• # Attention au conditionnel

    Posté par  (Mastodon) . Évalué à 5.

    C'est toujours pas confirmé par LDLC.

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # Utile

    Posté par  . Évalué à 4.

    Pour ceux qui connaîtraient pas, il y a ce site qui aide pas mal à savoir si on est touché de manière générale:
    https://haveibeenpwned.com/

    On peut contrôler depuis une simple adresse de courriel si on a été touché par ce genre de fuite.
    Pour l'instant cette fuite de LDLC ne semble par répertoriée.
    A suivre.

    • [^] # Re: Utile

      Posté par  . Évalué à 7.

      Y'a un truc rigolo avec HaveIBeenPwned (vénérable service d'ailleurs), c'est que mon adresse mail est dans 3 brèches, et que j'avais totalement oublié que j'avais des comptes sur ces sites :D.

      Par contre quand tu l'utilises en entreprise sur un domaine complet (genre nom-de-l'entreprise.com), ça sort des infos que tu aurais préféré ne pas avoir, genre des collègues inscrits sur des sites de rencontre coquins avec leur adresse pro :-/.

      D'ailleurs en terme de RGPD je ne sais pas comment ça se gère, ce genre de cas. Tu vas voir ton ou ta collègue et tu lui annonces qu'il ou elle doit changer son mot de passe sur 64bites.com ?

      • [^] # Re: Utile

        Posté par  (site web personnel) . Évalué à 5.

        Alors, je viens de tenter avec root@ et hostmaster@ de mon employeur, et j'ai 7 et 1 hit. Je suis relativement sur que personne n'a utilisé ces 2 emails. Donc même si HIBP a une réputation solide, c'est quand même aussi solide que les données mises dedans par des gens qui ont intérêt à gonfler la taille de leur dataset en coupant ça avec de la farine.

    • [^] # Re: Utile

      Posté par  . Évalué à 7.

      Je n'arrive pas à comprendre l'engouement, surtout dans le milieu d'informatique, de personnes qui entrent volontairement des données privées sur un site pour, je cite plus ou moins, "vérifier qu'ils ne sont pas piratés"… un peu comme il y a eu une tendance à une époque très récente qui était de "vérifier la solidité de son password" et qui derrière alimente une base de données qui va très certainement permettre des algorithmes brute force de faire des attaques… Je suis surpris qu'on n'y fasse toujours pas attention.

      • [^] # Re: Utile

        Posté par  . Évalué à 5.

        hibp est un site qui a une solide réputation, quand même. Une partie de la sécurité est un arbitrage entre un risque et un gain, sinon tu ne peux rien faire : tu peux choper des microbes rien qu'en respirant (souvenirs)…

      • [^] # Re: Utile

        Posté par  . Évalué à 8.

        Que le mec derrière haveIbeenPwned est un gars sérieux. OK, l'argument est un peu du style "trust me bro", mais il n'y a rien de shady derrière Troy.

        Ensuite, tu peux toujours vérifier par toi même. Pour le mot de passe, le mode était intéressant:
        Tu n'envoyais jamais le mot de passe. Le browser prenait ton mot de passe, le hashait et envoyait le premier caractère du hash à hipb -> S'il y avait correspondance, alors il envoyait le second, puis le 3e, etc.. Dès que le hash était inconnu -> On signalait à l'auteur que son mdp était fiable. Si tu allais au bout du hash, alors on considérait que ton mot de passe avait fuité.

        Ca reste quand même super safe -> ton mdp ne circule jamais, au pire il y a un hash incomplet qui a circulé.

        Ca m'a l'air super safe.

        Précision très importante: je parle du site haveIbeenPwned. Il existe moultes autres sites qui proposent des vérifs de mots de passe et qui sont bidons. N'y allez pas. Sachez reconnaître les bons sites, quand il y en a.

  • # encore un fuite de données pour les clients de Free

    Posté par  . Évalué à 4.

    c'est arrivé vers le 8 février et toujours pas de bilan. Mais que fait la police ! il est écrit de contacter dpo@iliad.fr, mais si chacun le fait, ça risque de lui donner bien du travail, a moins d'une réponse automatique.

    Le périmètre de la fuite n'est pas précisé :
    - quelles données
    - quels clients, pour quels services.

    ca m'agace un peu. Ou est la transparence ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.