Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Gmail : 5 millions de mots de passe publiés sur internet par un pirate
Google relativise et défend la sécurité de sa plateforme

Le , par Hinault Romaric

0PARTAGES

5  0 
Un pirate informatique a publié sur un forum russe dédié au bitcoin près de cinq millions d’identifiants de comptes et de mots de passe Gmail. Le hacker responsable de cette publication a affirmé qu’environ 60 % des comptes compromis étaient encore actifs.

La majorité des comptes qui ont été compromis semblent appartenir aux utilisateurs ayant pour langue l’anglais, l’espagnol ou le russe. Pour vérifier si votre compte n’a pas été compromis, vous pouvez utiliser le site isleaked et entrer votre adresse afin de savoir si celle-ci est répertoriée dans leur base de données. Le site affirme qu’il ne recueille aucune information saisie, ni les journaux d’accès.

Google a réagi suite à la publication de ces informations. Après quelques investigations, l’entreprise affirme que moins de 2 % des combinaisons de noms d’utilisateur et de mots de passe seraient fonctionnelles sur Gmail. Les comptes concernés auraient été protégés et la firme a demandé aux détenteurs de ces comptes de réinitialiser leur mot de passe.

Selon Google, une défaillance de Gmail ne serait pas à l’origine de la publication de ces informations (identifiants de comptes et mots de passe). Elles auraient été obtenues à partir de diverses sources dont la sécurité aurait été compromise.

Dans l’incertitude, si vous choisissez de changer de mot de passe Gmail, il est recommandé d’adopter un mot de passe fort et d’envisager l’utilisation de l’authentification à deux facteurs.

Sources : CNews, Google

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 11/09/2014 à 12:30
Pour vérifier si votre compte n’a pas été compromis, vous pouvez utiliser le site isleaked et entrer votre adresse afin de savoir si celle-ci est répertoriée dans leur base de données. Le site affirme qu’il ne recueille aucune information saisie, ni les journaux d’accès.
S'il le dit, c'est forcément vrai. Rien de mieux que demander à un tiers inconnu pour savoir si on est concerné, alors même que Google a bloqué les comptes et demandé la réinit du mot de passe.

Et si vous craigniez qu'on vous vole votre numéro de carte bleue, envoyez-moi ce numéro par MP (cache les 2 derniers chiffres par ** si vous doutez de moi) : vous recevrez une confirmation rapide de ma part. Bien sûr je respecte votre vie privée.

Aies confiance, crois en moi...

Edit : le nom de domaine a été enregistré 2 jours avant la publication de la fuite
11  0 
Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 11/09/2014 à 12:53
Ou alors la fuite provient simplement d'un autre site, qui ne chiffre pas les mdp. Vu le nombre de personnes qui ont les mêmes identifiants sur tous les sites, ça reste plausible...
6  0 
Avatar de sinasquax
Membre régulier https://www.developpez.com
Le 11/09/2014 à 12:39
C'est peut être simplement du fishing, social engineering, ... et aucune faille de sécurité de google. Ça m'étonnerai fort que google sauvegarde les mots de passe en clair.
4  0 
Avatar de Errata
Membre régulier https://www.developpez.com
Le 11/09/2014 à 14:54
Si developpez pouvais mettre en gros que le site isleaked.com est sérieusement soupçonné de faire partie du deal pour récupérer des adresses email valides, ce serait pas mal...
6  2 
Avatar de 23JFK
Membre expérimenté https://www.developpez.com
Le 11/09/2014 à 12:25
Ça voudrait dire que google stocke les mdp en clair dans leur DB ?! Cela semble très peu probable.
3  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 11/09/2014 à 12:57
Effectivement: on pique les mot de passes sur un autre site, puis par script on vérifie à l'aveugle sur gmail pour faire plus de buzzz.
3  0 
Avatar de pgros
Membre à l'essai https://www.developpez.com
Le 11/09/2014 à 14:38
J'ai un de mes comptes gmail dans la liste, MAIS le mot de passe listé n'est pas celui utilisé sur gmail.
J'ai donc fait la liste de tous les sites où j'utilisais ce même combo login/mot de passe et voilà la liste :

https://secure.ubi.com
https://shop.ubi.com
https://authentication-ui.ubi.com
http://api.hostinger.fr
http://savage2.com

Je pense donc que c'est d'un de ces sites que viens la faille, quelqu'un d'autre dans la liste peut dire si il a aussi un compte sur un de ces sites ?
3  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 11/09/2014 à 15:06
Citation Envoyé par Chuck_Norris Voir le message
Google a donc stocké des mots de passe en clair, vu que mon mot de passe n'avait rien de trivial.
Rien ne le prouve. C'est une possibilité parmi d'autres (phishing, etc).
3  0 
Avatar de _Von_
Membre régulier https://www.developpez.com
Le 11/09/2014 à 14:43
Citation Envoyé par Traroth2 Voir le message
Apparemment, mon compte a été leaké. Mais les deux lettres qu'ils indiquent comme étant les premières de mon mot de passe ne correspondent pas...
D’après ce que j'ai lu chez les anglais, il semblerait que les mots de passe soient vieux de quelques années !

Histoire de rendre son compte un peu plus sur et un peu plus dur d’accès au Pirate, on peut autoriser l'authentification multi-facteur
sous gmail. Un SMS est envoyé avec un code pour permettre une connexion sur un ordinateur que vous n'avez pas approuvé.
(N'allez pas approuver tous les ordinateurs sur lesquels vous vous connectez )

Multi-factor authentication
2  0 
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 12/09/2014 à 10:07
Sinon y'a un truc cool qui s'appelle l'activation en deux étapes.
2  0