IPB

Bienvenue invité ( Connexion | Inscription )

2 Pages V   1 2 >  
Reply to this topicStart new topic
> La plus grosse base de données volées de l'histoire circule sur internet, Réactions à la publication du 31/01/2019
Options
Lionel
posté 31 Jan 2019, 19:22
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 55 328
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Wired rapporte qu'un fichier contenant les données dérobées à divers sites était au téléchargement.
Il s'agit d'une monstrueuse compilation de toutes les données dérobées et mises en circulation ces dernières années. On parle de 2,2 milliards de noms d'utilisateurs uniques et de mots de passe associés.
Le volume de ce fichier approche le téraoctet.

C'est probablement le plus gros catalogue de ce genre d'informations dans l'histoire de l'humanité et il pourrait être utilisé pour lancer des attaques ciblées contre des services si des personnes ont eu la mauvaise idée d'utiliser le même couple d'identifiant - mot de passe à plusieurs endroits.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
danyaile
posté 31 Jan 2019, 21:18
Message #2


Adepte de Macbidouille
*

Groupe : Membres
Messages : 142
Inscrit : 18 Oct 2004
Membre no 25 378



Citation (Lionel @ 31 Jan 2019, 20:22) *
On parle de 2,2 milliards de noms d'utilisateurs uniques
[...]
C'est probablement le plus gros catalogue de ce genre d'informations dans l'histoire de l'humanité

Waouuuh !
C'est 'ach'ment mieux que "lescopainsdavant" pour retrouver des amis perdus de vue.... biggrin.gif


Ce message a été modifié par danyaile - 31 Jan 2019, 21:23.
Go to the top of the page
 
+Quote Post
ekami
posté 31 Jan 2019, 21:27
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 5 429
Inscrit : 9 Apr 2004
Membre no 17 402



Il faudrait pouvoir le télécharger juste pour savoir si certain de ses mots de passe perso y sont enregistrés, mais je doute qu'Excel puisse ouvrir un fichier de 2 milliards de lignes, ce qui imposerait donc d'utiliser d'autres outils à même de lire ce monstrueux fichier.

Ce message a été modifié par ekami - 31 Jan 2019, 21:28.


--------------------
Exif Photoworker: Renommez et organisez vos photos et vidéos en quelques clics (téléchargement et période d'essai gratuits).
Go to the top of the page
 
+Quote Post
linus
posté 31 Jan 2019, 21:36
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 651
Inscrit : 24 Jun 2004
Lieu : Grenoble
Membre no 20 409



Tout le monde se fait voler, même Apple: Another-Apple-Engineer-Accused-of-Stealing-Autonomous-Vehicle-Trade-Secrets
On vit dans un monde merveilleux !
Go to the top of the page
 
+Quote Post
otto87
posté 31 Jan 2019, 22:06
Message #5


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 228
Inscrit : 12 Jun 2009
Membre no 137 508



Citation (ekami @ 31 Jan 2019, 22:27) *
Il faudrait pouvoir le télécharger juste pour savoir si certain de ses mots de passe perso y sont enregistrés, mais je doute qu'Excel puisse ouvrir un fichier de 2 milliards de lignes, ce qui imposerait donc d'utiliser d'autres outils à même de lire ce monstrueux fichier.


Pourquoi ouvrir ça avec Excel alors qu'une simple commande unix utilisant quelques ko de ram peut le faire?
ohmy.gif

Ça me fait penser au séries télé ou pour trouver une correspondance d'un visage, on en affiche des millions laugh.gif dans la vraie vie, on extrait quelques point d’intérêts et ont fait une simple requête dans une base de donnée... en pratique ça marche en temps réel pour une base de quelques centaines de millions d'individus!

Ce message a été modifié par otto87 - 31 Jan 2019, 22:13.


--------------------
Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde....
Mac Plus, SE 30,SI,CI,LC 1,2,3,4,imac G3, G4 Tour,imac intel, mac book 13",Dell Precision
Go to the top of the page
 
+Quote Post
Lollesque
posté 31 Jan 2019, 22:11
Message #6


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 128
Inscrit : 25 Sep 2003
Membre no 9 859



Citation (ekami @ 31 Jan 2019, 22:27) *
Il faudrait pouvoir le télécharger juste pour savoir si certain de ses mots de passe perso y sont enregistrés, mais je doute qu'Excel puisse ouvrir un fichier de 2 milliards de lignes, ce qui imposerait donc d'utiliser d'autres outils à même de lire ce monstrueux fichier.

Tu peux déjà utiliser ce site : https://sec.hpi.de/ilc/search? qui est listé sur l’article original pour voir si tu es dedans. Malheureusement cela ne donne pas les mots de passe associés (j’aurai bien aimé qu’il me les sorte pour contrôle)


--------------------
Macbook Pro Touch Bar 2017 - iMac 27 late 2009 (à vendre)
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste
Go to the top of the page
 
+Quote Post
SartMatt
posté 31 Jan 2019, 22:29
Message #7


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (ekami @ 31 Jan 2019, 21:27) *
Il faudrait pouvoir le télécharger juste pour savoir si certain de ses mots de passe perso y sont enregistrés
Haveibeenpwned a constitué une base de 550 millions de mots de passe et de 6.5 milliards de comptes leakés.

Pour des raisons évidentes, il ne met pas à disposition le contenu complet de cette base, mais permet de tester si on est dedans.

Pour les adresses mail, le test est ici : https://haveibeenpwned.com/
Pour les mots de passes, il est là : https://haveibeenpwned.com/Passwords

Sur cette dernière page, il est aussi possible de télécharger la base complète des hash des mots de passe, si on n'a pas confiance en son service et qu'on veut être sûr de ne rien envoyer vers le serveur d'haveibeenpwned (pour info, le fonctionnement du service garanti en théorie que le serveur ne peut pas connaître le mot de passe que tu testes : le mot de passe est hashé localement, via JavaScript, puis les 5 premiers caractères du hash (sur un total de 40) sont transmis au serveur, qui répond avec la liste de tous les hash commençant par ces 5 caractères, et c'est de nouveau le JavaScript local qui prend le relai pour tester si le hash complet du mot de passe est dans cette liste).

C'est hélas un peu fastidieux pour les mots de passe, parce qu'il faut les tester un à un, ce qui est long quand on en a beaucoup, mais il fournit une API, donc il est possible d'implémenter son propre système, pouvant travailler avec une liste de mot de passe et interrogeant sa base à lui. Il y a par exemple un plug-in KeePass qui permet de tester toute une base KeePass.

Ce dernier leak n'a pas encore été intégré à son service, mais on peut supposer qu'il le sera rapidement.

Ce message a été modifié par SartMatt - 31 Jan 2019, 22:35.


--------------------

Go to the top of the page
 
+Quote Post
SartMatt
posté 31 Jan 2019, 23:16
Message #8


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (SartMatt @ 31 Jan 2019, 22:29) *
C'est hélas un peu fastidieux pour les mots de passe, parce qu'il faut les tester un à un, ce qui est long quand on en a beaucoup, mais il fournit une API, donc il est possible d'implémenter son propre système, pouvant travailler avec une liste de mot de passe et interrogeant sa base à lui. Il y a par exemple un plug-in KeePass qui permet de tester toute une base KeePass.
J'ai fait un petit script Python qui permet de tester une liste de mots de passe stockée dans un fichier texte : https://gist.github.com/MatthieuSarter/73e5...fde90e206abd806

Code
sarterm@PC:/mnt/y$ pwnedpasschecker.py liste.txt
Oups ! Password toto has been leaked 16274 time(s) :-(
Oups ! Password tata has been leaked 9702 time(s) :-(


Fonctionne aussi avec un fichier csv d'export LastPass en ajoutant l'option --lastpass après le nom du fichier.

Ce message a été modifié par SartMatt - 31 Jan 2019, 23:39.


--------------------

Go to the top of the page
 
+Quote Post
iAPX
posté 1 Feb 2019, 00:35
Message #9


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (SartMatt @ 31 Jan 2019, 17:29) *
Citation (ekami @ 31 Jan 2019, 21:27) *
Il faudrait pouvoir le télécharger juste pour savoir si certain de ses mots de passe perso y sont enregistrés
Haveibeenpwned a constitué une base de 550 millions de mots de passe et de 6.5 milliards de comptes leakés.

Pour des raisons évidentes, il ne met pas à disposition le contenu complet de cette base, mais permet de tester si on est dedans.

Pour les adresses mail, le test est ici : https://haveibeenpwned.com/
Pour les mots de passes, il est là : https://haveibeenpwned.com/Passwords

Sur cette dernière page, il est aussi possible de télécharger la base complète des hash des mots de passe, si on n'a pas confiance en son service et qu'on veut être sûr de ne rien envoyer vers le serveur d'haveibeenpwned (pour info, le fonctionnement du service garanti en théorie que le serveur ne peut pas connaître le mot de passe que tu testes : le mot de passe est hashé localement, via JavaScript, puis les 5 premiers caractères du hash (sur un total de 40) sont transmis au serveur, qui répond avec la liste de tous les hash commençant par ces 5 caractères, et c'est de nouveau le JavaScript local qui prend le relai pour tester si le hash complet du mot de passe est dans cette liste).

C'est hélas un peu fastidieux pour les mots de passe, parce qu'il faut les tester un à un, ce qui est long quand on en a beaucoup, mais il fournit une API, donc il est possible d'implémenter son propre système, pouvant travailler avec une liste de mot de passe et interrogeant sa base à lui. Il y a par exemple un plug-in KeePass qui permet de tester toute une base KeePass.

Ce dernier leak n'a pas encore été intégré à son service, mais on peut supposer qu'il le sera rapidement.

Je me suis déjà frité avec le tenancier de ce très mauvais service, qui enjoint le public à y entrer leur mot-de-passe alors que son site est très en-dessous des critères adéquats pour un site sécurisé (absence de signature des ressources externes par exemple).
Il prétend être un spécialiste en sécurité sans même comprendre que son propre site (que d'autres lui ont créé) est en-dessous des critères pour manipuler les informations qu'il reçoit: c'est juste un manager avec du très beau langage, il n'a jamais rien réalisé en sécurité et je doute même qu'il sache programmer laugh.gif

L'usage pour l'adresse email est intéressant, mais il ne faut JAMAIS rentrer un de ces mots-de-passe ailleurs que là où il est destiné.

