Hier est apparu ce qui semblait être une liste contenant pas moins de cinq millions d’identifiants Gmail accompagnés de leurs mots de passe. Il apparait toutefois que ces informations pourraient être assez anciennes et de sources diverses. La prudence recommande cependant de faire attention.
Des identifiants Gmail qui n'en sont pas forcément
Le site russe Cnews a publié hier une information qui aurait provoqué rapidement la panique si elle n’avait pas été par la suite mise à jour avec des éléments nouveaux. Au départ, il s’agissait d’un fichier trouvé sur des forums russes centrés sur Bitcoin et contenant pas moins de cinq millions de couples identifiants/mots de passe provenant de Gmail.
Cependant, Google a rapidement réagi en indiquant au média russe pourrait n’être qu’en fait une vaste collecte d’identifiants collectés au fur et à mesure des années depuis différents sites. La firme explique en effet qu’un grand nombre de comptes référencés sont aujourd’hui inactifs ou ne donnent pas de correspondance entre l’identifiant et le mot de passe.
Initialement, le fichier a été posté mardi sur le forum btsec.com, un site entièrement dédié à la sécurité autour de Bitcoin. L’utilisateur ayant publié les données, « tvskit », avait accompagné le message d’une capture d’écran pour montrer des exemples de mots de passe. On y voit clairement que la plupart sont encore une fois bien trop faciles à deviner, mais « sn@27%hide » est tout de même un cran au-dessus.
Depuis le fichier n’est plus disponible sur le forum, mais l’auteur du message précisait que 60 % des identifiants étaient toujours valables. La vérité est dans la pratique qu’on ne peut pas le savoir puisqu’il faudrait tous les tester et que certaines trouvailles remettent en cause l’authenticité de ce qui était avancé par tvskit.
Une liste compilée après des années de phishing ?
Comme l’indique en effet LifeHacker.com, plusieurs personnes sur Reddit ont fouillé dans les données et auraient découvert qu’il ne s’agissait pas à proprement parler d’identifiants Gmail (les messages ont été depuis supprimés également). Les adresses sont bien celles du service de Google, mais les mots de passe proviendraient d’autres sites. La collection entière pourrait donc être une vaste accumulation de sésames récoltés via des opérations de phishing et autres techniques malveillantes.
Pour autant, cela ne signifie pas qu’il n’y a aucun danger. Une partie des informations contient des références à Gmail et Google Plus, tandis que d’autres concernent Yandex, le plus gros moteur de recherche en Russie. Google et Yandex ont tous deux indiqué à Cnews que leurs systèmes n’avaient pas été compromis. Mais non seulement certaines combinaisons peuvent encore fonctionner, mais les utilisateurs ont souvent cette fâcheuse habitude de réutiliser les identifiants sur plusieurs services.
L'éternel danger de la réutilisation des mots de passe
C’est d’ailleurs là que réside le plus gros danger. Un utilisateur peut par exemple créer un compte Gmail en choisissant un mot de passe en particulier. À son inscription sur un autre site, puisqu’une adresse email est demandée dans la plupart des cas, il va réutiliser le mot de passe afin de ne pas avoir à en retenir plusieurs. On connait la suite : la tentative de phishing réussie fournira les identifiants qui pourront être utilisés sur Gmail, compromettant alors le compte.
De fait, même si le danger ne semble pas important, plusieurs sites recommandent de changer le mot de passe du compte Gmail. The Daily Dot fournit par exemple un lien vers IsLeaked.com, qui permet de vérifier si son adresse se trouve dans le fichier qui avait été publié mardi. Même s’il ne trouve rien, il enjoint l’utilisateur à prendre les devants. L’activation de l’authentification à deux facteurs permettra, comme toujours, d’ajouter une sérieuse couche de sécurité supplémentaire.
Commentaires (106)
#1
vive la double authentification aussi !
#2
La double authentification ça protège quand même bien. Parce que retenir 50 mots de passe franchement je n’y arrive pas.
