Comment vérifier si votre e-mail a fait l’objet d’une fuite

Les fuites de données sont le moyen le plus courant pour que votre adresse e-mail se retrouve sur Internet. Cela peut conduire à son apparition dans des forums en ligne, sur le dark web et d’autres espaces publics. Il faut en moyenne 277 jours pour identifier et contenir une fuite selon un rapport d’IBM de 2022(nouvelle fenêtre), ce qui signifie qu’il peut s’écouler neuf mois avant que vous ne sachiez que des attaquants détiennent vos données personnelles. Cela représente une menace sérieuse pour le respect de la vie privée et la sécurité en ligne.

Le seul moyen de limiter l’impact d’une fuite d’e-mail est de vérifier régulièrement si vos données personnelles ont été compromises. Dans cet article, nous vous montrons comment vérifier si votre e-mail a fait l’objet d’une fuite et ce que vous pouvez faire à ce sujet.

• Que se passe-t-il si votre e-mail fait l’objet d’une fuite ? 
• Comment vérifier s’il y a une fuite d’e-mail
• Comment vous protéger des fuites d’e-mails
• Choisir une boîte mail sécurisée

Que se passe-t-il si votre e-mail fait l’objet d’une fuite ?

Les données personnelles exposées lors de fuites de données apparaissent tout le temps sur le dark web, causant une multitude de problèmes aux victimes. Voici ce qui pourrait arriver si des cybercriminels s’emparaient de votre e-mail et de votre mot de passe.

Augmentation des indésirables/spam et des e-mails d’hameçonnage

L’un des principaux signes d’alerte indiquant que votre e-mail a fait l’objet d’une fuite est une vague de indésirables/spam et d’e-mails d’ hameçonnage dans votre boîte de réception. Alors que la plupart des spams sont simplement agaçants, les e-mails d’hameçonnage sont plus dangereux. Les escrocs usurpent l’identité d’un expéditeur légitime, tel que votre société de carte de paiement ou votre prestataire de soins de santé, pour vous inciter à divulguer des informations personnelles.

Une autre ruse courante consiste à usurper l’identité du service qui a laissé fuiter vos informations. Par exemple, Twitter a laissé fuiter plus de 200 millions d’e-mails(nouvelle fenêtre) fin 2022, et il est très facile pour les attaquants d’inclure toutes les informations nécessaires pour faire croire à un e-mail légitime du service. Ici, vous pouvez voir un exemple d’attaques de « spear phishing » (harponnage) ciblant les utilisateurs de Twitter disposant de comptes vérifiés.

https://twitter.com/zackwhittaker/status/1587188619000922112?s=20

Heureusement, vous pouvez généralement vous défendre contre les tentatives d’hameçonnage avec un peu de bon sens. Surveillez les formulations étranges, inspectez de près l’adresse e-mail de la personne qui vous a envoyé le message et contactez-la via un autre canal pour confirmer que l’e-mail est légitime.

Si vous soupçonnez qu’un e-mail est une tentative d’hameçonnage, n’ouvrez aucun lien ni aucune pièce jointe et signalez immédiatement le message à votre fournisseur de messagerie électronique.

Attaques par prise de contrôle de compte

Si votre mot de passe d’e-mail a également fait l’objet d’une fuite de données, un pirate pourrait prendre le contrôle de votre compte de messagerie lors d’une attaque par prise de contrôle de compte. Souvent, ils utiliseront les informations de votre boîte de réception pour accéder à d’autres comptes plus sensibles, tels que vos comptes bancaires en ligne ou vos réseaux sociaux. Ils pourraient même vous faire chanter en utilisant vos e-mails ou vous forcer à payer une rançon pour retrouver l’accès à vos comptes.

Usurpation d’identité

Une autre conséquence possible d’une fuite d’e-mail est l’usurpation d’identité. L’usurpation d’identité se produit lorsqu’un pirate abuse de vos données personnelles pour faire croire à d’autres personnes et organisations qu’il est vous. Ils pourraient :

• S’inscrire à de nouveaux abonnements et contrats en votre nom
• Demander de nouvelles cartes de paiement, des prêts et des comptes bancaires avec vos informations
• Effectuer des achats frauduleux 
• Prétendre être vous et demander de l’argent à vos amis et à votre famille
• Commettre des crimes en utilisant vos informations

L’usurpation d’identité a des conséquences dévastatrices : elle peut sérieusement nuire à votre carrière et à votre réputation, et même vous laisser un casier judiciaire.

Comment vérifier s’il y a une fuite d’e-mail

Étant donné la fréquence des fuites de données, il est crucial de surveiller régulièrement les signes indiquant que votre e-mail a pu être compromis. Un excellent moyen de le faire est de rechercher votre adresse e-mail dans la base de données Have I Been Pwned (HIBP)(nouvelle fenêtre), un site internet conçu par le consultant en sécurité web Troy Hunt pour aider les gens à vérifier si leurs informations personnelles ont été compromises. HIBP vous permet de rechercher votre adresse e-mail, votre numéro de téléphone et votre mot de passe.

Pour rechercher votre adresse e-mail ou votre numéro de téléphone :

1. Consultez le site internet Have I Been Pwned(nouvelle fenêtre).
2. Saisissez votre adresse e-mail ou votre numéro de téléphone dans la barre de recherche et cliquez sur pwned?

Pour rechercher votre mot de passe :

1. Consultez le site internet Have I Been Pwned(nouvelle fenêtre).

3. Cliquez sur passwords situé dans le menu de navigation supérieur.
4. Saisissez votre mot de passe dans la barre de recherche et cliquez sur pwned?

Comment interpréter vos résultats

Si votre adresse e-mail et votre numéro de téléphone n’ont pas fait l’objet d’une fuite de données, vous verrez ce message :

En revanche, si vous découvrez que vos informations ont fait l’objet d’une fuite, vous verrez ce message à la place :

Si vous découvrez que vous êtes victime d’une fuite d’e-mail, suivez les étapes suivantes pour vous protéger immédiatement.

Comment vous protéger des fuites d’e-mail

Changez vos mots de passe

La première chose à faire après avoir découvert que votre adresse e-mail a fait l’objet d’une fuite est de changer les mots de passe des comptes concernés. Ceci suppose que vous ayez utilisé un mot de passe fort et unique pour tous vos comptes. Si vous avez utilisé le même mot de passe pour plusieurs comptes et que l’un d’eux a été victime d’une fuite ou a été affecté, vous devez alors changer ce mot de passe partout où vous l’avez utilisé. C’est une raison de plus pour ne pas réutiliser les mots de passe : cela rend la récupération après une fuite de données plus difficile.

Nous recommandons d’utiliser un gestionnaire de mots de passe open source pour faciliter la mémorisation de plusieurs mots de passe forts et uniques.

Les gestionnaires de mots de passe génèrent et stockent automatiquement des mots de passe complexes pour chacun de vos comptes en ligne, ce qui rend leur piratage difficile. Il vous suffit de mémoriser un mot de passe maître qui vous permet de vous connecter à votre gestionnaire de mots de passe.

Activez l’authentification à deux facteurs

Alors que vous changez vos adresses e-mail et les mots de passe de vos comptes en ligne, vous devriez également activer l’authentification à deux facteurs (A2F) partout où cela est possible. Lorsque vous utilisez l’A2F, vous protégez votre compte contre tout accès non autorisé en exigeant une vérification supplémentaire en plus de votre mot de passe lors de la connexion. Il s’agit généralement de quelque chose que vous possédez, comme une clé de sécurité ou un appareil mobile, ou de quelque chose que vous êtes, comme votre empreinte faciale ou digitale.

Les clés de sécurité, également connues sous le nom de clés A2F ou clés matérielles (par exemple, les YubiKeys(nouvelle fenêtre)), sont l’une des formes d’A2F les plus sûres. Contrairement aux codes à usage unique générés par une application d’authentification installée sur votre appareil mobile, les clés de sécurité ne peuvent pas faire l’objet d’une usurpation d’adresse e-mail (spoofing), ne sont pas limitées dans le temps et ne nécessitent pas d’accéder à un appareil mobile. Puisqu’il s’agit de clés USB, vous pouvez facilement ajouter ces clés de sécurité à votre porte-clés et les emporter partout avec vous. Malheureusement, tous les services ne prennent pas en charge les clés de sécurité.

Informez vos contacts

Vous devriez informer vos contacts qu’ils pourraient recevoir des e-mails suspects semblant provenir de vous afin d’éviter qu’ils ne soient trompés par des tentatives d’hameçonnage utilisant (ou semblant utiliser) votre adresse e-mail.

