Aller au contenu

"Collection#1", la liste aux plus de 773 millions d'email piratés


Alchimi

Messages recommandés

https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

Un spécialiste de la sécurité informatique lance une alerte à propos de piratage de mails.

 

Quote

Let's start with the raw numbers because that's the headline, then I'll drill down into where it's from and what it's composed of. Collection #1 is a set of email addresses and passwords totalling 2,692,818,238 rows. It's made up of many different individual data breaches from literally thousands of different sources. (And yes, fellow techies, that's a sizeable amount more than a 32-bit integer can hold.)

In total, there are 1,160,253,228 unique combinations of email addresses and passwords. This is when treating the password as case sensitive but the email address as not case sensitive. This also includes some junk because hackers being hackers, they don't always neatly format their data dumps into an easily consumable fashion. (I found a combination of different delimiter types including colons, semicolons, spaces and indeed a combination of different file types such as delimited text files, files containing SQL statements and other compressed archives.)

Le même spécialiste administre un site qui permettrait de vérifier si votre adresse mail est compromise:

https://haveibeenpwned.com/

 

Indépendamment qu'il est toujours de bon aloi de changer ses mdp, les techos informatique du forum connaissent-ils un peu ce site? J'ai héisté à faire une recherche sur mon mail mais comme j'ignore ce que ce site fait de la big data ainsi collectée (tout les utilisateurs faisant une vérification de leur mail), je n'ai pas fais une recherche avec mes adresses mail.

Lien vers le commentaire
Il y a 14 heures, Alchimi a dit :

Le même spécialiste administre un site qui permettrait de vérifier si votre adresse mail est compromise:

https://haveibeenpwned.com/

 

Indépendamment qu'il est toujours de bon aloi de changer ses mdp, les techos informatique du forum connaissent-ils un peu ce site? J'ai héisté à faire une recherche sur mon mail mais comme j'ignore ce que ce site fait de la big data ainsi collectée (tout les utilisateurs faisant une vérification de leur mail), je n'ai pas fais une recherche avec mes adresses mail.

 

J'ose pas bien y aller. Les invitations à vérifier si tout va bien sont souvent des arnaques.

Tu peux créer des adresses bidons pour voir...

Lien vers le commentaire
Il y a 1 heure, cedric.org a dit :

Par contre, rentrer son mot de passe dans un site web, même s'il est connu, c'est un peu plus dommageable.

Tu peux exécuter la page sans connex internet dixit le créateur de cette page. Le code source est ouvert. (J'ai pas vérifié parce que je sais pas faire mais un exemple comme celui de L'affreux permet déjà de se faire une idée).

Lien vers le commentaire
28 minutes ago, Alchimi said:

Tu peux exécuter la page sans connex internet dixit le créateur de cette page. Le code source est ouvert. (J'ai pas vérifié parce que je sais pas faire mais un exemple comme celui de L'affreux permet déjà de se faire une idée).

Et je peux faire un site en 15 minutes qui va récupérer les données une fois la connexion rétablie et ce même si la page est fermée depuis longtemps!

Lien vers le commentaire

Et sinon, tu peux faire un simple script executable dans excel ou le bloc note qui fait le même petit calcul à partir d'une suite de caractère pour donner le niveau d'entropie? :D

edit: et verifier le code source, tu peux? vraie question (il faut un smiley "vraie question" à ce forum)

 

Après j'ai pas dit que j'avais rentré mon numéro de CB ou mon mot de passe youpor gmail dessus hein.

Lien vers le commentaire
Il y a 20 heures, Alchimi a dit :

Indépendamment qu'il est toujours de bon aloi de changer ses mdp, les techos informatique du forum connaissent-ils un peu ce site? J'ai héisté à faire une recherche sur mon mail mais comme j'ignore ce que ce site fait de la big data ainsi collectée (tout les utilisateurs faisant une vérification de leur mail), je n'ai pas fais une recherche avec mes adresses mail.

Tu peux c'est safe.

  • Yea 1
Lien vers le commentaire

Si c'est des logins "aléatoires" classiques c'est pas forcément étonnant..

J'avais fait la même, juste avec des pseudos de certains mails, certains étaient bons d'autres pas.

  • Yea 1
Lien vers le commentaire
il y a 18 minutes, Lancelot a dit :

J'ai rentré des mots au pif (pas des adresses mail) et il me dit que je suis compromis. Du coup je dubite.

Ce sont des recherches larges (si tu tapes "pipo", il trouvera toutes les adresses emails qui matchent, genre pipo@pipo.com, pipo@yahoo.fr, etc...)

Lien vers le commentaire

Ce qui est montré sur ce site est qu'avec d'un côté des longues (très longues) listes de mot de passe et de l'autre, des emails, si on choppe une base de données avec des mots de passes même cryptés, faire le match mdp clair <=> mdp crypté est assez facile (même avec un hashage "salé").

Lien vers le commentaire

Pwnage sur mon mail principal mais bon franchement à la seconde où j'ai vu qu'Adobe avait été compromis je m'en doutais complétement.

