Euh ils poussent aussi vers les passkey et ils ne sont pas un intermédiaire pour ça ^^
Tu peux élaborer stp ? Parce que là c’est la news de l’année pour moi, et ça implique non seulement de modifier mes pratiques mais aussi celles que je recommande. Donc si t’as du solide je suis intéressé.
J’ai un mail pro chez infomaniak, un poubelle et un pour les achats chez proton.
Ca limite les risques de contagion.
Par contre j’utilise Bitwarden, je n’ai jamais essayé 1password, j’ai été surpris que vous n’en fassiez pas mention dans votre autre article. Bitwarden inclut haveibeenpawned d’une manière ou d’une autre. Passwordmonster non, je leur ai fait la remarque.
J’ai une adresse avec 7 pownages, mais pareil que toi, des sites que je ne visite plus et dont j’ai changé les PW il y a longtemps, c’est mon email tertiaire de toutes manières, aucune données importantes ou critiques. Sur mes autres emails, que dalle.
On va attendre quelques heures/jours pour plus d’info, au pire je changerais juste les plus critiques (pas envie de changer mes quasi 200 PW mdr).
Le problème de se reposer sur HIBP, c’est de faire confiance en leur réactivité et/ou qu’ils soient informés/qu’ils puissent avoir les infos suffisamment vite.
Il y a eu une brèche en France en septembre 2024 (je ne sais plus quel organisme public. correction : plusieurs sites d’e-commerces). Sur HIPB, on peut lire : Brèche ayant eu lieu en Septembre 2024, Brèche ajoutée à HIBP 20 décembre 2024.
Je ne sais pas pour vous, mais je n’ai pas spécialement envie de me reposer sur un site qui met à jour une info de sécurité peut être majeure 4 mois après que l’incident ait eu lieu…
HIBP est globalement plutôt réactif, mais seulement à partir du moment où les données fuitent vraiment sur des espaces publics, pas à partir du moment où à eu lieu le vol des données.
Parce que forcément, tant que personne ne les a rendues accessibles publiquement, HIBP ne peut pas avoir les données.
Mais comme le risque d’exploitation des données augmente surtout au moment où elles sont publiées, avoir une base qui te préviens à ce moment là, c’est déjà très bien.
Quand je vois ce genre de soucis, je me dis que Google, Facebook est autres n’essayent qu’à moitié de protéger les accès. Juste du fait de n’autorise que leur propre système de connexions oauth2. Du coup quand un se fait hacker, tout le monde trinque
Je comprends tout à fait ton discours et j’entends sa légitimité.
Cependant, dans l’exemple que j’ai donné, justement, la fuite a été relayée par de très nombreux médias en début octobre et n’a pourtant été pris en compte que bien trop tard dans ce genre de situation de mon point de vue.
Après peut être que savoir qu’il y a eu une fuite et savoir quels utilisateurs sont concernés, ce n’est pas la même paire de manche.
Pas assez spécialiste pour pouvoir me prononcer plus avant.
Oui pour la première il suffit que l’acteur concerné déclare avoir été victime d’une fuite ou que l’attaquant l’a revendiqué en donnant parfois des extraits gratuits pour prouver qu’il a les data et faire monter les prix.
Pour pouvoir alimenter la db de haveibeenpwnd il faut avoir l’ensemble des données sinon comment tu fais pour dire aux gens qu’ils sont concerné ? Tu dois bien tester email et mot de passe contre quelque chose.
Justement, c’est ce que je dis, les deux ne réagissent pas au même évènement : les médias réagissent au moment où l’existence de la fuite de données est divulguée, HIBP réagit au moment où les données sont divulguées.
Parfois les deux surviennent au même moment, mais parfois il s’écoule plusieurs semaines, voire bien plus, entre les deux.
Parce qu’aujourd’hui la séquence classique dans ce genre d’affaires, c’est que le pirate commence par faire du chantage auprès de l’entreprise victime en exigeant une rançon pour qu’il ne divulgue pas les données, puis il y a souvent une mise en vente aux enchères du fichier sur le darknet, et seulement après tout ça les données finissent par être publiées. Et parfois on n’arrive même pas à cette dernière étape.
