Ca peut-être une Collision. Dans tout les cas, même si ce n'est pas un site de confiance, changer un mot de passe ne coûte rien et c'est toujours plus sur.Envoyé par Traroth2
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Ca peut-être une Collision. Dans tout les cas, même si ce n'est pas un site de confiance, changer un mot de passe ne coûte rien et c'est toujours plus sur.
D’après ce que j'ai lu chez les anglais, il semblerait que les mots de passe soient vieux de quelques années !
Histoire de rendre son compte un peu plus sur et un peu plus dur d’accès au Pirate, on peut autoriser l'authentification multi-facteur
sous gmail. Un SMS est envoyé avec un code pour permettre une connexion sur un ordinateur que vous n'avez pas approuvé.
(N'allez pas approuver tous les ordinateurs sur lesquels vous vous connectez)
Multi-factor authentication
sachant que la majorité des internautes utilisent le même mot de passe sur tous les sites, il suffit de tester la concordance login/pwd pour les personnes ayant renseigné un mail @gmail, après, soit tu gère un gros site et tu installes toi-même ton script pour vérifier, soit ton site s'est fait piraté et un script de sauvegarde des couples login/password a été installé soit tu as en clair les password et tu t'es fait pirater ta bdd
on sinon, il y a le traditionnel phishing, mais vu l'ampleur, ça parait peu probable
60% selon l'auteur, 2% selon Gmail. Ces simple pourcentages signifient que ce sont des mots de passe qui n'ont pas été obtenus par un piratage de Google mais par le piratage d'un site web et que les utilisateurs utilisaient le même mot de passe pour leur compte Gmail et pour le-dit site Web... Google n'y est pour rien. Personnellement, j'utilise un mot de passe sécurisé (long, complexe, que je change régulièrement) pour Gmail, mon PC, ma banque... et pour le reste (devellopez.com par exp) j'utilise un mot de passe plus simple et toujours le même.
@Jarodd : je ne vois pas en quoi renseigner une adresse mail qu'ils ont déjà de toute manière est dangereux.Pourrais-tu m'en dire plus à ce sujet ?
Justement, si leur but est de chopper les adresse mail c'est qu'ils ne les ont pas.@Jarodd : je ne vois pas en quoi renseigner une adresse mail qu'ils ont déjà de toute manière est dangereux.
Je t'explique:
- Je fais croire que j'ai la liste des adresse/mdp volées
- Les utilisateurs testent leur emails sur mon service
- J'enregistre gentiment les adresse et je revend le tout à des réseaux de spams.
Ce genre de social engineering basé sur une fausse intention de sécurité est courant (on te dit que ton mot de passe gmail a été corrompu et on t'envoie vers un faux formulaires de renouvellement de mot de passe, on te dit que ton PC est corrompu et on te fait télécharger un faux antivirus, etc)
Ah donc on est bien d'accord, tant qu'il se limite à te demander ton mail, qu'il l'ait ou pas le seul risque c'est de recevoir du spam quoi. ^^ et éventuellement comme tu le décris des mails de phishing.
Voilà. Tout ce qui est saisi peut être enregistré et utilisé à d'autres fins frauduleuses. S'ils aient déjà ton adresse, rien de neuf, par contre s'ils ne l'ont pas encore, tu la leur donnes.
Ainsi tu leur indiques que cette adresse est consultée et possiblement hackée, ensuite il n'y a plus qu'à faire du brute force pour chercher le mot de passe. S'il est léger, ton compte est hacké. S'ils n'ont pas l'e-mail de ta part, c'est déjà moins risqué.
Pour faire une analogie, c'est comme si j'ouvrais un service de liste rouge pour numéro de mobile. Tu t'inscris en te disant que c'est un bon service, et ensuite moi je revends ma liste à des sociétés qui démarches pour proposer des réductions d'impôts ou pour changer tes fenêtres. Vu que tu ne me connais pas, il aurait mieux valu ne pas t'inscrire, ou t'inscrire uniquement si tu connais le fourniseur de service (par exemple ton FAI). Là c'est pareil, soit c'est Google qui met le formulaire de vérification (en faisant gaffe que ça ne soit pas du phising aux couleurs de Google), soit on s'abstient de donner ses données à un service inconnu.
J'ai un de mes comptes gmail dans la liste, MAIS le mot de passe listé n'est pas celui utilisé sur gmail.
J'ai donc fait la liste de tous les sites où j'utilisais ce même combo login/mot de passe et voilà la liste :
https://secure.ubi.com
https://shop.ubi.com
https://authentication-ui.ubi.com
http://api.hostinger.fr
http://savage2.com
Je pense donc que c'est d'un de ces sites que viens la faille, quelqu'un d'autre dans la liste peut dire si il a aussi un compte sur un de ces sites ?
Si developpez pouvais mettre en gros que le site isleaked.com est sérieusement soupçonné de faire partie du deal pour récupérer des adresses email valides, ce serait pas mal...
