Discussion :

[Hinault Romaric]

Gmail : 5 millions de mots de passe publiés sur internet par un pirate
Google relativise et défend la sécurité de sa plateforme


Un pirate informatique a publié sur un forum russe dédié au bitcoin près de cinq millions d’identifiants de comptes et de mots de passe Gmail. Le hacker responsable de cette publication a affirmé qu’environ 60 % des comptes compromis étaient encore actifs.

La majorité des comptes qui ont été compromis semblent appartenir aux utilisateurs ayant pour langue l’anglais, l’espagnol ou le russe. Pour vérifier si votre compte n’a pas été compromis, vous pouvez utiliser le site isleaked et entrer votre adresse afin de savoir si celle-ci est répertoriée dans leur base de données. Le site affirme qu’il ne recueille aucune information saisie, ni les journaux d’accès.

Google a réagi suite à la publication de ces informations. Après quelques investigations, l’entreprise affirme que moins de 2 % des combinaisons de noms d’utilisateur et de mots de passe seraient fonctionnelles sur Gmail. Les comptes concernés auraient été protégés et la firme a demandé aux détenteurs de ces comptes de réinitialiser leur mot de passe.

Selon Google, une défaillance de Gmail ne serait pas à l’origine de la publication de ces informations (identifiants de comptes et mots de passe). Elles auraient été obtenues à partir de diverses sources dont la sécurité aurait été compromise.

Dans l’incertitude, si vous choisissez de changer de mot de passe Gmail, il est recommandé d’adopter un mot de passe fort et d’envisager l’utilisation de l’authentification à deux facteurs.


Sources : CNews, Google

[Thorna]

Selon Google, une défaillance de Gmail ne serait pas à l’origine de la publication de ces informations (identifiants de comptes et mots de passe). Elles auraient été obtenues à partir de diverses sources dont la sécurité aurait été compromise.

Réponse à la noix : soit le problème est chez eux, de leur responsabilité, soit il est chez quelqu'un d'autre et dans ce cas, si c'est un prestataire officiel et normal, il est compromis et c'est aussi le problème de Google, soit ce n'est pas un prestataire officiel et Google est compromis, c'est toujours leur problème !

[23JFK]

Ça voudrait dire que google stocke les mdp en clair dans leur DB ?! Cela semble très peu probable.

[Jarodd]

Pour vérifier si votre compte n’a pas été compromis, vous pouvez utiliser le site isleaked et entrer votre adresse afin de savoir si celle-ci est répertoriée dans leur base de données. Le site affirme qu’il ne recueille aucune information saisie, ni les journaux d’accès.

S'il le dit, c'est forcément vrai. Rien de mieux que demander à un tiers inconnu pour savoir si on est concerné, alors même que Google a bloqué les comptes et demandé la réinit du mot de passe.

Et si vous craigniez qu'on vous vole votre numéro de carte bleue, envoyez-moi ce numéro par MP (cache les 2 derniers chiffres par ** si vous doutez de moi) : vous recevrez une confirmation rapide de ma part. Bien sûr je respecte votre vie privée.

Aies confiance, crois en moi...

Edit : le nom de domaine a été enregistré 2 jours avant la publication de la fuite

[Saverok]

Ça voudrait dire que google stocke les mdp en clair dans leur DB ?! Cela semble très peu probable.

Même si on peut parfois être très surpris, ça semble peut vraisemblable
Par contre, cela pourrait venir d'un partenaire/prestataire de Google et cela signifierai que Google travaille avec des prestataires/partenaires non sécurisés
De de fait, Google serait coupable de négligence

[sinasquax]

C'est peut être simplement du fishing, social engineering, ... et aucune faille de sécurité de google. Ça m'étonnerai fort que google sauvegarde les mots de passe en clair.

[imikado]

Si ils stoquent les mots de passe en hash (empreinte), même si ils travaillent avec des partenaires ceux-ci ne peuvent pas avoir le mot de passe en clair (principe du hash)
Après, ils ont peut étre récupérer des couples login(clair)/mot de passe(hashé) et via des outils ils ont cherché à retrouvé les correspondances des empreintes (rainbow tables)

[Jarodd]

Ou alors la fuite provient simplement d'un autre site, qui ne chiffre pas les mdp. Vu le nombre de personnes qui ont les mêmes identifiants sur tous les sites, ça reste plausible...

[imikado]

Effectivement: on pique les mot de passes sur un autre site, puis par script on vérifie à l'aveugle sur gmail pour faire plus de buzzz.

[steel-finger]

Tout simplement que le hacker à récupéré les accès sur des site tiers, beaucoup moins sécurisé, il avais juste besoin d'essaie si les accès étais les même pour gmail

[imikado]

Ou tout bêtement par phising

[steel-finger]

oui c'est vrai ou bien par phising

[benjani13]

Pour vérifier si votre compte n’a pas été compromis, vous pouvez utiliser le site isleaked et entrer votre adresse afin de savoir si celle-ci est répertoriée dans leur base de données

Encore une fois un site prétendument là pour vous aidez mais qui ne porte aucune information quand à l'auteur (s'agit il d'un particulier? d'une entreprise de sécu? autre?).