Si vous aviez activé l’A2F dans votre compte de messagerie avant la fuite et que vous êtes certain que le pirate n’a pas eu accès à votre application d’authentification ou à votre clé de sécurité, vous pouvez ignorer cette étape.

Examinez attentivement vos relevés bancaires et de carte de paiement

Vous devriez également examiner vos relevés bancaires et de carte de paiement pour repérer toute activité inhabituelle, telle que des débits que vous ne reconnaissez pas, des achats importants ou même des modifications de votre adresse de facturation. Parfois, les criminels effectuent également de petits « paiements de test » de 1 ou 2 $ avant de tenter des transactions plus importantes.

Si vous découvrez une activité suspecte, signalez-la immédiatement à votre banque ou au fournisseur de votre carte de paiement. Généralement, votre banque ou votre société de carte de paiement vous fournira un nouveau compte bancaire ou une nouvelle carte de paiement et fermera l’ancien.

Utilisez des alias d’adresse e-mail

Utiliser des alias d’adresse e-mail est une stratégie utile pour préserver votre respect de la vie privée en ligne, en particulier après une fuite d’e-mail. En utilisant un alias d’adresse e-mail, vous pouvez garder votre adresse e-mail principale privée et limiter la quantité d’informations personnelles que vous communiquez en ligne. Vous pouvez créer des alias d’adresse e-mail de deux manières :

• En ajoutant un signe plus (+) : ajoutez « +quelquechose » à votre nom d’utilisateur. Par exemple, si votre adresse e-mail est bobsmith@proton.me, votre alias d’adresse e-mail pourrait être bobsmith+finances@proton.me. On appelle cela l’adressage plus (ou sous-adressage). 
• En créant un nouvel alias d’adresse e-mail avec un nom d’utilisateur différent : vous pouvez créer des alias d’adresse e-mail entièrement nouveaux pour différents comptes en ligne.

Remarque : tous les fournisseurs de messagerie électronique ne prennent pas en charge ces fonctionnalités. Proton Mail le fait, et nous proposons également des alias « + » gratuitement.

Bien que cela soit pratique, un attaquant peut facilement extraire votre véritable adresse e-mail de votre sous-adresse et l’utiliser dans des campagnes d’indésirables/spam. Si vous devez utiliser une sous-adresse, assurez-vous qu’elle ne contient pas votre vrai nom.

Générez automatiquement des alias d’adresse e-mail uniques

La meilleure façon de créer des alias d’adresse e-mail est de les configurer individuellement. Mais compte tenu du nombre de comptes en ligne que nous utilisons quotidiennement, il est impossible de créer manuellement des alias d’adresse e-mail pour chacun d’entre eux. Ce serait également un cauchemar logistique pour organiser et gérer autant de boites de réception.

C’est pourquoi nous vous recommandons d’utiliser un service d’alias d’adresse e-mail open source, tel que SimpleLogin by Proton(nouvelle fenêtre), pour générer ces adresses. SimpleLogin est une extension de navigateur, une application web et une application mobile qui vous fournit des adresses e-mail anonymes chaque fois que vous vous inscrivez sur un compte en ligne. Les messages envoyés à vos alias sont instantanément transférés vers votre boite de réception.

Avec SimpleLogin, vous pouvez créer votre propre alias personnalisé ou laisser le logiciel en générer un de manière aléatoire. Si vous décidez de ne plus utiliser un alias, vous pouvez simplement le supprimer.

N’ouvrez pas les liens et pièces jointes suspects

Les attaquants utilisent souvent des messages d’hameçonnage pour vous inciter à révéler vos données personnelles sur des sites internet frauduleux ou à installer un logiciel malveillant(nouvelle fenêtre) sur votre ordinateur. Pour rester en sécurité, il est préférable de n’ouvrir que les messages et les pièces jointes provenant d’expéditeurs de confiance et de se méfier des messages qui vous incitent à agir de toute urgence (comme vous demander d’envoyer de l’argent immédiatement).

En cas de doute, contactez l’expéditeur par une autre méthode, par exemple en appelant son assistance officielle, et demandez-lui de vérifier qu’il vous a bien envoyé un message. Si vous avez la certitude qu’il s’agit d’un message d’hameçonnage, signalez-le immédiatement à votre fournisseur de messagerie électronique.

Surveillez régulièrement si vos adresses e-mail font l’objet de fuites

Surveiller de près les potentielles fuites de messages peut grandement contribuer à protéger vos informations personnelles et votre identité en ligne. Une surveillance régulière vous aide à détecter rapidement toute activité inhabituelle ou tout incident de sécurité et à y répondre.

