Collection #1 : 772 millions d’emails et 22 millions de mots de passe dans la nature
Le 17 janvier 2019 à 09h15
1 min
Internet
Internet
L'annonce a été faite par le spécialiste Troy Hunt sur son blog. Il explique que plus de 12 000 fichiers pour un poids total de 87 Go étaient accessibles sur MEGA.
Il a identifié près de 2,7 milliards lignes contenant des adresses email et des mots de passe, pour environ 1,1 milliard de combinaisons uniques. Ils proviennent de centaines de fuites de données différentes, certaines remontant à près de 20 ans.
Dans le détail, le chercheur décompte plus de 772 millions d'adresses email uniques et 21 millions de mots de passe différents. Bien évidemment, toutes ses informations ont été intégrées dans le service Have I Been Pwned permettant de savoir si son adresse email ressort dans des fuites de données.
Sachez enfin que Collection #1 est le nom de la fuite donnée par Troy Hunt.
Le 17 janvier 2019 à 09h15
Commentaires (60)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 17/01/2019 à 09h26
que celui qui n’y est pas lève la main.
" />
Le 17/01/2019 à 09h27
j’ai pas de compte chez Mega, donc je suis pas concerné.
Mais la multiplication des fuites chez les différents services et de celles encore inconnues commencent à me faire sérieusement douter.
Pas de doutes à utiliser le service “Have i been pwned” ?
Comment être sûr que notre adresse ne va pas être collecter et être ciblé en suite puisque là, on y laisse délibérement notre adresse e-mail ?
Auriez-vous une solution afin d’éviter de ce faire pouiller par une faiblesse d’un service ou d’un site ?
Je pense à la multiplication des boites mails, unique par site/service.
bonne idée ? Si oui, comment s’y prendre ?
Le 17/01/2019 à 09h35
Le 17/01/2019 à 09h40
j’avais effectivement mal compris, c’est encore pire.
Le 17/01/2019 à 09h40
Le 17/01/2019 à 09h56
J’ai commencé à utiliser des alias (avec Gmail tu donnes aux sites [email protected] et ça redirige automatiquement sur [email protected]) sur certains sites auxquels je fais moyennement confiance, mais c’est clairement chiant à faire, surtout pour se rappeler de l’email utilisé quand tu veux te reconnecter plus tard.
Même si je suis vraiment pas fan des “Authentification via Facebook” (ou autres, mais celui là est très répandu), ça donne l’avantage d’un compte unique avec (normalement) peu de risques de fuite du mot de passe ou de l’email.
Le 17/01/2019 à 09h56
Une de mes adresses à été retrouvée dans ce fichier.
Le 17/01/2019 à 09h58
autre outil intéressant : https://haveibeenpwned.com/Passwords qui permet de taper un mot de passe et en retour le site indique si c’est un mot de passe qu’il a déjà vu dans la nature. évidemment quand on tape password ou azerty, on trouve des centaines de milliers d’occurrences dans la nature…
A noter que le mdp tapé n’est pas transmis au site, c’est un hash qui est envoyé
Le 17/01/2019 à 10h29
Le 17/01/2019 à 10h42
idem. Bon, c’est plutôt normal vu qu’elle va sur ses 18 ans. Cela dit je change son mdp régulièrement et c’est systématiquement un truc avec 16+ caractères
Le 17/01/2019 à 10h48
Mon mail est dans 18 fuites répertoriées dont celle-ci.
" />
Le 17/01/2019 à 10h50
gg
" />
Le 17/01/2019 à 10h53
Merci.
" /> ) et ils ont bien rigolé.
Je me rappelle que lors de ma formation en sécurité informatique, mon formateur avait fait des recherches avec mon mail (sous l’insistance de mes camarades ayant vus mes résultats
Le 17/01/2019 à 12h02
Je remercie Linkedin, une de mes adresses est dans le lot, et zut.
Le 17/01/2019 à 12h02
Les alias sont intéressants pour filtrer les emails.
" />
Et c’est vrai que ça peut aider pour détecter le phishing, en tout cas si on utilise des alias qui ne sont pas évidents à deviner (par exemple : pas +amazon)
Mais vu que l’adresse email aliasée ([email protected]) contient l’adresse email de base, ça veut quand même dire que si l’adresse email aliasée est dans la nature, alors l’adresse email tout court l’est aussi…pas idéal en termes de sécurité.