Ça ne m'étonnerais pas qu'après avoir donné mon email, il me propose un formulaire pour changer mon mdp (nécessitant de donner l'ancien mot de passe évidemment )

If you don't like to specify your full email address for any reason, you can replace up to 3 characters with asterisk sign - See more at: https://isleaked.com/en#sthash.5zkd9zbs.dpuf

3 lettre à bruteforcer, même ma calculette peut le faire.

Please, support us and donate for iPhone 6

Bon ils ont de l'humour

Edit : le nom de domaine a été enregistré 2 jours avant la publication de la fuite

Tiens, ça m'étonne qu'un nom de domaine si commun n'était pas déjà pris. (un transfert de nom de domaine chez un autre registar compte comme une création peut être?). En tout cas le coup des 2 jours avant n'est pas suspect du tout^^

Ou alors la fuite provient simplement d'un autre site, qui ne chiffre pas les mdp. Vu le nombre de personnes qui ont les mêmes identifiants sur tous les sites, ça reste plausible...

Tout simplement que le hacker à récupéré les accès sur des site tiers, beaucoup moins sécurisé, il avais juste besoin d'essaie si les accès étais les même pour gmail

Ça me semble très probable. C'est soit ça, soit du social engineering. Après une faille reste toujours du domaine du possible (j'ai lu un article y a pas très longtemps sur des white hat, heureusement, qui avait accédé à un serveur de google)


EDIT:
Concernant le nom de domaine déposé deux jours avant le leak des mots de passe, une explication possible trouvable ici (dans les commentaires):
http://jameswatt.me/2014/09/10/islea...l-leak-public/

Le site aurait été en premier lieu ouvert pour vérifier les adresses de deux autres fournisseurs de boites mails russes dont les comptes ont été leaké deux jours ou trois jours avant ceux de gmail. Bon ça ne renseigne pas plus sur le sérieux ou non de ce site, en revanche la concommitence de ces leak (mails russes et gmail) fait donc plus penser à un vol de mot de passe par phising puis l'essaie de ces credentials sur divers autres sites.

[Gasprod]

isleaked " Yes! Account fuckyou@gmail.com is found! First two symbols of password is: se. Immediately change your password! " trop fooort ^^

[Traroth2]

Apparemment, mon compte a été leaké. Mais les deux lettres qu'ils indiquent comme étant les premières de mon mot de passe ne correspondent pas...

[Dominik94]

sachant que la majorité des internautes utilisent le même mot de passe sur tous les sites, il suffit de tester la concordance login/pwd pour les personnes ayant renseigné un mail @gmail, après, soit tu gère un gros site et tu installes toi-même ton script pour vérifier, soit ton site s'est fait piraté et un script de sauvegarde des couples login/password a été installé soit tu as en clair les password et tu t'es fait pirater ta bdd
on sinon, il y a le traditionnel phishing, mais vu l'ampleur, ça parait peu probable

[abriotde]

60% selon l'auteur, 2% selon Gmail. Ces simple pourcentages signifient que ce sont des mots de passe qui n'ont pas été obtenus par un piratage de Google mais par le piratage d'un site web et que les utilisateurs utilisaient le même mot de passe pour leur compte Gmail et pour le-dit site Web... Google n'y est pour rien. Personnellement, j'utilise un mot de passe sécurisé (long, complexe, que je change régulièrement) pour Gmail, mon PC, ma banque... et pour le reste (devellopez.com par exp) j'utilise un mot de passe plus simple et toujours le même.

[FaridM]

Apparemment, mon compte a été leaké. Mais les deux lettres qu'ils indiquent comme étant les premières de mon mot de passe ne correspondent pas...

Ca peut-être une Collision. Dans tout les cas, même si ce n'est pas un site de confiance, changer un mot de passe ne coûte rien et c'est toujours plus sur.

[Vyrob]

@Jarodd : je ne vois pas en quoi renseigner une adresse mail qu'ils ont déjà de toute manière est dangereux. Pourrais-tu m'en dire plus à ce sujet ?

[benjani13]

@Jarodd : je ne vois pas en quoi renseigner une adresse mail qu'ils ont déjà de toute manière est dangereux. Pourrais-tu m'en dire plus à ce sujet ?

Justement, si leur but est de chopper les adresse mail c'est qu'ils ne les ont pas.
Je t'explique:
- Je fais croire que j'ai la liste des adresse/mdp volées
- Les utilisateurs testent leur emails sur mon service
- J'enregistre gentiment les adresse et je revend le tout à des réseaux de spams.

Ce genre de social engineering basé sur une fausse intention de sécurité est courant (on te dit que ton mot de passe gmail a été corrompu et on t'envoie vers un faux formulaires de renouvellement de mot de passe, on te dit que ton PC est corrompu et on te fait télécharger un faux antivirus, etc)