une des 2 databases, il FAUT mettre à jour tes mots de passe!
2 « J'aime »
C’est une solution aussi mais j’ai trouvé que c’était plus lourd. Je me dis que la force brute, avec un mot de passe aléatoire contenant des majuscules, minuscules, caractères spéciaux est déjà fort résistant ainsi que l’authentification à deux facteurs si quand bien même on arriverait à trouver. Non, ils essaient sans doute des couples e-mail/mot de passe récupérés via ces fuites ou par dictionnaire (essai nom.prénom, prénom%nom, date de naissance etc.)
J’ai pris conscience de la sécurité quand c’était mon compte eBay qui avait un mot de passe assez simple (je n’y allais jamais en plus) qui avait été compromis. J’avais reçu un e-mail d’eBay me disant de changer immédiatement mon mot de passe… Ce mot de passe est d’ailleurs noté comme compromis sur HIBP et je ne dois pas le réutiliser.
Pour ma part, mon adresse mail apparaît dans 4 fuites dont celle-ci. Je dirais que c’est presque inévitable qu’elle a dû fuiter vu l’âge de l’adresse mail (facilement 20 ans).
Elle s’est retrouvée dans les fuites 123RF, Shadow, French Citizens (je ne suis pas citoyen français mais ça doit être la fuite de Shadow aussi qui a été compilée) et enfin Synthient Credential Stuffing Threat Data.
Le nombre de phishing a augmenté depuis la fuite de Shadow (et ça m’a vraiment énervé vu comment Shadow a été attaqué à cause d’un crétin d’employé qui a bêtement téléchargé un .exe croyant que c’était un jeu).
On va peut-être dire que je suis trop méfiant, mais personnellement je ne mettrais pas mes mots de passe et adresse mail sur ces sites, je n’ai tout simplement pas confiance. ^^
Expérience récente que j’ai faite, j’ai été sur Have I Been Pwned et j’ai indiqué l’adresse mail totalement obsolète (en plus, le FAI a disparu en 2019) que j’utilisais…il y a 18 ans. Et bien sûr, « 0 Data Breach ». 
Je pense que HIBP est quand même largement reconnu comme étant de confiance sur le fait qu’il ne réutilisera ni ton adresse mail, ni ton mot de passe pour tenter de faire le lien. Mais c’est vrai qu’on peut être méfiant. Et même si tu n’entres pas ton e-mail toi-même, rien n’empêcherait un site de vérifier par exemple si ton mot de passe n’est pas déjà compromis via leur API.
Quant au fait que ton adresse ne se trouve dans aucune fuite ça veut juste dire que tu ne l’a pas utilisé dans des services qui ont fuité ou par chance (ou autre possibilité, HIBP n’a pas encore de liste où ton adresse est présente).
Bah oui, n’est-ce pas ce que l’on dit partout, être prudent sur le Net ?
Et il y a quand même des exemples de sites ou d’applications déclarés sûrs et au sujet desquels on a découvert ensuite certaines choses. 
Alors c’est un de mes principes personnels que j’applique dans de nombreux domaines : mieux vaut être trop méfiant que pas assez. ^^
Même si le risque zéro n’existe pas…
Le site est géré de manière indépendante par un hacker éthique, Troy Hunt, qui est connu dans la communauté de la cybersécurité.
Lorsque tu indiques ton adresse e-mail sur HIBP, c’est la même chose pour tout service sur Internet. Rien ne te dit que cet e-mail ne sera pas revendu à des spammeurs. Et parmi les sites qui ont subi des cyberattaques avec fuites de données figurent aussi de grands noms en qui on avait confiance alors… Mais si j’ai entré mon e-mail sur HIBP je n’ai cependant pas reçu de spam ou autres bizarreries.
Je m’étais posé la question en ce qui concerne le mot de passe, et j’ai utilisé l’inspecteur réseau pour voir ce qui est envoyé au site. Leur base de données ne contient pas des mots de passe en clair mais des hachages. Lorsque l’on fait la requête pour vérifier si un mot de passe apparaît dans une fuite, le hachage SHA-1 est effectué coté client et n’est lui-même pas envoyé complétement mais uniquement les 5 premiers caractères. De là, ce qui est renvoyé est la liste des hachages qui commencent par cette chaîne.
SI j’entre « azerty123 », la requête qui part est :
https://api.pwnedpasswords.com/range/3b004
Et là il retourne les hachages présents dans la base de données. Le code Javascript (donc toujours coté client) vérifiera alors si on a des occurrences du hachage complet.
Le site n’a donc pas accès à ton mot de passe directement.
C’était quelques détails issus d’observations. Je ne vais pas prétendre avoir la science infuse.
1 « J'aime »
Plus haut, c’est avec mon adresse principale.
J’ai testé avec une adresse secondaire et HIBP m’indique qu’il y a eu une fuite sur Deezer … alors que je n’ai jamais été sur ce site 
Elle figure sans doute dans le jeu de données quelque part (peut-être via une fuite d’un autre service que Deezer mais a été mise dans cette catégorie), une adresse mail peut circuler de service en service sur Internet et il n’est pas impossible qu’elle se retrouve dans une base de données d’un site que tu n’utilises même pas… Les services ont des partenaires, il y a des rachats etc. On serait étonné parfois de savoir où nos informations se retrouvent.
Le fait que ton adresse soit marquée comme compromise ne doit pas forcément faire paniquer, juste savoir que peut-être elle pourrait être cible de phishing ou spam et donc il faudra être prudent. A partir du moment où tu l’as protégée avec un mot de passe fort et une authentification à deux facteurs, tu peux déjà être plus tranquille.
L’adresse e-mail est le compte à protéger le plus, c’est la porte d’entrées à beaucoup de services. Si quelqu’un a accès à ta boîte mail, il peut par exemple l’utiliser pour demander des réinitialisations de mot de passe etc.
Pourquoi la moitié de la planète essayait d’accéder à mon adresse hotmail : c’était une adresse quasi poubelle que j’utilisais partout, un site tiers s’est fait pirater couple user name(la hotmail) + password de ce site.
Du coup des dizaines de super ultra bon hacker tentaient leur chance sur la hotmail avec ce même password. Depuis j’ai dû la tuer cette adresse mail, recevait trop de truc louche.
Donc c’est juste du « on teste au cas ou » plutôt que du brute force (impossible à realiser)
Le fait de faire un alias spécial connexion est quand même très sécurisant s’il est le seul qui peut se connecter. Car du coup si on tente de se loguer sur mes alias public (que je donne) cela annonce que ce mail n’existe pas
Sinon je pense que ce genre d’outil de test ne teste pas les password mais le hash du password, un peu comme l’outil virustotal qui envoyait en premier le hash d’un fichier pour voir s’il existait plutôt que le fichier entier. Cela ne leur sert a rien d’avoir le password alors que son empreinte suffit