Voilà. Tout ce qui est saisi peut être enregistré et utilisé à d'autres fins frauduleuses. S'ils aient déjà ton adresse, rien de neuf, par contre s'ils ne l'ont pas encore, tu la leur donnes.
Ainsi tu leur indiques que cette adresse est consultée et possiblement hackée, ensuite il n'y a plus qu'à faire du brute force pour chercher le mot de passe. S'il est léger, ton compte est hacké. S'ils n'ont pas l'e-mail de ta part, c'est déjà moins risqué.
Pour faire une analogie, c'est comme si j'ouvrais un service de liste rouge pour numéro de mobile. Tu t'inscris en te disant que c'est un bon service, et ensuite moi je revends ma liste à des sociétés qui démarches pour proposer des réductions d'impôts ou pour changer tes fenêtres. Vu que tu ne me connais pas, il aurait mieux valu ne pas t'inscrire, ou t'inscrire uniquement si tu connais le fourniseur de service (par exemple ton FAI). Là c'est pareil, soit c'est Google qui met le formulaire de vérification (en faisant gaffe que ça ne soit pas du phising aux couleurs de Google), soit on s'abstient de donner ses données à un service inconnu.
J'ai un de mes comptes gmail dans la liste, MAIS le mot de passe listé n'est pas celui utilisé sur gmail.
J'ai donc fait la liste de tous les sites où j'utilisais ce même combo login/mot de passe et voilà la liste :
https://secure.ubi.com
https://shop.ubi.com
https://authentication-ui.ubi.com
http://api.hostinger.fr
http://savage2.com
Je pense donc que c'est d'un de ces sites que viens la faille, quelqu'un d'autre dans la liste peut dire si il a aussi un compte sur un de ces sites ?
D’après ce que j'ai lu chez les anglais, il semblerait que les mots de passe soient vieux de quelques années !
Histoire de rendre son compte un peu plus sur et un peu plus dur d’accès au Pirate, on peut autoriser l'authentification multi-facteur
sous gmail. Un SMS est envoyé avec un code pour permettre une connexion sur un ordinateur que vous n'avez pas approuvé.
(N'allez pas approuver tous les ordinateurs sur lesquels vous vous connectez )
Multi-factor authentication
Si developpez pouvais mettre en gros que le site isleaked.com est sérieusement soupçonné de faire partie du deal pour récupérer des adresses email valides, ce serait pas mal...
Je croyais aussi que ce site c'était du bidon... mais en testant 3 comptes GMail, un s'est retrouvé positif, et le site m'a donné les deux premiers caractères de mon mot de passe ! A mon avis cela ne s'invente pas... Google a donc stocké (au moins au début) des mots de passe en clair, vu que mon mot de passe n'avait rien de trivial. Cependant, il s'agit du compte le plus ancien (il date de la période où il fallait une invitation pour aller sur GMail) et il faut savoir que dans mon cas j'ai changé régulièrement mon mot de passe mais les deux premiers caractères sont toujours restés les mêmes, donc rien ne me dit que le mot de passe en mémoire est le tout dernier, il peut très bien dater de 2006.
@pgros: je n'ai de compte sur aucun des sites que tu as donné.
Merci pour le phishing, je pense ne pas être suffisamment stupide pour cliquer sur des liens présents dans les mails (même si les cybercriminels redoublent d'inventivité).
Ceci dit la modération que tu apportes a du sens, le stockage de mot de passe en clair n'est pas la seule explication. Et tout de même, Google qui stocke les mots de passe en clair en 2006, ça ferait sacrément désordre, vu leur importance sur le marché déjà à l'époque (mais il est affolant de voir toujours aujourd'hui des sites très connus toujours stocker les mots de passe en clair, ça me donne la nausée).
Dans mon cas les deux autres endroits où mon mot de passe GMail est utilisé et stocké sont mes téléphones, tablettes et l'applet X-Notifier sur Firefox. Si l'un des appareils ou application est compromis, il peut très bien envoyer le mot de passe en clair à un serveur distant qui le stocke.
