IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Plus de 45 millions de mots de passe volés sur plus de 1000 sites et forums


Sujet :

Sécurité

  1. #1
    Expert éminent

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2016
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Rédacteur technique

    Informations forums :
    Inscription : Mai 2016
    Messages : 99
    Points : 6 683
    Points
    6 683
    Par défaut Plus de 45 millions de mots de passe volés sur plus de 1000 sites et forums
    Plus de 45 millions de mots de passe volés sur plus de 1000 sites et forums
    Gérés par la société de média VerticalScope

    VerticalScope est une société de média canadienne spécialisée dans le marché vertical. Il s’agit d’un système de marketing qui consiste à identifier un groupe de compagnies ayant les mêmes besoins et pouvant bénéficier d’une même stratégie de marketing. Les activités de VerticalScope se concentrent sur l’acquisition et le développement des sites web et des communautés en ligne. Cette société de média gère un nombre important de sites sur l’automobile, les sports mécaniques, les sports, les animaux et la technologie.

    Selon Leaked Source, une base de données contenant 45 millions d’enregistrements, des utilisateurs du site VerticalScope et des domaines qu’elle gère, circule actuellement sur internet. Ces enregistrements proviennent de 1100 sites et forums, notamment Techsupportforum.com, MobileCampsites.com, Pbnation.com et Motorcycle.com. Le vol de la base de données remonterait au mois de février 2016.

    Il faut savoir que chaque enregistrement contient une adresse email, un nom d’utilisateur, une adresse IP et un ou deux mots de passe. VerticalScope utilise des méthodes de chiffrement pour protéger ses mots de passe. Cependant moins de 10 % des sites utilisent des méthodes de cryptage renforcé. La plupart des enregistrements volés ont été chiffrés avec la méthode de chiffrement MD5 avec salage. Pour information, l'algorithme MD5, ou Message Digest 5, est une fonction de hachage cryptographique permettant d'obtenir l'empreinte numérique d'un message. Pour les experts en sécurité informatique, il s'agit d'une méthode obsolète et non fiable.

    En ce qui concerne les mots de passe, beaucoup proviendraient des navigateurs, lorsque les utilisateurs les enregistrent automatiquement. Par ailleurs, ce sont surtout des mots de passe d’utilisateurs inscrits sur les forums sur l'automobile. Comme lors des vols de base de données sur les réseaux sociaux, le mot de passe le plus utilisé est « 123456 », mais avec une occurrence de seulement 150 852 sur l'ensemble des 45 millions d'enregistrements. Leaked Source invite les internautes à vérifier, sur son site, s’il y a des informations les concernant dans la base de données qu’il a récupérée. Si c’est le cas, ils peuvent demander à Leaked Source de les supprimer.

    Source : Leaked Source

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Plus de 51 millions de comptes utilisateur de l'ancien service peer-to-peer iMesh en vente, des millions avec des mots de passe faibles

  2. #2
    Membre averti
    Profil pro
    Inscrit en
    Mars 2012
    Messages
    145
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2012
    Messages : 145
    Points : 392
    Points
    392
    Par défaut
    Question : de nos jours, il est préférable d'utiliser quelle méthode pour chiffrer les mots de passe ? SHA1 ?

  3. #3
    Membre confirmé Avatar de rikemSen
    Homme Profil pro
    Analyste Développeur Web - Fizzup.com
    Inscrit en
    Décembre 2007
    Messages
    387
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Analyste Développeur Web - Fizzup.com
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Décembre 2007
    Messages : 387
    Points : 540
    Points
    540

  4. #4
    Membre régulier
    Profil pro
    Inscrit en
    Juin 2007
    Messages
    49
    Détails du profil
    Informations personnelles :
    Âge : 45
    Localisation : France

    Informations forums :
    Inscription : Juin 2007
    Messages : 49
    Points : 85
    Points
    85
    Par défaut
    Bcrypt certes mais c'est du PHP sa veut dire que le mot de passe est haché coté serveur et donc qu'il passe en clair en HTTP simple c'est la cata !

    Donc :
    - https://github.com/dcodeIO/bcrypt.js...ster/README.md implémentation de bCrypt en Javascript.
    - Toujours utiliser un champ de type password pour éviter les regard indiscret au dessus de l'épaule.
    - Et surtout HTTPS !

  5. #5
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 270
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 270
    Points : 7 792
    Points
    7 792
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par champy Voir le message
    Bcrypt certes mais c'est du PHP sa veut dire que le mot de passe est haché coté serveur et donc qu'il passe en clair en HTTP simple c'est la cata !

    Donc :
    - https://github.com/dcodeIO/bcrypt.js...ster/README.md implémentation de bCrypt en Javascript.
    - Toujours utiliser un champ de type password pour éviter les regard indiscret au dessus de l'épaule.
    - Et surtout HTTPS !
    Je ne pense pas qu'utiliser bcrypt côté client change quoi que ce soit : si c'est HTTP, c'est le hash qui est envoyé par le client et peut donc être intercepté. Comment fais-tu la différence entre un hash envoyé par un client légitime et un hash envoyé par un cracker ? Le champs password permet de sécuriser le client et le HTTPS la communication réseau, mais bcrypt en Javascript n'apporte visiblement rien à ce niveau là (bien qu'il puisse être utile pour d'autres raisons).

  6. #6
    Membre habitué
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Novembre 2013
    Messages
    61
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Novembre 2013
    Messages : 61
    Points : 136
    Points
    136
    Par défaut
    Bcrypt tout seul côté client effectivement n'aidera pas beaucoup niveau sécurité.

    Par contre si on ajoute des salt bien choisis côté client et une ou 2 bidouilles côté serveur on peut empêcher la réutilisation d'une chaine de connexion précédente.

    Du coup même sans https on peut arriver à quelque chose d'assez solide (après ça sera jamais aussi sécurisé que https+tiers de confiance).

  7. #7
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 270
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 270
    Points : 7 792
    Points
    7 792
    Billets dans le blog
    3
    Par défaut
    Après c'est du bidouillage, quoi. {'^_^}
    (le code JS étant envoyé au client, les bidouilles au sein du code JS sont interceptables)

    Autant se faire un certificat Let's Encrypt pour dire d'avoir le HTTPS.

  8. #8
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Juillet 2008
    Messages
    28
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2008
    Messages : 28
    Points : 62
    Points
    62
    Par défaut
    Ouais, surtout que rien ne te dit que c'est bien le client (et pas un MITM) qui a envoyé la "chaine de connexion"...

Discussions similaires

  1. Réponses: 54
    Dernier message: 24/11/2014, 17h09
  2. Réponses: 11
    Dernier message: 29/06/2011, 13h59
  3. Réponses: 0
    Dernier message: 22/06/2011, 21h38
  4. Réponses: 13
    Dernier message: 17/12/2009, 16h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo