Dyrk.org - Do You Really Know

[haveibeenpwned.com] Trouver facilement des mots de passe

Publié le 12 août 2018 par #Ro0t

 

Bonjour amis Dyrknautes !

 

Ceux qui sont férus de veille informatique, et qui aiment consulter des tas et des tas de sites d’actus et de blogs IT sont probablement au courant de ce qu’est le site « HaveIBeenPwned.com » …
Have I Been Powned ? )
Ce site créé par un certain Troy Hunt, recense la plupart des plateformes qui ont été piratées (Dominos Pizza, Linkedin, Exactis, …).
Cela permet à des internautes de vérifier si leurs adresses emails figurent dans l’une des bases de données auquel les pirates ont eu accès.
Son but est donc de vous informer qu’il est temps de mettre à jour votre mot de passe !

Comment connaitre le mot de passe associé aux comptes emails piratés ?

Il n’y a pas de magie derrière le site « Have I Been Powned » … Troy Hunt n’est pas non plus connecté aux bases de données de toutes les plateformes piratées qu’il répertorie …
En fait c’est tout simple, souvent les pirates « partagent » directement les informations qu’ils ont subtilisées.
Bien entendu il faut savoir comment et où les récupérer ….

Troy Hunt se procure donc les fameux ‘leaks’ (les fuites) partagés par nos vilains pirates, et les injecte sur sa plateforme.

Où sont partagées les données piratées ?

Pastebin

Pastebin est souvent utilisé pour partager des échantillons ou des « dump » (copie) complet de données piratées (email, identifiant, mot de passe, cb …)

Il suffit donc juste d’aller sur le site de Pastebin, et de faire une recherche sur un pseudo ou un email suivi de mot clef comme (password, mdp,  leaks, …)

 

databases.today

Vous aurez sur le site « databases.today » le top du top, la crème de la crème …
Il vous suffira de chercher une plateforme (linkedin, Ashley Madison, twitter, …) et vous pourrez tranquillou télécharger des « dump » bien rempli …
Ensuite vous n’aurez qu’à explorer le contenu de ces dumps pour trouver des trucs de dingues ….
Des personnes … des entreprises … des fonctionnaires …

Assez facilement, en cherchant un nom et un prénom, je fais « mouche » environ une fois sur dix …

Bien entendu l’idée de cette démonstration est de sensibiliser les gens …
Ces données sont désormais publiques parce qu’une poignée de personne les a diffusé très largement sur Internet.
Il est primordial de savoir que même si vous avez le mot de passe le plus fort du monde, et que vous ne l’avez enregistré qu’a un seul endroit … dans votre tête … que vous faites très attention aux virus … aux pages de phishing …. si celui-ci vous permet de vous authentifier sur un site qui s’est fait pirater … que ce site ne protégeait pas votre mot de passe au travers d’un hash … alors celui-ci n’est pas à l’abri d’être lui aussi publié à votre insu !

Et c’est là que Troy Hunt intervient !
Pour vous informer si oui ou non votre compte a été récupéré par des pirates sur tel ou tel site…

 

Conclusion

Loin de moi, l’idée de vous donner des outils pour pirater votre collègue de bureau … espionner votre voisine de palier … ou encore changer votre note en sciences  …

Non la vocation de cet article est surtout de vous montrer que même sans avoir à pirater une personne, un smartphone, un ordinateur, un site internet … il est possible que celui-ci ait déjà été piraté …. et qu’il suffit de se pencher pour ramasser ses identifiants …
Lorsque je parle de pirater une personne, ne vous y méprenez pas vous pouvez aussi bien être la cible que l’attaquant …

Mais au moins vous saurez qu’il faut régulièrement surveiller si des plateformes que vous fréquentez n’ont pas été piratées …
vous saurez qu’il est préférable d’avoir un mot de passe différent sur chaque plateforme …
Et surtout que de temps en temps … un petit changement de mot de passe peut s’imposer ;) ne sait-on jamais !