L'annonce a été faite par le spécialiste Troy Hunt sur son blog. Il explique que plus de 12 000 fichiers pour un poids total de 87 Go étaient accessibles sur MEGA.
Il a identifié près de 2,7 milliards lignes contenant des adresses email et des mots de passe, pour environ 1,1 milliard de combinaisons uniques. Ils proviennent de centaines de fuites de données différentes, certaines remontant à près de 20 ans.
Dans le détail, le chercheur décompte plus de 772 millions d'adresses email uniques et 21 millions de mots de passe différents. Bien évidemment, toutes ses informations ont été intégrées dans le service Have I Been Pwned permettant de savoir si son adresse email ressort dans des fuites de données.
Sachez enfin que Collection #1 est le nom de la fuite donnée par Troy Hunt.
Commentaires (60)
#1
que celui qui n’y est pas lève la main.
" />
#2
j’ai pas de compte chez Mega, donc je suis pas concerné.
Mais la multiplication des fuites chez les différents services et de celles encore inconnues commencent à me faire sérieusement douter.
Pas de doutes à utiliser le service “Have i been pwned” ?
Comment être sûr que notre adresse ne va pas être collecter et être ciblé en suite puisque là, on y laisse délibérement notre adresse e-mail ?
Auriez-vous une solution afin d’éviter de ce faire pouiller par une faiblesse d’un service ou d’un site ?
Je pense à la multiplication des boites mails, unique par site/service.
bonne idée ? Si oui, comment s’y prendre ?
#3
#4
j’avais effectivement mal compris, c’est encore pire.
#5
#6
J’ai commencé à utiliser des alias (avec Gmail tu donnes aux sites [email protected] et ça redirige automatiquement sur [email protected]) sur certains sites auxquels je fais moyennement confiance, mais c’est clairement chiant à faire, surtout pour se rappeler de l’email utilisé quand tu veux te reconnecter plus tard.
Même si je suis vraiment pas fan des “Authentification via Facebook” (ou autres, mais celui là est très répandu), ça donne l’avantage d’un compte unique avec (normalement) peu de risques de fuite du mot de passe ou de l’email.
#7
Une de mes adresses à été retrouvée dans ce fichier.
#8
autre outil intéressant : https://haveibeenpwned.com/Passwords qui permet de taper un mot de passe et en retour le site indique si c’est un mot de passe qu’il a déjà vu dans la nature. évidemment quand on tape password ou azerty, on trouve des centaines de milliers d’occurrences dans la nature…
A noter que le mdp tapé n’est pas transmis au site, c’est un hash qui est envoyé
#9
#10
idem. Bon, c’est plutôt normal vu qu’elle va sur ses 18 ans. Cela dit je change son mdp régulièrement et c’est systématiquement un truc avec 16+ caractères
#11
Mon mail est dans 18 fuites répertoriées dont celle-ci.
" />
#12
gg
" />
#13
Merci.
" /> ) et ils ont bien rigolé.
Je me rappelle que lors de ma formation en sécurité informatique, mon formateur avait fait des recherches avec mon mail (sous l’insistance de mes camarades ayant vus mes résultats
#14
Je remercie Linkedin, une de mes adresses est dans le lot, et zut.
#15
Les alias sont intéressants pour filtrer les emails.
" />
Et c’est vrai que ça peut aider pour détecter le phishing, en tout cas si on utilise des alias qui ne sont pas évidents à deviner (par exemple : pas +amazon)
Mais vu que l’adresse email aliasée ([email protected]) contient l’adresse email de base, ça veut quand même dire que si l’adresse email aliasée est dans la nature, alors l’adresse email tout court l’est aussi…pas idéal en termes de sécurité.
Je cherche une solution qui permette à la fois d’avoir une adresse email (vraiment) différente par service utilisé, mais qui ne soit pas super lourde à gérer non plus…et qui soit cross platform (windows, ios…).
Si quelqu’un a une idée, je suis preneur
#16
#17
Ha, ça doit être avec ça que je me suis fait pirater la majorité de mes comptes en novembre
#MeToo #ChangeTesMdp
#18
#19
J’ai le droit à quoi? 
" />
#20
#21
#22
#23
Pitiez non. 
" />
Ca me ferait chier de retrouver un mot de passe compliqué.
Déjà là, les fuites sont toutes anciennes (même celle-ci).
#24
#25
J’ai exactement le même setup que toi.
Domaine perso sur OVH et création des alias qui redirige vers ma boite gmail.
J’ai cela depuis quelques années maintenant.
Du coup, mon adresse gmail n’a jamais été dans la nature. Et j’ai pu détecter des ventes ou fuites d’adresses (notamment patreon, que j’ai rapidement supprimé).
Couplé avec un KeePass et c’est génial.
Je me suis même fait un petit script Python pour ajouter facilement un nouvel alias en utilisant l’API d’OVH.
