A LA UNE Sécurité « Have I been pwned ? » vérifie si vos données ont été piratées

Créé à la suite du piratage d’Adobe, le site « Have I been pwned ? » vérifie si votre email est concerné par l’une des cyberattaques recensées par le site et ayant pu engendrer la violation de vos données personnelles.

​

La sécurité informatique est l’un des enjeux de demain. Les cyberattaques se multiplient, non plus seulement à l’encontre des particuliers, mais également des grandes entreprises et administrations gouvernementales.

Certaines firmes font désormais leur communication sur le chiffrement réputé inviolable de leurs services, à l’image d’Apple, pour rassurer leurs clients échaudés par les révélations sur la NSA, les différentes lois Renseignement censées lutter contre le terrorisme ou par les attaques de hackers en tout genre, qui réussissent parfois à compromettre des bases de données comprenant des milliers voire des millions de données : nom, prénom, adresse emails, etc. À partir de là, campagne de phishing, usurpation d’identité ou tentative de compromission de compte sont notamment possibles, engendrant encore d’autres méfaits.

Si Microsoft, Facebook, Twitter ou Google vous préviennent lors d’une connexion inconnue ou s’ils pensent qu’un gouvernement a tenté de pirater votre compte, toutes les entreprises ne sont pas aussi bienveillantes et ne préviennent pas nécessairement leurs clients en cas d’attaques. Certaines préfèrent ainsi taire le fait qu’elles ont été victimes de piratage et que leur base de données a été compromise.

​

C’est là que le site « Have I Been pwned ? » (« Est-ce que je me suis fait avoir ? ») entre en scène. Le site recense l’ensemble des sites qui ont été hackés et dont les listings de données ont été diffusés. Il vous suffit d’entrer votre adresse email pour découvrir s’il a été compromis lors d’une fuite de données connue.
Si le site affiche Good news – no pwnage found, c’est que votre mail ne se trouve dans aucun des listings ayant fuité. Cela ne veut pas forcément dire que tout va bien, il se peut que vous fassiez partie d’une base de données dont le piratage n’a pas été révélé.

Oh non –pwned !. Vous êtes mal, et il devient urgent que vous vérifiiez vos comptes ou rehaussiez la sécurité de vos comptes. Have I Been pwned vous précise le site attaqué, la date de la fuite et la nature des données compromises.

Pour chaque compagnie, le site résume les faits qui se sont produits et fournit le type de données comprises. À ce jour, « Have I been pwned » prend en comptes 71 sites et applications, 278 362 281 comptes compromis, provenant aussi bien d’Adobe, VTech, Google, YouPorn, Ashley Madison, Snapchat, Forbes, Yahoo, Sony, Minecraft ou Pokémon Creed.

Comme le souligne Numerama : « Reste une question, qui est tout à fait légitime : « Have I Been Pwned ? » n’est-il pas un site de façade qui ne servirait en fait qu’à inciter les internautes à donner leurs adresses web, dans le but de mener ensuite des campagnes de hameçonnage pour dérober encore plus de donner personnelles ? »

Rassurez vous, il semble que le site soit entre de bonnes mains : celles de Troy Hint, informaticien indépendant qui a déjà eu les honneurs de Microsoft.

Par ailleurs, Have I Been pwned ? assure ne conserver aucune donnée personnelle…

Source : journal du geek

 

pwned

 

not pwned pour ma part aussi, on peut aussi rentrer ses pseudonymes sur internet pour vérifier.

Il y a eu deux vols de bases de données qui ont eu un grand echo.

-->Yahoo:(yahoo: moitié des comptes des utilisateurs, 500 millions d'utilisateurs, si vous n'avez pas changé votre mot de passe avant 2014, changez le mot de passe). L'attaquant est inconnu, soit-disant sponsorisé par un état, mais pour ma part, j'ai ma petite idée, c'était connu depuis 2012, d'autres personnes pensent que ce n'est pas sponsorisé par un état, l'avenir nous donnera plus de précision.

Notez que si vers 2014-2015, vous n'arriviez pas à vous connectez à votre compte, car utilisateur inconnu, (alors que sur un client mail comme thunderbird vous recevez vos mails, faites un formatage de bas niveau sur votre ordinateur, via la commande dd sur votre ordinateur via un live-cd d'une distribution GNU\Linux, et flashez votre bios si possible).

De plus, il semble que certains mots de passe stockés dans leur base de données étaient faiblement sécurisés. Les mots de passes étaient hachés par md5, qui est faillible aujourd'hui (sha1 montre aussi des signes de faiblesses), et sans salage.
D'autres indiquent qu'il y avait l'utilisation de bcrypt , qui est un peu plus sécurisé que hachoir md5.

