Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 05-11-2019 10:21:29

phil45190
Membre
Distrib. : debian 11
Noyau : 5.8.0.3-amd64
(G)UI : xfce
Inscription : 16-02-2017

securité courriel HIBP

Bonjour à toutes et tous
espérant que ma question ne soit pas hors sujet
La revue Que Choisir propose des conseils pour sécuriser son usage numérique de consommation.
En particulier vérifier sur le site Have I Been Pawned (traduction est-ce que j'ai été piraté ?) si l'adresse de courriel est pawned (compromise).
Si la réponse est oui, il nous est proposé une réponse technique, malheureusement en anglais. Donc incompréhensible pour moi.
D'ou mon appel à cette liste.
HIBP parle de breach (brèche ?)
De mot de passe qu'il faut changer.
Mes questions :
Si quelqu'un connait ce site et sait comprendre les notions exposées peut-il nous faire une synthèse
Thunderbird avec OS linux (voir même Debian) est-il en cause ou pas ?
Le changement de mot de passe de messagerie est-il une protection suffisante ou faut-il envisager de changer de nom de messagerie ?
Mes adresses gmail et orange ne sont pas compromises, mais 2 des 3 chez Free le sont. Y-a-t-il un problème de sécurité particulier chez cet opérateur ?
Merci de vos éclairages si mes questions sont pertinentes sur cette liste

Hors ligne

#2 05-11-2019 10:51:57

phreg
Membre
Distrib. : MX Ubuntu LMDE Manjaro
Noyau : 4.9 à 4.20
(G)UI : Xfce Mate
Inscription : 02-04-2011

Re : securité courriel HIBP

Bonjour,
d'après le site de test, 3 étapes pour être en "sécurité" :

- Step 1 Protect yourself using 1Password to generate and save strong passwords for each website.
- Step 2 Enable 2 factor authentication and store the codes inside your 1Password account.
- Step 3 Subscribe to notifications for any other breaches. Then just change that unique password.

   
En traduction rapide ça donne :         
1- Utiliser la solution payante 1Password (3 ou 5$/mois)
2- Utiliser la double authentification et stocker les codes chez 1Password
3- Souscrire aux notifications de 1Password et ne changer que le mdp principal

Donc forcément la réponse est très commerciale. C'est du genre "pay and forget".
C'est certainement efficace tant qu'on fait confiance à la société et qu'on a envie de payer autant pour si peu.
Le point 3 me semble très risqué car ça veut dire que 1Password change seul les mdp de messagerie, sites de vente ou forums.

Réponse au test pour mon adresse "poubelle" :

Dropbox: In mid-2012, Dropbox suffered a data breach which exposed the stored credentials of tens of millions of their customers. In August 2016, they forced password resets for customers they believed may be at risk. A large volume of data totalling over 68 million records was subsequently traded online and included email addresses and salted hashes of passwords (half of them SHA1, half of them bcrypt).

Compromised data: Email addresses, Passwords


Soit en gros :
Dropbox a eu une faille en 2012, forcé le changement du mdp en 2016. Une grande quantité de données a été visible. Données compromises adresses email et mdp.

Nota : pas d'alerte sur la compromission de la messagerie mais sur un site (dropbox) qui utilisait en utilisait l'identifiant.

Hors ligne

Pied de page des forums