Archives par étiquette : piratage de comptes

Ai-je été piraté ?

Tout juste quelques jours plus tôt, on apprenait le piratage du site de rencontre en ligne « Adult Friend Finder ». Les Pirates ont à l’occasion emporté la base de données des utilisateurs contenant toutes les informations personnelles parmi lesquelles entre autres, les noms, emails, mots de passe, sexe et autres.
Ceci, bien que triste, n’est que l’un des événement, plus ou moins réguliers, qui se produisent sur Internet lorsqu’un fournisseur de contenu ou sa plateforme se fait pirater. Suite à ce genre d’incident, les plateformes victime ont l’obligation de notifier leurs utilisateurs et de réinitialiser leurs mots de passes de connexion ou tout du moins les inviter (contraindre ?) à la faire dès leur prochaine connexion.
Malheureusement, les statistiques démontrent que plusieurs utilisateurs partagent les même mots de passent entre plusieurs plateformes ; du coup, même après réinitialisation des identifiants chez le fournisseur piraté, les autres comptes de l’utilisateur, partageant le même couple login (généralement l’adresse mail) et mot de passe de l’utilisateur sont aussi à risque car les pirates ayant emporté la base de données complète (et pas toujours bien chiffrée) de l’hébergeur initial, peuvent très bien les tester chez un autre fournisseur. A ce moment il devient difficile pour l’utilisateur de tracer tout cela.
haveibeenpwned Afin d’aider dans cette mission, un acteur très actif de la communauté #Infosec, Troy Hunt, à mis sur pieds le service « I Have Been Pwned« , traduisible par « Ai-je été piraté ? « . Grace à cette plateforme il vous est possible de savoir si jamais votre adresse mail figure dans une liste (dump) d’identifiant dérobés lors du pirate d’un fournisseur de service ou une liste collectée sur internet en accès libre (généralement via le service pastebin ou autre). le but ici étant de vous inviter à prendre les actions nécessaires chez le fournisseur incriminé en premier lieu, mais aussi chez tous les autres fournisseurs utilisant cet email et dont vous utiliseriez le même mot de passe.

Pour se faire, il suffit de se connecter au site haveibeenpwned.com et d’entrer votre adresse mail dans la zone de recherche puis valider. Si jamais votre mail figure dans l’une des bases de données que le site possède, vous recevrez une notification avec quelques conseil d’usage pour les actions à entreprendre par la suite. Le site en question comporte au moment de l’écriture de ce texte une base de données d’un peu plus de 180 millions de comptes mail collectés suites aux dumps de 44 sites/plateformes web piratés et d’autre fuites de données sur Internet.

HIBP5

Notons que la plateforme vous permet aussi d’être informé en temps réel si jamais votre mail figure dans l’une des bases de données à venir ultérieurement. Pour cela, il vous suffit juste de cliquer sur le menu « Notify Me«  et de saisir votre mail dans le champs adéquat ainsi que le captcha puis valider. Un mail de vérification comportant un lien vous sera envoyé pour confirmation. Ainsi vous serez automatiquement informés si jamais la plateforme retrouve votre mail dans une des futures listes ou dumps qu’elle recevra.

Cerise sur le gâteau, le service offre aussi une option permettant aux Responsables d’Infrastructures d’effectuer une recherche sur leur domaine au complet, au lieu de le faire individuellement compte par compte. La possibilité d’être informé en cas d’un incident impliquant l’un des comptes sous votre domaine y est aussi offerte. Il est a préciser que pour des raisons évidentes de sécurité, cette option fait appel à un dispositif de vérification de propriété plus stricte, ceci ayant pour but que vous puissiez prouver que vous êtes effectivement Administrateur du domaine spécifié. Plusieurs options s’offrent à vous pour cette validation ; depuis la création d’un champ TXT sur votre domaine à la confirmation via des comptes mails spécifiques en passant par la modification du fichier texte de votre site web et la modification de l’en-tête de votre page principale pour y inclure une balise spécifique contenant le code a vérifier.

Remarque:
Le service « have I Been Pwned«  ne vous notifiera que des cas de brèches et fuites dont les informations utilisateurs sont remontées jusqu’à lui, du coup, bien que les mises à jours dessus soient assez rapides (à titre indicatif, les mails des utilisateurs du service Adult Friend Finder dont nous parlions en début de cet article sont déjà inclus dans la base de données) il est bien possible que qu’il n’ait pas toutes les information de brèches survenues dans le vaste univers (virtuel ?) qu’est Internet.

Tips :

Ceci est une raison de plus pour toujours activer les option d’authentification à multiples facteurs partout où cela est possible, car ainsi, même si un pirate a votre couple mail+password, il lui manquera toujours le second facteur d’authentification (qui peut être un PIN OTP, une reconnaissance vocale ou autre chose) et ainsi, ne pourra pas accéder à vos données (pas facilement en tout cas). De plus, il est toujours bon d’avoir des passphrases différentes pour chaque service en ligne afin d’éviter que le piratage de nos identifiants chez l’une n’ait d’impact sur nos autres activités en ligne.