#3
Comme déjà dit, une seule chose à faire:
https://play.google.com/store/apps/details?id=com.google.android.apps.authentica…
#4
Même en double authent, certaines personnes utilisent le même combo email/mdp pour d’autres services genre Paypal… #fail
#5
#6
#7
Attention avec le lien vers IsLeaked !!! Visiblement le site a été enregistré deux jours avant la divulgation de leak en question, donc il pourrait très bien être encore un site dont le but est de récupérer des adresses mails en masse :http://jameswatt.me/2014/09/10/isleaked-com-registered-2-days-before-gmail-leak-…
#8
#9
Perso je suis dans la liste … " />
Même si le début de mot de passe donné correspond à un ancien mot de passe que j’utilisais. (Changé après un premier vol de compte il y à bien 3 ans) (+ la double authentification qui tourne depuis pres de 2 ans maintenant sur ce compte)
#10
The Daily Dot fournit par exemple un lien vers IsLeaked.com, qui permet de vérifier si son adresse se trouve dans le fichier qui avait été publié mardi.
C’est Google qui édite ce site ?
Ou bien c’est un énième tiers inconnu à qui ont peut faire entièrement confiance, puisqu’il le dit lui-même " />
#11
#12
#13
#14
Ouaih, j’apprécie pas trop que l’équipe de nextInpact est viré mon commentaire qui justement donne les sources de cette news. " />
(sur ce sujet )
http://www.nextinpact.com/news/89823-google-appels-gratuits-sur-mobile-avec-hang…
note : j’adorele lien “IsLeaked.com” , typiquement le genre de site qui te capte suite à une news de ce genre … la sécurité , ouille aille hein ?
#15
#16
#17
#18
#19
#20
#21
#22
#23
#24
#25
#26
#27
#28
Quand on va surhttp://lifehacker.com/5-million-gmail-passwords-leaked-check-yours-now-163298326… ils disent qu’on peut tester avec çahttp://securityalert.knowem.com/ en entrant son adresse mail de gmail, je n’ai pas essayé
J’avais déjà changé mes mots de passe de gmail lors de la découverte de la faille heartbleed
#29
#30
#31
#32
Changement de mot de passe go !
#33
#34
De toute façon avec ou sans mot de passe google lit vos email, donc pas la peine d’en faire un foin.
Nouvelle suivante
#35
#36
Je viens de vérifier en récupérant le fichier txt sur le forum. Je ne suis pas dans la liste mais un pote oui…
Il va quand même falloir que je revois ma politique de sécurité … J’ai pas envie de perdre mon compte steam et l’accès à mon cloud. C’est pas avec moi que les pirates feront le buzz. J’ai pas de photo à poil et je suis encore moins une star, ouf ! " />
#37
#38
#39
#40
#41
#42
La firme explique en effet qu’un grand nombre de comptes référencés sont aujourd’hui inactifs ou ne donnent pas de correspondance entre l’identifiant et le mot de passe.
Traduction:
On assume pas nos erreurs. On supprime illico presto les comptes concernés puis on fait un communiqué affirmant que ça fait des années que ces comptes n’existent plus.
#43
#44
#45
#46
#47
…
« sn@27%hide » est tout de même un cran au-dessus
…
«charlie» aussi non ?
En tout cas il parait qu’il est difficile à trouver
=================> []
#48
#49
#50
Je peux vous confirmer que les mots de passes n’ont pas été récupérés sur gmail (en tout cas pas uniquement).
Mon adresse mail est reconnue parhttps://isleaked.com et affiche les première lettres de mon mdp “low security”. Je n’ai jamais utilisé ce mdp pour gmail, par contre je l’utilise sur tous les sites craignos…
Ca m’étonnerait pas que ces mdp aient juste étaient stockés en douce par des forums ou ce genre de site.
#51
#52
#53
No! Your account probably is not in public access! However, we are strongly recommend to change your password periodically. -
Vu mon mot de passe , m’étonne pas.
#54
#55
Tout à fait d’accord avec toi Groumfy :)
Et comme indiqué dans l’article, la double authentification ne fait pas de mal en supplément.
