Piratage : selon Microsoft, 44 millions d'utilisateurs continuent d'employer des identifiants compromis

Le par  |  17 commentaire(s)
technologie-hacker

Selon Microsoft, plus de 44 millions d'utilisateurs de ses services utilisent des identifiants et mots de passe qui ont déjà fait l'objet d'un piratage.

La situation est assez inquiétante selon une équipe de recherche de Micrsosoft : plus de 44 millions d'utilisateurs de ses services continueraient à utiliser des identifiants et mots de passe ayant déjà fait l'objet d'une fuite ou d'un piratage et dont les données auraient été affichées publiquement sur la toile ou vendues dans des listings sur le Dark Net.

Malware

La société informatique a récemment envoyé un email aux utilisateurs concernés, les invitant à modifier leurs mots de passe et à ne plus utiliser un seul identifiant et MDP pour tous les sites ou services qu'ils consultent.

Microsoft précise que ces 44 millions d'utilisateurs ne concernent pas que des particuliers, mais également une large part de comptes professionnels qui pourrait représenter des risques pour des sociétés entières.

Afin de vérifier si son compte a été piraté, les utilisateurs peuvent se rendre sur la plateforme Have I Been Pwned qui permet de soumettre son adresse email pour vérifier si elle entre dans le cadre des fuites de données publiquement recensées.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2085510
Argh, c'est que lundi...
Bon, tant pis : qui gère la plateforme "Have I Been Pwned" ? En fait ça permet de faire une super base de données d'adresses mail valides.
En prime, ils ont donc une base qui fait déjà 44 millions de mails... pas mal.

Un poil plus sérieux, comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes ?
Et quel est leur intérêt à récupérer ses mails compromis ?
Le #2085515
sansimportance a écrit :

Argh, c'est que lundi...
Bon, tant pis : qui gère la plateforme "Have I Been Pwned" ? En fait ça permet de faire une super base de données d'adresses mail valides.
En prime, ils ont donc une base qui fait déjà 44 millions de mails... pas mal.

Un poil plus sérieux, comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes ?
Et quel est leur intérêt à récupérer ses mails compromis ?


https://www.troyhunt.com/the-legitimisation-of-have-i-been-pwned/
Le #2085522
sansimportance a écrit :

Argh, c'est que lundi...
Bon, tant pis : qui gère la plateforme "Have I Been Pwned" ? En fait ça permet de faire une super base de données d'adresses mail valides.
En prime, ils ont donc une base qui fait déjà 44 millions de mails... pas mal.

Un poil plus sérieux, comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes ?
Et quel est leur intérêt à récupérer ses mails compromis ?


"qui gère la plateforme "Have I Been Pwned" ?"

OSEF

"En fait ça permet de faire une super base de données d'adresses mail valides."

C'est vrai

"En prime, ils ont donc une base qui fait déjà 44 millions de mails"

Oui

"comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes"

C'est ca le truc, ils récupèrent des bases compromises déja accessibles publiquement, donc ton annuaire d'emails valides est déjà ailleurs, eux ne font qu'agréger.

"Et quel est leur intérêt à récupérer ses mails compromis ?"

*leur intérêt": vendre une info centralisée.

En fait on s'en fous bien de leur intérêt ou de qui gère quoi, l'important est qu'il donnent des infos qui sont déjà récupérables publiquement, point de vue sécurité ca ne change rien, mais le fait d'aggréger ces données permet d'avoir un seul point pour vérifier si un email été compromis, donc on y a aussi un intérêt.
En gros les infos ont déjà fuité, même si tu veux cacher ses fuites (en interdisant des services comme celui la par exemple), cela n'y change rien.
Le #2085528
ALGDGADLU a écrit :

sansimportance a écrit :

Argh, c'est que lundi...
Bon, tant pis : qui gère la plateforme "Have I Been Pwned" ? En fait ça permet de faire une super base de données d'adresses mail valides.
En prime, ils ont donc une base qui fait déjà 44 millions de mails... pas mal.

