Commentaires : ALERTE : la plus grande fuite de données de l'histoire ? 16 milliards de mots de passe dans la nature!

16 milliards de mots de passe ont été volés, de nombreux ayant été dérobés chez les géants Meta (Facebook), Google et Apple. Cette fuite historique est partie pour battre absolument tous les records de cybersécurité.

Ptn…
Comment savoir si mes ID sont compromis ?

Sur https://haveibeenpwned.com/ tu peux déjà savoir au moins via une adresse e-mail ou en entrant un mot de passe que tu supposes compromis.
Dans l’immédiat, puisque l’article semble parler au conditionnel et dire « plus d’informations à suivre », l’idéal serait peut-être de changer son mot de passe et dans tous les cas activer l’authentification à deux facteurs sur les comptes importants.

Hello tout le monde

Un changement de mots de passe s’impose effectivement.

On a MAJ l’article et on prépare vite une suite pour vous donner les meilleurs conseils.

En parallèle, on a contacté les plus grosses boîtes touchées, pour qu’elles nous livrent leurs explications et voir si elles ont des conseils spécifiques également.

Bonne fin de journée tout le monde
Alex

En ce qui me concerne, le site https://haveibeenpwned.com/ me répond que mes mots de passe on été exposés pour 3 sites mais ouf… ça concerne que des sites auxquels j’ai depuis très longtemps changé les mots de passe (2015, 2017 et 2019) et supprimé les comptes.

La fuite récente dont on parle ici n’a peut-être pas encore été remontée sur HIBP, il faut voir si effectivement cette collection de mots de passe est bien récente et nouvelle (les plateformes concernées devraient communiquer, je l’espère en tout cas) ou bien s’il s’agit d’une collection dite combo qui regroupe plusieurs fuites passées.

J’ai depuis longtemps le 2FA sur mes comptes Outlook, Facebook, Amazon etc, c’est un rempart de sécurité supplémentaire. On peut aussi surveiller sur les différents services s’ils proposent un outil d’historique d’activité qui permet de savoir où on s’est connecté.

Hmmmm , comment des mots de passes comme ça peuvent fuiter ?? Qui d après vous aurait accès à ces mots de passes ?

Moi je pense a la NSA , aux services secrets des USA !

Salut
Je ne vérifie jamais mes adresses mails ni rien avec des trucs comme Have I been etc Je ne sais aps ce que font ces services avec les renseignements qu’ils récupèrent.
Je ne change pas mes ,mots de passe préventivement, ce n’est pas pertinent ni faisable. (j’en ai 500)
La seule chose qui doit être faite , c’est par les sites qui se sont faits hackés, ou qui ont un doute, d’annuler les mots de passe et demander à la prochaine connexion, aux comptes qui auraient pu être compromis de changer le mot de passe.
Tout le reste, pour moi, est totalement hors sujet.
Avoir un gestionnaire de motrs de passe évite de prendre l’habitude de mettre plusieurs fois le même Mdp sur plusieurs sites.
Mais par rapport aux fuites, cela ne change rien.
Les passkeys ne sont pas plus sur pour moi. C’est juste poussés par les gafam pour des raisons que seuls eux, connaissent.
Personnellement, identifiant + mot de passe + pour les sites importants, une confirmation par sms, application d’authentification qui donne un code, réception d’un mail avec un code enfin ce genre de chose.
J’ai la main sur ma sécurité, cela fonctionne très bien et tant que mon mot de passe maitre de gestionnaire de Mdp (zero connaissance) reste connu de moi seul, aucun problème.

Oh mais depuis 2015 je suis devenu parano donc je ne laisse aucun site, où je m’inscrit, sans surveillance et sans changer régulièrement les passes.
Au pire je fais, quand c’est possible, des inscriptions bidons se référant à une boite mail poubelle sans aucune référence à quoi que ce soit de personnel.
Et surtout aucun accès aux sites de messagerie en ligne (TikTok, FB, X, …) et uniquement à celles cryptées. Et pour finir, j’efface mes traces après navigation (par site et global).

Le problème c’est qu’on peut très bien avoir de bonnes habitudes de sécurité et avoir l’illusion que c’est parfait de ton point de vue, au final ce sont quand même les sociétés et autres administrations à qui on fait confiance qui se font attaquer et qui laissent fuiter nos infos…

Je pense qu’il faut avoir une certaine veille de ses mots de passe, éviter les comptes « dormants » où ne se connecte jamais. Après, c’est aussi une certaine charge de travail que tout le monde n’a pas forcément le temps de faire, ni l’envie.

Ihavebeenpwned ne prouve rien puisque ça ne donne pas le mot de passe pour que l’on puisse comparer.
Sans cette information ils peuvent donc écrire ce qu’ils veulent.

C’est une indication très claire que ton adresse e-mail apparaît dans une fuite de données, donc ça te met immédiatement en garde sur le fait si tu as utilisé cette adresse e-mail sur d’autres services, les attaquants vont tenter d’exploiter ces bases de données pour tenter d’y avoir accès. Ils vont essayer les couples e-mails/mots de passe etc pour essayer de compromettre tes autres comptes. D’où la nécessité d’avoir un mot de passe différent par compte.

Et verrouiller autant que possible la porte principale : ton compte e-mail. Car si lui est compromis, on peut pratiquement accéder à tout, via des demandes de réinitialisation de mot de passe par exemple.