Les liens ci-dessous laisse sous-entendre que ce serait un mix des deux.

www.lemonde.fr: Piratage de Yahoo! : les réponses à vos questions
https://thehackernews.com/2016/08/hack-yahoo-account.html

-->Dropbox:Il y a aussi dropbox, mais pas si "embêtant" car la base a fuité en 2012 et dropbox a demandé à changer les mots de passe lors de la découverte du vol de données, en théorie.Le plus embêtant est que beaucoup de petites entreprises l'utilisent, et dropbox a un droit de regard sur les fichiers. Avant d'envoyer les documents confidentiels sur dropbox, chiffrez vos données.

francoischarlet.ch: SpiderOak : Snowden conseille d'abandonner Dropbox, et vite
www.lemonde.fr: Les données piratées de Dropbox en 2012 refont surface

Il y en a d'autres, mais trop long à énumérer, car le vol de bases de données s'amplifient, et certains gestionnaires des bases de données sont négligeants.

-->Une attention est aussi porté pour les sites en HTTPS.Beaucoup n'utilisent pas des bonnes pratiques,( principalement à cause de compatibilité avec d'autres navigateurs, comme internet explorer, grosses structures, etc.) ce n'est pas parce que le site est en HTTPS que les données ne peuvent pas être déchiffrées\lues.
Désactiver RC4, renforcer firefox en général, vous allez voir le nombre de sites qui posent problème.

 

Tu as dû utiliser un même mot de passe dans le passé.

TU peux utiliser keepass2, j'étais en train de faire une explication dessus, mais vu le nombre de fonctionnalité, je me demande si je ne vais pas faire une vidéo, pour s'adapter aussi à des personnes où la prédominance visuelle est dominante.

Tu peux télécharger kepass2 ou keepass

Downloads - KeePass

Keepass est pour une utilisation normale, keepass2 est surtout utilisé dans le cadre de réseaux par exemple.

Comme keepass2 a été certifié par l'ANSSI, je préconise la version 2.

Un tutoriel ici:
nicolas-vieux.developpez.com: Utilisation et configuration du logiciel KeePass

edit:Pour pwned, vérifier aussi le nom d'utilisateur (tel que les pseudonymes), cela peut réserver des surprises.

 

Compte Adobe: Oh no — pwned!

 

Le must! Qu'est ce que j'apprends encore, je ne le savais même pas.
Intéressant, il y en a qui piratent des comptes et d'autres derrières qui prennent contrôle des hackers pour passer inaperçu.

@SwissXperts: tu as vérifié aussi tes pseudos ?

 

Bonjour Pantheera,

Il me semble que google a été piraté aussi, car entre entre deux serveurs chiffrés, il y avait un point de passage où l'on pouvait voir les données en clair.
Je ne sais plus où j'ai vu cela, mais sûr et certains que cela a été fait en 2013.

Désolé,
ce post mérite de montrer que les serveurs ne sont pas fiables à 100 %, et, dans la mesure du possible, il vaut mieux chiffrer nos données, ainsi que les mails.
En plus, en chiffrant les mails par gpg, cela permettrait d'éviter certaines attaques, bien que je ne suis pas certain, car la faille vient souvent de l'utilisateur.

Exact, pour beaucoup d'utilisateurs, le fait de demander trop souvent à changer de mot de passe aux utilisateurs finit par être contre-productif.
En effet, quand le changement de mot de passe imposé est trop fréquent, les utilisateurs changent leurs mots de passe en indiquant la date pour faire croire que le mot de passe a été changé.

www.developpez.com: Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés contrairement à ce que l'on croit, révèlent...

 

Mes pseudos RAS, seulement une de mes adresses mails est positive.

 

j'avais changé mon mot de passe yahoo il y a quelques temps, après que je me suis fait piraté, j'ai reçu ce mail aujourd'hui:



L'expéditeur (ne jamais faire confiance à l'adresse mail d'un expéditeur, elle peut-être spoofée) , et en survolant les liens dans le message qui ne correspondent pas, avec des longes trames de chiffres et lettres, ce qui est bizarre, j'ai cherché à vérifier l’origine de l'adresse mail de l'expéditeur.

VOilà ce que j'obtiens,

Hi i received an email from "yahoo.communications@yahoo.com re Ad Free Mail - I am concerned it might be a scam? Thanks Matt? | Yahoo Answers (réponse: l'adresse mail de l'expéditeur est un scam)

I received an email from https://email.communications.yahoo.com/@communications.yahoo.com saying "click here . Is it legit? | Yahoo Answers (réponse: l'adresse mail de l'expéditeur est un scam)

Is email from yahoo about ad-free mail expiring a scam? | Yahoo Answers (réponse: l'adresse mail de l'expéditeur est un scam)

Ca sent le phishing en plein nez, et l'aide de yahoo pour identifier les vrais mails des faux mais ne m'aide en aucune manière.

Edit: Finalement, j'ai contacté par un formulaire Yahoo. J'ai recu un mail de Yahoo ,provenant de l'adresse mail customercare@cc.yahoo-inc.com , le domaine cc.yahoo-inc.com est légitime.

Le mail en question est légitime, (enfin, j'espère, ma confiance envers yahoo est proche de 0) et la redirection des liens (selon moi) du mail vers le domaine fr.overview.mail.yahoo.com est une transition pour passer sur verizon.overview.yahoo.com

 

Bonjour,

encore une grosse fuite de vols d'informations pour les utilisateurs utilisant un compte mail Yahoo.