 

Bon ben, de toute façon il fallait que je change mon mdp, j'y réfléchissait déjà vaguement depuis hier soir. Au moins ce sera fait. :icon_volatilize:

Lien vers le commentaire
18 hours ago, Alchimi said:

Et sinon, tu peux faire un simple script executable dans excel ou le bloc note qui fait le même petit calcul à partir d'une suite de caractère pour donner le niveau d'entropie? :D

edit: et verifier le code source, tu peux? vraie question (il faut un smiley "vraie question" à ce forum)

Tu peux le faire toi même ton niveau d'entropie : une dizaine de caractères, avec des caractères spéciaux et pas de mot du "dictionnaire" (càd la liste de tous les mots de passes les plus utilisés)

 

11 hours ago, Alchimi said:

Ouais je pensais justement a un manager de mot de passe... Y'en a des bons? je fais une recherche pour voir ce qu'en dit le net.

Oui, ton cerveau!

Fais-toi un "algorithme" de construction de mot de passe qui change en fonction du site ou du thème du site.

Je ne connais pas un seul de mes mots de passe mais je sais les reconstruire à la volée.

 

Un exemple (trop?) bidon (mais ça peut être bien plus complexe) : "j'aimebienX!", remplacer X par le thème du site. Pour liborg ça serait "j'aimebienlesliberaux!".

C'est plus intéressant si c'est tout le mot de passe qui change en fonction du site comme ça personne ne peut le reconstruire à ta place, mais rien que cet exemple protège des listes comme celle dont on parle aujourd'hui.

 

34 minutes ago, Boz said:

Bon je suis pwnd aussi. Vous conseillez quoi comme démarche pour un noob ?

Changer ton mot de passe sur tous les sites qui utilisent ce couple email / mot de passe.

Lien vers le commentaire
Il y a 12 heures, Alchimi a dit :

Ouais je pensais justement a un manager de mot de passe... Y'en a des bons? je fais une recherche pour voir ce qu'en dit le net.

Lastpass est bon. 1Password apparemment aussi (pas testé).

 

De façon générale, à chaque fois qu'un site vous propose un 2FA, utilisez le. C'est mieux si c'est pas du SMS mais un Google Authenticator ou autre, mais même le SMS, c'est mieux que pas de 2FA. Pour les mots de passes, le plus simple est effectivement comme le propose cedric.org de pouvoir le reconstruire à la volée, ou, alternativement, d'avoir une phrase complète (genre Lechienbleumangedesnuages) avec l'éventuel caractère non alphabétique (genre ajouter 0$ à la fin). 

  • Yea 1
Lien vers le commentaire
12 hours ago, Alchimi said:

Ouais je pensais justement a un manager de mot de passe... Y'en a des bons? je fais une recherche pour voir ce qu'en dit le net.

 

Bitwarden. Il est open-source et le côté serveur a été ré-implémenté par plusieurs développeurs tiers (https://github.com/jcs/rubywarden, https://github.com/dani-garcia/bitwarden_rs) ce qui signifie que plusieurs personnes indépendantes ont jeté un œil sur son modèle de sécurité et n’y ont rien trouvé à redire.

Lien vers le commentaire
il y a 7 minutes, h16 a dit :

alternativement, d'avoir une phrase complète (genre Lechienbleumangedesnuages) avec l'éventuel caractère non alphabétique (genre ajouter 0$ à la fin). 

Oui, il faut profiter de ce quela plupart des sites acceptent jusqu'à 128 caractères. Certains acceptent même les espaces. Et l'éventuel hint pour retrouver le mot de passe peut alors devenir le numéro de page et de ligne d'un livre choisi à l'avance (ouais, j'ai été élevé aux jeux d'aventure des années 80-90). ;)

Lien vers le commentaire
3 minutes ago, Rincevent said:

Oui, il faut profiter de ce quela plupart des sites acceptent jusqu'à 128 caractères. Certains acceptent même les espaces. Et l'éventuel hint pour retrouver le mot de passe peut alors devenir le numéro de page et de ligne d'un livre choisi à l'avance (ouais, j'ai été élevé aux jeux d'aventure des années 80-90). ;)

Fais l'inverse si tu es joueur, avec un seul mot en hint. :D

Lien vers le commentaire
On 1/22/2019 at 11:12 AM, h16 said:

Lastpass est bon. 1Password apparemment aussi (pas testé).

 

De façon générale, à chaque fois qu'un site vous propose un 2FA, utilisez le. C'est mieux si c'est pas du SMS mais un Google Authenticator ou autre, mais même le SMS, c'est mieux que pas de 2FA. Pour les mots de passes, le plus simple est effectivement comme le propose cedric.org de pouvoir le reconstruire à la volée, ou, alternativement, d'avoir une phrase complète (genre Lechienbleumangedesnuages) avec l'éventuel caractère non alphabétique (genre ajouter 0$ à la fin). 

J'utilise 1Password depuis plusieurs années, et dorénavant pour toute la famille.

Avantages:

- on peut avoir des listes de mots de passe partagées, pratique pour les quelques infos communes

- client sur Mac, Windows, iOS (pas sûr pour Android) pour tout le temps y avoir accès.

- on peut y stocker des documents: j'y mets des scans des cartes d'identité, passeport, et quelques autres docs. Pratique si perte pendant un voyage, etc.

- il gère aussi toues les cartes de crédit, etc (bon je pense que bcp d'autres le font aussi)

- il prévient quand mot de passe est trop vieux, trop faible ou compromis (l'app reçoit les alertes directement, si par exemple Adobe annonce qu'il vaut ieux changer son mot de passe => l'app 1Password te prévient).

Lien vers le commentaire

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
×
×
  • Créer...