Près de 10 milliards de mots de passe uniques ont été divulgués sur un forum de piratage. Baptisée RockYou2024, cette fuite massive met particulièrement en danger certains utilisateurs.
On se demande tous… est-ce que le mot de passe 1234 a fuité ???
2 « J'aime »
L’article est relativement imprécis (et alarmiste).
Rockyou est une liste de mots de passe uniques et seuls (sans comptes ni identifiants) qui est régulièrement mise a jour : c’est forcément « pire » à chaque édition.
Elle est constituée de mots de passes qui ont déjà fuité depuis parfois des années (comme indiqué).
Son intérêt est que les mots de passe sont classés par fréquence (le 1er de la liste est le plus utilisé, le dernier est le moins utilisé).
Il ne s’agit que de mots de passes, il n’y a aucun compte associé, donc il est impossible de savoir qui utilise ces mots de passe.
Elle est utilisée pour tester des accès (on indique le login du compte à tester puis on injecte le fichier rockyou pour tester tous les MdP… 1 par 1…).
Du coup, il n’y a rien d’étonnant à y trouver ses propres MdP car il y a probablement quelqu’un d’autre qui a utilisé le même (on parle d’une base de milliards de combinaisons de lettres et chiffres). Fait juste éviter de retrouver son MdP dans le haut de la liste…
Le site HaveIBeenPwned indique si ses identifiants ont fuité… et indique surtout (généralement) qu’elle est (ou sont) l’origine de la fuite ce qui permet de savoir quel est le site concerné (par la fuite).
Il n’est donc pas systématiquement nécessaire de changer ses MdP si ils ont déjà été changé (perso j’en ai 1 qui a fuité il y a 10 ans, j’ai déjà changé plusieurs fois de MdP pour ce compte depuis).
Il faut toutefois les changer régulièrement et, si possible, utiliser le MFA (code additionnel reçu par sms par exemple).
Il est aussi possible de déléguer l’authentification (« se connecter avec google » par exemple), ce qui permet de réduire le nombre de comptes à protéger (et fourni des infos sur vos habitudes à Google…)
1 « J'aime »
« lorsqu’une première fuite avait exposé les mots de passe de millions d’utilisateurs de réseaux sociaux. »
Je ne vois pas le rapport. Où se trouvent les mots de passe sur les RS ?
Sinon, d’où proviennent ces fuites, de manière générale ? De gestionnaires de mots de passe ?
@peper_1_1
« Il est aussi possible de déléguer l’authentification (« se connecter avec google » par exemple) »
En effet, mais il faut d’autant plus éviter de se faire pirater son compte Google… cela me paraît dangereux. Personnellement, je n’utilise cette facilité que pour les sites de moindre importance.
Enfin, faire confiance au site HaveIBeenPwned, pourquoi pas, mais cela me semble également un jeu dangereux.
1 « J'aime »
En fait c’est assez simple : c’est peine perdue.
Dès que l’on utilise son adresse mail sur un/des sites elle va finir sur une de ces listes à un moment donné, c’est les sites en face le problème la plupart du temps.
J’ai supprimé une adresse hotmail.com en octobre dernier, j’ai transféré 8 sites sur une toute nouvelle en outllook.fr (dont 3 du groupe ldlc) et il y a qq mois j’avais déjà mon premier essai hameçonnage (je dois du pognon à ldlc.com il parait et faut vite reagir sinon… , depuis c’est colis bloqué et autres bêtises 1 à 2 fois par mois) , a par la creation en octobre j’ai dû l’utiliser moins de 10fois sur ces 8 sites avant mon premier mail merdique
Donc je conseille :
– Ne surtout pas mettre son nom dans l’adresse du mail (sinon le spam/phishing sera personnalisé avec cette info, c’est un beau cadeau)
– Faire plutôt un maximum d’alias de compte microsoft (des sous comptes du mail principal) ou autres comptes « poubelle » pour compartimenter/grouper les sites. (L’alias principal du compte sera alors le seul autorisé à se loguer sur le compte (il faut aller le régler ainsi) et il ne sera jamais utilisé comme adresse mail, et tous les autres alias n’auront pas le droit de se loguer)
J’ai commencé à les migrer ailleurs pour la tuer elle aussi mais je suis un peu bloqué par une tracasserie administrative sur l’un des sites (alors que l’année dernière aucun problème avec lui)
HaveIBeenPwned c’est fait par des gens de Microsoft, et c’est ce qui est utilisé souvent par les navigateurs et autres outils qui vérifient la diffusion des adresses mails et password
1 « J'aime »
La liste rockyou est issue de fuites (diverses) publiées sur l’internet.
Ils récupèrent les login/mdp de ces listes et ne conservent que les mdp.
Ces fuites sont généralement dues a des « piratages » de sites ou services internet, soit en raison de défauts de sécurisation (accessible en clair depuis l’internet), soit via l’exploitation de failles de sécurité.
Bref rien de spécifique aux RS.
Déléguer l’authentification a google permet de ne se concentrer que sur la sécurisation d’un seul compte (par exemple concernant le changement régulier de mdp) et de bénéficier du MFA qui renforce sérieusement la sécurité (MFA que de nombreux sites n’ont pas).
Google, on aime ou pas, mais ils ont (quand-même) un bon niveau de sécurité, meilleur que de nombreux sites.
(j’ai déjà évoqué la « surveillance » de google associée, je ne reviens pas dessus).
Le site HIBP est très largement considéré comme sérieux et, a l’inverse de rockyou, ils ne conservent que les login ayant fuité (et indiquent généralement quelle est l’origine de la fuite = quel site s’est fait pirater et quand).
Bref, pas vraiment de sujet de confiance : ton email n’est pas référencée = ils ne l’ont pas trouvé = il faut quand même changer son mdp de temps en temps ; et si elle est référencée il faut s’assurer d’avoir changé son mdp depuis… et continuer a le changer de temps en temps.
1 « J'aime »