[haveibeenpwned.com] Trouver facilement des mots de passe
Bonjour amis Dyrknautes !
Ceux qui sont férus de veille informatique, et qui aiment consulter des tas et des tas de sites d'actus et de blogs IT sont probablement au courant de ce qu'est le site "HaveIBeenPwned.com" ...
( Have I Been Powned ? )
Ce site créé par un certain Troy Hunt, recense la plupart des plateformes qui ont été piratées (Dominos Pizza, Linkedin, Exactis, ...).
Cela permet à des internautes de vérifier si leurs adresses emails figurent dans l'une des bases de données auquel les pirates ont eu accès.
Son but est donc de vous informer qu'il est temps de mettre à jour votre mot de passe !
Comment connaitre le mot de passe associé aux comptes emails piratés ?
Il n'y a pas de magie derrière le site "Have I Been Powned" ... Troy Hunt n'est pas non plus connecté aux bases de données de toutes les plateformes piratées qu'il répertorie ...
En fait c'est tout simple, souvent les pirates "partagent" directement les informations qu'ils ont subtilisées.
Bien entendu il faut savoir comment et où les récupérer ....
Troy Hunt se procure donc les fameux 'leaks' (les fuites) partagés par nos vilains pirates, et les injecte sur sa plateforme.
Où sont partagées les données piratées ?
Pastebin
Pastebin est souvent utilisé pour partager des échantillons ou des "dump" (copie) complet de données piratées (email, identifiant, mot de passe, cb ...)
Il suffit donc juste d'aller sur le site de Pastebin, et de faire une recherche sur un pseudo ou un email suivi de mot clef comme (password, mdp, leaks, ...)
databases.today
Vous aurez sur le site "databases.today" le top du top, la crème de la crème ...
Il vous suffira de chercher une plateforme (linkedin, Ashley Madison, twitter, ...) et vous pourrez tranquillou télécharger des "dump" bien rempli ...
Ensuite vous n'aurez qu'à explorer le contenu de ces dumps pour trouver des trucs de dingues ....
Des personnes ... des entreprises ... des fonctionnaires ...
Assez facilement, en cherchant un nom et un prénom, je fais "mouche" environ une fois sur dix ...
Bien entendu l'idée de cette démonstration est de sensibiliser les gens ...
Ces données sont désormais publiques parce qu'une poignée de personne les a diffusé très largement sur Internet.
Il est primordial de savoir que même si vous avez le mot de passe le plus fort du monde, et que vous ne l'avez enregistré qu'a un seul endroit ... dans votre tête ... que vous faites très attention aux virus ... aux pages de phishing .... si celui-ci vous permet de vous authentifier sur un site qui s'est fait pirater ... que ce site ne protégeait pas votre mot de passe au travers d'un hash ... alors celui-ci n'est pas à l'abri d'être lui aussi publié à votre insu !
Et c'est là que Troy Hunt intervient !
Pour vous informer si oui ou non votre compte a été récupéré par des pirates sur tel ou tel site...
Conclusion
Loin de moi, l'idée de vous donner des outils pour pirater votre collègue de bureau ... espionner votre voisine de palier ... ou encore changer votre note en sciences ...
Non la vocation de cet article est surtout de vous montrer que même sans avoir à pirater une personne, un smartphone, un ordinateur, un site internet ... il est possible que celui-ci ait déjà été piraté .... et qu'il suffit de se pencher pour ramasser ses identifiants ...
Lorsque je parle de pirater une personne, ne vous y méprenez pas vous pouvez aussi bien être la cible que l'attaquant ...
Mais au moins vous saurez qu'il faut régulièrement surveiller si des plateformes que vous fréquentez n'ont pas été piratées ...
vous saurez qu'il est préférable d'avoir un mot de passe différent sur chaque plateforme ...
Et surtout que de temps en temps ... un petit changement de mot de passe peut s'imposer ;) ne sait-on jamais !
Hello,
J’apporte aujourd’hui une petite contribution à cet article :
En équivalent à haveibeenpwned il y a aussi https://hacked-emails.com/ . Ils sont à utiliser de manière complémentaire car ils n’ont pas les mêmes bases de données. Il m’est arrivé récemment de tomber sur 6 occurrences sut hacked-emails et seulement 1 occurrence sur haveibeenpwned.
Sinon il y a aussi https://snusbase.com/#/information
Pour récupérer les bases de données, elles sont trouvables sur des forums de piratage informatique, ou encore sur certains trackers torrent tels que TPB.
Je termine ce commentaire par une petite suggestion : je suis ton blog par la syndication RSS, dans le cadre de ma veille technologique/bidouillage.
Actuellement ton flux RSS ( https://dyrk.org/feed/ ) ne renvoie pas les articles complets, mais seulement un résumé.
Serait-il envisageable que tu jetes un œil à ce problème ?
En me réjouissant de te relire, bon dimanche à toi,
Guillaume
Hello,
dans le même esprit, il ya https://ghostproject.fr/ qui fait suite au data leak de fin 2017.
Salut,
Juste pour information, personnellement pour de la recon j’utilise souvent dans un premier temps TheHarvester également.
Très bon article comme d’habitude.
Merci pour tout ton travail :)
Processus
Pingback: Mon adresse mail est-elle dans une base piratée ? – Iltys
Je viens tout juste de découvrir ton blog et je m’étonne de ne jamais en avoir entendu parler avant.
Felicitations pour tout ton travail/contenu, ca déchire ! :)
Salut pourrais tu me dire quel est le nom de ta police d’écriture stp j’ai bien la voir ?