#56
Pour une bonne protection, il faut utiliser ,comme dit dans les commentaires précédents, la double authent !
Et bien évidemment avoir un mot de passe différent pour chaque site. Il suffit de faire marcher votre cerveau pour trouver votre propre moyen mémo-technique…
Personnellement je … à non vous ne saurais pas " />
Mais un mot de passe pour chaque site est tout à faire possible, même avec une mémoire de poisson comme la mienne.
#57
#58
Je confirme que mon adresse “poubelle” gmail est répertorié mais avec le mot de passe que je met sur les sites tout moisie.
Bref la théorie de google semble correcte.
#59
Il y a quelques semaines, j’ai reçu sur mon portable un code de vérification Google.
Je suis allé immédiatement changer mes passwords sur mon compte Google et mes mails principaux.
J’ai activé la double authentification au passage.
#60
#61
#62
#63
#64
#65
2 points à éviter avec vos mots de passe :
P@ssw0rdMic pour les services Microsoft
P@ssw0rdGoo pour les services Google
P@ssw0rdApp pour les services Apple
Car si on venait a récupérer un mot de passe, on serait déterminer votre mot de passe pour les autres services.
Par exemple, par déduction, votre mot de passe Facebook pourrait être P@ssw0rdFac
#66
snifff…. dans la liste…." />" />
#67
#68
#69
#70
Il faudrait supprimer les questions secrètes.
Quelle était la marque de votre première voiture ?
Quand je répond Renault, j’ai déjà 50% de chance de tomber sur la bonne réponse " />
#71
#72
#73
#74
#75
#76
#77
#78
#79
#80
Des mots de passe complexes et différents facile à retenir c’ est pas compliqué.
Suffit de retenir une phrase et de prendre la première lettre de chaque mot.
“Je surfe sur NXI 7 jours sur 7 et 24h sur 24 avec mon Blackberry Q” donne:
JssNXI7js7e24hs24amBQ
Un pote cherchait lui les phrases dont il allait retenir chaque première lettre de chaque mot, des fables de la Fontaine qu’ il avait apprit par coeur à l’ école.
Des mots de passe d’ une longueur et d’ une complexité hallucinante qu’ il tapait de mémoire sans aucun problème.
Une fable différente par site.
Et en cas de doute, un coup d’ oeil sur n’ importe quel site online sur les fables de la Fontaine et son mot de passe reapparaissait en clair pour lui ^^
#81
#82
#83
#84
#85
#86
#87
Vous parlez beaucoup de la double vérification sur le compte gmail. Il y a un an ou deux j’ai rencontré un problème avec ça : Impossible d’utiliser mon adresse gmail pour aller sur le play store avec mon smartphone android, j’avais une erreur. J’ai au final dû enlever cette protection supplémentaire pour enfin pouvoir l’associer avec mon appareil. C’est encore d’actualité ou pas ?
Merci " />
#88
#89
#90
Ce site la: ttps://isleaked.com c’est safe ? genre il font pas une jolie collecte d’email ? " />
#91
#92
#93
Bon, dans le doute, changement de mdp
Je conseille a tous d’utiliser un gestionnaire de mdp. C’est le seul moyen d’avoir un mdp unique pour chaque site et en plus secur
#94
#95
#96
#97
ah, un détail qui tue : j’ai besoin de déverrouiller 2 portes pour accéder au put*n de local poubelle… depuis l’intérieur de ma résidence!
#98
#99
#100
#101
Il serait grand temps d’utiliser une authentification unique comme ça pas obligé de donner des mots de passe sur tous les sites.
Microsoft a inventé çà il y a longtemps, Facebook et Twitter ont suivi, dommage que ça soit si peu utilisé.
#102
#103
#104
#105
#106
Bon bah je viens de découvrir que mon adresse mail principale est dans la fameuse liste. Heureusement c’est mon ancien mot de passe qui est indiqué sur le site mais je me demande vraiment comment ils ont pu obtenir le mot de passe.