Pour ceux qui connaîtraient pas, il y a ce site qui aide pas mal à savoir si on est touché de manière générale: https://haveibeenpwned.com/
On peut contrôler depuis une simple adresse de courriel si on a été touché par ce genre de fuite.
Pour l'instant cette fuite de LDLC ne semble par répertoriée.
A suivre.
Y'a un truc rigolo avec HaveIBeenPwned (vénérable service d'ailleurs), c'est que mon adresse mail est dans 3 brèches, et que j'avais totalement oublié que j'avais des comptes sur ces sites :D.
Par contre quand tu l'utilises en entreprise sur un domaine complet (genre nom-de-l'entreprise.com), ça sort des infos que tu aurais préféré ne pas avoir, genre des collègues inscrits sur des sites de rencontre coquins avec leur adresse pro :-/.
D'ailleurs en terme de RGPD je ne sais pas comment ça se gère, ce genre de cas. Tu vas voir ton ou ta collègue et tu lui annonces qu'il ou elle doit changer son mot de passe sur 64bites.com ?
Alors, je viens de tenter avec root@ et hostmaster@ de mon employeur, et j'ai 7 et 1 hit. Je suis relativement sur que personne n'a utilisé ces 2 emails. Donc même si HIBP a une réputation solide, c'est quand même aussi solide que les données mises dedans par des gens qui ont intérêt à gonfler la taille de leur dataset en coupant ça avec de la farine.
Je n'arrive pas à comprendre l'engouement, surtout dans le milieu d'informatique, de personnes qui entrent volontairement des données privées sur un site pour, je cite plus ou moins, "vérifier qu'ils ne sont pas piratés"… un peu comme il y a eu une tendance à une époque très récente qui était de "vérifier la solidité de son password" et qui derrière alimente une base de données qui va très certainement permettre des algorithmes brute force de faire des attaques… Je suis surpris qu'on n'y fasse toujours pas attention.
hibp est un site qui a une solide réputation, quand même. Une partie de la sécurité est un arbitrage entre un risque et un gain, sinon tu ne peux rien faire : tu peux choper des microbes rien qu'en respirant (souvenirs)…
Que le mec derrière haveIbeenPwned est un gars sérieux. OK, l'argument est un peu du style "trust me bro", mais il n'y a rien de shady derrière Troy.
Ensuite, tu peux toujours vérifier par toi même. Pour le mot de passe, le mode était intéressant:
Tu n'envoyais jamais le mot de passe. Le browser prenait ton mot de passe, le hashait et envoyait le premier caractère du hash à hipb -> S'il y avait correspondance, alors il envoyait le second, puis le 3e, etc.. Dès que le hash était inconnu -> On signalait à l'auteur que son mdp était fiable. Si tu allais au bout du hash, alors on considérait que ton mot de passe avait fuité.
Ca reste quand même super safe -> ton mdp ne circule jamais, au pire il y a un hash incomplet qui a circulé.
Ca m'a l'air super safe.
Précision très importante: je parle du site haveIbeenPwned. Il existe moultes autres sites qui proposent des vérifs de mots de passe et qui sont bidons. N'y allez pas. Sachez reconnaître les bons sites, quand il y en a.
c'est arrivé vers le 8 février et toujours pas de bilan. Mais que fait la police ! il est écrit de contacter dpo@iliad.fr, mais si chacun le fait, ça risque de lui donner bien du travail, a moins d'une réponse automatique.
Le périmètre de la fuite n'est pas précisé :
- quelles données
- quels clients, pour quels services.
# Attention au conditionnel
Posté par gUI (Mastodon) . Évalué à 5 (+2/-0).
C'est toujours pas confirmé par LDLC.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Attention au conditionnel
Posté par NiKaro (site web personnel) . Évalué à 6 (+5/-0).
Confirmé : https://www.groupe-ldlc.com/information-relative-a-un-incident-de-cybersecurite-2/
# Utile
Posté par Florian.J . Évalué à 4 (+4/-1).
Pour ceux qui connaîtraient pas, il y a ce site qui aide pas mal à savoir si on est touché de manière générale:
https://haveibeenpwned.com/
On peut contrôler depuis une simple adresse de courriel si on a été touché par ce genre de fuite.
Pour l'instant cette fuite de LDLC ne semble par répertoriée.
A suivre.
[^] # Re: Utile
Posté par cg . Évalué à 7 (+5/-0).
