Collection 1, le fichier comprenant 772 millions d'e-mail et 21 millions de mots de passe, a fuité

18 janvier 2019 à 09h02
23
Collection 1
© Troy Hunt

Un service web a repéré un énorme fichier baptisé Collection 1, regroupant plus de 772 millions d'adresses mail et de plus de 21 millions de mots de passe.

C'est un fichier sans précédent qu'à découvert Troy Hunt, responsable du service web Have I Been Pwned, permettant à tout à chacun de vérifier si son adresse mail n'a pas été piratée et a été rendue disponible sur le web.

Plus de 2 milliards d'informations personnelles exposées

Collection 1 est un ensemble d'adresses mail et de mots de passe provenant de brèches de sécurité sur des milliers de services en ligne. Ce paquet de plus de 87 Go de données était hébergé sur Mega, et a été signalé à Troy Hunt par plusieurs utilisateurs.

Dans le détail, ces différents dossiers contenaient près de 2,7 milliards d'informations, avec dans le détail 772 millions d'adresses mail, 21 millions de mots de passes et plus grave encore, 1,16 milliard de combinaisons mail et mot de passe.

Ces fichiers n'indiquent pas à quels services en ligne appartiennent ces informations. Mais l'on sait qu'un grand nombre d'internautes utilisent systématiquement le même mot de passe pour l'ensemble de leurs applications web. Il suffirait de tester ces combinaisons sur les sites les plus populaires pour hacker les profils sociaux ou encore une boite mail, ou utiliser frauduleusement un compte Amazon ou Netflix.

Protéger ses mots de passe est indispensable pour éviter un piratage

Troy Hunt donne comme conseil de changer rapidement ses mots de passe, et d'en utiliser un unique pour chaque service auquel vous vous connectez. Un gestionnaire de mots de passe sera la meilleure protection pour générer des identifiants sécurisés et très difficiles à corrompre.

Vous pouvez également vérifier si votre adresse mail a été exposée et sur quelle plateforme en vous rendant sur Have I Been Pwned. Troy Hunt a mis à jour son outil en intégrant les millions de données présentes dans Collection 1.

Source : Engadget
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
23
0
la_girafe1
“en utiliser un unique pour chaque service auquel vous vous connectez”<br /> Conseil systématiquement donné par des personnes qui n’ont jamais tenté de l’appliquer dans leur vie de tous les jours.
raphta
Je le pratique, du moins pour tous les sites sensibles.<br /> Il suffit d’intégrer dans son mot de passe quelques caractères provenant du nom / url du site en question.<br /> exemple :<br /> facebook : djsuadf34*<br /> clubic : djsuldf34*<br /> etc…<br /> (seconde lettre en 5eme position)<br /> le reste libre à votre imagination
jo-hell
“Conseil systématiquement donné par les personnes qui n’ont jamais tenté de l’appliquer dans leur vie de tous les jours.”<br /> Avec un gestionnaire de mots de passes c’est très simple a appliquer, les produits dans le genre ne manquent pas : Dashlane, Lastpass, 1Password …
cyano27
C’est pour ça que ce matin j’ai recu un mail de “Have I Been Pwned” me disant que j’avais une adresse mail qui était repérée dans leur base comme potentiellement hackée !<br /> Mot de passe changé sur le champs, merci “Have I Been Pwned”
oximini
J’ai mes deux adresses principales qui sont listées comme compromises. Changeant régulièrement de mot de passe, je ne m’inquiète pas. Toutefois j’aimerais bien savoir depuis quel(s) service(s) web elles ont été capturées…
c_planet
j’ai reçu trois demandes de rançon liées à une fuite email/mp, cette combinaison de mes données ne peut venir que de FNAC.be ou SCHAFFER.be mais j’ai la flemme de remplir les formulaires de la cnil belge. La premiere demande de rançon à 500$ a rapporté 3000$ en btc, les deux autres demandes à 5000$ et 7000$ (wow) ont rapporté 0$, j’espère que ces ‘malfrats’ ont payé le prix fort pour cette liste
ideo85
mon adresse gmail était compromise avec une connexion inconnu sur ma boite mail. Bizarrement je n’est pas été prévenu qu’un nouvel appareil s’y était connecté.
PierreKaiL
Sur le site c’est indiqué quand tu fais la recherche, les services concernés sont marqués en bas. Pour ma part sur une de mes adresses hotmail c’est mon compte myspace qui aurait fuité. Pour une amie c’est son compte dailymotion.
jvachez
Méfiance ! Après l’analyse, le site conseille d’utiliser 1password. Ca ne m’étonnerait pas que tout ça soit inventé pour vendre des abonnements ! Surtout que si l’on cherche Collection 1 on ne trouve nul part où le télécharger ce qui laisse penser qu’il n’existe tout simplement pas.
PierreKaiL
je suis d’accord c’est un peu flou tout ça, mais pour l’exemple de mon amie, dailymotion a demandé la réinitialisation du mot de passe quand elle a cherché à se connecter dessus ensuite, ce qui prouverait que la source est correct.
Momozemion
Si tu appliquais la plus basique des mesures de sécurité, tu saurais.
megadub
haveibeenpwned.com est totalement fiable. Ils collectent les fichiers disponibles sur le net (le dark net bien sûr, c’est pour ça que tu trouveras pas le fichier) et fait une recherche du mail testé dans ces fichiers.<br /> Il n’y a AUCUNE crainte à avoir.<br /> Après, effectivement, il faut bien qu’ils se financent et la pub est un de leur moyen.
juju251
Et pourtant, personnellement, c’est ce que je m’astreins à appliquer.
7am
J’utilise un gestionnaire de mot de passe avec un mdp unique par compte. Je pourrais me sentir rassuré en ayant suivi les conseils qu’on trouve sur le net. Mais non. Mon adresse mail principale apparait dans Collection 1 d’après Have I Been Pwned. Mais comme ils n’indiquent ni pour quel site ou avec quel mot de passe, je devrais théoriquement changer mes 485 mots de passe !!! Sérieux ?
Winpoks
En fait c’est une recommandation. Le problème ici, tu ne sais pas de quand date la collecte des données du fichier. Il peut dater de bien avant ton dernier changement de mot de passe.<br /> De plus, je pense que si tu utilises au maximum l’authentification à deux facteurs, tu réduis déjà considérablement les chances qu’une personne accède à ton ou tes comptes. Dans les rares cas où les sites permettent son utilisation.
7am
Il n’y a pas beaucoup de sites qui proposent l’authentification à 2 facteurs.<br /> Et le problème, c’est surtout que je ne sais pas quel site ou mot de passe est concerné. La date est une information un peu secondaire dans mon cas : j’ai aussi 485 dates différentes.
yAAm
Justement pas, cette méthode est totalement obsolete, les bruteforceurs utilisent maintenant toutes sortes de variations par rapports aux bases de donnés de mots et passwords connus, et ca va loin. du simple l33t aux bidouilles évoquées plus haut…
Winpoks
Oui, c’est un problème.<br /> Le mieux serait d’avoir accès à cette liste pour déterminer ce qui a été pris (j’ai une adresse dans le lot, mais on ne sait pas quelles sont les sites incriminés).
Winpoks
D’ailleurs, c’est aberrant de voir encore aujourd’hui un grand nombre de sites qui ne vont pas limiter le nombre de tentatives.
lopaq_0
j’enregistre jamais ma carte bleu donc bon au pire je perd ma boite mail.<br /> Par contre un compte amazon qui enregistre la carte bleu a chaque achat (il faut retourner a chaque fois dans son compte pour supprimer) la ca devient dangereux
megadub
Bah oui… Utiliser des mots de passe unique n’évite pas les fuites mais si un compte est touché, le hacker ne pourra pas accèder à TOUS les sites, seulement celui qui a fuité.<br /> Par contre, en effet, t’es bon pour changer tous les mots de passe
megadub
même pas puisqu’il faudra toujours le code de vérification. En plus, les achats frauduleux sont couverts par l’assurance.<br /> Le plus gros risque en réalité c’est qu’on usurpe ton identité pour pratiquer des activités illégales en ton nom
7am
En réponse à :<br /> “j’enregistre jamais ma carte bleu donc bon au pire je perd ma boite mail.<br /> Par contre un compte amazon qui enregistre la carte bleu a chaque achat (il faut retourner a chaque fois dans son compte pour supprimer) la ca devient dangereux”<br /> Je trouve ça très agaçant aussi.<br /> Mais encore pire : OVH où tu es censé leur laisser ton numéro de carte bleue si tu veux éviter d’avoir un statut en résiliation. Depuis, j’ai migré tous mes hébergements chez un autre hébergeur.
Voir tous les messages sur le forum

Actualités du moment

Oppo présentera son propre zoom optique hybride 10x au MWC 2019
⚡️ Soldes 2019 : PC portable 15.6
Une étrange GTX 1180 aux performances équivalentes à la RTX 2080 apparaît dans un benchmark
L'Arcep met Orange en demeure de respecter ses offres de gros
Apple plancherait sur un nouveau modèle d'iPod Touch
⚡️ Soldes 2019 : casque de réalité virtuelle HTC Vive Pro à 599€ au lieu de 799€
Microsoft va séparer Cortana de la recherche dans Windows 10
🔥 Soldes 2019 : Pack Sony PlayStation VR à 229,30€ au lieu de 283,89€
Sea of Thieves : une mise à jour nécessite de réinstaller complètement le jeu
Motorola pourrait sortir un smartphone pliable (très) onéreux dès février 2019
Haut de page