Pour ceux intéressé par ce genre de fichiers, ils en trouveront une tonne sur https://pub*******pe/

Ce message a été modifié par baron - 9 Mar 2019, 23:40.
Raison de l'édition : Retrait d'un lien superlu…


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
SartMatt
posté 1 Feb 2019, 00:50
Message #10


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (iAPX @ 1 Feb 2019, 00:35) *
Je me suis déjà frité avec le tenancier de ce très mauvais service, qui enjoint le public à y entrer leur mot-de-passe alors que son site est très en-dessous des critères adéquats pour un site sécurisé (absence de signature des ressources externes par exemple).
C'est quand même pas bien dur de vérifier (avec le moniteur réseau du navigateur) que quand on tape un mot de passe et qu'on valide, il n'y a qu'une seule requête qui part, qu'elle part bien vers l'API de HIBP et qu'en testant deux mots de passe différents on ne voit que 5 octets varier d'une requête à l'autre. Ce qui confirme que le mot de passe n'est ni envoyé au service, ni capturé en douce par un autre service.

Et au pire si on est vraiment parano, on peut toujours faire à la main. On calcule le hash localement, on appelle à la main l'URL https://api.pwnedpasswords.com/range/<5 premiers caractères du hash> et on vérifie si les 35 caractères suivants du hash sont dans la réponse on non smile.gif


--------------------

Go to the top of the page
 
+Quote Post
iAPX
posté 1 Feb 2019, 01:02
Message #11


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (SartMatt @ 31 Jan 2019, 19:50) *
Citation (iAPX @ 1 Feb 2019, 00:35) *
Je me suis déjà frité avec le tenancier de ce très mauvais service, qui enjoint le public à y entrer leur mot-de-passe alors que son site est très en-dessous des critères adéquats pour un site sécurisé (absence de signature des ressources externes par exemple).
C'est quand même pas bien dur de vérifier (avec le moniteur réseau du navigateur) que quand on tape un mot de passe et qu'on valide, il n'y a qu'une seule requête qui part, qu'elle part bien vers l'API de HIBP et qu'en testant deux mots de passe différents on ne voit que 5 octets varier d'une requête à l'autre. Ce qui confirme que le mot de passe n'est ni envoyé au service, ni capturé en douce par un autre service.

Et au pire si on est vraiment parano, on peut toujours faire à la main. On calcule le hash localement, on appelle à la main l'URL https://api.pwnedpasswords.com/range/<5 premiers caractères du hash> et on vérifie si les 35 caractères suivants du hash sont dans la réponse on non smile.gif

Oui, et dans 5mn, qu'arrivera-t'il pour le prochain utilisateur, peux-tu le certifier et t'engager sur tes biens propres?
(bien sûr tu formeras tout le monde à appeler l'API! dry.gif Elle est même throttlée par l'adresse IP d'origine, il ne comprends absolument rien!)

Un spécialiste en sécurité remarquera immédiatement que la surface d'attaque est extrêmement large sur ce site, et que si on peut vérifier son fonctionnement à un moment X, il est bien moins sécurisé qu'il le devrait, et que ça amène donc des possibilités d'attaques complexes sur lesquelles le propriétaire du site n'a d'ailleurs aucune information ni aucun pouvoir.
Amateur!

Sérieux, je sais sur quoi j'écris, je sais de quoi il s'agit, on a eu des échanges enflammés avec cet idiot qui ne comprend rien de ce qu'il maipule et des risques qu'il fait donc courir aux gens. Ne le prends pas perso.
Je rajouterais que j'ai travaillé dans plusieurs environnement DCI-PSS, en étant évidemment certifié, notamment pour les amener au niveau au-dessus: pas la certification mais une sécurité bien meilleure dans les faits (la certification étant essentiellement bidon et souvent bidonnée, du pur CYA)

Ce message a été modifié par iAPX - 1 Feb 2019, 01:23.


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
SartMatt
posté 1 Feb 2019, 01:22
Message #12


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (iAPX @ 1 Feb 2019, 01:02) *
(bien sûr tu formeras tout le monde à appeler l'API! lol!)
Ben pour utiliser l'API, il n'y a pas besoin de plus que la dernière phrase de mon message précédent hein. Donc oui, "lol" comme tu dis rolleyes.gif

Vraiment. Rien de plus. La partie interrogation de la base de mots de passe, c'est une API extrêmement simple : un seul point d'entrée, appelé en GET (donc suffit de mettre l'adresse dans un navigateur), avec un seul paramètre (les 5 premiers caractères du hash SHA-1). Rien de plus.

Ce message a été modifié par SartMatt - 1 Feb 2019, 01:24.


--------------------

Go to the top of the page
 
+Quote Post
iAPX
posté 1 Feb 2019, 01:25
Message #13


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (SartMatt @ 31 Jan 2019, 20:22) *
Citation (iAPX @ 1 Feb 2019, 01:02) *
(bien sûr tu formeras tout le monde à appeler l'API! lol!)
Ben pour utiliser l'API, il n'y a pas besoin de plus que la dernière phrase de mon message précédent... Vraiment. Rien de plus. La partie interrogation de la base de mots de passe, c'est une API extrêmement simple : une seule méthode, avec un seul paramètre (les 5 premiers caractères du hash SHA-1). Rien de plus.

Je te donne en MP le numéro de téléphone de ma mère et tu lui expliques?
Bon elle est frappée d'Alzheimer, ça ne va pas aider je suis le premier à en convenir puisque des fois ne se souvenant même plus de mon prénom, mais puisque tout le monde peut le faire...

Pour moi elle fait parti des gens qu'on doit protéger, quand on parle de sécurité, car on doit protéger tous et chacun.
Et ne jamais partir d'un a-priori d'une capacité technique ou même d'apprentissage: la sécurité doit être là dans tous les cas.

Ça n'est pas le cas pour ce site, vraiment dangereux.
J'ai eu le cas pour un site de certification de sécurité dans notre groupe, qui demandait aussi de rentrer un mot-de-passe pour valider qu'il respecte des normes, et où il a fallu alerter tout le monde pour qu'ils n'y rentrent pas un mot-de-passe utilisé, puisque non vérifié localement (Javascript) mais transmis au serveur distant.

Ce message a été modifié par iAPX - 1 Feb 2019, 01:31.


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
SartMatt
posté 1 Feb 2019, 01:29
Message #14


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (iAPX @ 1 Feb 2019, 01:25) *
Citation (SartMatt @ 31 Jan 2019, 20:22) *
Citation (iAPX @ 1 Feb 2019, 01:02) *
(bien sûr tu formeras tout le monde à appeler l'API! lol!)
Ben pour utiliser l'API, il n'y a pas besoin de plus que la dernière phrase de mon message précédent... Vraiment. Rien de plus. La partie interrogation de la base de mots de passe, c'est une API extrêmement simple : une seule méthode, avec un seul paramètre (les 5 premiers caractères du hash SHA-1). Rien de plus.
Je te donne en MP le numéro de téléphone de ma mère et tu lui expliques?
Bon elle est frappée d'Alzheimer, ça ne va pas aider je suis le premier à en convenir puisque des fois ne se souvenant même plus de mon prénom, mais puisque tout le monde peut le faire...
C'est sûr que si tu prends des cas extrêmes...

Mais en même temps, si on t'écoutes, ta mère ne devrait tout simplement même pas avoir le droit d'utiliser un ordinateur connecté à un réseau rolleyes.gif Puisqu'elle n'est sans doute pas capable de vérifier le niveau de sécurité des sites et logiciels qu'elle utilise. Donc bon...

Mais l'API, je persiste, elle reste utilisable par n'importe qui sait se servir d'un ordinateur basiquement. Il suffit d'apprendre à calculer un hash SHA-1 (pas excessivement compliqué, il y a juste à expliquer à la personne qu'il faut installer tel logiciel et comment il s'utilise, ce qui n'est pas plus compliqué que l'utilisation d'un traitement de texte ou d'un navigateur), de lui expliquer qu'il faut aller à telle adresse en mettant à la fin les 5 premiers caractères du hash (là encore, aucune connaissance particulière en informatique n'est nécessaire) et que dans la liste qui apparait il faut chercher si le reste du hash est dedans (Ctrl+F... là encore, rien qui nécessite des connaissances extraordinaires...).

Bref, un petit logiciel à installer et trois actions très simples à mémoriser...

Ce message a été modifié par SartMatt - 1 Feb 2019, 01:33.


--------------------

Go to the top of the page
 
+Quote Post
iAPX
posté 1 Feb 2019, 01:32
Message #15


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (SartMatt @ 31 Jan 2019, 20:29) *
Citation (iAPX @ 1 Feb 2019, 01:25) *
Citation (SartMatt @ 31 Jan 2019, 20:22) *
Citation (iAPX @ 1 Feb 2019, 01:02) *
(bien sûr tu formeras tout le monde à appeler l'API! lol!)
Ben pour utiliser l'API, il n'y a pas besoin de plus que la dernière phrase de mon message précédent... Vraiment. Rien de plus. La partie interrogation de la base de mots de passe, c'est une API extrêmement simple : une seule méthode, avec un seul paramètre (les 5 premiers caractères du hash SHA-1). Rien de plus.
Je te donne en MP le numéro de téléphone de ma mère et tu lui expliques?
Bon elle est frappée d'Alzheimer, ça ne va pas aider je suis le premier à en convenir puisque des fois ne se souvenant même plus de mon prénom, mais puisque tout le monde peut le faire...
C'est sûr que si tu prends des cas extrêmes...

Mais en même temps, si on t'écoutes, ta mère ne devrait tout simplement même pas avoir le droit d'utiliser un ordinateur connecté à un réseau rolleyes.gif Puisqu'elle n'est sans doute pas capable de vérifier le niveau de sécurité des sites et logiciels qu'elle utilise. Donc bon...

Oui mais elle en a besoin, quel que soit son état.

C'est donc aux autres, à nous (je t'englobe même avec ta mauvaise foi), de les protéger.


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
coverband
posté 1 Feb 2019, 04:40
Message #16


Adepte de Macbidouille
*

Groupe : Membres
Messages : 254
Inscrit : 13 Feb 2018
Membre no 204 198



Citation (SartMatt @ 1 Feb 2019, 00:50) *
Citation (iAPX @ 1 Feb 2019, 00:35) *
Je me suis déjà frité avec le tenancier de ce très mauvais service, qui enjoint le public à y entrer leur mot-de-passe alors que son site est très en-dessous des critères adéquats pour un site sécurisé (absence de signature des ressources externes par exemple).
C'est quand même pas bien dur de vérifier (avec le moniteur réseau du navigateur) que quand on tape un mot de passe et qu'on valide, il n'y a qu'une seule requête qui part, qu'elle part bien vers l'API de HIBP et qu'en testant deux mots de passe différents on ne voit que 5 octets varier d'une requête à l'autre. Ce qui confirme que le mot de passe n'est ni envoyé au service, ni capturé en douce par un autre service.

Et au pire si on est vraiment parano, on peut toujours faire à la main. On calcule le hash localement, on appelle à la main l'URL https://api.pwnedpasswords.com/range/<5 premiers caractères du hash> et on vérifie si les 35 caractères suivants du hash sont dans la réponse on non smile.gif

Bonjour
Je viens de faire le test avec mes adresses mails certaines sont effectivements piratees.
Pourrais tu faire un tuto afin de nous montrer comment verifier si la requette part uniquement vers le site sur lequel on se connecte ?

Je ne comprends pas non plus comment utiliser le,script python que tu as ecrit sad.gif

Mais quel monde de barjos sad.gif


IAPX que sommes nous cense faire avec ce lien ?
https://pub*******pe/

Ce message a été modifié par baron - 9 Mar 2019, 23:44.
Raison de l'édition : Retrait d'un lien superflu…


--------------------
Des bouts de mon travail ...
PowerMac G4 MDD 2x1 GHz + SSD OWC + OS 9.2.2 + 10.4 + 10.5
Mac Pro Mid 2010 (5.1) 2x2,66 Ghz 6 Coeurs + 96 Go RAM + Radeon Saffire 580 8Go + 10.6.8 / 10.8.5 / 10.9.5 / 10.11.6 / 10.13.6 + Chassis Magma Pe6R4-i + Sonnet Fusion 500 + Sonnet Fusion R400S
Go to the top of the page
 
+Quote Post
SartMatt
posté 1 Feb 2019, 10:07
Message #17


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (coverband @ 1 Feb 2019, 04:40) *
Pourrais tu faire un tuto afin de nous montrer comment verifier si la requette part uniquement vers le site sur lequel on se connecte ?

1) Aller sur le site.
2) Ouvrir le moniteur réseau qui fait partie des outils de développement du navigateur :
* sous Firefox : Outils > Développement web > Réseau ou Ctrl+Maj+E
* sous Chrome :
* sous IE : Paramètres > Outils de développement ou F12 puis sélectionner l'onglet Réseau
* je n'ai pas Safari sous la main, mais il doit y avoir un truc équivalent, à trouver en fouillant dans les menus.
3) S'il y a déjà des choses qui s'affichent dans la liste du moniteur réseau, les effacer.
4) Saisir l'adresse mail dans le champ prévu. Tant que tu n'as pas validé, tu ne dois voir aucune requête apparaitre dans l'onglet Réseau.
5) Valider.
6) Tu dois voir partir une seule requête, vers api.haveibeenpwned.com.
* Dans le cas du mail, l'adresse appelée contient ton adresse mail (par exemple https://api.haveibeenpwned.com/unifiedsearch/[email protected] ). Si ton adresse est compromise, tu auras en plus une série de requêtes vers haveibeenpwned.com, qui correspondent aux images qu'il charge pour illustrer les différents leaks dans lesquelles l'adresse a été trouvée.
* Dans le cas du mot de passe, l'adresse appelée contient une série de 5 chiffres hexadécimaux (de 0-9 ou de A à F) qui varie en fonction du mot de passe saisi (par exemple, https://api.pwnedpasswords.com/range/0B9C2 )

Après, dans le cas du mail, le fait que ça ne soit envoyé que vers le serveur d'HIBP ne garanti rien. Dans la mesure où c'est transmis en clair, le serveur peut ensuite en faire ce qu'il veut.
Dans le cas du mot de passe, ce qui est transmis au serveur d'HIBP ne permet pas de reconstruire le mot de passe, donc le fait qu'il n'y ait aucune transmission vers un autre serveur est une garantie suffisante.

Citation (coverband @ 1 Feb 2019, 04:40) *
Je ne comprends pas non plus comment utiliser le,script python que tu as ecrit sad.gif

1) Télécharger le script et le mettre par exemple sur le bureau. Dans la suite on va supposer que le fichier s'appelle hibp.py
EDIT : 2) S'assurer que le module requests est bien installé dans Python 3 : pip3 install requests
3) Créer au même endroit un fichier texte avec la liste des mots de passe à tester (un par ligne). Par exemple, liste.txt
4) Ouvrir le terminal et se placer dans le répertoire du script (cd ~/Bureau ou cd ~/Desktop si tu l'as mis sur le bureau)
5) Lancer le script avec en paramètre le nom du fichier de mots de passe : python3 hibp.py liste.txt

Si rien ne s'affiche, c'est qu'aucun mot de passe n'est dans la base d'HIBP. Sinon, ça affiche la liste des mots de passe corrompus et leur nombre d'occurence dans des leaks.

Ce message a été modifié par SartMatt - 2 Feb 2019, 14:39.


--------------------

Go to the top of the page
 
+Quote Post
iAPX
posté 1 Feb 2019, 12:50
Message #18


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (coverband @ 31 Jan 2019, 23:40) *
...
IAPX que sommes nous cense faire avec ce lien ?
https://pub*******pe/

C'est uniquement pour ceux intéressé par des fichiers contenant des ensembles de compte et de mot-de-passe (chiffrés), je n'aurais d'ailleurs pas dû mettre le lien (une erreur).

Je déconseille d'y aller sauf pour ceux qui savent vraiment ce qu'ils font, d'ailleurs certains système de sécurité d'entreprise bloquent ce site.

Ce message a été modifié par baron - 9 Mar 2019, 23:42.
Raison de l'édition : Retrait d'un lien superflu…


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
scoub_rosnoen
posté 1 Feb 2019, 16:27
Message #19


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 934
Inscrit : 6 Sep 2007
Membre no 94 277



Je viens de tester, et je savais que le mot de passe associé à mon compte dailymotion avait fuité en 2016 (grâce à haveibeenpwned.com). Par contre, je vois qu'un autre mot de passe a aussi fuité en 2019 mais je ne sais pas pour quel service !! huh.gif
Comme j'utilise des mots de passe uniques, ça limite les dégâts, mais ça me gêne de savoir que j'ai un compte (au moins) compromis et de ne pas savoir lequel. Même si il n'est pas en status vérifié, c'est quand même un peu chiant.

Fichier joint  2019_02_01.png ( 19.76 Ko ) Nombre de téléchargements : 26


Citation (iAPX @ 1 Feb 2019, 01:32) *
Citation (SartMatt @ 31 Jan 2019, 20:29) *
Citation (iAPX @ 1 Feb 2019, 01:25) *
Citation (SartMatt @ 31 Jan 2019, 20:22) *
Citation (iAPX @ 1 Feb 2019, 01:02) *
(bien sûr tu formeras tout le monde à appeler l'API! lol!)
Ben pour utiliser l'API, il n'y a pas besoin de plus que la dernière phrase de mon message précédent... Vraiment. Rien de plus. La partie interrogation de la base de mots de passe, c'est une API extrêmement simple : une seule méthode, avec un seul paramètre (les 5 premiers caractères du hash SHA-1). Rien de plus.
Je te donne en MP le numéro de téléphone de ma mère et tu lui expliques?
Bon elle est frappée d'Alzheimer, ça ne va pas aider je suis le premier à en convenir puisque des fois ne se souvenant même plus de mon prénom, mais puisque tout le monde peut le faire...
C'est sûr que si tu prends des cas extrêmes...

Mais en même temps, si on t'écoutes, ta mère ne devrait tout simplement même pas avoir le droit d'utiliser un ordinateur connecté à un réseau rolleyes.gif Puisqu'elle n'est sans doute pas capable de vérifier le niveau de sécurité des sites et logiciels qu'elle utilise. Donc bon...

Oui mais elle en a besoin, quel que soit son état.

C'est donc aux autres, à nous (je t'englobe même avec ta mauvaise foi), de les protéger.

Merci iAPX, cela me fait plaisir de voir qu'il y a encore des informaticiens qui comprennent que "l'outil" informatique ne doit pas être réservé qu'aux informaticiens (j'en suis aussi un). Ou alors, on ré-ouvre les services publiques qu'on a fermé et remplacés par des portails web à la con smile.gif

Ce message a été modifié par scoub_rosnoen - 1 Feb 2019, 16:33.
Go to the top of the page
 
+Quote Post
SartMatt
posté 1 Feb 2019, 17:19
Message #20


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (scoub_rosnoen @ 1 Feb 2019, 16:27) *
Je viens de tester, et je savais que le mot de passe associé à mon compte dailymotion avait fuité en 2016 (grâce à haveibeenpwned.com). Par contre, je vois qu'un autre mot de passe a aussi fuité en 2019 mais je ne sais pas pour quel service !! huh.gif
Comme j'utilise des mots de passe uniques, ça limite les dégâts, mais ça me gêne de savoir que j'ai un compte (au moins) compromis et de ne pas savoir lequel.
Si tu peux facilement mettre ta liste de mots de passe sous forme de fichier texte ou CSV, tu peux utiliser mon script plus haut, il te dira quel mot de passe est concerné.

À noter qu'il est tout a fait possible qu'en fait seul ton mot de passe Dailymotion soit affecté : les collections de janvier ne sont pas vraiment des nouveaux leaks, ce sont des regroupements de plein d'anciens leak, donc il y a de bonnes chances que le leak Dailymotion soit dedans.


