Comment installer Google Assistant sur les montres intelligentes Samsung Galaxy
8 août 2020
Comment améliorer la précision du suivi GPS dans vos applications d'entraînement
8 août 2020
0

S'identifier.
Shutterstock / Kaspri

Les identifiants de connexion de votre personnel sont-ils sur le dark web? Nous vous montrons comment vérifier si leurs données ont été victimes d'une violation de données.

Notre vieil ami, le mot de passe

Le mot de passe modeste reste la méthode la plus courante pour vous authentifier pour accéder à un ordinateur ou à un compte en ligne. D'autres systèmes existent et continueront d'apparaître et d'évoluer mais pour le moment, le mot de passe est omniprésent.

Le mot de passe est un enfant des années soixante. Au cours du développement du Système de partage de temps compatible (CTSS), les informaticiens ont réalisé que les fichiers appartenant à chaque utilisateur devaient être isolés et protégés. Un utilisateur devrait pouvoir voir et modifier ses propres fichiers, mais il ne devrait pas être autorisé à voir les fichiers appartenant à quelqu'un d'autre.

La solution signifiait que les utilisateurs devaient être identifiés. Ils avaient besoin d'un nom d'utilisateur. Et pour prouver que l'utilisateur était bien celui qu'il prétendait être, le mot de passe a été inventé. Le mérite de l'invention du mot de passe revient à Fernando J. Corbató.

Le problème avec les mots de passe est que quiconque connaît votre mot de passe peut accéder à votre compte. C’est comme leur donner une clé de rechange pour votre maison. Authentification à deux facteurs (2FA) améliore cette situation. Il combine quelque chose que vous savoir—Votre mot de passe — avec quelque chose que vous posséder—Typiquement votre smartphone. Lorsque vous entrez votre mot de passe dans un système avec 2FA, un code est envoyé à votre smartphone. Vous devez également saisir ce code dans l'ordinateur. Mais 2FA ne remplace pas le mot de passe, il augmentations le modèle de sécurité du mot de passe standard.

La biométrie est également introduite dans certains systèmes. Cela combine un identifiant biologique unique, quelque chose que vous sont, dans le mélange, comme une empreinte digitale ou une reconnaissance faciale. Cela va au-delà de l'authentification à deux facteurs et vers l'authentification multifactorielle. Ces nouvelles technologies ne filtreront pas jusqu'à la majorité des systèmes informatiques et des services en ligne pendant encore de nombreuses décennies, et n'arriveront probablement jamais dans certains systèmes. Le mot de passe restera longtemps avec nous.

Violations de données

Les violations de données se produisent sans cesse. Les données de ces violations arrivent finalement sur le dark web où elles sont vendues à d'autres cybercriminels. Il peut être utilisé dans les e-mails frauduleux, les e-mails de phishing, différents types de fraude et de vol d'identité, et pour accéder à d'autres systèmes. Les attaques de bourrage d'informations d'identification utilisent un logiciel automatisé pour essayer de se connecter aux systèmes. Ces bases de données d'e-mails et de mots de passe fournissent les munitions pour ces attaques.

Les gens ont la mauvaise habitude de réutiliser les mots de passe. Au lieu d'avoir un mot de passe unique et robuste par système, ils réutilisent souvent un seul mot de passe encore et encore sur plusieurs systèmes.

Il suffit que l'un de ces sites soit compromis pour que tous les autres sites soient menacés. Au lieu que les auteurs de la menace connaissent votre mot de passe pour accéder au site violé – que vous modifierez dès que vous entendrez qu'il y a eu une violation – ils peuvent utiliser cette adresse e-mail et ce mot de passe pour accéder à vos autres comptes.

10 milliards de comptes violés

le Ai-je été pwned Le site Web recueille les ensembles de données de toutes les violations de données qu'il peut. Vous pouvez rechercher toutes ces données combinées et voir si votre adresse e-mail a été exposée lors d'une violation. Si tel est le cas, Have I Been Pwned vous indique de quel site ou service les données proviennent. Vous pouvez ensuite accéder à ce site et modifier votre mot de passe ou fermer votre compte. Et si vous avez utilisé le mot de passe que vous avez utilisé sur ce site sur d’autres sites, vous devez également le modifier sur les sites.

