Have i been pwned et les alternatives

[devadip]

slt

En communiquant votre adresse mail, votre mot de passe,.. au site https://haveibeenpwned.com/, celui va vérifier si cette information figure dans des bases de données ayant été publiées sur la toile.

ça peut, peut être, intéresser.

EDIT Modérateur : liens autour de have i been pwned
L'article du site en rapport avec have i been pwned : Haveibeenpwned : vérifier si vos mots de passe ont été piratés.
Un autre article du forum pour récupérer la base complète et vérifier localement : "Have I Been Pwned" : Vérifier localement vos mots de passe.

J'ajoute aussi cet article : Firefox Monitor : surveiller vos mots de passe
Il s'agit d'un service Mozilla qui permet d'être alerté lors du vol de données.

[Parisien_entraide]

Pour tester ses mots de passe : https://howsecureismypassword.net/ (derrière il y a le bien connu Dashlane)

2018-11-04_175721.png

Firefox entre dans la danse : https://monitor.firefox.com/ mais se base sur HaveIBeenPwned.com

2018-11-04_175610.png

Spybot Identity Monitor https://www.safer-networking.org/produc ... y-monitor/ même sauce puisque la base est toujours la même

IdentityMonitor30-Main-en.png

L'application offre deux avantages principaux par rapport à l'utilisation directe du site Web Have I Been Pwned:

- Vous obtenez des informations sur les comptes compromis, pour autant de comptes que vous entrez.
- Le programme peut revérifier les données à chaque démarrage.

Cliquez sur "Mes comptes" pour ajouter des adresses électroniques ou des noms d'utilisateur pour lesquels vous souhaitez vérifier les comptes compromis. Une vérification est effectuée dès que vous ajoutez un nouveau compte à la base de données locale du programme.

IdentityMonitor30-AccountDetails-en.png

Spybot Identity Monitor révèle si l'adresse e-mail ou le nom d'utilisateur a été trouvé dans des compromissions connues. Vous pouvez cliquer sur le nom du compte pour afficher les services compromis et la date à laquelle chaque compromission est survenue ou révélée.
Identity Monitor prend en charge les nouvelles vérifications de tous les comptes, mais uniquement lorsque vous activez l'option dans les paramètres. Le programme ajoute une tâche au planificateur de tâches qui exécute le contrôle à la connexion

Il faut se rappeler que les données pour HaveIBeenPwned.com sont transmises via une connexion https TLS 1.2 et uniquement aux serveurs HIBP. HIBP ne stocke pas l'adresse.

Ensuite passer par des programmes tiers pour aller consulter la base commune...
Firefox ne stocke rien non plus
Pour Spybot je ne sais (rien n'est indiqué)

[Malekal_morte]

hop, un article sur le site autour de have i been pwned? : Haveibeenpwned : vérifier si vos mots de passe ont été piratés

[Parisien_entraide]

Et un autre si on est réticent à effectuer l'analyse en ligne :-)

viewtopic.php?f=46&t=62111

[Malekal_morte]

J'ajoute aussi cet article : Firefox Monitor : surveiller vos mots de passe
Il s'agit d'un service Mozilla qui permet d'être alerté lors du vol de données.

[Parisien_entraide]

Y a aussi Google (je l'avais oublié et je l'oublie également en tant qu'outil :-)

Le loup qui veut s'assurer si les brebis sont bien là :-)

Je cite :

"Pour vérifier tous vos mots de passe enregistrés par Google, il vous suffit d’aller sur https://passwords.google.com, puis de cliquer sur « Vérifier les mots de passe » sur la carte « Check-up Mots de passe ».

Cliquez à nouveau sur « Vérifier les mots de passe ».
Votre mot de passe Google vous sera demandé, saisissez, puis validez.
Sur la fenêtre qui apparaîtra, Google vous indiquera si certains de vos mots de passe ont été piratés. Sinon, il vous sera indiqué qu’aucun mot de passe n’est piraté.

En plus de vérifier si des mots de passe ont été piratés, Google vous signalera également si vous réutilisez des mots de passe sur plusieurs services (ce qui n’est pas conseillé), ou si vous avez des mots de passe pas très sécurisés sur certains comptes."

[Parisien_entraide]

En complement de

9 Sites pour vérifier si le mail, mot de passe ont étés piratés, divulgués ou compromis
https://www.malekal.com/sites-pour-veri ... compromis/

Un petit nouveau : Le Hasso Plattner Institut
Ce site a été lancé par une université allemande spécialisée dans le numérique.
Le rapport reçu par mail est l'un ldes plus complets sur les types d’informations fuitées.
https://sec.hpi.de/ilc/?

2022-10-31_104639.jpg

[Parisien_entraide]

Malwarebytes lance un nouveau portail Web qui offre une visibilité sur les informations personnelles de type Login et mot de passe exposées, mais pas que, afin que chacun puisse facilement voir où et quand

- une violation a compromis les données,
- les types de données exposées et les données personnelles spécifiques à vendre sur le dark web.

viewtopic.php?p=553611

[Parisien_entraide]

2024-06-04_123718.png

La base de https://haveibeenpwned.com/ s'est enrichie avec un apport massif de données


Troy Hunt a reçu plusieurs colis totalisant 122 Go d'un chercheur en sécurité.

Cela comprend 361 millions d’adresses e-mail différentes, dont 151 millions ne figuraient pas encore dans la base de données (On retrouve par ex la base du "slip Français" dont le vol est récent). Mais les mots de passe et les sites Web étaient également inclus.

L'auteur explique ce qu'il a vérifié et comment
https://www.troyhunt.com/telegram-combo ... addresses/

Pour résumer, bien qu'il y a évidemment des anciennes listes, pas mal sont en liens avec des Stealer (Voleur de données) et non de vol de données de sites
Il est retrouvé également du Lastpass (probalement du fait du plus gros vol de données en 2022)
Ce gestionnaire de mots de passe, considéré dans les milieux de la sécurité comme un "emmenthal Suisse' c'est à dire plein de trous de sécurité

Du reste ce gestionnaire de mots de passe est à éviter pour plusieurs raisons

le PDG de LASTPASS a investi quelques millions de dollars, dans une sté du nom de Wing security située en Israêl, avec d’autres investisseurs liés aux services de renseignements Israélien (Orca Security par ex)

Wing security a été fondée en 2020 par le général de brigade à la retraite Noam Shaar, ancien responsable de la sécurité de l’information des Forces de défense israéliennes (FDI) et le colonel à la retraite Galit Lubitsky, ancien chef des cyber-opérations de Tsahal. Les deux fondateurs ont occupé des postes de direction dans la prestigieuse unité 8200 IDF et ont géré avec succès des cyber-événements au niveau national tout en gérant d’énormes cyber-organisations"

D'autres détails à viewtopic.php?p=533779#p533779 sur Lastpass et pourquoi il ne faut pas l'utiliser sans compter ses liens avec ExpressVPN et.. KAPE

[Parisien_entraide]

Google via son VPN (Supprimé au 20 juin) Google One, pour les utilisateurs de son abonnement payant permettait via cette fonctionnalité de faire des recherches sur le dark web afin de trouver des informations vous concernant.

Bonne nouvelle ( ?)

Fin juillet 2024, cela sera accessible à toutes les personnes disposant d’un compte Google, et ce sans l’abonnement payant Google One.

“À partir de fin juillet 2024, le rapport sur le dark Web ne nécessitera plus d’abonnement Google One. Tous les utilisateurs connectés à leur compte Google pourront utiliser cette fonctionnalité, qui sera rendue disponible avec les résultats vous concernant”

, indique une page support de Google.

et

“Pour que davantage d’utilisateurs Google bénéficient du rapport sur le dark Web, il ne nécessitera plus d’abonnement Google One et sera disponible via la fonctionnalité Résultats vous concernant. Cette fonctionnalité permet aux utilisateurs de supprimer des résultats de recherche contenant leurs coordonnées personnelles, comme leur adresse, leur numéro de téléphone ou leur adresse e-mail”,

explique Google.


QUELLES SONT LES DONNEES QUE L'ON PEUT SUPPRIMER ?

Code : Tout sélectionner

- Votre nom
- Votre adresse
- Votre numéro de téléphone
- Votre adresse e-mail
- Numéro de sécurité sociale (États-Unis)
- Votre nom d’utilisateur
- Votre mot de passe

Cela supprimera les données du moteur de recherche, mais pas des applications tierces
En fait cela vous avertira

Sur le papier c'est beau... Mais c'est Google, donc ne serait ce pas un moyen AUSSI de se procurer des données nous concernant ?

[Parisien_entraide]

Au passage pour être informé des nouvelles bases de données ajoutées sur https://haveibeenpwned.com/ le mieux est de suivre sur X Troy HUNT

https://x.com/troyhunt

Sinon mais on ne voit pas les dates, tout ce qui est ajouté figure sur le site
https://haveibeenpwned.com/

Et ne pas négliger surtout en Europe le site https://sec.hpi.de/ilc/? (Je ne conseille pas les autres comme Google etc)

Ce site a été lancé par une université allemande spécialisée dans le numérique.
Le rapport reçu par mail est l'un des plus complets sur les types d’informations fuitées.

2024-11-07_143239.jpg

[Parisien_entraide]

databrech.png

Encore un petit nouveau dont le site origine est bien connu

DataBreach.com est l'œuvre d'une société du New Jersey appelée Atlas Privacy, qui aide les consommateurs à supprimer leurs informations personnelles des courtiers en données et des sites Web de recherche de personnes (1).
Initialement il y avait https://npdbreach.com/

L'ingénieur derrière le projet indique que

« Les violations de données concernent de plus en plus les PII (informations d'identification personnelles) plutôt que les mots de passe »

Ce qui est vrai

Lien du site : https://databreach.com


LES PROMESSES DE RECHERCHE

- adresse e-mail,
- nom complet
- adresse physique
- numéro de téléphone,
- numéro de sécurité sociale,
- adresse IP
- nom d'utilisateur (pseudo)

si elles figurent dans la vaste bibliothèque de violations enregistrées d'Atlas Privacy.
D'autres catégories seront également ajoutées au fil du temps.

dat 2.png

EST CE SÉCURISÉ POUR LES UTILISATEURS ?

Atlas a conçu DataBreach.com pour l'empêcher de stocker ou de collecter des informations utilisateur sensibles saisies sur le site.
Au lieu de cela, le site récupèrera un hachage sur les serveurs d'Atlas ou une empreinte digitale des informations personnelles de l'utilisateur (qu'il s'agisse d'une adresse e-mail, d'un nom ou d'un SSN) et le comparera à ce que recherche l'utilisateur.

"La comparaison sera effectuée localement"

, c'est-à-dire sur le PC ou le téléphone de l'utilisateur, plutôt que sur le serveur Internet d'Atlas dixit l'ingénieur en charge du site

Si une correspondance est trouvée, le site affichera une alerte indiquant dans quelle violation les informations personnelles ont été trouvées, ainsi qu'un résumé de l'incident de piratage.
Cela inclut de signaler toute autre catégorie d’informations personnelles que la violation peut contenir sur l’utilisateur, de la même manière que Have I Been Pwned peut également le faire.
De plus, seules les informations personnelles demandées seront restituées à l'utilisateur, aucun autre détail spécifique pouvant empêcher les pirates informatiques d'abuser du site.



EST CE FIABLE ?

OUI ... et NON :-)

C'est avant tout à l'usage de la population américaine, MAIS en fonction des sources de vol de données on peut retrouver des données FR partielles




--------------------

(1) Ne pas confondre avec le fait que si vos données apparaissent comme volées, AUCUN site/service ne les fera disparaitre
Le voleur de données se fiche qu'on lui demande de retirer telles ou telles données
C'est plutôt adressé aux sites qui vont faire l'acquisition de données (mail etc) , les data brokers, les sachant volées ou pas et vont les exploiter ou revendre

On a ce site (payant) bien connu aussi https://incogni.com/deal et son blog https://blog.incogni.com/ (derrière il y a Surfshark)