Il pourrait y avoir eu une attaque Man in the Middle qui se chargeait de récolter les mots de passe, du moins durant la période où HTTPS n'était pas utilisé systématiquement sur GMail.
Donc effectivement, rien ne prouve que Google lui-même a été compromis. Par contre une chose est sûre : certains ont trouvé le moyen d'obtenir des couples login / mot de passe valides au moins à une certaine période.
Mon adresse mail est dans leur base de donnée, mais je n'utilise plus le mot de passe qu'ils ont dans leur bdd depuis 2 ans...
Pour la petite histoire je m'était fait "piraté" mon compte gmail car je m'était inscrit sur d'autres sites avec le même mot de passe (que j'avais pas changé depuis le collège...), et sans doute que certains de ces sites étaient soit malhonnêtes, soit mal sécurisés. De plus j'ai été immédiatement averti par google que quelqu'un s'était connecté sur mon compte depuis une adresse ip louche (Brésil), donc j'ai pu changer le mot de passe et ça en est resté là.
Bref aucun problème de sécurité de la part de google.
J'avais eu un problème de mots de passe avec mon compte Google il y a 4 ou 5 ans, je l'avais changé suite à ce problème. Je viens de tester avec le site proposé dans l'article et vu les 2 premières lettres proposer pour mon mot de passe cela semble pointer sur mon ancien mot de passe.
Donc leur base semble être une compilation de petit piratage depuis des années et des années.
Sinon y'a un truc cool qui s'appelle l'activation en deux étapes.
L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.
Le problème avec les mots de passe, expliqué par Dilbert :
Source : http://dilbert.com/strips/comic/1998-04-06/
Du coup, pas mal de gens utilisent le même mot de passe sur plusieurs sites.
Cependant, certains sites stockent les mots de passe en clair.
Si le site se fait pirater, le pirate a accès aux mots de passe. Si ce mot de passe est le même que celui de l'adresse e-mail, le pirate connait le mot de passe de l'adresse e-mail.
Ce n'est pas à cause d'une faille chez le fournisseur d'email (ex. Google), mais à cause :
- du fait qu'il soit difficile de se rappeler de plein de mots de passe qui changent tout le temps (voir BD plus haut)
- des sites qui stockent des données sensibles (mots de passe, informations bancaires...) en clair dans leurs bases de données !!!!
"On en a vu poser les armes avant de se tirer une balle dans le pied..."
-- pydévelop
Derniers articles:
(SQL Server) Introduction à la gestion des droits
(UML) Souplesse et modularité grâce aux Design Patterns
(UML) Le Pattern Etat
Autres articles...
Cadeau : http://keepass.info/
L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.
"On en a vu poser les armes avant de se tirer une balle dans le pied..."
-- pydévelop
Derniers articles:
(SQL Server) Introduction à la gestion des droits
(UML) Souplesse et modularité grâce aux Design Patterns
(UML) Le Pattern Etat
Autres articles...
Lastpass ? https://lastpass.com/how-it-works/
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
Une solution système D c'est de mettre n'importe quoi comme mot de passe et d'utiliser la page mot de passe oublié pour se connecter
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
Beaucoup de commentaires ici supposent que la faille de sécurité se trouve chez Google, mais absolument rien ne le prouve... Imaginons un instant que j'ai accès (illégalement) à une base de données dans laquelle je trouve une base utilisateurs : je peux tout à fait récupérer tous les comptes dont l'adresse est de type gmail.com.
Pourquoi gmail ? Parce que c'est le plus gros, et que je ne vais m'embeter à récupérer orange.fr ou schmurtz.com, et que si pleins de gens croient que j'ai piraté google, c'est cool pour ma carrière de hacker.
Et pour ce qui est des mots de passe ? Pas mal de site de types "réseaux sociaux" proposent d'importer directement vos contacts à condition que vous leur fournissiez une adresse mail et le mot de passe. On peut citer par exemple LinkedIn -- je n'ai pas dit que ce site conservait vos de passe en clair, je ne sais même pas s'il les garde, mais c'est un site qui propose ce genre de "services".
Bref, oui, il y a des couples mail/pass qui ont fuité, mais rien ne donne la source.
L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager