Pour ne pas subir de fâcheuses conséquences après la fuite de données historique de 16 milliards de mots de passe, il est utile de suivre quelques précieux conseils.
… et différents services gouvernementaux
Mais encore ? Il y a une liste exhaustive disponible quelque part ?
1 « J'aime »
Les services gouvernementaux… ça couvre les services inclus dans France Identité ?
Si vous le pouvez, installer un antivirus fiable capable de détecter les infostealers (voleurs d’informations) n’est pas une mauvaise idée, ces logiciels malveillants responsables de cette fuite.
Donc en gros, ça concerne surtout des gens qui n’avaient pas d’antivirus installés sur leurs systèmes - smartphones compris - et qui stockaient leurs identifiants dans leurs navigateurs tout en allant sur des sites douteux …
Peut-être aurait-il fallu commencer l’article par ça ?
1 « J'aime »
Pourquoi faire ?
La prudence et l’efficacité est juste de changer tous ses mots de passe immédiatement
Je ne pense pas car Amazon, Apple et d’autres sont concernés : en fait tout type de mots de passe.
J’ai du mal à comprendre sur différents sites les commentaires de certains qui essayent de savoir s’ils sont concernés ou pas vue l’ampleur du désastre, car cela peut être un désastre quand on songe que tout est connecté … Il faut juste agir et changer tous ses PW (dans un premier temps) . L’anti virus « fiable » avec un lien commercial , c’est opportuniste je trouve…
sur le dark web, en échange de quelques $ 
mais il est vrai que tous les sites en parle… mais sans aucun détails…
attention à ne pas tout miser sur HaveIBeenPwned.com
les bases mettent quelques semaines à un mois avant de pouvoir être testées sur le site !
De plus elles n’y sont évidemment pas toutes…
Très bon outils mais qui a ses limites
Le problème c’est toutes les plateformes qui se font pirater, comme harmonie mutuelle, top achat, ect…
Les données personnelles se retrouvent dans la nature pas à cause de négligence de l’utilisateur mais des sociétés qui ne les protègent pas suffisamment…sans compter toutes celles qui les revendent…il n’y a donc pas que les infostealer qui sont responsables des piratages.
1 « J'aime »
je confirme qu’il n’y a toujours pas les bases sur HaveIBeenPwned.com
mais par contre vous pouvez le voir avec Malwarebytes elles y sont, dans « protection de l’identité » il vous donne même le mot de passe qui a fuité !
L’efficacité comme tu dis serais aussi de pouvoir cibler un minimum parce que des sites sur lesquels j’ai pu renseigner login et mot de passe il n’y en a pas que 3 ou 4.
Et je vais pas faire le tour de tous pour potentiellement une poignée (voir aucun) de concernés.
Source : un autre article de clubic → Forbes → pas de source
Donc pas de source. Pour moi c’est un pur clickbait de forbes avec moultes pubs pour des « solutions » de sécurités toutes plus optionnelles les unes que les autres et qui implique toujours plus de tiers de confiance…
Faux.
Ça concerne aussi les personnes qui, même bien protégées par un bon antivirus, ont diffusé leurs adresses e-mails en créant un compte client sur un site de e-commerce par exemple, ou même communiqué par e-mail avec des amis, de la famille ou autres, et dont les serveurs et/ou messageries ont été piratés. Ces vols ne sont pas forcement réalisés directement sur les machines des personnes concernées, mais peuvent être réalisés au travers de piratages de tiers comme un site de e-commerce, des messageries d’amis, etc.
Comment des mots de passe en clair se retrouvent-ils dans la nature exactement?
1 « J'aime »
Justement. La diversité des sites semble indiquer que ce ne sont pas les sites eux même qui ont été piraté, mais plutôt le PC des utilisateurs : soit avec un Keylogger, soit avec un programme qui aspire les mots de passes mémorisés dans les navigateurs. A moins que ce soit le piratage d’un gestionnaire de mot de passe.
Il y a 17 milliard de mot de passe, mais je serais curieux de savoir combien de personne (compte e-mail associés). Si tu as 50 fois la même personnes, cela ne fait plus que 350 millions de personnes qui se sont fait pirater 50 comptes et validerait mon hypothèse.
Bonjour, quelqu’un peut-il m’expliquer pourquoi les mots de passe ne sont pas stockés cryptés comme dans le fichier etc/passwd sous unix/linux ?
Non, ce n’est pas le sujet de l’article, ce ne sont pas des piratages de serveurs dans le cas présent, regarde la partie de ma citation + haut que j’ai mis en gras.
Si tu comprends l’anglais, c’est indiqué dans la source Forbes déjà mentionnée par @Hanandano dans l’autre article de Clubic sur le même sujet:
As part of an ongoing investigation that started at the beginning of the year, the researchers have postulated that the massive password leak is the work of multiple infostealers.
(Forbes)
D’autre part, remplacer ses mdp depuis des appareils potentiellement infectés - PC ou smartphone - ne sert strictement à rien, les nouveaux mdp se feront siphonnés aussi, mais rien n’a été volé à Apple & Cie.
1 « J'aime »
Sur des gros services comme ceux cités dans le titre, il ne fait absolument aucun doute qu’ils sont bien hashés, donc un vol de leurs bases de données n’expose pas directement les mots de passe.
Mais sur une base de donnée volée, il est possible de tester assez rapidement sur chaque compte les mots de passe les plus fréquents, ce qui peut permettre d’en exposer déjà une bonne dose.
Ensuite, la fuite peut provenir d’ailleurs que de leur base de données.
Ça peut par exemple provenir de logiciels espions sur les appareils des utilisateurs. Et là forcément, il y a des moments où les mots de passe sont accessibles en clair, puisque même s’ils sont chiffrés sur l’appareil, il faut les déchiffrer pour les utiliser, et la clé de déchiffrement se retrouve forcément à un moment ou à un autre sur l’appareil.