"Collection#1", la liste aux plus de 773 millions d'email piratés

[Alchimi]

https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

Un spécialiste de la sécurité informatique lance une alerte à propos de piratage de mails.

 

Quote

Let's start with the raw numbers because that's the headline, then I'll drill down into where it's from and what it's composed of. Collection #1 is a set of email addresses and passwords totalling 2,692,818,238 rows. It's made up of many different individual data breaches from literally thousands of different sources. (And yes, fellow techies, that's a sizeable amount more than a 32-bit integer can hold.)

In total, there are 1,160,253,228 unique combinations of email addresses and passwords. This is when treating the password as case sensitive but the email address as not case sensitive. This also includes some junk because hackers being hackers, they don't always neatly format their data dumps into an easily consumable fashion. (I found a combination of different delimiter types including colons, semicolons, spaces and indeed a combination of different file types such as delimited text files, files containing SQL statements and other compressed archives.)

Le même spécialiste administre un site qui permettrait de vérifier si votre adresse mail est compromise:

https://haveibeenpwned.com/

 

Indépendamment qu'il est toujours de bon aloi de changer ses mdp, les techos informatique du forum connaissent-ils un peu ce site? J'ai héisté à faire une recherche sur mon mail mais comme j'ignore ce que ce site fait de la big data ainsi collectée (tout les utilisateurs faisant une vérification de leur mail), je n'ai pas fais une recherche avec mes adresses mail.

[Alchimi]

Ah et:

http://rumkin.com/tools/password/passchk.php

[POE]

Il y a 14 heures, Alchimi a dit :

Le même spécialiste administre un site qui permettrait de vérifier si votre adresse mail est compromise:

https://haveibeenpwned.com/

 

Indépendamment qu'il est toujours de bon aloi de changer ses mdp, les techos informatique du forum connaissent-ils un peu ce site? J'ai héisté à faire une recherche sur mon mail mais comme j'ignore ce que ce site fait de la big data ainsi collectée (tout les utilisateurs faisant une vérification de leur mail), je n'ai pas fais une recherche avec mes adresses mail.

 

J'ose pas bien y aller. Les invitations à vérifier si tout va bien sont souvent des arnaques.

Tu peux créer des adresses bidons pour voir...

[cedric.org]

1 hour ago, POE said:

 

J'ose pas bien y aller. Les invitations à vérifier si tout va bien sont souvent des arnaques.

Tu peux créer des adresses bidons pour voir...

Ce site est plutôt bien connu et c'est un gars de Microsoft qui est derrière : https://haveibeenpwned.com/About

[cedric.org]

16 hours ago, Alchimi said:

Ah et:

http://rumkin.com/tools/password/passchk.php

Par contre, rentrer son mot de passe dans un site web, même s'il est connu, c'est un peu plus dommageable.

[L'affreux]

J'ai essayé pour voir : "jojo lapin va au marché"

 

 

 

[Alchimi]

Sauf que grâce à toi plus personne ne peut l'utiliser maintenant. Affreux troll, le net ne te remercie pas.

 

[Alchimi]

Il y a 1 heure, cedric.org a dit :

Par contre, rentrer son mot de passe dans un site web, même s'il est connu, c'est un peu plus dommageable.

Tu peux exécuter la page sans connex internet dixit le créateur de cette page. Le code source est ouvert. (J'ai pas vérifié parce que je sais pas faire mais un exemple comme celui de L'affreux permet déjà de se faire une idée).

[cedric.org]

28 minutes ago, Alchimi said:

Tu peux exécuter la page sans connex internet dixit le créateur de cette page. Le code source est ouvert. (J'ai pas vérifié parce que je sais pas faire mais un exemple comme celui de L'affreux permet déjà de se faire une idée).

Et je peux faire un site en 15 minutes qui va récupérer les données une fois la connexion rétablie et ce même si la page est fermée depuis longtemps!

[Alchimi]

Et sinon, tu peux faire un simple script executable dans excel ou le bloc note qui fait le même petit calcul à partir d'une suite de caractère pour donner le niveau d'entropie?

edit: et verifier le code source, tu peux? vraie question (il faut un smiley "vraie question" à ce forum)

 

Après j'ai pas dit que j'avais rentré mon numéro de CB ou mon mot de passe youpor gmail dessus hein.