Si, les passkeys sont plus sûrs. Car une partie du secret ne quitte jamais ton appareil, donc même si toutes les données qui sont côté serveur sont récupérées, ça ne permet pas de se connecter à ton compte.

Par contre une chaîne a le niveau de sécurité de son maillon le plus faible : les passkeys sont toujours couplées à au moins un autre moyen de connexion au compte (puisqu’il faut pouvoir se connecter si on perd la passkey…), et si ce moyen est un simple mot de passe, la passkey n’apporte pas de sécurité supplémentaire face à une intrusion sur le serveur (ça peut par contre limiter le risque que les identifiants soient volés sur les terminal de l’utilisateur).

Faut aussi tenir compte du niveau de sensibilité d’un compte. Un compte dormant sur un forum quelconque où y a à peu près zéro infos personnelles, c’est pas bien gênant, donc pas besoin de le surveiller plus que ça, tant qu’on n’utilise pas le même mot de passe ailleurs. Ça évite d’avoir une charge de travail excessive.

Tiens un peu HS, mais dans le genre exploitation des fuites de données, j’en ai eu une rigolote aujourd’hui. Un appel du 09 69 36 39 39, numéro théoriquement parfaitement en règle. Le gars se présente comme étant du service fraude de la Caisse d’Épargne, m’appelle par mon prénom et nom de famille, et me dit qu’ils ont repéré des transactions suspectes sur mon compte, en provenance d’un casino en ligne en Angleterre. Ce à quoi je lui répond que j’ai pas de compte à la Caisse d’Épargne Le gars se démonte pas :

• Pourtant je vous ai bien dans ma base, avec un compte se terminant par xxxx.
• Ah oui, c’est peut-être l’ancien compte de ma boîte, que j’ai fermé il y a 6 mois. Attendez, je vais vérifier.

Et là bizarrement ça a coupé

Vérification faite quand même, c’était bien l’ancien compte en question. Je suppose que c’est via la fuite Free/Free Mobile qu’ils ont eu les infos.

Mais à part le fait qu’il était pas au courant que le compte était clôturé, l’appel était plutôt convaincant, s’il y avait pas eu ce détail j’aurais probablement mis un peu plus de temps à comprendre que c’était une tentative de phishing (le temps qu’il se décide à me demander de payer d’une façon ou d’une autre ou qu’il me demande mes identifiants de connexion ).

Bref, méfiez-vous, ces attaques sont de plus en plus convaincantes !

D’après Cybernews, la dataset la plus large serait probablement lié (3,5 milliards d’entrées) à des données appartenant à une population lusophone…
Quand même le réusage de login + même mot de passe est l’une des choses à ne pas faire en plus des mots provenant du dictionnaire. Si les gens avaient été plus été sensibilisés, le risque de credential stuffing aurait été moindre.

J’ai de gros doutes que les stratégies de la NSA et des services secrets soit autour du vol massif de mots de passe.

Il me semble globalement plus simple de choper la donnée utile à la source sur une cible plutôt que de pirater un mastodonte pour avoir « peut-être » un mot de passe exploitable.

On le voit d’ailleurs sur les méthodes qui ont été dévoilées (type Pegasus), qui vont plutôt cibler un appareil précis pour obtenir toutes les données.

Alors si on est dans les accusations sans preuve, moi je pense que c’est un coup de Charlotte et Suzanne de la compta.

Ca fait un moment que je les vois rire comme des dindes. Désolé si le personnage de complotiste/misogyne choque hein, j’ai pas dit que j’étais subtil à la machine à café pendant que je me tape les fix toute la journée.

Soit ça soit un coup des lapins (bon ok là faut avoir la ref.).

Bisou

La NSA contrôle tout le flux transatlantique, donc ce n’est pas un problème pour eux de trouver ce qu’ils veulent

Comment saurais je quel mots de passe sont compromis ?
Donc surveiller et modifier 500 mdp ?
Mes mdp sont tous differents doc mettre la main sur les données d un site n aidera en rien le pirate.
Comme je dis, les gafam crachent sur la double authentification pour imposer une connexion par leur intermédiaire.
Exactement ce qui est proposé sur clubic et pleins d autres sites.
Mon système sui est utilisé par beaucoup est sur.
J ajoute que j ai de nombreuses adresses mails et donc que mes mdp sont toujours différents grace au stockage dans un gestionnaire.
Si un site se fait hacké, c’est à lui de prévenir ses clients ou abonnés c’est de la pure logique.
Mais quand on parle de sécurité ce qui m’étonne toujours ce que c’est que les fonctions copier-coller aussi bien dans Windows ou Android de manière native ne sont pas prévus pour effacer le contenu du clipboard au bout d’un certain temps.
Heureusement certaines applications ou script le permettent et certains gestionnaires de mot de passe ont cette fonction de ne garder en mémoire dans le clipboard que pendant un temps que l’on fixe.
Il est aussi à noter que tout le monde a peur des fuites de données hors Microsoft depuis plusieurs os renforce la collecte systématique de tout ce qu’on fait sur notre PC dont le contenu du presse-papier.

Vous pouvez aussi voir avec Malwarebyte si votre adresse mail a fait l’objet d’une fuite de données, et avec quel mot de passe elle est associé.

C’est le cas pour les sites réputés.
Mais les attaques de l’autre côté, au niveau utilisateur, sont beaucoup plus fréquentes. Ce sont le plus souvent des victimes de phishing/infostealing.