Je cherche une solution qui permette à la fois d’avoir une adresse email (vraiment) différente par service utilisé, mais qui ne soit pas super lourde à gérer non plus…et qui soit cross platform (windows, ios…).
Si quelqu’un a une idée, je suis preneur
Le 17/01/2019 à 12h22
Le 17/01/2019 à 12h23
Ha, ça doit être avec ça que je me suis fait pirater la majorité de mes comptes en novembre
#MeToo #ChangeTesMdp
Le 17/01/2019 à 12h24
Le 17/01/2019 à 12h31
J’ai le droit à quoi? 
" />
Le 17/01/2019 à 12h33
Le 17/01/2019 à 12h34
Le 17/01/2019 à 12h35
Le 17/01/2019 à 12h42
Pitiez non. 
" />
Ca me ferait chier de retrouver un mot de passe compliqué.
Déjà là, les fuites sont toutes anciennes (même celle-ci).
Le 17/01/2019 à 12h49
Le 17/01/2019 à 13h45
J’ai exactement le même setup que toi.
Domaine perso sur OVH et création des alias qui redirige vers ma boite gmail.
J’ai cela depuis quelques années maintenant.
Du coup, mon adresse gmail n’a jamais été dans la nature. Et j’ai pu détecter des ventes ou fuites d’adresses (notamment patreon, que j’ai rapidement supprimé).
Couplé avec un KeePass et c’est génial.
Je me suis même fait un petit script Python pour ajouter facilement un nouvel alias en utilisant l’API d’OVH.
> python alias-ovh.py fnac.com
et hop j’ai mon adresse [email protected]
C’est certain que j’ai eu des regards bizarre plus d’une fois de la part des commercants.
Le mieux étant récemment, chez Krys :
“Mon mail est [email protected]”
“Ah vous travaillez chez nous ?”
J’ai tenté d’expliquer mais je suis pas certain d’avoir bien été compris
…
Le 17/01/2019 à 13h56
Le 17/01/2019 à 13h58
Merci, ça a en effet l’air plus avancé qu’avec gmail…et apparemment on peut avoir jusqu’à 10 alias.
Je vais tester ça ce soir.
Le 17/01/2019 à 14h01
Le 17/01/2019 à 14h01
Collection #1 c’est la face caché de l’iceberg… Dans le lot y’a aussi Collection #2, #3, #4 et #5. J’ai contacté Troy pour savoir si il est au courant.
Le 17/01/2019 à 14h04
Le 17/01/2019 à 14h04
Le 17/01/2019 à 14h22
Je suis eu par 3 mmorpg, dailymotion, et diverses brèches incluant celle dont parle la brève, ainsi que des sites auxquels je ne me rappelle pas m’être inscrit.
Ça pourrait peut être expliquer le spam massif que je reçois chaque jour.
Le 17/01/2019 à 14h37
Le 17/01/2019 à 14h42
Le 17/01/2019 à 14h47
Non 1000 
" />
Le 17/01/2019 à 14h48
Le 17/01/2019 à 14h53
L’auto-hébergement de mail me permet d’avoir une infinité de redirections, déjà toutes existantes. C’est plutôt pratique :p
J’ai déjà eu l’occasion de savoir qui avait leaké/vendu mes données comme ça… donc je ne peux que plussoyer le conseil.
Le 17/01/2019 à 15h03
Je peux partager ça sur Github si tu veux.
Faut juste que je clean un poil le code et je te file le lien.
(et que je fasse une ptite doc quand même pour lister les étapes)
Le 17/01/2019 à 15h46
Ça devrait en intéresser plus d’un ici
" />
Le 17/01/2019 à 15h50
Dans le même genre que certains autres ici, j’ai créé un alias avec wildcard: spam*@mondomaine.com
Du coup, je peux donner une adresse différente à chaque personne/service (tant que ça commence par “spam…@domaine.com”), je reçois toujours tout mais je suis capable de tracer s’il y a une fuite et surtout de créer des règles si spam/phishing il y a (tout ce qui est envoyé à [email protected] ⇒ poubelle).
Le 17/01/2019 à 16h12
@Jeanprofite aussi (le nom d’utilisateur va bien pour le coup
" />)
GitHubDu coup j’ai sur mon bureau un ptit bat qui appel le script d’ajout.
Je le lance, copie/colle l’adresse du site dans lequel je suis, et hop il m’ajoute un alias pour le domaine concerné.
Have fun!
Le 17/01/2019 à 16h36
Vu qu’on est plusieurs à chercher (pour certains, à trouver
" /> ) une solution au problème, est-ce que ça ferait pas un bon sujet de dossier pour NXI?
Je crois me rappeler d’un article qui mentionnait la gestion d’alias sur ProtonMail, mais de mémoire, ça n’allait pas beaucoup plus loin que les alias gmail.
Le 17/01/2019 à 21h38
Je ne fais pas dans l’auto-hébergement de MX, trop galère derrière une IP partiellement dynamique… À la place, je passe par un service qui permet de rediriger les courriels vers une autre adresse. Comme il gère le catch-all, ça me permet à l’inverse de billylebegue et Indigo74 une configuration par liste noire.
" />
Si je me rends compte qu’une adresse se fait utiliser abusivement, il me suffit de la rediriger vers un trou noir, ce qui arrive au final bien moins souvent que de devoir en créer une. En réalité, je n’ai même encore jamais eu à le faire, quand je pressens le moindre risque d’abus, soit je rajoute une couche de redirection temporaire par dessus, soit j’utilise des adresses yopmail ou autre, soit je passe carrément mon chemin, donc ça aide aussi.
Le 18/01/2019 à 08h37
merci 
" />
Le 18/01/2019 à 08h51
De rien
" />
" /> j’en avais marre de passer via l’interface OVH…
C’est pas un truc hyper complexe mais bon
Evidemment si besoin d’aide, ouvrir un ticket GitHub et on pourra discuter !
J’ai aussi des scripts similaires pour la gestion du ColdStorage d’OVH (pour déverrouiller tous les fichiers).
L’API d’OVH est vraiment bien pensé pour le coup.
Le 18/01/2019 à 14h33
Pas si galère que ça. Mon serveur mail est un Raspberry Pi derrière une Livebox grand public… et j’ai un excellent score au spam test (Orange t’obligeant à utiliser ses serveurs SMTP en sortie, je perds juste quelques point à cause des blacklistages du serveur sur lequel je tombe, ça va de 0 à 3 blacklists en général…).
Du coup tout ce qui arrive sur mon domaine (peut importe l’adresse complète) arrive dans ma boîte, et je fais du tri à la réception (avec Sieve pour filtrer côté serveur) si besoin.
Le 18/01/2019 à 18h01
Est-ce que tu peux expliquer ce que tu utilises comme “service qui permet de rediriger les courriels vers une autre adresse”?
OVHJe suis pas du tout familier des hébergeurs web, donc j’hésite un peu à mettre les pieds là-dedans, d’autant plus que ça veut dire que ton compte ovh devient l’endroit par lequel tous tes mails passent (faut pas qu’ils se fassent hacker, eux 
" />)
D’après ce que j’ai pu lire au dessus, certains utilisent un compte ovh :
Mais c’est vrai que ça paraît être une solution puissante / flexible…
Le 19/01/2019 à 09h57
Sa solution utilise un “catch-all”, soit une adresse *@mondomaine.fr qui attrape tout et qui redirige vers ton adresse perso cachée.
" />
" />
OVH ne supporte plus depuis longtemps (2009 je crois) le catch-all pour les mails, donc on est obligé d’ajouter manuellement les redirections pour chaque site/besoin ([email protected], [email protected], etc…). D’où l’intérêt de mon script
Si tu veux du catch-all, il faut soit trouver un hébergeur qui l’autorise, soit faire comme cedricpc en auto-hébergement (mais faut être calé un minimum techniquement quand même).
Perso, même si je pourrais le faire, l’auto-hébergement ne m’excite pas tant que ça. De plus, la technique du catch-all par blacklist ne me plait pas des masses. Je préfère plutôt fait une whitelist. Au moins, je sais ce que j’ai ouvert.