Il y a actuellement plus 10 milliards d'enregistrements de données dans la base de données Have I Been Pwned. Quelles sont les chances qu'une ou plusieurs de vos adresses e-mail se trouvent là-dedans? Peut-être qu'une meilleure question serait de savoir quelles sont les chances que votre adresse e-mail n'est pas là-dedans?

Recherche d'une adresse e-mail

La vérification est facile. Aller à la Ai-je été pwned site Web et saisissez votre adresse e-mail dans le champ "Adresse e-mail", puis cliquez sur "Pwned?" bouton.

champ et bouton de recherche d'e-mail sur le site Web de HIBP

J'ai saisi une ancienne adresse e-mail et j'ai constaté qu'elle avait été incluse dans six violations de données.

affichage d'avertissement en cas de violation de données par e-mail sur le site Web HIBP

  • LinkedIn: LinkedIn a fait une brèche en 2016, lorsque 164 millions d'adresses e-mail et de mots de passe ont été exposés. Tous mes mots de passe sont uniques, je n'ai donc eu qu'à changer un mot de passe.
  • Verifications.io: Verifications.io est – ou était – un service de vérification d'adresse e-mail. Les utilisateurs ont saisi des adresses e-mail pour savoir s'il s'agissait d'adresses e-mail actives valides. Je ne les ai jamais utilisés, il est donc évident que quelqu'un d'autre a saisi mon adresse e-mail pour la faire vérifier. Bien sûr, il n'y avait pas de mot de passe impliqué, donc je n'avais aucune mesure de sécurité à prendre, à part être à l'affût des spams et des e-mails de phishing.
  • Exposition à l'enrichissement des données à partir de PDL: Laboratoires de données sur les personnes (PDL) gagner de l'argent en collectant et en vendant des données. J'ai demandé une copie de mes données à PDL et d'après leur apparence, je suppose qu'ils l'obtiennent en grattant et en faisant des références croisées sur LinkedIn, Twitter, des sites Web commerciaux et d'autres sources. Encore une fois, il n'y avait aucun mot de passe impliqué, donc je n'avais aucune mesure de sécurité à prendre. Mais j'ai désactivé leur "service" afin qu'ils ne puissent plus vendre mes données.
  • Onliner Spambot: Un spambot appelé Online Spambot contenait mon adresse e-mail, probablement due à l'une des autres violations. Mais alors le Onliner Spambot lui-même a été violé, la fuite de 711 millions de dossiers personnels, y compris certains mots de passe.
  • Collection # 1 et Liste combinée anti public: Les deux derniers étaient des collections massives de données précédemment violées, regroupées dans des méga-bundles pour la commodité des cybercriminels. Mes données personnelles se trouvaient donc dans ces violations, mais j'avais déjà réagi et traité les violations d'origine.

Les points importants à noter sont:

  • Vos données peuvent être contenues dans des violations pour des sites que vous n'avez même jamais visités.
  • Même lorsque les violations de données ne contiennent pas de mot de passe, vos données personnelles peuvent toujours être utilisées à des fins criminelles, telles que les spams, les e-mails frauduleux, les e-mails de phishing, le vol d'identité et la fraude.

Recherches de domaine

Aussi éclairant et utile que cela soit, la saisie des adresses e-mail de tout votre personnel prendra du temps. La réponse de Have I Been Pwned à cette question est la recherche de domaine fonction. Vous pouvez enregistrer votre domaine et obtenir un rapport couvrant toutes les adresses e-mail de ce domaine qui ont été découvertes en violation.

Et si des adresses e-mail de votre domaine apparaissent dans de futures violations, vous en serez informé. C'est plutôt cool.

Fonction de recherche Doman sur le site Web de HIBP

Vous devez bien sûr prouver la propriété du domaine. Il existe différentes manières d'y parvenir. Vous pouvez:

  • Vérifiez par e-mail à Sécurité@ , hostmaster @ , postmaster @ , ou webmaster @ sur votre domaine.
  • Ajoutez une balise Meta contenant un identifiant unique à la page d'accueil de votre site Web.
  • Téléchargez un fichier à la racine de votre site Web, contenant un identifiant unique.
  • Créez un enregistrement TXT sur le domaine, contenant un ID unique.

