COMPTOIR
  
register

Composé par ————— —— 15934 vues

Dropbox s'est encore fait hacker, 68 millions de mots de passe dans la nature

En 2012, Dropbox prenait une jolie soufflante en laissant se balader dans la nature les deux tiers des adresses courriel de ses utilisateurs. A l'époque, la firme spécialisée dans le stockage distant et le partage de fichiers était certaine que les mots de passe de ses utilisateurs étaient par contre restés protégés.

 

Manque de bol, quatre ans plus tard la même liste réapparait et cette fois accompagnée de 68 millions de mots de passe (salés et hachés). Il sera donc relativement difficile d'aller les déchiffrer, mais ça n'a rien d'infaisable et Dropbox invite donc tous ses utilisateurs à changer de mot de passe (surtout ceux qui ont créé un compte avant la mi-2012) et à faire de même sur les plateformes utilisant la même combinaison d'adresse courriel et mot de passe. Ils ont même publié un petit billet pour mettre les choses au clair et vous inviter à directement changer de mot de passe sur leur service. Que retenir de l'histoire ? Qu'il faut utiliser un mot de passe fort (genre PascalTartifletteCachalotTournevisSaucisson) ou un gestionnaire de mots de passe capable d'en générer de suffisamment complexes. Si vous ne le faites pas, il faudra alors être attentif à la moindre faille de sécurité sur l'un des services que vous utilisez et faire en sorte de changer rapidement votre mot de passe (sur toutes les plateformes où vous l'utilisez).

 

dropbox logo

Un poil avant ?

Logitech présente sa gamme Prodigy de périphériques pour joueurs

Un peu plus tard ...

Dell offre une RX 470 Mobile et un boîtier pour GPU Desktop à ses nouveaux portables Alienware

Les 21 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par ryoushi, le Lundi 05 Septembre 2016 à 10h00  
Mince, je dois être concerné alors. Merci pour l'info
par Cloud is big Shit d'Aquitaine, le Dimanche 04 Septembre 2016 à 21h02  
par RoyRogers, le Samedi 03 Septembre 2016 à 10h03
Qu'il ne faut rien stocker sur le cloud et encore moins faire confiance à des entreprises tiers pour ça.
C'est exactement ça
par UpsiloNIX, le Samedi 03 Septembre 2016 à 17h18  
par Un ragoteur qui aime les d'Ile-de-France, le Samedi 03 Septembre 2016 à 16h35
en parlant de gestionnaire de mot de passe, en connaissez vous un bien sécurisé (c'est à dire mieux que AES12, et utilisant une authentification à 2 facteurs?
KeePass avec password + certificat (AES128 suffit amplement avec un bon Master pass au passage).
par Un ragoteur qui aime les d'Ile-de-France, le Samedi 03 Septembre 2016 à 16h35  
en parlant de gestionnaire de mot de passe, en connaissez vous un bien sécurisé (c'est à dire mieux que AES12, et utilisant une authentification à 2 facteurs?
par Arobase40, le Samedi 03 Septembre 2016 à 13h51  
par YuckFeah, le Samedi 03 Septembre 2016 à 12h36
Un peu, si : https://en.wikipedia.org/wiki/Salt_(cryptography)
Youki, merci !

J'ai tellement l'habitude d'utiliser les terminologies d'origine que quand je vois ces mêmes termes traduits en Français je perds quelque peu mes repères.
par YuckFeah, le Samedi 03 Septembre 2016 à 12h36  
par Arobase40, le Samedi 03 Septembre 2016 à 10h18
Merci pour l'explication, mais tu n'aurais pas plutôt le terme anglais pour salage ? Tu ne vas pas me dire qu'il s'agit de "salted", hein ?
Un peu, si : https://en.wikipedia.org/wiki/Salt_(cryptography)
par j'encode sans fin d'Ile-de-France, le Samedi 03 Septembre 2016 à 11h20  
par RoyRogers, le Samedi 03 Septembre 2016 à 10h03
Qu'il ne faut rien stocker sur le cloud et encore moins faire confiance à des entreprises tiers pour ça.
ou chiffrer ses fichiers avec une méthode forte avant de les balancer sur un cloud pas perso.
par seb4771, le Samedi 03 Septembre 2016 à 10h55  
Devoir encore changer mon mdp parfait: "bxcestpourleskékés"

Du coup j'ai qqqes idées : Bx=escargot, BxCéMoChE, EnBxTuRentrestoujoursseul
le dernier est super long, j'vais prendre celui-là
par Arobase40, le Samedi 03 Septembre 2016 à 10h18  
par Guillaume H., le Samedi 03 Septembre 2016 à 09h14
Le hachage permet de remplacer le mot de passe en clair par une signature qui sera analysée par la machine lorsqu'on l'utilisateur entrera son mot de passe. Le problème que cela crée est que deux utilisateurs utilisant le même mot de passe auront la même signature. Du coup, on y ajoute le salage. C'est une chaîne de caractères (souvent aléatoire) qui est ajoutée au mot de passe avant son hachage pour assurer d'avoir une signature différente pour tout le monde.

Exemple couillon de mot de passe haché puis haché et salé et des signatures "chiffrées" que cela donne :
AZERTY -> D4C5K3Q0M4L7
AZERTYu2op5 -> D9F3F0X6Q9K3
AZERTY4ie9d -> Q0G9D7B6N24J
Merci pour l'explication, mais tu n'aurais pas plutôt le terme anglais pour salage ? Tu ne vas pas me dire qu'il s'agit de "salted", hein ?
par RoyRogers, le Samedi 03 Septembre 2016 à 10h03
Qu'il ne faut rien stocker sur le cloud et encore moins faire confiance à des entreprises tiers pour ça.
Parfaitement clair !
par RoyRogers, le Samedi 03 Septembre 2016 à 10h03  
 
Que retenir de l'histoire ?


Qu'il ne faut rien stocker sur le cloud et encore moins faire confiance à des entreprises tiers pour ça.
par Gaurbhack, le Samedi 03 Septembre 2016 à 09h52  
Vous pouvez vérifier si vous faites parti de la fuite (ou d'autres) ici :
https://haveibeenpwned.com/
par le lurkeur frénétique d'Ile-de-France, le Samedi 03 Septembre 2016 à 09h42  
Donc Pascal aime bien les tartiflettes au cachalot et coupe son saucisson avec un tournevis.
ça explique bien des choses........