Bon courage en tout cas
Le 19/01/2019 à 09h59
Merci je testerai ce weekend 
" /> (faudra que je voie si ça passe sur MAC d’ailleurs)
Le 19/01/2019 à 10h02
Ah je n’ai pas de Mac pour tester et te confirmer.
Mais AMHA, il ne devrait pas y avoir de soucis. Y’a rien de spécifique à Windows dans le code.
Au pire, si soucis, ouvre un ticket GH et on voit ça ensemble.
Have fun!
Le 19/01/2019 à 10h30
Ce n’est pas tant une question de faisabilité, ça fait déjà des années que j’ai un postfix qui tourne en sortie pour utiliser le relais SMTP d’Orange, ça ne serait pas difficile de le configurer en entrée et de lui adjoindre un MDA. Mais il y a un aspect qui me dérange fortement avec une IP pouvant changer inopinément…
Il se passe un certain laps de temps pendant lequel les messages peuvent arriver chez quelqu’un d’autre si l’IP est rapidement réaffectée à un autre client qui écouterait aussi en SMTP, cette période pouvant être accrue si pour une raison X ou Y, ma nouvelle IP tardait à être communiquée au service DDNS.
Il existe bien DANE pour contrer ça, mais rien n’oblige le MTA émetteur de systématiquement le vérfier.
Le 19/01/2019 à 11h03
Le 19/01/2019 à 13h37
Oups désolé. Je me suis embrouillé dans les commentaires…
Tu utilises quel service du coup qui autorise les “catch-all” ?
Le 19/01/2019 à 20h10
Pas de mal.
" /> Sinon, comme je le disais, c’est mon registrar qui le gère, à savoir Namecheap. En français, il y a Gandi qui le permet aussi, de manière encore plus intéressante apparemment puisqu’ils permettraient l’usage d’un joker comme évoqué par Otiel, ce que ne me permet pas Namecheap, mais ce n’est pas tout à fait le même coût… 
" />
Le 19/01/2019 à 20h54
Je m’en suis sorti, avec quelques péripéties (MP ;))
Le 20/01/2019 à 20h08
Ok! Bon je peux pas voir les MP car je n’ai pas accès au forum… J’ai envoyé un mail de support à NXI, on verra bien ^^
Le 20/01/2019 à 20h09
Merci pour l’info !
Le 21/01/2019 à 07h15
Et avec n’importe que plan chez eux ? Parce que quand je regarde dans “private email hosting”, il n’y a aucun allias de géré avec le “private”.
A moins que le catch-all n’en est pas besoin ?
Le 21/01/2019 à 13h37
Ben juste merci pour les techniques de lutte anti spam décrites ici, je vais m’y pencher aussi sérieusement car la possibilité de pister les boites qui revendent tes données, ça me plait bien.
Pour en revenir sur le sujet de la brève, il y a des pratiques en matière de sécurité qui m’inquiètent un peu notamment sur des “gros” sites. Par exemple sur oui.sncf, quand on veut mettre un mot de passe complexe, le formulaire retourne une erreur en indiquant que certains caractères sont interdits mais le message ne précise pas lesquels.
Du coup, c’est vachement dissuasif pour un utilisateur qui fait la démarche d’indiquer un mot de passe complexe (à l’aide d’un générateur par exemple).
Autre source d’inquiétude, le site ameli.fr qui limite les mots de passe uniquement aux chiffres et évidemment pas d’authentification à deux facteurs.
Par curiosité, j’ai testé les mots de passe de mon compte et celui de ma compagne avec l’outil sur HIBP et bien le résultat est positif pour les deux. Bon vu la faiblesse de ce type de mot de passe, c’est pas vraiment étonnant mais bon je précise que les mots de passe testés sont complètement aléatoires et utilisent le nombre de caractères maximum.
A ce stade, ça me semble relever de la faille de sécurité.
Le 21/01/2019 à 22h11
Je parle dans le cas des domaines, je n’ai que ça chez eux et je n’utilise donc pas leur service d’hébergement de messagerie — mon adresse finale est chez Orange. Ceci étant, il semble également possible sur ces offres de définir un des comptes en catch-all. Mais quitte à devoir payer pour l’hébergement des courriels, je préfèrerai autant prendre un service français.