> python alias-ovh.py fnac.com
et hop j’ai mon adresse [email protected]
C’est certain que j’ai eu des regards bizarre plus d’une fois de la part des commercants.
Le mieux étant récemment, chez Krys :
“Mon mail est [email protected]”
“Ah vous travaillez chez nous ?”
J’ai tenté d’expliquer mais je suis pas certain d’avoir bien été compris
…
#26
#27
Merci, ça a en effet l’air plus avancé qu’avec gmail…et apparemment on peut avoir jusqu’à 10 alias.
Je vais tester ça ce soir.
#28
#29
Collection #1 c’est la face caché de l’iceberg… Dans le lot y’a aussi Collection #2, #3, #4 et #5. J’ai contacté Troy pour savoir si il est au courant.
#30
#31
#32
Je suis eu par 3 mmorpg, dailymotion, et diverses brèches incluant celle dont parle la brève, ainsi que des sites auxquels je ne me rappelle pas m’être inscrit.
Ça pourrait peut être expliquer le spam massif que je reçois chaque jour.
#33
#34
#35
Non 1000 
" />
#36
#37
L’auto-hébergement de mail me permet d’avoir une infinité de redirections, déjà toutes existantes. C’est plutôt pratique :p
J’ai déjà eu l’occasion de savoir qui avait leaké/vendu mes données comme ça… donc je ne peux que plussoyer le conseil.
#38
Je peux partager ça sur Github si tu veux.
Faut juste que je clean un poil le code et je te file le lien.
(et que je fasse une ptite doc quand même pour lister les étapes)
#39
Ça devrait en intéresser plus d’un ici
" />
#40
Dans le même genre que certains autres ici, j’ai créé un alias avec wildcard: spam*@mondomaine.com
Du coup, je peux donner une adresse différente à chaque personne/service (tant que ça commence par “spam…@domaine.com”), je reçois toujours tout mais je suis capable de tracer s’il y a une fuite et surtout de créer des règles si spam/phishing il y a (tout ce qui est envoyé à [email protected] ⇒ poubelle).
#41
@Jeanprofite aussi (le nom d’utilisateur va bien pour le coup
" />)
https://github.com/Indigo744/ovh-manage-email-alias-python
Du coup j’ai sur mon bureau un ptit bat qui appel le script d’ajout.
Je le lance, copie/colle l’adresse du site dans lequel je suis, et hop il m’ajoute un alias pour le domaine concerné.
Have fun!
#42
Vu qu’on est plusieurs à chercher (pour certains, à trouver
" /> ) une solution au problème, est-ce que ça ferait pas un bon sujet de dossier pour NXI?
Je crois me rappeler d’un article qui mentionnait la gestion d’alias sur ProtonMail, mais de mémoire, ça n’allait pas beaucoup plus loin que les alias gmail.
#43
Je ne fais pas dans l’auto-hébergement de MX, trop galère derrière une IP partiellement dynamique… À la place, je passe par un service qui permet de rediriger les courriels vers une autre adresse. Comme il gère le catch-all, ça me permet à l’inverse de billylebegue et Indigo74 une configuration par liste noire.
" />
Si je me rends compte qu’une adresse se fait utiliser abusivement, il me suffit de la rediriger vers un trou noir, ce qui arrive au final bien moins souvent que de devoir en créer une. En réalité, je n’ai même encore jamais eu à le faire, quand je pressens le moindre risque d’abus, soit je rajoute une couche de redirection temporaire par dessus, soit j’utilise des adresses yopmail ou autre, soit je passe carrément mon chemin, donc ça aide aussi.
#44
merci 
" />
#45
De rien
" />
" /> j’en avais marre de passer via l’interface OVH…
C’est pas un truc hyper complexe mais bon
Evidemment si besoin d’aide, ouvrir un ticket GitHub et on pourra discuter !
J’ai aussi des scripts similaires pour la gestion du ColdStorage d’OVH (pour déverrouiller tous les fichiers).
L’API d’OVH est vraiment bien pensé pour le coup.
#46
Pas si galère que ça. Mon serveur mail est un Raspberry Pi derrière une Livebox grand public… et j’ai un excellent score au spam test (Orange t’obligeant à utiliser ses serveurs SMTP en sortie, je perds juste quelques point à cause des blacklistages du serveur sur lequel je tombe, ça va de 0 à 3 blacklists en général…).
Du coup tout ce qui arrive sur mon domaine (peut importe l’adresse complète) arrive dans ma boîte, et je fais du tri à la réception (avec Sieve pour filtrer côté serveur) si besoin.
#47
Est-ce que tu peux expliquer ce que tu utilises comme “service qui permet de rediriger les courriels vers une autre adresse”?
