Accueil Actu

Effrayant: ce site vous permet de savoir si vos comptes ont été piratés, mais n'importe quel escroc peut payer pour accéder à vos données

LeakedSource est un projet de 2015, qui est déjà parvenu à rassembler, en un an, près de 3 milliards de comptes ayant été piratés et dont les données sont "accessibles" ou "publiques". Explications.

MISE-A-JOUR: un raid de la police aurait provoqué la fermeture du site Leaked Source à la fin du mois de janvier, la saisie de tous les serveurs informatiques, et une enquête fédéral. Les propriétaires n'auraient cependant pas été arrêtés. 

Ces dernières années, on n'a cessé de vous inciter à la plus grande prudence par rapport à votre vie numérique. Votre présence digitale ne peut plus être considérée comme anecdotique ou anodine.

Car entre les réseaux sociaux, les moteurs de recherche et navigateurs liés à votre compte (comme Google), les applications qui demandent l'accès à certaines informations, il y a finalement d'innombrables données personnelles vous concernant qui se retrouvent sur des serveurs informatiques.

Des serveurs qui sont plus ou moins sécurisés, et quand on sait que même les systèmes de sécurité les plus performants ont déjà été piratés, il y a de quoi s'intéresser de près à la gestion de notre vie privée digitale.


Sur LeakedSource.com, vous entrez votre adresse email, et vous voyez des résultats (souvent) inquiétants

LeakedSource.com, le Google des comptes piratés

Pas encore convaincu ? Alors lisez les quelques lignes qui suivent. C'est Tom qui nous a parlé de ce site étonnant, qu'on peut qualifier de 'Google des comptes piratés': www.LeakedSource.com. "Je suis inscrit sur un site de compétition de jeux vidéo. Ce site a été piraté par des hackers, qui ont menacé de publier toutes les informations des membres. J'ai alors cherché sur le web pour vérifier si c'était le cas, et j'ai trouvé des infos sur Leaked Source", nous a confié cet étudiant en sciences informatiques de 19 ans de la région namuroise, après avoir contacté la rédaction de RTL info via la page Alertez-nous.

Leaked Source est un projet né en 2015, et qui répertorie actuellement 3 milliards de comptes ayant été piratés.

Depuis plusieurs années, à intervalles hélas assez réguliers, on apprend que des sites web ont été piratés. Cela signifie la plupart du temps que la base de données des utilisateurs a été volée: les logins, mots de passe (encryptés), adresses emails, adresses postales, numéros de téléphone, etc... sont dans les mains de hackers, qui s'empressent ensuite de revendre ces informations sur des sites spécialisés situés sur un genre d'internet parallèle, le darknet.

On parle souvent durant quelques jours de ce piratage, et généralement les utilisateurs sont invités à changer leur mot de passe. Et puis on oublie, ce qui arrange bien la société dont les comptes ont été piratés, et qui a dès lors subi une très mauvaise publicité.

C'est là que Leaked Source (en français: la source des fuites) a l'ambition de prendre le relais. Le site fait office de moteur de recherche pour savoir lesquels de vos comptes ont été piratés ces dernières années. Vous pouvez donc entrer un critère de recherche, comme par exemple l'adresse email qui sert souvent de login, et voir ensuite le nombre de comptes piratés liés à cette adresse.

Le site explique qu'il va simplement chercher, à l'aide d'algorithmes bien précis et sur certaines "parties" du web, les données (plus ou moins) publiquement disponibles. Des données qu'ils n'hébergent pas sur ses serveurs, donc, ne se rendant dès lors coupable d'aucun crime.


De nombreux comptes liés à l'adresse de Tom ont été piratés...

4 comptes piratés lors de notre test

Nous avons essayé avec une adresse Gmail active depuis de longues années, car les comptes de Microsoft (Hotmail, Outlook, MSN ou Live), pourtant très nombreux, ne permettent pas à LeakedSource de faire ce genre de recherche.

Quatre comptes liés à cette adresse Gmail sont concernés: MySpace (piraté en 2013), LinkedIn (2012), Dropbox (2012) et FourSquare (2013).

Leaked Source permet de savoir quelles données sont piratées. Par exemple, concernant MySpace (un genre d'ancêtre du réseau social), il s'agit de l'adresse email, du nom d'utilisateur, du mot de passe. Concernant LinkedIn, seul l'email et une autre donnée non identifiée ont été piratés, pas le mot de passe.

Les résultats sont assez effrayants. Car on pouvait raisonnablement penser que nos données personnelles piratées étaient simplement "vendues" (ce qui est déjà effrayant, en fait) à une sombre entreprise qui allait nous inonder de spams ou, pire, nous faire du chantage en accédant à nos comptes pour dévoiler des informations.

Mais en réalité, nos données issues de comptes piratés sont, d'une manière ou d'une autre (les résultats de notre test le prouvent) rendues publiques et accessibles assez facilement.

Une éthique discutable: si on paie, on peut voir les données brutes de n'importe qui !

D'un côté, Leaked Source se présente comme un outil gratuit permettant de savoir lesquels de nos comptes ont été piratés, et quel genre de données personnelles se balade dans la nature. Ce qui peut être pratique pour savoir si un vieux mot de passe tient encore la route, ou s'il faut le changer urgemment.

"On a commencé le projet parce que des gens nous demandaient souvent où ils pouvaient savoir s'ils étaient concernés par tel ou tel piratage de base de données. Ils n'avaient aucune réponse car les entreprises concernées ne veulent jamais parler d'un piratage", a déclaré l'un des responsables (anonyme) à Wired, dans une interview récente.

D'un autre côté, les quelques responsables du site, qui ne veulent ni révéler leur identité ni leur localisation, n'agissent pas par bonté d'âme. Gérer un tel site, regrouper les données piratées, cela demande du temps et de l'argent.

Il est donc essentiel de savoir que dans la version gratuite de Leaked Source, les données piratées (nom d'utilisateur, mot de passe) ne sont pas dévoilées. Par contre dans la version payante (à partir de 5$ pour un test d'un jour), les données brutes sont accessibles. Pour faire simple, vous ne voyez plus "email" dans les résultats de recherche, mais gerard345@gmail.com ; vous ne voyez plus "password" mais "Titine45" (tout en sachant que la plupart des mots de passe sont encryptés, même si Leaked Source, selon Wired, tente de les décrypter...)

Et vu qu'il suffit de mettre une adresse email (pas forcément la vôtre...) pour en connaitre les comptes piratés (et les données personnelles) liés, n'importe qui peut donc se procurer, pour quelques dollars, des informations très précieuses vous concernant. Dans ses FAQ, le site précise qu'il est interdit d'introduire l'adresse email de quelqu'un d'autre sans sa permission écrite. Mais dans les faits, rien ne vous en empêche...

Selon le média spécialisé Wired, "certains experts estiment que Leaked Source fait du profit sur les piratages de comptes, tout en empirant les problèmes de sécurité en faisant tout le travail pour des escrocs potentiels".


Les tarifs pour accéder aux données 'Raw', ou brutes...

Conclusion

Leaked Source est une redoutable arme à double tranchant. D'un côté, elle permet à n'importe qui – et gratuitement - de savoir quels comptes d'un service en ligne (liés à une adresse email) ont été piratés, et quelles données sont donc publiquement accessibles. Des infos importantes qui vous permettent par exemple de changer vos mots de passe, voire de condamner une adresse email.

De l'autre côté, le site permet à n'importe qui d'entrer votre adresse email et, moyennant quelques dollars, de savoir de quel mot de passe, nom d'utilisateur (ou autre) il s'agit. Alors que dans la version gratuite, on voit "username, password", dans la version payante, les données brutes sont dévoilées, et on voit "gerard_delplanche, titine45".

Bref, on reste un peu sceptique quant aux motivations principales des responsables (anonymes et non localisés), qui finalement rassemblent et revendent les données personnelles piratées...

Pour Tom, qui nous a contactés pour qu'on évoque l'existence de ce site, "c'est important qu'on parle de ça car les gens ne se rendent pas compte que leurs données trainent un peu partout, et qu'ils ne sont pas assez prudent au moment d'encoder ces données sur certains sites".

Hélas, difficile de ne pas faire confiance à des services a priori très sérieux et sécurisés comme Dropbox, LinkedIn ou Yahoo – trois exemple d'entreprises IT dont les bases de données utilisateurs ont été piratées ces dernières années.

Enfin, rappelons qu'il faut une démarche personnelle et l'envie de vous nuire personnellement pour que ces données vous portent préjudice. A priori, accéder à votre compte LinkedIn ou vos fichiers sur Dropbox n'a pas grand intérêt, à moins qu'il s'agisse d'une connaissance qui souhaite vous harceler... 

À la une

Sélectionné pour vous