SECURITE « Have I been pwned ? » vérifie si vos données ont été piratées

[kankan]

Créé à la suite du piratage d’Adobe, le site « Have I been pwned ? » vérifie si votre email est concerné par l’une des cyberattaques recensées par le site et ayant pu engendrer la violation de vos données personnelles.

La sécurité informatique est l’un des enjeux de demain. Les cyberattaques se multiplient, non plus seulement à l’encontre des particuliers, mais également des grandes entreprises et administrations gouvernementales.

Certaines firmes font désormais leur communication sur le chiffrement réputé inviolable de leurs services, à l’image d’Apple, pour rassurer leurs clients échaudés par les révélations sur la NSA, les différentes lois Renseignement censées lutter contre le terrorisme ou par les attaques de hackers en tout genre, qui réussissent parfois à compromettre des bases de données comprenant des milliers voire des millions de données : nom, prénom, adresse emails, etc. À partir de là, campagne de phishing, usurpation d’identité ou tentative de compromission de compte sont notamment possibles, engendrant encore d’autres méfaits.

Si Microsoft, Facebook, Twitter ou Google vous préviennent lors d’une connexion inconnue ou s’ils pensent qu’un gouvernement a tenté de pirater votre compte, toutes les entreprises ne sont pas aussi bienveillantes et ne préviennent pas nécessairement leurs clients en cas d’attaques. Certaines préfèrent ainsi taire le fait qu’elles ont été victimes de piratage et que leur base de données a été compromise.

C’est là que le site « Have I Been pwned ? » (« Est-ce que je me suis fait avoir ? ») entre en scène. Le site recense l’ensemble des sites qui ont été hackés et dont les listings de données ont été diffusés. Il vous suffit d’entrer votre adresse email pour découvrir s’il a été compromis lors d’une fuite de données connue.
Si le site affiche Good news – no pwnage found, c’est que votre mail ne se trouve dans aucun des listings ayant fuité. Cela ne veut pas forcément dire que tout va bien, il se peut que vous fassiez partie d’une base de données dont le piratage n’a pas été révélé.

Oh non –pwned !. Vous êtes mal, et il devient urgent que vous vérifiiez vos comptes ou rehaussiez la sécurité de vos comptes. Have I Been pwned vous précise le site attaqué, la date de la fuite et la nature des données compromises.

Pour chaque compagnie, le site résume les faits qui se sont produits et fournit le type de données comprises. À ce jour, « Have I been pwned » prend en comptes 71 sites et applications, 278 362 281 comptes compromis, provenant aussi bien d’Adobe, VTech, Google, YouPorn, Ashley Madison, Snapchat, Forbes, Yahoo, Sony, Minecraft ou Pokémon Creed.

Comme le souligne Numerama : « Reste une question, qui est tout à fait légitime : « Have I Been Pwned ? » n’est-il pas un site de façade qui ne servirait en fait qu’à inciter les internautes à donner leurs adresses web, dans le but de mener ensuite des campagnes de hameçonnage pour dérober encore plus de donner personnelles ? »

Rassurez vous, il semble que le site soit entre de bonnes mains : celles de Troy Hint, informaticien indépendant qui a déjà eu les honneurs de Microsoft.

Par ailleurs, Have I Been pwned ? assure ne conserver aucune donnée personnelle…

Source : journal du geek

 

[kankan]

pwned

 

[alexandre01]

not pwned pour ma part aussi, on peut aussi rentrer ses pseudonymes sur internet pour vérifier.

Il y a eu deux vols de bases de données qui ont eu un grand echo.

-->Yahoo:(yahoo: moitié des comptes des utilisateurs, 500 millions d'utilisateurs, si vous n'avez pas changé votre mot de passe avant 2014, changez le mot de passe). L'attaquant est inconnu, soit-disant sponsorisé par un état. Pour ma part, j'ai ma petite idée de l'attaquant, c'était connu depuis 2012, d'autres personnes pensent que ce n'est pas sponsorisé par un état, l'avenir nous donnera plus de précision.

Notez que si vers 2014-2015, vous n'arriviez pas à vous connectez à votre compte, car utilisateur inconnu, (alors que sur un client mail comme thunderbird vous recevez vos mails, faites un formatage de bas niveau sur votre ordinateur, via la commande dd sur votre ordinateur via un live-cd d'une distribution GNU\Linux , et flashez votre bios si possible).

De plus, il semble que certains mots de passe stockés dans leur base de données étaient faiblement sécurisés. Les mots de passes étaient hachés par md5, qui est faillible aujourd'hui (sha1 montre aussi des signes de faiblesses), et sans salage.
D'autres indiquent qu'il y avait l'utilisation de bcrypt , qui est un peu plus sécurisé que hachoir md5.

Les liens ci-dessous laisse sous-entendre que ce serait un mix des deux.

www.lemonde.fr: Piratage de Yahoo! : les réponses à vos questions
https://thehackernews.com/2016/08/hack-yahoo-account.html

-->Dropbox:Il y a aussi dropbox, mais pas si "embêtant" car la base a fuité en 2012 et dropbox a demandé à changer les mots de passe lors de la découverte du vol de données, en théorie.Le plus embêtant est que beaucoup de petites entreprises l'utilisent, et dropbox a un droit de regard sur les fichiers. Avant d'envoyer les documents confidentiels sur dropbox, chiffrez vos données.

francoischarlet.ch: SpiderOak : Snowden conseille d'abandonner Dropbox, et vite
www.lemonde.fr: Les données piratées de Dropbox en 2012 refont surface

Il y en a d'autres, mais trop long à énumérer, car le vol de bases de données s'amplifient, et certains gestionnaires des bases de données sont négligeants.

-->Une attention est aussi porté pour les sites en HTTPS.Beaucoup n'utilisent pas des bonnes pratiques,( principalement à cause de compatibilité avec d'autres navigateurs, comme internet explorer, grosses structures, etc.) ce n'est pas parce que le site est en HTTPS que les données ne peuvent pas être déchiffrées\lues.
Désactiver RC4, renforcer firefox en général, vous allez voir le nombre de sites qui posent problème.

 

[Pantheera]

Bonjour à tous les 2 !

Sur le compte Gmail, j'ai ceci :

et sur le compte Orange (anciennement Wanadoo que j'ai conservé) ceci :

 

[alexandre01]

Tu as dû utiliser un même mot de passe dans le passé.

TU peux utiliser keepass2, j'étais en train de faire une explication dessus, mais vu le nombre de fonctionnalité, je me demande si je ne vais pas faire une vidéo, pour s'adapter aussi à des personnes où la prédominance visuelle est dominante.

Tu peux télécharger kepass2 ou keepass

Downloads - KeePass

Keepass est pour une utilisation normale, keepass2 est surtout utilisé dans le cadre de réseaux par exemple.

Comme keepass2 a été certifié par l'ANSSI, je préconise la version 2.

Un tutoriel ici:
nicolas-vieux.developpez.com: Utilisation et configuration du logiciel KeePass

edit:Pour pwned, vérifier aussi le nom d'utilisateur (tel que les pseudonymes), cela peut réserver des surprises.

 

[SwissXperts]

Compte Adobe: Oh no — pwned!

 

[alexandre01]

Compte Adobe: Oh no — pwned!

Le must! Qu'est ce que j'apprends encore, je ne le savais même pas.
Intéressant, il y en a qui piratent des comptes et d'autres derrières qui prennent contrôle des hackers pour passer inaperçu.

SwissXperts : tu as vérifié aussi tes pseudos ?

 

[Pantheera]

Tu as dû utiliser un même mot de passe dans le passé.

TU peux utiliser keepass2, j'étais en train de faire une explication dessus, mais vu le nombre de fonctionnalité, je me demande si je ne vais pas faire une vidéo, pour s'adapter aussi à des personnes où la prédominance visuelle est dominante.

Bonjour Alexandre !
Non, les 2 mots de passe sont à l'opposé l'un de l'autre. Celui d'Orange a été changé récemment ainsi que celui de Google Mail. Même sur mon lieu de travail, celui-ci est changé tout les 3 mois, C'est peu mais c'est leur politique.
Sur aucun des 2 comptes ne circulent d'infos personnelles ou professionnelles susceptibles d'être utilisés à des fins crapuleuses.

 

[Pantheera]

J'ai 2 comptes Hotmail, l'un pour démarrer le PC et l'autre pour Paypal :

Tous les 2 ont cette réponse ci-dessus !!

 

[alexandre01]

Bonjour Pantheera,

Bonjour Alexandre !
Non, les 2 mots de passe sont à l'opposé l'un de l'autre. Celui d'Orange a été changé récemment ainsi que celui de Google Mail. Même sur mon lieu de travail, celui-ci est changé tout les 3 mois, C'est peu mais c'est leur politique.
Sur aucun des 2 comptes ne circulent d'infos personnelles ou professionnelles susceptibles d'être utilisés à des fins crapuleuses.