Yahoo - Important Security Information for Yahoo Users

Visiblement Yahoo devrait revoir les règles de sécurité de base, concernant le stockage de mot de passes, déjà utiliser un hashage plus performant que MD5, et utiliser aussi un salage en plus ne ferait pas de mal.

Pour ceux qui veulent lire cette actualité en Français, lire cette page:

Yahoo révèle un piratage record d'un milliard de comptes utilisateurs | UnderNews

Notez que la base de données contenant votre compte, si il est compromis et diverses informations sont revendues pour la modique somme de 300000$.


Enfin , pensez à choisir un autre fournisseur de mail( donc aussi oublier outlook, qui donnent un accès selon la loi du pays demandeur, c'est écrit dans les C.G.U, même si vous habitez dans un autre pays, et ca tatonne aussi pour gmail).

COrdialement

 

Bonne initiative, je ne sais pas si cela suffira.
En effet, récemment, ProtonMail s'est pris une attaque DDos très méchante en pleine figure, des pirates demandaient une rançon.
Peu de temps après, ProtonMail s'est pris une attaque DDos encore plus plus plus méchante que la première, mais sans demande de rançon.

ProtonMail cède au chantage pour faire cesser une attaque DDoS - ZDNet


On se demande qui étaient derrière cette dernière attaque, peut-être qu'un accord a été fait, mais avec qui ??

C'est vrai que c'est toujours utile, avec un client mail cela permet de faire pas mal de découvertes.

Fin 2014, début 2015, j'avais remarqué que des fois, je recevais mes mails Yahoo via Thunderbird, mais impossible de consulter mes mails via le navigateur, même pour changer mon mot de passe, le mot de passe était toujours faux, alors qu'il était véridique.
Finalement, j'ai été victime de Phishing de page de connexion Yahoo, pourtant pas de signe d'infection, c'est fabuleux.

Pour ceux qui ont connu ce problème, un bon formatage de bas niveau (remplir l'intégrité du disque de 0 est nécessaire).

Aussi, en même temps, on consultait ma boîte mail hotmail, de Microsoft, c'était drôle car on ouvrait des mails et après on les marquait non lus, ce qui générait une "alerte" (non-lu) sur Thunderbird.

Vraiment, les pirates derrière étaient de vrais incompétents.

Rien que de mieux que de se faire remarquer en toute discrétion.


De toute manière, Yahoo a perdu de la crédibilité, il mettra des années avant d'essayer de se refaire une réputation, il y a eu un mini-scandale lors d'une des révélations de mots de passe, Yahoo avait concu une porte ouverte pour un accès aux comptes yahoo.

www.nextinpact.com: Yahoo confirme avoir aidé le FBI, mais dément la portée de l'outil de surveillance

On me fera toujours sourire avec la loi, le mot "loi" a été vidée de sa substance et de son sens premier, la loi ne représente plus l'équité et neutralité.

Quand je vois, qu'avec les espions qu'on utilise comme mail (sur yahoo et hotmail et gmail):

• Demande du numéro de téléphone, pour sécuriser son compte (gmail, hotmail).
• Récemment, j'ai testé d'envoyer un mail chiffré par hotmail, on m'a redemandé de taper mon numéro de téléphone, c'était considéré comme du SPAM. Sûr et certain que hotmail a fait son travail, comme bon petit délateur, en transmettant la liste de personnes utilisant des mails chiffrés à un serveur spécial, afin de surveiller les personnes.(hotmail)
• Limite finie de mots de passe. On ne peut pas créer un mot de passe supérieur à 16 caractères. (hotmail, yahoo).

Toujours prétexter la sécurité, qui est l'alibi, dont le but final est d'avoir toute information utile (surtout des CV).

Je critique beaucoup Yahoo, mais Microsoft semble être aussi dans le coup, quand Microsoft aide les faiseurs de loi, considérant que chaque citoyen du monde comme suspect, avec un accès priviliégé à leur drive et leur mail "outlook\hotmail", c'est vraiment se moquer du monde.

Quand je vois l'hypocrithie de Microsoft en pleurant qu'il veut délocaliser des mails en Suède ou en FInlande, je ne sais plus, pour faire les gros titres d'articles sur internet afin de changer la perception des lecteurs, pour moi ils sont grillés .

www.nextinpact.com: Yahoo confirme avoir aidé le FBI, mais dément la portée de l'outil de surveillance

www.20minutes.fr: Microsoft tente de calmer le jeu après avoir lu les emails d'un blogueur français

Enfin , un petit rappel:



Source:Filerism slide 5.jpg - Wikipedia

Après, il est normal que les autorités surveillent et enquêtes dans des cas bien spécifiques, mais quand certaines autorités ont des accès "openBar" et ne pratiquent pas que la surveillance pour chasser des criminels, mais dans des buts moins nobles, comme voler des CV, une des solutions d'aujourd'hui est de faire de l'auto-hebergement.

COrdialement

 

Reçu ce jour par l'équipe CD PROJEKT RED, le studio qui a développé la série des "The Witcher"