Il publie 10 millions d'identifiants en ligne ! - MàJ

Le par  |  5 commentaire(s) Source : Xato
SplashData-pires-mots-passe-2014

Le chercheur en sécurité informatique Mark Burnett n'y va pas avec le dos de la cuillère. Il publie les noms d'utilisateur et mots de passe associés de comptes compromis au cours de ces dernières années.

MàJ : Spécialiste de la gestion des mots de passe en ligne, Dashlane nous fait part de sa réaction très critique suite à l'initiative du chercheur en sécurité Mark Burnett. L'avis de Guillaume Desnoës, Responsable Marché Européens de Dashlane :

" L'intention peut être louable car il est clair que les mots de passe utilisés par les internautes sont trop faibles pour bien protéger leurs données personnelles de manière fiable. Il est vital de sensibiliser le public à la sécurité des mots de passe. Beaucoup de gens utilisent encore des mots de passe faibles et n'ont pas conscience de leur vulnérabilité. Ils n'en prennent souvent conscience que lorsqu'ils sont piratés.

Pour autant, nous ne pensons pas qu'on améliore la sécurité des données personnelles des internautes en diffusant une liste de 10 millions d'identifiants et de mots de passe. Le chercheur Mark Burnett indique qu'une grande partie sont sans doute périmés et hors d'usage mais est-ce une raison pour prendre le risque d'en diffuser certains encore valides ? De plus, nous pensons que ce genre d'opération banalise la problématique de la sécurité en ligne. On ne procéderait pas de la même façon pour sensibiliser à d'autres menaces : on ne diffuse pas des maladies pour dire aux gens de se soigner ! Les conséquences d'un piratage ou d'un vol d'identité peuvent avoir de dramatiques conséquences, ce n'est pas une chose à prendre à la légère.

Les gens qui jouent avec les données personnelles nous mettent tous en danger, qu'ils soient animés de bonnes ou de mauvaises intentions. "

-----

Mark Burnett n'est pas un nom inconnu dans nos colonnes. Ce chercheur en sécurité, qui officie sur le site Xato.net, est notamment connu pour son goût prononcé pour la compilation de mots de passe ayant fuité. Il en tire par exemple des classements et a récemment collaboré avec SplashData pour établir le classement des pires mots de passe de 2014.

passwordAujourd'hui, Mark Burnett a décidé de procéder à une divulgation massive de quelque dix millions de noms d'utilisateur et mots de passe en clair. Cette grosse base de données d'identifiants est principalement issue de fuites aux cours de ces cinq dernières années, voire plus anciennes pour certaines.

Ces identifiants en clair étaient déjà disponibles à la vue de presque tous depuis déjà un certain temps, et parfois via une simple recherche Google. À titre d'exemple, la grosse brèche de sécurité dont avait été victime Adobe fin 2013. Aucun mot de passe n'est par contre en rapport avec de nouvelles brèches de sécurité.

Pour Mark Burnett, qui œuvre à visage découvert, de telles données ont une réelle valeur afin de mener des études et des analyses pour au final " renforcer la sécurité de l'authentification " sur Internet. Dire d'utiliser une authentification à plusieurs facteurs aurait peut-être été plus simple...

Reste que dans un billet de blog, il explique pourquoi le FBI ne devrait pas l'arrêter pour cette publication qu'il estime ne pas être techniquement illégale.

Un échantillon de mauvais mots de passe est donné sur Pastebin mais le gros fichier texte concocté par Mark Burnett est à télécharger via BitTorrent. La plupart des mots de passe qui y figurent ne devraient plus être valides. Enfin mieux vaut espérer...

Ah oui, nous allions oublier, c'est aujourd'hui le Safer Internet Day ou la Journée de la sécurité sur Internet !

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1832361
Bonne fête!
Le #1832390
En clair si tu te fais pirater ton compte (si il est dans la liste) tu peux directement citer désormais Mark Burnett comme complice ... les flics peuvent aller direct chez lui ... non mais quel con ...
Le #1832404
catseye a écrit :

En clair si tu te fais pirater ton compte (si il est dans la liste) tu peux directement citer désormais Mark Burnett comme complice ... les flics peuvent aller direct chez lui ... non mais quel con ...


Personnellement j'aime bien ce genre de liste : je me cherche dedans et je vois si mes vieux mots de passe (d'avant que je passe à KeePass) sont dedans ou pas encore. Ceux qui voulaient exploiter ces listes pour de mauvaises fins l'ont de toute façon déjà fait...
Le #1832482
Un mot de passe faible est tant qu'à moi relatif à la place tu fais affaires.
Bien des places acceptent que 8 à 16 caractères (a-zA-Z0-9) et quand tu reçois un message, il y a ton mot de passe dedans pour te rappeler que t'as un mot de passe. Ces sites nous prennent pour des cavent sans exception.

Le mieux est d'utiliser un mot de passe d'au moins 16 caractères (a-zA-Z0-9) avec un grain de sel. C'est à dire Écrire en LEET et ton grain de sel. Ou bien, convertir ton mot de passe en MD5 et y mettre ton grain de sel.

De toute manière, quand tu dois utiliser un mot de passe, on utilise sa propre machine, dans ce cas, MD5. Si non, en LEET quand tu dois utiliser une machine d'un autre. Mais, faut se méfier des machines des autres.



Le #1832766
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]