Discussion :

[Miary]

Plus de 45 millions de mots de passe volés sur plus de 1000 sites et forums
Gérés par la société de média VerticalScope

VerticalScope est une société de média canadienne spécialisée dans le marché vertical. Il s’agit d’un système de marketing qui consiste à identifier un groupe de compagnies ayant les mêmes besoins et pouvant bénéficier d’une même stratégie de marketing. Les activités de VerticalScope se concentrent sur l’acquisition et le développement des sites web et des communautés en ligne. Cette société de média gère un nombre important de sites sur l’automobile, les sports mécaniques, les sports, les animaux et la technologie.

Selon Leaked Source, une base de données contenant 45 millions d’enregistrements, des utilisateurs du site VerticalScope et des domaines qu’elle gère, circule actuellement sur internet. Ces enregistrements proviennent de 1100 sites et forums, notamment Techsupportforum.com, MobileCampsites.com, Pbnation.com et Motorcycle.com. Le vol de la base de données remonterait au mois de février 2016.

Il faut savoir que chaque enregistrement contient une adresse email, un nom d’utilisateur, une adresse IP et un ou deux mots de passe. VerticalScope utilise des méthodes de chiffrement pour protéger ses mots de passe. Cependant moins de 10 % des sites utilisent des méthodes de cryptage renforcé. La plupart des enregistrements volés ont été chiffrés avec la méthode de chiffrement MD5 avec salage. Pour information, l'algorithme MD5, ou Message Digest 5, est une fonction de hachage cryptographique permettant d'obtenir l'empreinte numérique d'un message. Pour les experts en sécurité informatique, il s'agit d'une méthode obsolète et non fiable.

En ce qui concerne les mots de passe, beaucoup proviendraient des navigateurs, lorsque les utilisateurs les enregistrent automatiquement. Par ailleurs, ce sont surtout des mots de passe d’utilisateurs inscrits sur les forums sur l'automobile. Comme lors des vols de base de données sur les réseaux sociaux, le mot de passe le plus utilisé est « 123456 », mais avec une occurrence de seulement 150 852 sur l'ensemble des 45 millions d'enregistrements. Leaked Source invite les internautes à vérifier, sur son site, s’il y a des informations les concernant dans la base de données qu’il a récupérée. Si c’est le cas, ils peuvent demander à Leaked Source de les supprimer.

Source : Leaked Source

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Plus de 51 millions de comptes utilisateur de l'ancien service peer-to-peer iMesh en vente, des millions avec des mots de passe faibles

[GilbertLatranche]

Question : de nos jours, il est préférable d'utiliser quelle méthode pour chiffrer les mots de passe ? SHA1 ?

[rikemSen]

En php, ça serait bcrypt. http://www.phptherightway.com/#password_hashing

[champy]

Bcrypt certes mais c'est du PHP sa veut dire que le mot de passe est haché coté serveur et donc qu'il passe en clair en HTTP simple c'est la cata !

Donc :
- https://github.com/dcodeIO/bcrypt.js...ster/README.md implémentation de bCrypt en Javascript.
- Toujours utiliser un champ de type password pour éviter les regard indiscret au dessus de l'épaule.
- Et surtout HTTPS !

[Matthieu Vergne]

Bcrypt certes mais c'est du PHP sa veut dire que le mot de passe est haché coté serveur et donc qu'il passe en clair en HTTP simple c'est la cata !

Donc :
- https://github.com/dcodeIO/bcrypt.js...ster/README.md implémentation de bCrypt en Javascript.
- Toujours utiliser un champ de type password pour éviter les regard indiscret au dessus de l'épaule.
- Et surtout HTTPS !

Je ne pense pas qu'utiliser bcrypt côté client change quoi que ce soit : si c'est HTTP, c'est le hash qui est envoyé par le client et peut donc être intercepté. Comment fais-tu la différence entre un hash envoyé par un client légitime et un hash envoyé par un cracker ? Le champs password permet de sécuriser le client et le HTTPS la communication réseau, mais bcrypt en Javascript n'apporte visiblement rien à ce niveau là (bien qu'il puisse être utile pour d'autres raisons).

[remotesolo]

Bcrypt tout seul côté client effectivement n'aidera pas beaucoup niveau sécurité.

Par contre si on ajoute des salt bien choisis côté client et une ou 2 bidouilles côté serveur on peut empêcher la réutilisation d'une chaine de connexion précédente.

Du coup même sans https on peut arriver à quelque chose d'assez solide (après ça sera jamais aussi sécurisé que https+tiers de confiance).

[Matthieu Vergne]

Après c'est du bidouillage, quoi. {'^_^}
(le code JS étant envoyé au client, les bidouilles au sein du code JS sont interceptables)

Autant se faire un certificat Let's Encrypt pour dire d'avoir le HTTPS.

[ghuysmans99]

Ouais, surtout que rien ne te dit que c'est bien le client (et pas un MITM) qui a envoyé la "chaine de connexion"...