Il me semble que google a été piraté aussi, car entre entre deux serveurs chiffrés, il y avait un point de passage où l'on pouvait voir les données en clair.
Je ne sais plus où j'ai vu cela, mais sûr et certains que cela a été fait en 2013.

Bonjour Alexandre !
Non, les 2 mots de passe sont à l'opposé l'un de l'autre. Celui d'Orange a été changé récemment ainsi que celui de Google Mail. Même sur mon lieu de travail, celui-ci est changé tout les 3 mois, C'est peu mais c'est leur politique.
Sur aucun des 2 comptes ne circulent d'infos personnelles ou professionnelles susceptibles d'être utilisés à des fins crapuleuses.

Désolé,
ce post mérite de montrer que les serveurs ne sont pas fiables à 100 %, et, dans la mesure du possible, il vaut mieux chiffrer nos données, ainsi que les mails.
En plus, en chiffrant les mails par gpg, cela permettrait d'éviter certaines attaques, bien que je ne suis pas certain, car la faille vient souvent de l'utilisateur.

celui-ci est changé tout les 3 mois, C'est peu mais c'est leur politique.

Exact, pour beaucoup d'utilisateurs, le fait de demander trop souvent à changer de mot de passe aux utilisateurs finit par être contre-productif.
En effet, quand le changement de mot de passe imposé est trop fréquent, les utilisateurs changent leurs mots de passe en indiquant la date pour faire croire que le mot de passe a été changé.

www.developpez.com: Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés contrairement à ce que l'on croit, révèlent...

 

[Pantheera]

quand le changement de mot de passe imposé est trop fréquent, les utilisateurs changent leurs mots de passe en indiquant la date pour faire croire que le mot de passe a été changé.

Pas sur mon lieu de travail.
Les mots de passe sont conservés sur un base de données unique et sécurisée (entre de 3 à 6 mois) pour éviter ce genre de désagrément. Chaque mot de passe n'inclut pas de date uniquement des caractères de tout type sur le clavier et d'une longueur supérieure à 6 minimum.

 

[SwissXperts]

@SwissXperts: tu as vérifié aussi tes pseudos ?

Mes pseudos RAS, seulement une de mes adresses mails est positive.

 

[Ph3niX]

Salut à tous,

Mes pseudos RAS, seulement une de mes adresses mails est positive.

Idem, j'ai purement et simplement supprimé l'adresse gmail en question dont je ne me servais plus d'ailleurs !

 

[alexandre01]

j'avais changé mon mot de passe yahoo il y a quelques temps, après que je me suis fait piraté, j'ai reçu ce mail aujourd'hui:

L'expéditeur (ne jamais faire confiance à l'adresse mail d'un expéditeur, elle peut-être spoofée) , et en survolant les liens dans le message qui ne correspondent pas, avec des longes trames de chiffres et lettres, ce qui est bizarre, j'ai cherché à vérifier l’origine de l'adresse mail de l'expéditeur.

VOilà ce que j'obtiens,

Hi i received an email from "yahoo.communications@yahoo.com re Ad Free Mail - I am concerned it might be a scam? Thanks Matt? | Yahoo Answers (réponse: l'adresse mail de l'expéditeur est un scam)

I received an email from https://email.communications.yahoo.com/@communications.yahoo.com saying "click here . Is it legit? | Yahoo Answers (réponse: l'adresse mail de l'expéditeur est un scam)

Is email from yahoo about ad-free mail expiring a scam? | Yahoo Answers (réponse: l'adresse mail de l'expéditeur est un scam)

Ca sent le phishing en plein nez, et l'aide de yahoo pour identifier les vrais mails des faux mais ne m'aide en aucune manière.

Edit: Finalement, j'ai contacté par un formulaire Yahoo. J'ai recu un mail de Yahoo ,provenant de l'adresse mail customercare@cc.yahoo-inc.com , le domaine cc.yahoo-inc.com est légitime.

Le mail en question est légitime, (enfin, j'espère, ma confiance envers yahoo est proche de 0) et la redirection des liens (selon moi) du mail vers le domaine fr.overview.mail.yahoo.com est une transition pour passer sur verizon.overview.yahoo.com

 

[alexandre01]

Bonjour,

encore une grosse fuite de vols d'informations pour les utilisateurs utilisant un compte mail Yahoo.

Yahoo - Important Security Information for Yahoo Users

Visiblement Yahoo devrait revoir les règles de sécurité de base, concernant le stockage de mot de passes, déjà utiliser un hashage plus performant que MD5, et utiliser aussi un salage en plus ne ferait pas de mal.

Pour ceux qui veulent lire cette actualité en Français, lire cette page:

Yahoo révèle un piratage record d'un milliard de comptes utilisateurs | UnderNews

Notez que la base de données contenant votre compte, si il est compromis et diverses informations sont revendues pour la modique somme de 300000$.


Enfin , pensez à choisir un autre fournisseur de mail( donc aussi oublier outlook, qui donnent un accès selon la loi du pays demandeur, c'est écrit dans les C.G.U, même si vous habitez dans un autre pays, et ca tatonne aussi pour gmail).

COrdialement

 

[Ph3niX]

Bonjour à tous,

Il ne nous reste plus qu'à utiliser un compte mail sécurisé et crypté de bout en bout comme ProtonMail par exemple.
Ne se consulte que par Webmail, pas de protocole pop/smtp pour l'instant !

Cordialement.

 

[alexandre01]

Il ne nous reste plus qu'à utiliser un compte mail sécurisé et crypté de bout en bout comme ProtonMail par exemple.

Bonne initiative, je ne sais pas si cela suffira.
En effet, récemment, ProtonMail s'est pris une attaque DDos très méchante en pleine figure, des pirates demandaient une rançon.
Peu de temps après, ProtonMail s'est pris une attaque DDos encore plus plus plus méchante que la première, mais sans demande de rançon.

ProtonMail cède au chantage pour faire cesser une attaque DDoS - ZDNet


On se demande qui étaient derrière cette dernière attaque, peut-être qu'un accord a été fait, mais avec qui ??

Ne se consulte que par Webmail, pas de protocole pop/smtp pour l'instant !

C'est vrai que c'est toujours utile, avec un client mail cela permet de faire pas mal de découvertes.

Fin 2014, début 2015, j'avais remarqué que des fois, je recevais mes mails Yahoo via Thunderbird, mais impossible de consulter mes mails via le navigateur, même pour changer mon mot de passe, le mot de passe était toujours faux, alors qu'il était véridique.
Finalement, j'ai été victime de Phishing de page de connexion Yahoo, pourtant pas de signe d'infection, c'est fabuleux.

Pour ceux qui ont connu ce problème, un bon formatage de bas niveau (remplir l'intégrité du disque de 0 est nécessaire).

Aussi, en même temps, on consultait ma boîte mail hotmail, de Microsoft, c'était drôle car on ouvrait des mails et après on les marquait non lus, ce qui générait une "alerte" (non-lu) sur Thunderbird.

Vraiment, les pirates derrière étaient de vrais incompétents.

Rien que de mieux que de se faire remarquer en toute discrétion.


De toute manière, Yahoo a perdu de la crédibilité, il mettra des années avant d'essayer de se refaire une réputation, il y a eu un mini-scandale lors d'une des révélations de mots de passe, Yahoo avait concu une porte ouverte pour un accès aux comptes yahoo.

www.nextinpact.com: Yahoo confirme avoir aidé le FBI, mais dément la portée de l'outil de surveillance

On me fera toujours sourire avec la loi, le mot "loi" a été vidée de sa substance et de son sens premier, la loi ne représente plus l'équité et neutralité.

Quand je vois, qu'avec les espions qu'on utilise comme mail (sur yahoo et hotmail et gmail):

• Demande du numéro de téléphone, pour sécuriser son compte (gmail, hotmail).
• Récemment, j'ai testé d'envoyer un mail chiffré par hotmail, on m'a redemandé de taper mon numéro de téléphone, c'était considéré comme du SPAM. Sûr et certain que hotmail a fait son travail, comme bon petit délateur, en transmettant la liste de personnes utilisant des mails chiffrés à un serveur spécial, afin de surveiller les personnes.(hotmail)
• Limite finie de mots de passe. On ne peut pas créer un mot de passe supérieur à 16 caractères. (hotmail, yahoo).

Toujours prétexter la sécurité, qui est l'alibi, dont le but final est d'avoir toute information utile (surtout des CV).

Je critique beaucoup Yahoo, mais Microsoft semble être aussi dans le coup, quand Microsoft aide les faiseurs de loi, considérant que chaque citoyen du monde comme suspect, avec un accès priviliégé à leur drive et leur mail "outlook\hotmail", c'est vraiment se moquer du monde.

Quand je vois l'hypocrithie de Microsoft en pleurant qu'il veut délocaliser des mails en Suède ou en FInlande, je ne sais plus, pour faire les gros titres d'articles sur internet afin de changer la perception des lecteurs, pour moi ils sont grillés .

www.nextinpact.com: Yahoo confirme avoir aidé le FBI, mais dément la portée de l'outil de surveillance

www.20minutes.fr: Microsoft tente de calmer le jeu après avoir lu les emails d'un blogueur français

Enfin , un petit rappel:

Source:Filerism slide 5.jpg - Wikipedia

Après, il est normal que les autorités surveillent et enquêtes dans des cas bien spécifiques, mais quand certaines autorités ont des accès "openBar" et ne pratiquent pas que la surveillance pour chasser des criminels, mais dans des buts moins nobles, comme voler des CV, une des solutions d'aujourd'hui est de faire de l'auto-hebergement.

COrdialement

 

[kankan]

Reçu ce jour par l'équipe CD PROJEKT RED, le studio qui a développé la série des "The Witcher"

Chers utilisateurs du Forum,

Après examen des données à notre disposition, nous pouvons en conclure qu'un accès non autorisé à été effectué sur nos anciennes base de données du forum.

À l'époque de cette intrusion, la base de données n'était pas utilisée depuis quasiment une année et nous avions invité les membres du forum de sécuriser leurs comptes GoG en changeant leur mot de passe. La sécurité de ces comptes peut être améliorée à l'aide de l'authentification en deux étapes. La sécurité du forum a depuis été revue et ladite faille éliminée.

La base de données obsolète contenait des pseudonymes, des adresses e-mail et des mots de passe cryptés, «hashed» et «salted». Le «salting» est une pratique courante qui consiste à ajouter des caractères aléatoires au mot de passe pendant le «hachage» pour augmenter la sécurité. Vos mots de passe n'ont pas été stockés en texte, donc ils n'étaient pas accessibles par n'importe qui.

Puisque vous n'avez pas connecté votre compte au système de connexion de GOG.com, votre compte n'a pas été migré vers le nouveau forum et aucune action n'est nécessaire de votre part. Toutefois, si vous avez utilisé votre ancien mot de passe pour tous les autres services, il est fortement conseillé de le modifier. Nous vous suggérons également de ne jamais utiliser le même mot de passe pour plusieurs services.

Depuis l'événement, nous avons effectué d'autres tests de sécurité externes et nous allons doubler nos efforts afin d'éviter que de telles situations ne se reproduisent.

Nous souhaitons présenter nos plus sincères excuses à tous les intéressés.

L'équipe du forum CD PROJEKT RED

 

[alexandre01]

Reçu ce jour par l'équipe CD PROJEKT RED, le studio qui a développé la série des "The Witcher"

D'ailleurs je suis en train de jouer à tw3, acheté par hasard, mais c'est vraiment une bombe. C'est l'un, sinon le premier jeu que je trouve excellent. (J'ai pas encore fini, il est vraiment très long).

Félicitations pour l'équipe derrière!



==>Concernant l'affaire Yahoo, finalement tous les comptes qui ont été piratés, et dont on récoltait des informations précises, à des buts de renseignements.

www.ouest-france.fr: Yahoo. La totalité des comptes ont été compromis par le piratage de 2013

Si vous utilisez yahoo, supprimez votre compte.

Pour ma part, aucun doute par rapport à l'attaquant.

==>A rapprocher avec les services mails de Microsoft outllook (mais aussi live.fr, hotmail.fr,...), sous toutes réserves, avec une probabilité très forte que l'entité ou les entités derrière l'attaque de Yahoo ont un accès illimité aux boîtes mails appartenant à la société Microsoft, collaboration avec Microsoft ou pas.

De toute façon, l'avenir nous le dira concernant les services de messagerie de Microsoft.

Cordialement

 

[kankan]

D'ailleurs je suis en train de jouer à tw3, acheté par hasard, mais c'est vraiment une bombe. C'est l'un, sinon le premier jeu que je trouve excellent. (J'ai pas encore fini, il est vraiment très long).

Oui, un des meilleurs auquel j'ai joué.. j'avais adoré le 1 déjà.. le 2 était mal optimisé au niveau des contrôles donc j'ai donc zappé.
Le 3 a su tirer parti des remarques des joueurs du 2 et propose un scénario excellent.
Je ne l'ai toujours pas fini, j'aime me perdre dans toutes les petites quêtes annexes