Vous pouvez également utiliser la fonctionnalité « Notify me » de HIBP pour recevoir des notifications si vos informations personnelles sont compromises lors d’une fuite de données :

1. Allez sur le site internet Have I Been Pwned(nouvelle fenêtre)
2. Cliquez sur Notify me situé dans le menu de navigation supérieur
3. Saisissez votre adresse e-mail et sélectionnez notify me of pwnage

Alternativement, vous pouvez suivre le compte Twitter(nouvelle fenêtre) de HIBP pour rester informé de toutes les dernières fuites de données. Si vous possédez un gestionnaire de mots de passe premium, tel que 1Password, vous pouvez également configurer des mises à jour automatiques de détection de fuite : 1Password recherchera régulièrement dans la base de données HIBP et vous informera si l’un de vos identifiants apparaît.

Choisissez un fournisseur de messagerie électronique sécurisé

Votre fournisseur de messagerie électronique joue également un rôle crucial dans la prévention des accès non autorisés à votre boite de réception. Il est responsable de la mise en œuvre de mesures de sécurité robustes qui protègent votre compte de messagerie contre les cybermenaces, telles que le piratage, l’hameçonnage et les logiciels malveillants.

En tant que plus grand fournisseur de messagerie électronique chiffrée au monde, la priorité absolue de Proton est de protéger votre vie privée en ligne et de vous donner les moyens de reprendre le contrôle de vos données. Lorsque vous utilisez Proton Mail, vous bénéficiez des fonctionnalités de sécurité suivantes :

• Chiffrement de bout en bout : personne d’autre que vous et votre destinataire prévu ne peut lire vos messages. 
• Chiffrement à accès zéro : toutes les données stockées sur nos serveurs sont entièrement chiffrées. Même si un pirate informatique parvient à s’introduire dans nos serveurs, il ne pourra pas lire vos messages.
• Alias d’adresse e-mail supplémentaires : si vous avez un abonnement Proton Mail payant, vous pouvez créer au moins 10 alias d’adresse e-mail supplémentaires. Tous les messages envoyés à vos alias arrivent dans votre boite de réception comme d’habitude.
• Bloquer les activités suspectes : les systèmes de sécurité de Proton Mail verrouilleront temporairement votre compte s’ils détectent un comportement suspect, comme une tentative de piratage de votre boite de réception. Votre compte sera déverrouillé lorsque vous pourrez prouver votre identité à l’aide d’un code de vérification (envoyé uniquement à votre adresse e-mail de récupération ou à votre numéro de téléphone).
• Consultez vos journaux de sécurité : dans les paramètres de votre compte Proton Mail, vous pouvez consulter vos journaux de sécurité et révoquer l’accès à toute session active. Vous pouvez également activer les journaux avancés qui enregistrent l’adresse IP de chaque événement dans les journaux de sécurité.
• Filtres anti-indésirables puissants : notre système intelligent de détection automatique des spams identifie les messages indésirables et les redirige vers votre dossier de spam. Pour un contrôle précis, vous pouvez également ajouter ou retirer des adresses e-mail de votre liste d’adresses bloquées.
• Authentification à deux facteurs (A2F) et clés de sécurité : vous pouvez utiliser l’A2F pour sécuriser votre compte Proton Mail. Nous acceptons les codes temporaires générés par les applications d’authentification, les YubiKey et d’autres clés conformes aux normes U2F/FIDO2. 
• Protection contre l’hameçonnage : nous fournissons une protection contre l’hameçonnage grâce à PhishGuard, un ensemble de fonctionnalités avancées conçues spécifiquement pour lutter contre le phishing.
• Mesures d’anti-spoofing pour les domaines personnalisés : pour vous protéger contre les attaques par usurpation d’adresse e-mail (spoofing) de votre domaine personnalisé, nous prenons en charge SPF, DKIM et DMARC. 

En surveillant les fuites de vos messages, en mettant en œuvre des mots de passe robustes et en utilisant les fonctionnalités de sécurité proposées par Proton Mail, vous pouvez réduire les risques de fuites d’e-mails et protéger vos données personnelles contre les cybermenaces.

Si vous souhaitez soutenir notre mission de créer un Internet meilleur et plus privé, vous pouvez vous inscrire pour obtenir un compte Proton Mail gratuit.