Y'a un truc rigolo avec HaveIBeenPwned (vénérable service d'ailleurs), c'est que mon adresse mail est dans 3 brèches, et que j'avais totalement oublié que j'avais des comptes sur ces sites :D.
Par contre quand tu l'utilises en entreprise sur un domaine complet (genre nom-de-l'entreprise.com), ça sort des infos que tu aurais préféré ne pas avoir, genre des collègues inscrits sur des sites de rencontre coquins avec leur adresse pro :-/.
D'ailleurs en terme de RGPD je ne sais pas comment ça se gère, ce genre de cas. Tu vas voir ton ou ta collègue et tu lui annonces qu'il ou elle doit changer son mot de passe sur 64bites.com ?
[^] # Re: Utile
Posté par Misc (site web personnel) . Évalué à 5 (+2/-0).
Alors, je viens de tenter avec root@ et hostmaster@ de mon employeur, et j'ai 7 et 1 hit. Je suis relativement sur que personne n'a utilisé ces 2 emails. Donc même si HIBP a une réputation solide, c'est quand même aussi solide que les données mises dedans par des gens qui ont intérêt à gonfler la taille de leur dataset en coupant ça avec de la farine.
[^] # Re: Utile
Posté par AlexTérieur . Évalué à 7 (+7/-1).
Je n'arrive pas à comprendre l'engouement, surtout dans le milieu d'informatique, de personnes qui entrent volontairement des données privées sur un site pour, je cite plus ou moins, "vérifier qu'ils ne sont pas piratés"… un peu comme il y a eu une tendance à une époque très récente qui était de "vérifier la solidité de son password" et qui derrière alimente une base de données qui va très certainement permettre des algorithmes brute force de faire des attaques… Je suis surpris qu'on n'y fasse toujours pas attention.
[^] # Re: Utile
Posté par cg . Évalué à 5 (+3/-0).
hibp est un site qui a une solide réputation, quand même. Une partie de la sécurité est un arbitrage entre un risque et un gain, sinon tu ne peux rien faire : tu peux choper des microbes rien qu'en respirant (souvenirs)…
[^] # Re: Utile
Posté par octane . Évalué à 8 (+6/-0).
Que le mec derrière haveIbeenPwned est un gars sérieux. OK, l'argument est un peu du style "trust me bro", mais il n'y a rien de shady derrière Troy.
Ensuite, tu peux toujours vérifier par toi même. Pour le mot de passe, le mode était intéressant:
Tu n'envoyais jamais le mot de passe. Le browser prenait ton mot de passe, le hashait et envoyait le premier caractère du hash à hipb -> S'il y avait correspondance, alors il envoyait le second, puis le 3e, etc.. Dès que le hash était inconnu -> On signalait à l'auteur que son mdp était fiable. Si tu allais au bout du hash, alors on considérait que ton mot de passe avait fuité.
Ca reste quand même super safe -> ton mdp ne circule jamais, au pire il y a un hash incomplet qui a circulé.
Ca m'a l'air super safe.
Précision très importante: je parle du site haveIbeenPwned. Il existe moultes autres sites qui proposent des vérifs de mots de passe et qui sont bidons. N'y allez pas. Sachez reconnaître les bons sites, quand il y en a.
[^] # Re: Utile
Posté par sebas . Évalué à 7 (+5/-0).
Dix ans d'histoire d'haveIbeenpwned, par son auteur (en anglais)
# encore un fuite de données pour les clients de Free
Posté par Marc Quinton . Évalué à 4 (+2/-0).
c'est arrivé vers le 8 février et toujours pas de bilan. Mais que fait la police ! il est écrit de contacter dpo@iliad.fr, mais si chacun le fait, ça risque de lui donner bien du travail, a moins d'une réponse automatique.
Le périmètre de la fuite n'est pas précisé :
- quelles données
- quels clients, pour quels services.
ca m'agace un peu. Ou est la transparence ?
[^] # Re: encore un fuite de données pour les clients de Free
Posté par Benoît Sibaud (site web personnel) . Évalué à 5 (+2/-0).
Pour les personnes n'étaient pas au courant :
https://www.freenews.fr/freenews-edition-nationale-299/donnees-personnelles-free-cyberattaque
(La précédente https://www.zdnet.fr/actualites/free-relativise-l-ampleur-d-une-fuite-de-donnees-qui-a-vise-certains-de-ses-clients-39961348.htm ?)
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.