[Lancelot]

20 hours ago, Alchimi said:

Le même spécialiste administre un site qui permettrait de vérifier si votre adresse mail est compromise:

https://haveibeenpwned.com/

J'ai rentré des mots au pif (pas des adresses mail) et il me dit que je suis compromis. Du coup je dubite.

[h16]

Il y a 20 heures, Alchimi a dit :

Indépendamment qu'il est toujours de bon aloi de changer ses mdp, les techos informatique du forum connaissent-ils un peu ce site? J'ai héisté à faire une recherche sur mon mail mais comme j'ignore ce que ce site fait de la big data ainsi collectée (tout les utilisateurs faisant une vérification de leur mail), je n'ai pas fais une recherche avec mes adresses mail.

Tu peux c'est safe.

[Alchimi]

Si c'est des logins "aléatoires" classiques c'est pas forcément étonnant..

J'avais fait la même, juste avec des pseudos de certains mails, certains étaient bons d'autres pas.

[h16]

il y a 18 minutes, Lancelot a dit :

J'ai rentré des mots au pif (pas des adresses mail) et il me dit que je suis compromis. Du coup je dubite.

Ce sont des recherches larges (si tu tapes "pipo", il trouvera toutes les adresses emails qui matchent, genre pipo@pipo.com, pipo@yahoo.fr, etc...)

[h16]

Ce qui est montré sur ce site est qu'avec d'un côté des longues (très longues) listes de mot de passe et de l'autre, des emails, si on choppe une base de données avec des mots de passes même cryptés, faire le match mdp clair <=> mdp crypté est assez facile (même avec un hashage "salé").

[Lancelot]

Ok bah no pwnage found avec une requête sérieuse. Yay.

[Gilles]

Il y a 3 heures, Lancelot a dit :

Ok bah no pwnage found avec une requête sérieuse. Yay.

 

pareil sur tous mes emails. \o/

[Alchimi]

Pwnage sur mon mail principal mais bon franchement à la seconde où j'ai vu qu'Adobe avait été compromis je m'en doutais complétement.

 

Bon ben, de toute façon il fallait que je change mon mdp, j'y réfléchissait déjà vaguement depuis hier soir. Au moins ce sera fait.

[Corned beef]

Pwnage. A cause de Nexus. Mais Skyrim sans mod c'est nul 

[Bézoukhov]

Addresse gmail OK.

Addresse hotmail poubelle down, mais c'est fait pour ça.

Addresse anciens élèves pwned par Linkedin (c'est le plus chiant).

 

Mais faudrait que j'installe un manager de mot de passe. La flemme.

[Alchimi]

Ouais je pensais justement a un manager de mot de passe... Y'en a des bons? je fais une recherche pour voir ce qu'en dit le net.

[Ultimex]

il y a 25 minutes, Corned beef a dit :

Pwnage. A cause de Nexus. Mais Skyrim sans mod c'est nul 

 

La même (pour Morrowind)...

[Boz]

Bon je suis pwnd aussi. Vous conseillez quoi comme démarche pour un noob ?

[Johnnieboy]

Pwned sur mes deux adresses mails, aussi.

[cedric.org]

18 hours ago, Alchimi said:

Et sinon, tu peux faire un simple script executable dans excel ou le bloc note qui fait le même petit calcul à partir d'une suite de caractère pour donner le niveau d'entropie?

edit: et verifier le code source, tu peux? vraie question (il faut un smiley "vraie question" à ce forum)

Tu peux le faire toi même ton niveau d'entropie : une dizaine de caractères, avec des caractères spéciaux et pas de mot du "dictionnaire" (càd la liste de tous les mots de passes les plus utilisés)

 

11 hours ago, Alchimi said:

Ouais je pensais justement a un manager de mot de passe... Y'en a des bons? je fais une recherche pour voir ce qu'en dit le net.

Oui, ton cerveau!

Fais-toi un "algorithme" de construction de mot de passe qui change en fonction du site ou du thème du site.

Je ne connais pas un seul de mes mots de passe mais je sais les reconstruire à la volée.

 

Un exemple (trop?) bidon (mais ça peut être bien plus complexe) : "j'aimebienX!", remplacer X par le thème du site. Pour liborg ça serait "j'aimebienlesliberaux!".