Or HIBP, ou tout autre service similaire, ne peut réagir que quand les données sont divulguées publiquement. Pas avant, puisqu’il faut ces données pour pouvoir en extraire la liste des adresse mail concernées.
Du coup, si les données ne sont pas divulgées mais sont exploitées pour des attaques, HIBP ne sert pas à grand chose, non ?
Je veux dire, par rapport au sujet, on peut se retrouver être la cible d’attaques sans que les données ne soient jamais publiée et du coup, jamais référencées sur HIBP ?
La question est maintenant aussi de savoir quelle est la nature exacte de la compromission. Si c’est une véritable attaque envers des sociétés comme Apple, Google… ou en grande partie via des infostealers, applications piégées etc. Dans le second cas, les sociétés ne seront pas forcément responsables.
Ces sociétés ont aussi des connexions partout (ex: se connecter avec son compte Google) et il se pourrait aussi qu’une faille ait été découverte quelque part. C’est pourquoi j’évite au possible de lier mes comptes entre eux. Un service = un compte.
Donc si déjà on prend l’initiative de changer son mot de passe par précaution et activer l’A2F on limite déjà les dégâts.
La réponse est dans la source de l’article. J’avoue que la présentation d’Alexandre est franchement maladroite et laisse penser à la compromission de gros GAFAM… il aurait suffit de mentionner que l’état de l’enquête actuellement pointait vers une collection d’infostealer.
As part of an ongoing investigation that started at the beginning of the year, the researchers have postulated that the massive password leak is the work of multiple infostealers.
(Forbes)
Je ne sais pas si c’est ce que tu veux dire mais comme je le vois partout en ce moment il ne faut pas confondre les préoccupations de sécurité et de vie privée.
Se connecter a un service via Google ou Facebook a des avantages en terme de sécurité. Les détails ici : Is It Safe To Log-In With Facebook or Google To Other Sites? | McAfee. (TLDR : les sites ont en général des systèmes moins sûr que ceux offert par ces services d’authentification. Pas mal de site en sont encore au classique credentials login/mdp, ce qui est clairement pas le top.)
En revanche, oui, du côté de la vie privé ça peut être un peu plus problématique. Il faut faire attention a ce qui est partagé et faire confiance à ces acteurs.
Bref, ce sont des préoccupations légitimes mais qui ne se recoupent pas à 100%.
Par exemple, si tu avais des données un peu sensibles et que tu n’es pas trop tech savy. Je te dirais assez (enfin pas que moi, des gens comme jean marc manach aussi) d’héberger ton truc sur Google Drive plutôt que sur ton vps que tu self host. A partir du moment ou ton truc sensible n’intéresse pas le gouvernement US ofc hahahaha
J’avoue que la communication de cet article peut sembler confuse, mais on est jamais sûr à 100% bien sûr. Si les sites en question se ont bel et bien été attaqués, une communication officielle sera sans doute faite dans les jours ou semaines qui suivent.
Les principaux évoqués dans cette liste, comme les plus gros. Apple, Meta, Google… Je suppose qu’ils vont investiguer aussi pour voir s’il n’y a pas eu une compromission quelque part.
Non c’est une mauvaise compréhension de l’article source et une volonté de mettre en avant les noms connus qui conduit à penser qu’Apple Google etc. ont été compromis. Mais bon ça c’est le jeu de la presse en ligne. Il faut bien attirer les gens.
Rien n’indique ça. Pour le moment on parle d’une collection de données récoltées par des infostealers c’est à dire sur les machines des utilisateurs pas chez les fournisseurs de services. Il se trouve juste que parmis les informations volées on trouve des comptes de ces services connus mais ça n’a rien à voir avec eux jusqu’à preuve du contraire et selon les premiers éléments. Tout est dans l’article de Forbes et Cybernews.
De ce point de vue la phrase du chapeau d’ @AlexLex14 n’est pas soutenue ailleurs.
16 milliards de mots de passe ont été volés, de nombreux ayant été dérobés chez les géants Meta (Facebook), Google et Apple.
Sauf erreur je pense qu’on peut dire que c’est faux pour le moment.
Ouch, celle là elle peut piquer… Infos sur les réservations, avec les dates de séjour, donc en croisant avec d’autres leaks contenant des adresse postales ça peut servir à cibler des cambriolages…
les casseurs flotteurs vont s’en donner à coeur joie !