" />)
D’après ce que j’ai pu lire au dessus, certains utilisent un compte ovh :
https://docs.ovh.com/fr/emails/guide-des-redirections-emails/
Je suis pas du tout familier des hébergeurs web, donc j’hésite un peu à mettre les pieds là-dedans, d’autant plus que ça veut dire que ton compte ovh devient l’endroit par lequel tous tes mails passent (faut pas qu’ils se fassent hacker, eux
Mais c’est vrai que ça paraît être une solution puissante / flexible…
#48
Sa solution utilise un “catch-all”, soit une adresse *@mondomaine.fr qui attrape tout et qui redirige vers ton adresse perso cachée.
" />
" />
OVH ne supporte plus depuis longtemps (2009 je crois) le catch-all pour les mails, donc on est obligé d’ajouter manuellement les redirections pour chaque site/besoin ([email protected], [email protected], etc…). D’où l’intérêt de mon script
Si tu veux du catch-all, il faut soit trouver un hébergeur qui l’autorise, soit faire comme cedricpc en auto-hébergement (mais faut être calé un minimum techniquement quand même).
Perso, même si je pourrais le faire, l’auto-hébergement ne m’excite pas tant que ça. De plus, la technique du catch-all par blacklist ne me plait pas des masses. Je préfère plutôt fait une whitelist. Au moins, je sais ce que j’ai ouvert.
Bon courage en tout cas
#49
Merci je testerai ce weekend 
" /> (faudra que je voie si ça passe sur MAC d’ailleurs)
#50
Ah je n’ai pas de Mac pour tester et te confirmer.
Mais AMHA, il ne devrait pas y avoir de soucis. Y’a rien de spécifique à Windows dans le code.
Au pire, si soucis, ouvre un ticket GH et on voit ça ensemble.
Have fun!
#51
Ce n’est pas tant une question de faisabilité, ça fait déjà des années que j’ai un postfix qui tourne en sortie pour utiliser le relais SMTP d’Orange, ça ne serait pas difficile de le configurer en entrée et de lui adjoindre un MDA. Mais il y a un aspect qui me dérange fortement avec une IP pouvant changer inopinément…
Il se passe un certain laps de temps pendant lequel les messages peuvent arriver chez quelqu’un d’autre si l’IP est rapidement réaffectée à un autre client qui écouterait aussi en SMTP, cette période pouvant être accrue si pour une raison X ou Y, ma nouvelle IP tardait à être communiquée au service DDNS.
Il existe bien DANE pour contrer ça, mais rien n’oblige le MTA émetteur de systématiquement le vérfier.
#52
#53
Oups désolé. Je me suis embrouillé dans les commentaires…
Tu utilises quel service du coup qui autorise les “catch-all” ?
#54
Pas de mal.
" /> Sinon, comme je le disais, c’est mon registrar qui le gère, à savoir Namecheap. En français, il y a Gandi qui le permet aussi, de manière encore plus intéressante apparemment puisqu’ils permettraient l’usage d’un joker comme évoqué par Otiel, ce que ne me permet pas Namecheap, mais ce n’est pas tout à fait le même coût… 
" />
#55
Je m’en suis sorti, avec quelques péripéties (MP ;))
#56
Ok! Bon je peux pas voir les MP car je n’ai pas accès au forum… J’ai envoyé un mail de support à NXI, on verra bien ^^
#57
Merci pour l’info !
#58
Et avec n’importe que plan chez eux ? Parce que quand je regarde dans “private email hosting”, il n’y a aucun allias de géré avec le “private”.
A moins que le catch-all n’en est pas besoin ?
#59
Ben juste merci pour les techniques de lutte anti spam décrites ici, je vais m’y pencher aussi sérieusement car la possibilité de pister les boites qui revendent tes données, ça me plait bien.
Pour en revenir sur le sujet de la brève, il y a des pratiques en matière de sécurité qui m’inquiètent un peu notamment sur des “gros” sites. Par exemple sur oui.sncf, quand on veut mettre un mot de passe complexe, le formulaire retourne une erreur en indiquant que certains caractères sont interdits mais le message ne précise pas lesquels.
Du coup, c’est vachement dissuasif pour un utilisateur qui fait la démarche d’indiquer un mot de passe complexe (à l’aide d’un générateur par exemple).
Autre source d’inquiétude, le site ameli.fr qui limite les mots de passe uniquement aux chiffres et évidemment pas d’authentification à deux facteurs.
Par curiosité, j’ai testé les mots de passe de mon compte et celui de ma compagne avec l’outil sur HIBP et bien le résultat est positif pour les deux. Bon vu la faiblesse de ce type de mot de passe, c’est pas vraiment étonnant mais bon je précise que les mots de passe testés sont complètement aléatoires et utilisent le nombre de caractères maximum.
A ce stade, ça me semble relever de la faille de sécurité.
#60
Je parle dans le cas des domaines, je n’ai que ça chez eux et je n’utilise donc pas leur service d’hébergement de messagerie — mon adresse finale est chez Orange. Ceci étant, il semble également possible sur ces offres de définir un des comptes en catch-all. Mais quitte à devoir payer pour l’hébergement des courriels, je préfèrerai autant prendre un service français.