Un poil plus sérieux, comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes ?
Et quel est leur intérêt à récupérer ses mails compromis ?


https://www.troyhunt.com/the-legitimisation-of-have-i-been-pwned/


Merci, je veux bien la même en Français et en condensé, parce que là c'est certainement très intéressant et complet mais imbitable.
Le #2085529
LinuxUser a écrit :

sansimportance a écrit :

Argh, c'est que lundi...
Bon, tant pis : qui gère la plateforme "Have I Been Pwned" ? En fait ça permet de faire une super base de données d'adresses mail valides.
En prime, ils ont donc une base qui fait déjà 44 millions de mails... pas mal.

Un poil plus sérieux, comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes ?
Et quel est leur intérêt à récupérer ses mails compromis ?


"qui gère la plateforme "Have I Been Pwned" ?"

OSEF

"En fait ça permet de faire une super base de données d'adresses mail valides."

C'est vrai

"En prime, ils ont donc une base qui fait déjà 44 millions de mails"

Oui

"comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes"

C'est ca le truc, ils récupèrent des bases compromises déja accessibles publiquement, donc ton annuaire d'emails valides est déjà ailleurs, eux ne font qu'agréger.

"Et quel est leur intérêt à récupérer ses mails compromis ?"

*leur intérêt": vendre une info centralisée.

En fait on s'en fous bien de leur intérêt ou de qui gère quoi, l'important est qu'il donnent des infos qui sont déjà récupérables publiquement, point de vue sécurité ca ne change rien, mais le fait d'aggréger ces données permet d'avoir un seul point pour vérifier si un email été compromis, donc on y a aussi un intérêt.
En gros les infos ont déjà fuité, même si tu veux cacher ses fuites (en interdisant des services comme celui la par exemple), cela n'y change rien.


"...En fait on s'en fous bien de leur intérêt ou de qui gère quoi,..."

Ben moi ça me fait tiquer...
Ça fait bien longtemps qu'on a appris qu'en ce bas monde rien n'est gratuit, et la phrase bien connu "si c'est gratuit, c'est vous le produit" me fait penser que y'a bien un intérêt à faire ça.
Vu de mon petit bout de la lorgnette, je me dis que vérifier si son adresse mail est "compromise" leur permet de récolter une adresse de plus.

Et puis tu l'écris toi même "vendre une info centralisée", reste à savoir qui "l'achète".
Le #2085530
sansimportance a écrit :

ALGDGADLU a écrit :

sansimportance a écrit :

Argh, c'est que lundi...
Bon, tant pis : qui gère la plateforme "Have I Been Pwned" ? En fait ça permet de faire une super base de données d'adresses mail valides.
En prime, ils ont donc une base qui fait déjà 44 millions de mails... pas mal.

Un poil plus sérieux, comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes ?
Et quel est leur intérêt à récupérer ses mails compromis ?


https://www.troyhunt.com/the-legitimisation-of-have-i-been-pwned/


Merci, je veux bien la même en Français et en condensé, parce que là c'est certainement très intéressant et complet mais imbitable.


"en Français et en condensé" ->t'inquiète c'est cool, même les entreprises et les états le remercient.
Le #2085556
sansimportance a écrit :

ALGDGADLU a écrit :

sansimportance a écrit :

Argh, c'est que lundi...
Bon, tant pis : qui gère la plateforme "Have I Been Pwned" ? En fait ça permet de faire une super base de données d'adresses mail valides.
En prime, ils ont donc une base qui fait déjà 44 millions de mails... pas mal.

Un poil plus sérieux, comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes ?
Et quel est leur intérêt à récupérer ses mails compromis ?


https://www.troyhunt.com/the-legitimisation-of-have-i-been-pwned/


Merci, je veux bien la même en Français et en condensé, parce que là c'est certainement très intéressant et complet mais imbitable.


Tu peux aussi traduire la page directement et je ne peux pas faire mieux c'est Troy en personne.
Le #2085567
ALGDGADLU a écrit :

sansimportance a écrit :

ALGDGADLU a écrit :

sansimportance a écrit :

Argh, c'est que lundi...
Bon, tant pis : qui gère la plateforme "Have I Been Pwned" ? En fait ça permet de faire une super base de données d'adresses mail valides.
En prime, ils ont donc une base qui fait déjà 44 millions de mails... pas mal.