Je croyais aussi que ce site c'était du bidon... mais en testant 3 comptes GMail, un s'est retrouvé positif, et le site m'a donné les deux premiers caractères de mon mot de passe ! A mon avis cela ne s'invente pas... Google a donc stocké (au moins au début) des mots de passe en clair, vu que mon mot de passe n'avait rien de trivial. Cependant, il s'agit du compte le plus ancien (il date de la période où il fallait une invitation pour aller sur GMail) et il faut savoir que dans mon cas j'ai changé régulièrement mon mot de passe mais les deux premiers caractères sont toujours restés les mêmes, donc rien ne me dit que le mot de passe en mémoire est le tout dernier, il peut très bien dater de 2006.
@pgros: je n'ai de compte sur aucun des sites que tu as donné.
Rien ne le prouve. C'est une possibilité parmi d'autres (phishing, etc).
Merci pour le phishing, je pense ne pas être suffisamment stupide pour cliquer sur des liens présents dans les mails (même si les cybercriminels redoublent d'inventivité).
Ceci dit la modération que tu apportes a du sens, le stockage de mot de passe en clair n'est pas la seule explication. Et tout de même, Google qui stocke les mots de passe en clair en 2006, ça ferait sacrément désordre, vu leur importance sur le marché déjà à l'époque (mais il est affolant de voir toujours aujourd'hui des sites très connus toujours stocker les mots de passe en clair, ça me donne la nausée).
Dans mon cas les deux autres endroits où mon mot de passe GMail est utilisé et stocké sont mes téléphones, tablettes et l'applet X-Notifier sur Firefox. Si l'un des appareils ou application est compromis, il peut très bien envoyer le mot de passe en clair à un serveur distant qui le stocke.
Il pourrait y avoir eu une attaque Man in the Middle qui se chargeait de récolter les mots de passe, du moins durant la période où HTTPS n'était pas utilisé systématiquement sur GMail.
Donc effectivement, rien ne prouve que Google lui-même a été compromis. Par contre une chose est sûre : certains ont trouvé le moyen d'obtenir des couples login / mot de passe valides au moins à une certaine période.
Loin de moi cette idée, je ne faisais que lister des possibilité (tout est dans le ", etc", MITM, corruption d'une appli, re etc :p).
Tu veux dire qu'à une époque Gmail transmettait (parfois, éventuellement, possiblement) le mdp en clair????
Bonjour,
Au début j'avais multi-cité... Puis après je me suis dit que ça faisait trop long.
Mon avis sur les différents sujets c'est que :
Google ne stocke pas ses mots de passe en clair. Faut pas exagérer messieurs dames, on parle d'une des plus grandes entreprises IT du monde... On peut à minima leur faire confiance sur le chiffrement des mots de passe. Surtout quand on voit le boulot de l'équipe sécurité Google.
Les prestataires qui stockent des mots de passe ?... Impossible... Contractuellement impossible pour moi...
Concernant le phishing (oui oui et oui). Concernant le vol sur des sites tierces avec robot qui test les mots de passe récupéré. La c'est un point d'entrée plausible. Aujourd'hui c'est l'une des grande problématique sécurité... Comment faire comprendre aux utilisateurs l'importance d'un mots de passe différent par compte. Pour ma part, j'utilise Keepass (qui peut-être portable comme l'a très bien dit je ne sais plus qui).
Après avec tout les sites où l'on s'inscrit et tout les forums etc... Il y a des fuites forcément quelque part...
Enfin à propos de ce site (isleaked.com), oui ils vont récupérer notre e-mail si on le rentre, mais bon... Quand on se fait spammer on connais tous une bonne méthode pour que ça cesse... Une bonne tranche de JBonBlanc envers l'expéditeur et hop
@+
Mon adresse mail est dans leur base de donnée, mais je n'utilise plus le mot de passe qu'ils ont dans leur bdd depuis 2 ans...
Pour la petite histoire je m'était fait "piraté" mon compte gmail car je m'était inscrit sur d'autres sites avec le même mot de passe (que j'avais pas changé depuis le collège...), et sans doute que certains de ces sites étaient soit malhonnêtes, soit mal sécurisés. De plus j'ai été immédiatement averti par google que quelqu'un s'était connecté sur mon compte depuis une adresse ip louche (Brésil), donc j'ai pu changer le mot de passe et ça en est resté là.
Bref aucun problème de sécurité de la part de google.
J'avais eu un problème de mots de passe avec mon compte Google il y a 4 ou 5 ans, je l'avais changé suite à ce problème. Je viens de tester avec le site proposé dans l'article et vu les 2 premières lettres proposer pour mon mot de passe cela semble pointer sur mon ancien mot de passe.
Donc leur base semble être une compilation de petit piratage depuis des années et des années.
Sinon y'a un truc cool qui s'appelle l'activation en deux étapes.
Du phising comme Isleaked, méfiance méfiance
Répondre avec citation
Partager