C'est un excellent service gratuit qui vaut bien les quelques instants nécessaires pour s'inscrire.

Recherche d'e-mails non liés

Mais que se passe-t-il si vous avez une collection d'e-mails à vérifier, dispersés dans différents domaines? Vous pourriez avoir des adresses e-mail pour gmail.com, Et d'autres domaines dont vous ne pourrez évidemment pas prouver la propriété.

Voici un script shell Linux qui prend un fichier texte comme paramètre de ligne de commande. Le fichier texte doit contenir des adresses e-mail, une par ligne. Le script effectue une recherche de courrier électronique Have I Been Pwned pour chaque adresse électronique du fichier texte.

Le script utilise une API authentifiée. Vous allez avoir besoin d'une clé API. Pour obtenir une clé, vous devez vous inscrire et payer le service. Troy Hunt a écrit un article de blog approfondi sur le thème de la facturation de l'utilisation de l'API. Il explique en toute franchise pourquoi il a été contraint de facturer pour lutter contre les abus d'API. Le coût est de 3,50 USD par mois, ce qui est inférieur à un café provenant d'un grand magasin. Vous pouvez payer pour un mois ou vous abonner pour un an.

Voici le script complet.

#! / bin / bash

si (($ # -ne 1)); puis
  echo "Utilisation:" $ 0 "adresse-e-mail contenant un fichier"
  sortie 1
Fi

pour l'email en $ (cat $ 1)
faire
  echo $ email

  curl -s -A "CloudSavvyIT" 
  -H "clé-api-hibp: votre-clé-API-va-ici" 
  https://haveibeenpwned.com/api/v3/breachedaccount/$email?truncateResponse=false 
  | jq -j '. () | "", .Title, "(", .Name, ")", .BreachDate, " n" '

  écho "---"
  dormir 1,6
terminé

sortie 0

Avant d'expliquer le fonctionnement du script, vous avez peut-être remarqué qu'il utilise boucle et jq. Si vous ne les avez pas installés sur votre ordinateur, vous devrez les ajouter.

Sur Ubuntu, les commandes sont:

sudo apt-get install curl

sudo apt-get install curl dans une fenêtre de terminal

sudo apt-get install jq

sudo apt-get install jq dans une fenêtre de terminal

Sur Fedora, vous devez taper:

sudo dnf installer curl

sudo dnf installer curl dans une fenêtre de terminal

sudo dnf installer jq

sudo dnf installer jq dans une fenêtre de terminal

Sur Manjaro, vous utiliserez Pac-Man:

sudo pacman -Syu curl

sudo pacman -Syu curl dans une fenêtre de terminal

sudo pacman -Syu jq

sudo pacman -Syu jq dans une fenêtre de terminal

EN RELATION: Comment utiliser curl pour télécharger des fichiers à partir de la ligne de commande Linux

Comment fonctionne le script

La variable $ # contient le nombre de paramètres de ligne de commande qui ont été transmis au script. Si ce n'est pas égal à un, le message d'utilisation s'affiche et le script se ferme. La variable 0 $ contient le nom du script.

si (($ # -ne 1)); puis

echo "Utilisation:" $ 0 "adresse-e-mail-contenant-un-fichier"

sortie 1

Fi

Le script lit les adresses e-mail du fichier texte en utilisant chat, et ensembles $ email pour contenir le nom de l'adresse e-mail en cours de traitement.

pour l'email en $ (cat $ 1)
faire
echo $ email

le boucle La commande permet d'accéder à l'API et de récupérer le résultat. Les options que nous utilisons sont les suivantes:

  • s: Silencieux.
  • UNE: Chaîne User-Agent. Toutes les API HTTP n'ont pas besoin d'en recevoir une, mais il est recommandé d'en inclure une. Vous pouvez mettre le nom de votre entreprise ici.
  • H: En-tête HTTP supplémentaire. Nous utilisons un en-tête HTTP supplémentaire pour transmettre la clé API. Remplacer votre-clé-API-va-ici avec votre clé API réelle.

le boucle La commande envoie la demande à l'URL de l'API de compte violé Have I Been Pwned. La réponse est envoyée dans jq.

jq extrait le titre ( .Titre ) de la violation, l'identifiant interne ( .Nom ) pour la violation, et la date de la violation ( .BreachDate ) du tableau sans nom ( . () ) contenant les informations JSON.

    curl -s -A «CloudSavvyIT» 
-H "hibp-api-key: votre-clé-API-va-ici" 
https://haveibeenpwned.com/api/v3/breachedaccount/$email?truncateResponse=false 
| jq -j «. () | "", .Title, "(", .Name, ")", .BreachDate, " n" ’

écho "---"
dormir 1,6
terminé

sortie 0

Quelques espaces sont affichés avant le titre de la violation pour indenter la sortie. Cela facilite la distinction entre les adresses e-mail et les noms de violation. Des supports ont été placés de chaque côté du .Nom élément de données pour aider à l'analyse visuelle. Ce sont des cosmétiques simples et peuvent être changés ou supprimés, selon vos besoins.

Trois tirets s'affichent pour séparer les données de chaque adresse e-mail et une pause de 1,6 seconde est ajoutée entre les vérifications. Ceci est nécessaire pour éviter de bombarder l'API trop fréquemment et d'être temporairement bloqué.

Vous pouvez choisir d'afficher 15 éléments de données. La liste complète est affichée sur les pages API du site Web.

EN RELATION: Comment analyser des fichiers JSON sur la ligne de commande Linux avec jq

Exécution du script

Copiez tout le script dans un éditeur, remplacez votre-clé-API-va-ici avec votre clé API, puis enregistrez-la sous «pwnchk.sh». Pour le rendre exécutable, exécutez cette commande:

chmod + x pwnchk.sh

chmod + x pwnchk.sh dans une fenêtre de terminal

Nous avons un fichier texte appelé "email-list.txt". il contient ces adresses e-mail:

  • president@whitehouse.gov
  • vice.president@whitehouse.gov
  • privateoffice@no10.x.gsi.gov.uk

C’est le président et le vice-président des États-Unis, ainsi que le cabinet privé du premier ministre du Royaume-Uni. Ce sont toutes des adresses e-mail accessibles au public. Nous ne violons donc aucun protocole de confidentialité ou de sécurité qui les utilise ici. Pour plus de commodité, nous envoyons la sortie dans Moins. Vous pouvez tout aussi facilement rediriger la sortie vers un fichier.

./pwnchk.sh email-list.txt | Moins

./pwnchk.sh email-list.txt | moins dans une fenêtre de terminal

La première ligne mentionne "2 844 violations de données séparées".

sortie du script pwnchk.sh en less dans une fenêtre de terminal

C’est le nom d’une collection de données piratées constituée de 2 844 violations plus petites. Cela ne veut pas dire que l'adresse e-mail a fait l'objet de nombreuses violations.

Faites défiler la sortie et vous verrez que ces adresses e-mail ont été trouvées dans plusieurs violations datant de tout le chemin Mon espace violation de 2008.

Un dernier mot sur les mots de passe

Vous pouvez également rechercher des mots de passe sur Have I been Pwned. Si une correspondance est trouvée, cela ne signifie pas nécessairement que le mot de passe de la violation de données vous appartient. Cela signifie probablement que votre mot de passe n'est pas unique.

Plus votre mot de passe est faible, moins il est probable qu'il soit unique. Par exemple, le mot de passe favori de l'utilisateur paresseux, 123456, avait 23,5 millions de correspondances. C'est pourquoi la recherche par e-mail est la meilleure option.

23,5 millions de visites pour le mot de passe 123456 sur le site Web de HIBP

Utilisez toujours des mots de passe uniques et robustes. Utilisez un gestionnaire de mots de passe si vous avez trop de mots de passe à mémoriser. Là où 2FA est proposé, utilisez-le.

Le script que nous avons présenté vous aidera à vérifier une liste disparate d'adresses e-mail. Cela vous fera gagner beaucoup de temps, surtout si c'est quelque chose que vous allez exécuter périodiquement.

Autres articles

18 novembre 2025

Optimiser sa conduite grâce aux solutions connectées Coyote

En savoir plus
4 février 2025

FINANCIÈRE DU MARCHÉ ST HONORÉ

En savoir plus
31 janvier 2025

Les articles en déstockage sont-ils de qualité ?

En savoir plus
//]]>