--------------------

Go to the top of the page
 
+Quote Post
scoub_rosnoen
posté 1 Feb 2019, 17:36
Message #21


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 934
Inscrit : 6 Sep 2007
Membre no 94 277



Citation (SartMatt @ 1 Feb 2019, 17:19) *
Citation (scoub_rosnoen @ 1 Feb 2019, 16:27) *
Je viens de tester, et je savais que le mot de passe associé à mon compte dailymotion avait fuité en 2016 (grâce à haveibeenpwned.com). Par contre, je vois qu'un autre mot de passe a aussi fuité en 2019 mais je ne sais pas pour quel service !! huh.gif
Comme j'utilise des mots de passe uniques, ça limite les dégâts, mais ça me gêne de savoir que j'ai un compte (au moins) compromis et de ne pas savoir lequel.
Si tu peux facilement mettre ta liste de mots de passe sous forme de fichier texte ou CSV, tu peux utiliser mon script plus haut, il te dira quel mot de passe est concerné.

À noter qu'il est tout a fait possible qu'en fait seul ton mot de passe Dailymotion soit affecté : les collections de janvier ne sont pas vraiment des nouveaux leaks, ce sont des regroupements de plein d'anciens leak, donc il y a de bonnes chances que le leak Dailymotion soit dedans.


Merci SartMatt wink.gif pour ton script. Je n'ai pas encore eu le temps d'éplucher tout ça. Mais je regarderai tout ça en détail la semaine prochaine pour faire un point avant de faire peur à tout mon entourage...
Comme j'ai presque 400 mots de passe enregistrés dans bitwarden, c'est compliqué de savoir lesquels seraient compromis...

Ce message a été modifié par scoub_rosnoen - 1 Feb 2019, 17:40.
Go to the top of the page
 
+Quote Post
SartMatt
posté 1 Feb 2019, 19:28
Message #22


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (scoub_rosnoen @ 1 Feb 2019, 17:36) *
Comme j'ai presque 400 mots de passe enregistrés dans bitwarden, c'est compliqué de savoir lesquels seraient compromis...
Je viens d'améliorer un peu le script, il peut maintenant prendre n'importe quel CSV en entrée, plus uniquement celui de LastPass (donc ça marchera avec un export CSV de BitWarden) et il précise les lignes auxquelles se trouvent les mots de passe corrompus, ce qui évite d'avoir ensuite à chercher à quel service ils correspondent.


--------------------

Go to the top of the page
 
+Quote Post
coverband
posté 2 Feb 2019, 01:25
Message #23


Adepte de Macbidouille
*

Groupe : Membres
Messages : 254
Inscrit : 13 Feb 2018
Membre no 204 198



Merci infiniment pour vos interventions


--------------------
Des bouts de mon travail ...
PowerMac G4 MDD 2x1 GHz + SSD OWC + OS 9.2.2 + 10.4 + 10.5
Mac Pro Mid 2010 (5.1) 2x2,66 Ghz 6 Coeurs + 96 Go RAM + Radeon Saffire 580 8Go + 10.6.8 / 10.8.5 / 10.9.5 / 10.11.6 / 10.13.6 + Chassis Magma Pe6R4-i + Sonnet Fusion 500 + Sonnet Fusion R400S
Go to the top of the page
 
+Quote Post
Nathan
posté 2 Feb 2019, 10:40
Message #24


Macbidouilleur d'argent !
***

Groupe : Membres
Messages : 620
Inscrit : 23 Feb 2002
Lieu : Bordeaux
Membre no 2 111



Merci de ces retours, c'est très instructif et déprimant en plus

je change mes passwd tous les 6 mois mais je suis quand même recensé dans 9 cas !!!

Je n'ose pas imaginer tous les cas qui ne le sont pas encore ...

bon wk à tous


--------------------
Macpro 2009 4.1 flashé en 2010 5.1
2*2,26GHz modifie en Intel® Xeon® CPU X5560 @ 2.80GHz- 32 Go RAM 1333 - SSD M4 128Go sur Apricorn Velocity Solo x2 plus 4*2 To -Sapphire Pulse RADEON OC dual Bios RX580 8GB - Moniteur : DELL U2718Q
Imac 27 2009 3,06GHz - 16 Go de RAM 1To - ATI Radeon HD 4850 512MB HS passe en 256MB
Go to the top of the page
 
+Quote Post
gimly
posté 2 Feb 2019, 12:58
Message #25


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 381
Inscrit : 30 Sep 2003
Lieu : Dordogne
Membre no 10 001



j'arrive pa a utiliser ton sript

import requests
ModuleNotFoundError: No module named 'requests'

j'ai même installé "requests" avec pip et rien

si je fait pip liste
requests 2.21.0


--------------------
Macbookpro 13'' pour le travail, en personnel toujours G4 MDD 2X1,25G , x800 flacher,ecran philips,apple disigne speaker, brother HL1050, Syouest 270M Disque externe SCSI, Zip 250 Firemire, ligitech mx 1000 bateau model reduit pour la competition
Go to the top of the page
 
+Quote Post
SartMatt
posté 2 Feb 2019, 14:38
Message #26


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (gimly @ 2 Feb 2019, 12:58) *
j'arrive pa a utiliser ton sript

import requests
ModuleNotFoundError: No module named 'requests'

j'ai même installé "requests" avec pip et rien

si je fait pip liste
requests 2.21.0
Ah oui effectivement, c'est un module non standard, donc il faut l'installer, j'avais pas fait gaffe à ça, désolé.

