RAPPEL
On a cet excellent site, "Have I Been Pwned" pour savoir si notre login, mot de passe ou même numéro de téléphone, figurent dans une ou des bases de données, volées, vendues et disponible sur internet.
Comme expliqué sur le lien du forum, le site est sûr, surtout lorsque l'on sait qui est derrière
CONSULTATION LOCALE
Si on a des doutes sur le fait de fournir une adresse mail à vérifier, un login, ... à "quelqu'un d'extérieur, on peut le faire localement
Point négatif : Autant il y a quelques années il était relativement facile de télécharger la base même en ADSL, autant maintenant, vu la taille, un débit fibre à haut débit est plus que nécessaire
Je laisse cependant la méthode pour ceux que cela intéresse
ALTERNATIVES EN CONSULTATION DIRECTE
Ce n'est que mon avis, mais je ne conseille que 3 sites (have I Been Pwned, Hasso Plattner Institut, DataBreach)
Les autres en fait se servent de Have I Been Pwned majoritairement, sans compter que malgré leurs déclarations, ils peuvent pomper ce que l'on propose au passage. Je n'ai qu'une confiance relative dans les outils des VPN par exemple :-)
Il est évident que vous ne pouvez pas tester des adresses qui vous ne vous appartiennent pas pour des rapports complets
Par ex, l'institut allemand envoie un rapport dans les 24 à 48h en relation avec l'adresse mail testée
1) Haveibeenpwned
2) Hasso Plattner Institut (Univeresité Allemande)
3) DataBreach.com
Néanmoins pour les autres sites et façons de procéder
Les alternatives : 9 sites pour vérifier si l’e-mail, mot de passe ont été piratés, divulgués ou compromis
https://www.malekal.com/sites-pour-veri ... compromis/
Un complément sur le forum pour les discussions
viewtopic.php?f=37&t=54361
------------------------------------------------------------------------------------------------------------
INTRODUCTION POUR VÉRIFIER LOCALEMENT
Le but de la manoeuvre est d'utiliser la base de données du site https://haveibeenpwned.com/Passwords localement, donc sans diffuser vos données sur internet car il est évident que l'on soit réticent à indiquer sur un site, donc avec des données sensibles qui vont transiter sur le réseau et analysées "quelque part" notre login, mot de passe, même si du fait du fonctionnement (voir la doc un peu plus bas), cela semble "sécurisé"
Lien direct du "haveibeenpwned-downloader" : https://github.com/HaveIBeenPwned/Pwned ... Downloader
Je pense mais ce n'est que mon avis, qu'il vaut mieux faire la vérification en local (mais c'est lié à mon rejet d'usage de clouds divers situés hors de France, appartenant souvent à des organismes liés ou ayant un droit de regard etc :-)
Par ex, si on prend le site Web HIBP il utilise le "trafic snooper" de Cloudflare. En théorie Cloudflare verra tous les mots de passe que vous vérifiez
En théorie.. parce que pour le fonctionnement : Voir la documentation à la fin du tuto
Pour rappel :
Haveibeenpwned : vérifier si vos mots de passe ont été piratés
have i been pwned sur le forum
Cette possibilité de vérification en local de vos mots de passe exige que vous utilisiez KeePass pour gérer tous les mots de passe
_______________________________
Mais il y a une Astuce ! : Si vous n'utilisez pas KeePass pour la gestion des mots de passe, mais que vous avez vos mots de passe enregistrés sous un format particulier vous pouvez les importer directement dans keePass
Keepass accepte les formats d'importation : CSV files (all), KeePass 1.x (KDB, XML and CSV), KeePass 2.x XML, 1Password Pro, 1PW, Alle meine Passworte, Any Password, CodeWallet, Dashlane, DataVault, DesktopKnox, Enpass, FlexWallet, Google Chrome, Handy Safe, Handy Safe Pro, Kaspersky Password Manager, KeePassX, LastPass, Mozilla Bookmarks, mSecure, Network Password Manager, Norton Identity Safe, nPassword, PassKeeper, Passphrase Keeper, Password Agent, Password Depot, Password Exporter, Password Keeper, Password Memory, Password Prompter, Password Safe, Password Saver, Passwords Plus, Passwort.Tresor, Personal Vault, PINs, Revelation, RoboForm, SafeWallet, Security TXT, SplashID, Steganos Password Manager 2007, Sticky Password, TurboPasswords, VisKeeper, Whisper 32, ZDNet's Password Pro, and Spamex.com.
Pour Firefox, malheureusement depuis la version 57 du navigateur, le format a changé et l'importation directe ne fonctionne pas
Il vous faut pour cela convertir le fichier .json au format .CSV
A la fin de ce descriptif je donne la procédure en images. Celle ci est à l 'identique pour l'ensemble des importations au format .CSV (et dans la forme peut etre aussi pour d'autres formats)
! | IMPORTANT ! Si vous faites une importation, suivant le format, il se peut qu'une fois la base chargée rien ne s'affiche dans la colonne "Have I been pwned" Il vous faudra alors faire un clic droit sur chaque ligne, et choisir "Modifier/entrée" puis cliquer comme indiqué sur l'image ci dessous |
LES PRE-REQUIS
Ce qu'il vous faut avoir pour effectuer la manipulation :
- Le logiciel KeePass : KeePass est à la base un gestionnaire de mots de passe.
- Un plug in pour Keepass : "HIPB Offline Check" https://github.com/mihaifm/HIBPOfflineCheck
- La base de données de "Have I Been Pwned" https://haveibeenpwned.com/Passwords
Elle est au format .7z, donc compactée avec https://www.7-zip.org/]7-zip mais décompactable avec WinRar et autres) presque 23 Go.
Au besoin : 7-Zip : comment compresser ses fichiers (zip, rar, etc)
Ne vous trompez pas de fichier ! Il faut prendre la version "Ordered by hash".
Après il faudra s'armer de patience pour le téléchargement, puis ensuite la décompression suivant la puissance de votre processeur, et la copie sur le HD ou SSD.
Le fichier pourra être inséré pour des raisons pratiques dans le dossier d'installation de KeePass.
Pour rappel, il existe un tutoriel sur le site :
KeePass : utiliser le gestionnaire de mot de passe gratuit
En complément, si vous ne l'avez pas encore : https://sourceforge.net/projects/keepas ... t/download c'est complètement inutile pour l'usage décrit ici, et purement esthétique
Il s'agit de Favicon. Un favicon est la petite icône / logo utilisé pour identifier de nombreux sites Web
Cela va permettre d'ajoute des favicons de sites Web à la liste de mots de passe KeePass, du moins aux connexions ayant une URL répertoriée dans la base de données. Cela permet améliorer l'identification, donc de reconnaitre un site au premier coup d'oeil
Si vous souhaitez d'autres plug in pour KeePass https://keepass.info/plugins.html
! | ATTENTION ! Les créateurs de ces plug in sont des gens extérieurs au projet. Pas de malware mais de possible bugs pouvant occasionner des failles de de sécurité |
Les plug ins sont à mettre ici :
Code : Tout sélectionner
C:\Program Files (x86)\KeePass Password Safe 2\Plugins
INSTALLATION DE KEEPASS
Vu que ce programme ne pose pas de problèmes à l'installation, je passe outre (c'est un programme open source, et il n'y a pas de risque à l'installation d'attraper des adwares et/ou adwares déguisés en malware
Par contre je déplore le fait qu'il laisse dans le démarrage une ligne "KeePass Pre load"
Cela est inutile pour l'usage décrit dans ce tuto, et on peut désactiver cette fonction via MSCONFIG https://www.malekal.com/msconfig-lutilitaire-windows-2/ ou avec un logiciel comme AUTORUNS https://www.malekal.com/autoruns/
Ceux qui seront intéressés par la suite de l'usage de KeePass peuvent lire ce tuto en FR https://craym.eu/tutoriels/utilitaires/keepass.html
CHANGEMENT DE LA LANGUE
On utilise la langue FR, donc on va passer le programme en ...FR (si si !)
Soit vous allez directement ici https://keepass.info/translations.html et vous téléchargez le fichier de langue qui vous intéresse dans la colonne de droite (version 2.41)
Soit une fois Keepass installé, vous utilisez le menu pour changez la langue d'utilisation
Ce n'est pas automatique. Cela va vous amener sur la page : https://keepass.info/translations.html (ce qui revient au même que la manipulation précédente)
Une fois téléchargé le ficher, il faut le décompresser et le placer dans le dossier
Code : Tout sélectionner
C:\Program Files (x86)\KeePass Password Safe 2\Languages
Le plug in n'est pris en compte qu'au démarrage ou redémarrage du programme
__________________________________
INSTALLATION DE HIPB OFFLINE CHECK
Tous les plug in (Rappel) comme "HIPB Offline Check", se placent dans
Code : Tout sélectionner
C:\Program Files (x86)\KeePass Password Safe 2\Plugins
Outils --------> Vérification HIBP Offline dans l'interface du programme.
Cliquez sur "Parcourir" et sélectionnez le fichier de base de données de mots de passe que vous avez extrait sur le système.
Vous pouvez modifier d'autres paramètres, par exemple le nom de la colonne dans KeePass ou le texte affiché pour les mots de passe sécurisés et non sécurisés.
Enfin et surtout, sélectionnez Affichage> Configurer les colonnes, puis activez la colonne "Have I Been Pwned" pour afficher les résultats de la vérification dans l'interface.
Ensuite cela devrait ressembler à cela :
Pour rappel : Un succès ne signifie pas nécessairement que le mot de passe est connu d'un tiers (le méchant pirate) , car il dépend de la force du mot de passe et des capacités de ce tiers pour le déchiffrer
______________________________________
DOCUMENTATION :
https://blog.cloudflare.com/validating- ... anonymity/
sinon
https://blog.cloudflare.com/using-cloud ... passwords/
https://blog.discordapp.com/safety-jim- ... .s3ex2h7pg
et sur la vie privée :
https://haveibeenpwned.com/Privacy
et lire les réponses aux questions posées de Troy HUNT (qui est derrière le site "Have I been Pwned"):
https://mobile.twitter.com/vinzBad/stat ... 345216?p=v
Le mot de la fin de Troy HUNT
"Même si je ne veux pas encourager les gens à mettre leur mot de passe réel sur des sites tiers aléatoires, je peux garantir qu'un nombre considérable de personnes obtiennent un résultat positif, puis modifient leur hygiène de sécurité. L’un des aspects les plus importants de l’exécution du projet HIBP, c’est son impact sur le changement de comportement des utilisateurs. En voyant votre adresse e-mail ou votre mot de passe, pwned est en mesure de faire reconsidérer certaines de leurs décisions en matière de sécurité. ”
______________________
AVEC FIREFOX
Pour rappel il n'est pas conseillé de stocker les login et mot de passe dans le navigateur
https://www.malekal.com/mots-de-passe-s ... teurs-web/
_____________________________________________
La méthode décrite fonctionne également avec les importations .CSV d'autres programmes
Si vous avez l'habitude de stocker vos login et mots de passe dans Firefox, malheureusement, comme indiqué, depuis la version 57 du navigateur, le format des fichiers a changé
Dans Keepass la fonction est pourtant bien présente, mais cela ne fonctionne pas
Il vous faut aller chercher le programme "Password Fox"
https://www.nirsoft.net/utils/passwordfox.html
Comme d'habitude avec les outils Nirsoft (tout comme ceux de Sysinternals) votre anti virus peut crier et s'agiter.
Il s'agit évidemment d'un faux positif
Une fois lancé, le programme va chercher et charger la base active par défaut. Si il ne le fait pas il va falloir lui indiquer le chemin
Normalement cela ressemble à cela :
Code : Tout sélectionner
C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\
Une fois la base chargée, vous allez dans le menu ---> Selectionner tout (Edit --> Select all) et ensuite dans le menu "Fichier" (File) vous choisissez "Save selected items" (sauvez les éléments choisis)
Là vous selectionnez "Keepass .csv file" et vous donnez un nom à votre base
Dans keePass, il suffira de passer par le menu Fichier---> Importer ----> De choisir le format "Importateur CSV generique", puis d'aller chercher et d ouvrirle fichier que vous avez converti avec "Password Fox"
Lors de l'importation il est demandé 2 ou 3 choses. Vous passez outre et vous cliquez sur OK
Le fichier apparaitra par défaut dans "General" dans le menu de KeePass"
Vous pouvez sélectionner toutes les entrées et le placer dans le dossier "Internet" par ex, mais il n'y a pas d'obligation