C'est plus intéressant si c'est tout le mot de passe qui change en fonction du site comme ça personne ne peut le reconstruire à ta place, mais rien que cet exemple protège des listes comme celle dont on parle aujourd'hui.

 

34 minutes ago, Boz said:

Bon je suis pwnd aussi. Vous conseillez quoi comme démarche pour un noob ?

Changer ton mot de passe sur tous les sites qui utilisent ce couple email / mot de passe.

[h16]

Il y a 12 heures, Alchimi a dit :

Ouais je pensais justement a un manager de mot de passe... Y'en a des bons? je fais une recherche pour voir ce qu'en dit le net.

Lastpass est bon. 1Password apparemment aussi (pas testé).

 

De façon générale, à chaque fois qu'un site vous propose un 2FA, utilisez le. C'est mieux si c'est pas du SMS mais un Google Authenticator ou autre, mais même le SMS, c'est mieux que pas de 2FA. Pour les mots de passes, le plus simple est effectivement comme le propose cedric.org de pouvoir le reconstruire à la volée, ou, alternativement, d'avoir une phrase complète (genre Lechienbleumangedesnuages) avec l'éventuel caractère non alphabétique (genre ajouter 0$ à la fin). 

[Sloonz]

12 hours ago, Alchimi said:

Ouais je pensais justement a un manager de mot de passe... Y'en a des bons? je fais une recherche pour voir ce qu'en dit le net.

 

Bitwarden. Il est open-source et le côté serveur a été ré-implémenté par plusieurs développeurs tiers (https://github.com/jcs/rubywarden, https://github.com/dani-garcia/bitwarden_rs) ce qui signifie que plusieurs personnes indépendantes ont jeté un œil sur son modèle de sécurité et n’y ont rien trouvé à redire.

[Rincevent]

il y a 7 minutes, h16 a dit :

alternativement, d'avoir une phrase complète (genre Lechienbleumangedesnuages) avec l'éventuel caractère non alphabétique (genre ajouter 0$ à la fin). 

Oui, il faut profiter de ce quela plupart des sites acceptent jusqu'à 128 caractères. Certains acceptent même les espaces. Et l'éventuel hint pour retrouver le mot de passe peut alors devenir le numéro de page et de ligne d'un livre choisi à l'avance (ouais, j'ai été élevé aux jeux d'aventure des années 80-90).

[cedric.org]

3 minutes ago, Rincevent said:

Oui, il faut profiter de ce quela plupart des sites acceptent jusqu'à 128 caractères. Certains acceptent même les espaces. Et l'éventuel hint pour retrouver le mot de passe peut alors devenir le numéro de page et de ligne d'un livre choisi à l'avance (ouais, j'ai été élevé aux jeux d'aventure des années 80-90).

Fais l'inverse si tu es joueur, avec un seul mot en hint.

[Antoninov]

On 1/22/2019 at 11:12 AM, h16 said:

Lastpass est bon. 1Password apparemment aussi (pas testé).

 

De façon générale, à chaque fois qu'un site vous propose un 2FA, utilisez le. C'est mieux si c'est pas du SMS mais un Google Authenticator ou autre, mais même le SMS, c'est mieux que pas de 2FA. Pour les mots de passes, le plus simple est effectivement comme le propose cedric.org de pouvoir le reconstruire à la volée, ou, alternativement, d'avoir une phrase complète (genre Lechienbleumangedesnuages) avec l'éventuel caractère non alphabétique (genre ajouter 0$ à la fin). 

J'utilise 1Password depuis plusieurs années, et dorénavant pour toute la famille.

Avantages:

- on peut avoir des listes de mots de passe partagées, pratique pour les quelques infos communes

- client sur Mac, Windows, iOS (pas sûr pour Android) pour tout le temps y avoir accès.

- on peut y stocker des documents: j'y mets des scans des cartes d'identité, passeport, et quelques autres docs. Pratique si perte pendant un voyage, etc.

- il gère aussi toues les cartes de crédit, etc (bon je pense que bcp d'autres le font aussi)

- il prévient quand mot de passe est trop vieux, trop faible ou compromis (l'app reçoit les alertes directement, si par exemple Adobe annonce qu'il vaut ieux changer son mot de passe => l'app 1Password te prévient).