Tu l'as bien installé dans ton environnement Python 3 ? Il y a presque toujours Py2 et Py3 en parallèle, et l'environnement par défaut est souvent Py2. À priori, c'est le cas avec macOS, y compris Mojave (serait temps que ça change d'ailleurs, parce que Py2 arrive en fin de support à la fin de l'année...).

=> pip3 list pour vérifier, pip3 install requests s'il n'est pas installé en Py3.


--------------------

Go to the top of the page
 
+Quote Post
gimly
posté 2 Feb 2019, 15:43
Message #27


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 381
Inscrit : 30 Sep 2003
Lieu : Dordogne
Membre no 10 001



c'est ça je suis encore en 2,7 et meme avec Homebrew ca veux pas installé la 3, j'abandonne

j'ai tout supprimer

je me fait un Linux sous parallèle comme ca .......

c'est bon sous Linux avec l'installation de python 3, pip ---> pour "requests"

Ce message a été modifié par gimly - 2 Feb 2019, 18:08.


--------------------
Macbookpro 13'' pour le travail, en personnel toujours G4 MDD 2X1,25G , x800 flacher,ecran philips,apple disigne speaker, brother HL1050, Syouest 270M Disque externe SCSI, Zip 250 Firemire, ligitech mx 1000 bateau model reduit pour la competition
Go to the top of the page
 
+Quote Post
coverband
posté 16 Feb 2019, 22:09
Message #28


Adepte de Macbidouille
*

Groupe : Membres
Messages : 254
Inscrit : 13 Feb 2018
Membre no 204 198



Citation (SartMatt @ 1 Feb 2019, 10:07) *
1) Télécharger le script et le mettre par exemple sur le bureau. Dans la suite on va supposer que le fichier s'appelle hibp.py
EDIT : 2) S'assurer que le module requests est bien installé dans Python 3 : pip3 install requests
3) Créer au même endroit un fichier texte avec la liste des mots de passe à tester (un par ligne). Par exemple, liste.txt
4) Ouvrir le terminal et se placer dans le répertoire du script (cd ~/Bureau ou cd ~/Desktop si tu l'as mis sur le bureau)
5) Lancer le script avec en paramètre le nom du fichier de mots de passe : python3 hibp.py liste.txt

Si rien ne s'affiche, c'est qu'aucun mot de passe n'est dans la base d'HIBP. Sinon, ça affiche la liste des mots de passe corrompus et leur nombre d'occurence dans des leaks.

Bonsoir

je ne sais pas si j'ai bien fait les manips mais voici que j'ai fait

une fois dézippé j'ai placé ton fichier sur le bureau et je l'ai renommé hibp.py
je n'ai pas réussi à m'assurer que le module request était bien installé (pas comprit comment faire en fait)
j'ai crée un fichier texte appelé liste.txt avec un seul mot de passe dessus
j'ai bien réussi à me mettre dans le terminal sur le répertoire desktop
dans le terminal j'ai entré la commande python3 hibp.py liste.txt
et j'ai eu pour réponse "command not found"

donc en clair je n'ai quasiment rien comprit - je suis un peu bête désolé ou beaucoup (au choix pour toi)

édit : je suis sous snow leopard

Ce message a été modifié par coverband - 16 Feb 2019, 22:12.


--------------------
Des bouts de mon travail ...
PowerMac G4 MDD 2x1 GHz + SSD OWC + OS 9.2.2 + 10.4 + 10.5
Mac Pro Mid 2010 (5.1) 2x2,66 Ghz 6 Coeurs + 96 Go RAM + Radeon Saffire 580 8Go + 10.6.8 / 10.8.5 / 10.9.5 / 10.11.6 / 10.13.6 + Chassis Magma Pe6R4-i + Sonnet Fusion 500 + Sonnet Fusion R400S
Go to the top of the page
 
+Quote Post
Tom25
posté 17 Feb 2019, 00:03
Message #29


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 306
Inscrit : 27 Jul 2008
Lieu : Besançon
Membre no 118 630



Je lisais ce sujet et dans le même temps je reçois un email de FaceBook comme quoi quelqu'un tente de se connecter à mon compte. Et quelques dizaines de minutes après la même chose de qgoogle par SMS (après avoir reçu un SMS "G-123456 : votre code Google …".

Je ne pense pas que ça ait un rapport avec cette base de données, je n'ai pas cherché à savoir si j'étais dedans, mais si c'était le cas le type aurait mon bon mot de passe, pour FaceBook en tout cas, pour Google il y a la double authentification SMS.


--------------------
Go to the top of the page
 
+Quote Post
SartMatt
posté 17 Feb 2019, 00:03
Message #30


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 32 183
Inscrit : 15 Nov 2005
Membre no 49 996



Citation (coverband @ 16 Feb 2019, 22:09) *
édit : je suis sous snow leopard
Snow Leopard étant un peu ancien, il n'embarque probablement pas Python 3.

Mais à priori, mon code est compatible Python 2, en ajoutant juste une ligne au début avec les autres import : from __future__ import print_function

Et pour l'installation de requests, tape juste la commande "sudo pip install requests"


--------------------

Go to the top of the page
 
+Quote Post

2 Pages V   1 2 >
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 29th March 2024 - 07:17