Un poil plus sérieux, comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes ?
Et quel est leur intérêt à récupérer ses mails compromis ?


https://www.troyhunt.com/the-legitimisation-of-have-i-been-pwned/


Merci, je veux bien la même en Français et en condensé, parce que là c'est certainement très intéressant et complet mais imbitable.


Tu peux aussi traduire la page directement et je ne peux pas faire mieux c'est Troy en personne.


C'est vrai, mais ce genre de réponse c'est du même tonneau que "google est ton ami", qui en gros veut dire "je sais pas, dém*** toi".

Je n'ai pas besoin de la trad (approximative et plein de non sens) de gogole, j'aurais juste voulu un peu plus résumé, mais LinuxUser m'en a fait un super condensé/résumé/compressé de la mort qui tue
Le #2085579
sansimportance a écrit :

Argh, c'est que lundi...
Bon, tant pis : qui gère la plateforme "Have I Been Pwned" ? En fait ça permet de faire une super base de données d'adresses mail valides.
En prime, ils ont donc une base qui fait déjà 44 millions de mails... pas mal.

Un poil plus sérieux, comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes ?
Et quel est leur intérêt à récupérer ses mails compromis ?


Sur ce coup j'abonde dans ton sens, je me suis posé la même question, et à mon avis à juste titre.
Le #2085613
sansimportance a écrit :

LinuxUser a écrit :

sansimportance a écrit :

Argh, c'est que lundi...
Bon, tant pis : qui gère la plateforme "Have I Been Pwned" ? En fait ça permet de faire une super base de données d'adresses mail valides.
En prime, ils ont donc une base qui fait déjà 44 millions de mails... pas mal.

Un poil plus sérieux, comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes ?
Et quel est leur intérêt à récupérer ses mails compromis ?


"qui gère la plateforme "Have I Been Pwned" ?"

OSEF

"En fait ça permet de faire une super base de données d'adresses mail valides."

C'est vrai

"En prime, ils ont donc une base qui fait déjà 44 millions de mails"

Oui

"comment font ils pour savoir que les 44 millions de mails sont compromis si ce n'est en les récupérant eux mêmes"

C'est ca le truc, ils récupèrent des bases compromises déja accessibles publiquement, donc ton annuaire d'emails valides est déjà ailleurs, eux ne font qu'agréger.

"Et quel est leur intérêt à récupérer ses mails compromis ?"

*leur intérêt": vendre une info centralisée.

En fait on s'en fous bien de leur intérêt ou de qui gère quoi, l'important est qu'il donnent des infos qui sont déjà récupérables publiquement, point de vue sécurité ca ne change rien, mais le fait d'aggréger ces données permet d'avoir un seul point pour vérifier si un email été compromis, donc on y a aussi un intérêt.
En gros les infos ont déjà fuité, même si tu veux cacher ses fuites (en interdisant des services comme celui la par exemple), cela n'y change rien.


"...En fait on s'en fous bien de leur intérêt ou de qui gère quoi,..."

Ben moi ça me fait tiquer...
Ça fait bien longtemps qu'on a appris qu'en ce bas monde rien n'est gratuit, et la phrase bien connu "si c'est gratuit, c'est vous le produit" me fait penser que y'a bien un intérêt à faire ça.
Vu de mon petit bout de la lorgnette, je me dis que vérifier si son adresse mail est "compromise" leur permet de récolter une adresse de plus.

Et puis tu l'écris toi même "vendre une info centralisée", reste à savoir qui "l'achète".


Vu de mon petit bout de la lorgnette, je me dis que vérifier si son adresse mail est "compromise" leur permet de récolter une adresse de plus.

Non car il n'y a pas que l'adresse en base, il y a le site compromis, le hash du mot de passe associé (au compte sur le site compromis, pas forcément à l'email), la dte de compromission.. etc etc
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme