L’information n’a surement pas dû vous échapper. Près de Seize-milliards de mots de passe ont fuité de diverses plateformes, j’ai lu ici et là Github notamment et Google.
Mais où peut-on trouver la liste complette des plateformes touchées afin de changer nos mots de passe ?
Ça n’a pas vraiment de rapport avec Debian, mais ça me semblai important.
@fauve, Il suffit de lire la presse économique, les emails reçus des fournisseurs d’accès, des administrations… pour se constituer une liste. La publication d’une telle liste n’allant pas dans le sens de la sécurité, je doute fort qu’elle soit publiée ne serait-ce que par cet aspect.
Si as un doute, change les mots de passe les plus critiques pour toi.
Justement, comme j’en ai beaucoup, avoir une liste m’aurait aidé à priorisé. Alors que sans mis à part y aller au feeling je ne vois pas trop selon quel protocole procéder.
Une liste permettrait de mettre une alarme sur un mot de passe « Ce mot de passe est considéré comme compromis, changez-le tout de suite ». Sans liste ça serait « Mouai, change-le si t’as rien à faire », ce qui revient à ne rien changer.
D’expérience, je me méfie de ce type de procédure. Oh, je ne remet pas en cause le fait de commencer par ceux là qui sont assurément compromis.
Mais en général, lorsque l’on attire l’attention sur un sous-ensemble d’éléments compromis, on ignore les quelques uns tout aussi compromis qui ne font pas partie de l’alerte de départ. Et ce faisant on crée un faux sentiment de sûreté par défaut d’exaustivité. Et surtout par mise en lumière d’un sous-ensemble restreint.
Si tu me dis google, github, facebook. Je vais évidement changer ceux-là. Mais peut-être que derrière j’aurais oublié flickr.
Je m’inscrit en faux avec cette assertion qui est un réfelexe de sûreté par l’obscurité qui, non content d’être peu efficace, se révèle bien plus souvent pernicieux en créant un faux sentiment de sûreté.
Sauf que la probabilité de flickr compromis est 10 fois plus faibles que les GAFAM.
enfin, estc-e que flickr a ders informations confidentielles? à par une adresse courriel?.
probablement pas.
Ce qui importe c’est la criticité.
Et certaines sociétés ont l’obligation d’informer leurs utilisateurs; comme les banque par exemple; ou les administration.
Si quoi que ce soit pouvait arriver du fait d’une compromission non communiquée, leur responsabilité serait ipso facto engagée.
L’exhaustivité ne vaut que par criticité.
perso j’en ai rien à faire que mon compte F-Droid ou Flick soit compromis. Par contre celui d’une administration me génerait beaucoup plus.
Et pour finir, j’ai personnellement une politique de renouvellement de mes mots de passe grace à une fonctionnalité de mon coffre fort de mot de passe.
Ce qui implique que je n’ai quasiment aucun mot de passe de plus d’un an.
salut
perso j’aimerais bien avoir la liste des mots de passe pas juste les sites
je m’explique , et ça va dans le sens de @fauve:
il y a quelques temps des milliards de mot de passe ont été publiés
j’ai cherché - je ne sais plus comment j’ai trouvé un torrent , j’ai téléchargé et j’a icherché dedans tous les emails de mes connaissances ; tous ceux qui y étaient, je leur ai dis ; en particulier il y avait des mots de passe des chu avec qui je bossais.
je n’aime pas demander à des sites que je ne connais pas si mon email est compromis; j’y suis aller pour voir. Ils ont mon mot de passe , mon login , le site, et éventuellement mon ip quand je teste, peuvent recouper avec les autres brèches… Donc avoir toute la base et vérifier.
si quelqu’un sait comment télécharger ces mots de passe, ça m’intéresse.
docn si quelqu’un sait
Oui, je connais cette base de mot de passe dont tu parles (j’en ai oublié le nom). Elle est encore aujourd’hui utilisée par des white hats notamment.
Du reste, le gestionnaire de mot de passe de Firefox signale les mot de passes associés à des plateformes réputées compromises et incite l’utilisateur à les modifier. Je voudrais faire la même chose, sauf que je n’ai pas Firefox.
Et oui, il est nécessaire que la base soit exhaustive, et pas que l’on s’amuse au petit bonheur la chance à se dire « Oh ĉelui-là a une tête à être compromis, celui-là non ». Ça crée de l’insécurité et l’on ne sait pas sur quel pied danser.
Visiblement @fauve, vous ne connaissez pas le darknet avec des listings complets de mots de passe et donc une absence de sécurité. La sûreté par l’obscurantisme (et non pas l’obscurité) ne concerne pas la liste des mots de passe: je vous invite à étudier Linux et le hachage des mots de passe !
Il n’est ni question de réflexe, ni d’inscription en faux. Ca sent le troll ou l’IA débile !
Mais je ne veux pas la liste des mots de passe, je veux juste la liste des services et plateformes compromises.
Je ne sais pas ce qu’est ce « darknet ». Je sais à la rigueur ce qu’est Tor ou même Freenet et ISP ou plus généralement un réseau overlay. Mais « darknet » ça ne me dit rien.
Je travaille dans la cryptographie depuis plus de dix ans. Compte à Linux, je suis né avec.
tu n’auras jamais la liste complète car certains sites ne publient jamais cette information.
Dans le doute il suffit de refaire ses mots de passe.
Quand à accéder aux listes des mots de passe publiés, il faut aussi comprendre que l’utilisation de certaines bases de données de ce genre peut être passible de justice en France.
En ce qui me concerne, mon fournisseur de coffre fort fait une analyse du darknet pour me prévenir.
Dans ce cas partez du principe qu’elles ont toutes été compromises pour renouveler régulièrement vos mots de passe. La meilleure façon d’obtenir une liste, c’est de se la créer: en travaillant dans la cryptographie depuis plus de dix ans je suppose que la consultation des rapports d’audits apporteront de l’eau à votre moulin, à moins d’être très mal chaussé comme les cordonniers… En tout cas comme le mentionne @zargos, elle ne sera jamais complète, voire même à jour…
Enfin, dans le titre de votre mot de passe, le mot « récemment » peut laisser supposer que vous cherchez une liste dont tout n’a pas été corrigé avec tout ce que qui va derrière. Je ne sais pas à quel niveau vous travaillez dans la sécurité mais cela fait peur, très peur même, ne serait-ce que par un manque de sensibilisation digne de ce nom. Ne le prenez pas pour une critique personnelle mais comme un constat de dysfonctionnement important, à moins que vous travaillez de façon ultra-cloisonné et que vous n’êtes qu’un élément parmi tant d’autres, mais même dans un tel contexte le personnel mériterait une meilleure sensibilisation. Nul besoin d’être prophète dans son pays pour savoir que ça ne va pas aller en s’arrangeant au niveau de la sécurité mais le bon côté des choses c’est que les entreprises impactées seront mortes et enterrés rendant ainsi leurs services informatiques hors d’usage pour le plus grand bien d’entreprises plus discrètes ou plus sérieuses.
Merci @nicola pour le lien. Attention toutefois avec ce genre de service car cela revient à communiquer son email: c’est en quelque sorte l’histoire du serpent qui se mord la queue.
Merci, ça se rapproche de ce que je cherche !
Je n’utilise pas Firefox, justement. Je sais juste qu’il offre ce service.
Je ne m’attends pas à ce qu’ils le fassent, je m’attends à ce qu’un tiers, comme ton « fournisseur de coffre fort » fasse une analyse de la cours des miracles et vienne me dire « Change en priorité tes mdp sur tel et tels services ».
Non mais c’est pas possible ! J’ai bien 200 comptes différents, si sur les 200 y’a que 10 ou 20 qu’il faudrait changer, j’aimerais autant me focaliser dessus.
Et puis, même si je planifie un changement des 200 mdp, il faut bien établir une feuille de route avec des priorisations. Si dans les 200 mdp y’a 20 sites qui sont à changer en priorité, je préfère autant commencer par ceux-là. Surtout que le processus pour certains est laborieux.
Non mais t’as pas compris ce dont je parles, que l’on s’entende une fois pour toutes : — Je ne veux pas la liste des mots de passe — je veux la listes des services compromis, des services. Soit dit en passant la loi ne prohibe évidement pas, est-il besoin de le rappeler, le recours à des ressources à des fins d’études et de sécurisation de ses propres systèmes à soi, ce qui est notre cas ici.
Ce que je cherche ce n’est pas la liste qui contient :
Clothilde de la compta,1234
Jean Marc voisin d’en haut,abc
Cette liste là, je ne la veux pas, je n’en ai jamais parlé, je ne la cherche pas, je ne la souhaite pas, je la maudit, je la honit, elle n’est pas l’objet de ce sujet. Ça me parait pourtant clair et limpide.
La liste que je cherche ressemble à quelque chose comme :
Facebook.com
Flickr.com
Github.com
…
Mais ce n’est pas possible, je dois bien en avoir 200. Et j’ai du travail à coté, des clients qui me relancent, je ne vais pas poser des RTT pour ça Ô.O.
En suite, j’ai déjà un plan de renouvellement semestriel des mots de passe.
Et quand tu dis « tous » c’est lesquels ? Ça inclue le mot de passe de debian-fr.org ? Celui de l’association d’échec d’à coté ou de FICS ? Il faut bien savoir quoi prioriser. Avoir une évaluation du risque pour chaque mot de passe.
Évidement que non. D’une part parce que je travaille sur un projet qui n’a rien à voir avec cette fuite. Et de surcroît je travaille sur les algorithmes de chiffrement. Donc les rapports d’audit qui me parviennent portent sur l’obsolescence des chiffrements, les collisions, les faiblesses des implémentations. Ce qui a trait à l’OSINT, à ingénieure sociale, aux keylogger, et toutes ces joyeusetés ce n’est pas mon rayon, on ne peut pas se spécialiser dans toute la sécurité informatique.
À aucun moment je n’ai dis vouloir une liste complete et parfaite.
Je ne cherche pas une liste qui recencense absolument toutes les vulnérabilités existantes dans le monde. Juste une liste des services compromis dans le dernier leak en question, celui au 16 G mots de passes. Ne compliquons pas les choses.
Je n’ai pas envie d’aller dans la cours des miracles, récupérer je ne sais quoi, et en suite trier le csv. Je suppose que des organismes dignes de confiance, spécialisés dans ce genre de situation et qui connaissent bien ce millieur ont déjà fait le travail. Ce n’est pas un peu le travail de la CNIL soit dit en passant ?
Mais pour la troisième fois, je ne sais pas d’où vous tirez ça. Je le répète encore, probablement que cette fois-ci sera la bonne, je ne veux pas les mots de passe ni les comptes, ce que je veux ce sont les platteformes.
Ce que je cherche : les noms des plateformes
Ce que je ne cherche pas : les comptes, les mots de passe, les numéros de téléphone, la météo, la recette des suchis.
Y’a écrit quoi là dans le titre ?
Il y’a écrit « plateformes ». Donc à quel moment vous sortez cette histoire de liste des comptes ?
Je parle de liste de mots de passe. Il est bien écrit « mots de passe » et récents en plus dans le titre. En demandant les plateformes (noms) impactées, c’est une première porte ouverte pour la suite ! Je ne mets pas en doute votre sincérité mais personne ne vous remettra une telle liste et il est facile de comprendre pourquoi.
Le renouvellement des mots de passe est régulièrement imposé, et pour cause, dans tout service qui se respecte nécessitant de s’identifier. Avec quelques centaines de mots de passe, ce qui n’est pas si grand que ça, on peut envisager le scripting, l’automatisation; je suis sur qu’un devops pourra vous aider.
C’est bien ce que je disais, il vous manque une sensibilisation générale en sécurité. On peut travailler 25 ans sur un sujet sans même avoir une culture générale suffisante dans un secteur: c’est le principe du cloisonnement et de fait on se retrouve avec des pirates qui mettent à mal la sécurité de systèmes par d’autres portes ou même de simples utilisateurs qui contournent très facilement certains bridages. Comme me disait un expert en sécurité avec une certaine dose d’humour, le plus gros point faible se situe entre la chaise et le clavier. Malheureusement et plus sérieusement, l’expérience montre qu’il avait et a encore terriblement raison ! Et ce n’est pas avec les nouvelles lois en préparation que le problème va se résorber, bien au contraire en permettant aux entreprises de proposer une reconversion de leurs salariés et donc d’éviter des carrières longues avec au final plus de précarité et toujours moins de sécurité au final sur les systèmes informatiques. Mais bon, l’IA fera l’affaire et l’on comblera le manque de compétences avec les génies du bout du monde puisqu’on est trop bête !
Sauf que les gens ont trouze miyiards de mots de passe à retenir (avec Firefox qui interdit de les retenir), donc quand on leur demande de changer leur mot de passe chaque mois, on a « Kikou1! » puis « Kikou2! », « Kikou3! », etc.