Forum Clubic

Commentaires : RockYou2021 : 8,4 milliards de mots de passe dans la nature, pour un fichier de quelque 100 Go

Une liste impressionnante de milliards de mots de passe a été publiée sur une célèbre plateforme de hackers. Celle-ci proviendrait de diverses fuites précédemment compilées.

1 J'aime

Chose importante à signaler, vos adresses gmail et hotmail ont de forte chances de figurer dans la liste, mais probablement parcequ’elles étaient utilisé sur d’autres sites, cela ne veut pas dire que vos messageries sont exposées, à moins d’utiliser le même mot de passe partout.

3 J'aime

D’après le premier outil, deux de mes quatre adresses mail ont un problème. Mais avec quel mot de passe? Pour quel site? Sachant que j’ai un mot de passe par site.
Par contre, le second outil où il faut rentrer ses mots de passes…Non merci. Si je le fait, il faudra que je change tous mes mots de passe :wink:

2 J'aime

Avec les CLIQUANT ICI comme ça bah j’ai l’impression que c’est ça l’arnaque.

Tu penses bien que jamais on ne s’amusera à livrer des liens bidons.

Au contraire, le but, c’est de les faire ressortir au mieux, pour que les lecteurs ne les loupent. C’est dans un intérêt de sécurité qu’on fait cela :wink: mais ça tu le sais :slight_smile:

2 J'aime

En fait ce genre de news veut tout et rien dire : il n’y aucune information réelle et sérieuse sur l’ancienneté des informations contenues, la provenance etc.

De même que même si Personal Data Leak Checker: Your Email & Data - Breached? | CyberNews vous dit que votre email est dans leur base ça ne veut pas dire du tout que des informations personnelles circulent. Ca veut simplement dire avec certitude qu’un moment une source de données contenait votre adresse mail, ce qui est tout à fait courant dès que vous vous inscrivez quelque part avec la revente de données.

1 J'aime

Adresses Gmail et Hotmail compromises mais les mots de passe sont de très vieux mots de passe datant de plus de 10 à 15 ans que je n’utilise plus depuis bien longtemps, donc pas de soucis pour moi. A priori…

Je suis allé sur le site de l’article et on fait franchement mieux que ça. Il servira tout au plus à faire flipper ceux qui verront le message rouge bien alarmant sans qu’ils n’aient aucune information supplémentaire.

J’y ai rentré deux adresses qui avaient été piratées il y a longtemps.

Ce n’est pas pour faire de la pub mais Firefox monitor est beaucoup plus performant et précis et de loin. Il donne l’origine de la fuite (site, date, …)

Y a pas photo sur ce point.

Vôtre lien va stresser les utilisateurs plus qu’autre chose vu qu’il n’auront aucune précision. Je trouve que c’est un manque réel de sérieux que de ne citer que vos propres sources sans faire part des alternatives existantes et/ou complémentaires à ce dit lien désolé.

1 J'aime

Rien de bien nouveau, ce genre de listes a déjà été publié à certains moments, d’ailleurs il y a quelques mois ça portait le nom de « Comb », une collection de plusieurs leaks regroupés.

Pour éviter des tracas, les règles de base sont encore une fois assez simples : avoir des mots de passe différents, et les changer de temps en temps + authentification à double facteurs sur les comptes principaux ça permet quand même de limiter très fortement les risques.

J’ai opté pour un gestionnaire de mots de passe hors ligne : Secret Space Encryptor sur Android, il dispose d’un coffre fort (Password Vault) et fonctionne assez bien. Il peut aussi exporter un fichier chiffré qui contient toutes les infos pour pouvoir le sauvegarder soi-même où l’on veut.

Il y a quelques mois, un article de Clubic déconseillait d’aller sur les sites pour vérifier si on est compromis. Bref pas de cohérence,

1 J'aime

C’est simple: via Clubic, vous allez alimenter le fichier TXT avec vos mot de passe unique pas encore répertorié. C’est malin!

1 J'aime

Je perçois quand même pas mal de mauvaise foi chez certains d’entre vous… les premiers à grogner seront les premiers à jouer les étonnés s’ils s’aperçoivent un jour que « ça n’arrive pas qu’aux autres. »

En matière de cybersécurité, pousser un maximum les utilisateurs à être prudents ne coûte rien. Du moment qu’il y a de la pédagogie, je ne vois pas où est le problème. Mieux vaut ça que dire que tout baigne et qu’en mettant un mot de passe béton ils ne risqueront rien. Hélas, ça n’est pas aussi simple que cela.

Et CyberNews rapporte une vraie info. Il n’y a rien d’inventé là-dedans. Puis si évidemment certaines fuites sont plus anciennes (on le précise d’ailleurs dans l’article, c’est écrit noir sur blanc !), le chiffre de 8 milliards suffit à lui seul à interpeller. 8 milliards de mots de passe, même sur 10 ans de fuites, imaginez à quel point cela est colossal.

On ne parle pas d’un leak de 300 000 et 400 000 MDP.

Bref, avant de crier au scandale, essayons de prendre conscience de la gravité de la chose, et d’inciter à la prudence.

Et évidemment, l’outil de référence reste https://haveibeenpwned.com/ pour vérifier si votre mail est associé à une fuite de données. Un outil maintes et maintes fois cité sur Clubic :wink:

2 J'aime

Perso, pour les connexions sensibles : compte mail pro et perso, je change chaque mois le mot de passe avec authentification à double facteur.

Pour les sites d’achat, je n’enregistre jamais ma CB comme ça même si le hacker connait mon mot de passe, il devra utiliser sa propre CB :wink: .

2 J'aime

Et tu as bien raison.

J’en profite pour ressortir ce dossier-là, qui date déjà d’il y a un an… > Amazon : des hackers auraient réussi à contourner la double authentification.

2 J'aime

Il y a des sites plus ou moins fiables que d’autres. Je suis le premier à le dire. Mais, en 2021, dans le monde cyber et à ma connaissance, CyberNews n’est pas réputé pour ponctionner tes données.

Tu as raison, et j’ai ajouté une micro partie à l’article, qui était nécessaire, effectivement :slight_smile:

Le premier site web ne dit pas quel mot de passe est compromis, donc totalement inutile.

Le deuxième site Web où il faut mettre votre mot de passe va juste servir à alimenter leur base de données de mot de passe. Et ensuite, cela va se retrouver dans les mains de qui ? Ça sent plutôt l’arnaque.

Ce genre d’information est utile. Merci de nous en avoir informé.

C’est vrai que c’est dommage qu’on ne sache pas sur quel site, il y a eu des failles.
Avec https://haveibeenpwned.com/ on peut connaitre certains sites mais pas tous et c’est fort dommageable.
Enfin comme dit par plusieurs personnes si on utilise des mots de passe différents et qu’on ne stocke pas sa carte bleue le risque est diminué. Par contre, pour certains de mes comptes, je pense au compte google et comptes jeux (steam blizzard etc) j’ai activé le second facteur authentification