Hier, Troy Hunt ajoutait 3000 entrées à haveibeenpwned.com. Pour ceux qui ne le connaissent pas, Troy est un expert en sécurité. Son site permet de vérifier si votre email n’a pas été leakée lors de centaines de hacks passés : Domino’s, Epic Games, Kickstarter, LinkedIn, Xsplit, la liste est longue et il faut à présent y ajouter NoFrag.com.

J’ai récupéré le fichier leaké qui contient plusieurs milliers d’emails avec les mots de passe NoFrag correspondants. A priori, le leak a été réalisé entre 2008 et 2010. L’année dernière, nous avons migré l’intégralité du site (code, base, serveur) donc il est impossible que le hack soit toujours présent. Par contre, si vous utilisez le même mot de passe depuis plus de sept ans, nous vous conseillons de vérifier si votre email ne se trouve pas dans cette liste, et si c’est le cas de changer de mot de passe.

Si vous avez des questions spécifiques, vous pouvez me contacter : [email protected]

29 Commentaires


  1. Les mots de passe devais être en MD5/SHA-1/256… dont certains ont les outils permettant de décoder ce “hashage” obsolète ^^.
    D’où la nécessiter de changer le mot de passe (si identique).
    Pour le 256 et superieur je peut pas confirmer mais le SHA-1 et le MD5 aucun soucis.
    (en particulier les mots de passe inférieur a 6/8 caractères)

  2. Si ils étaient pas en clair comment tu les retrouves du coup ?

    Les mots de passe devais être en MD5/SHA-1/256… dont certains ont les outils permettant de décoder ce “hashage” obsolète ^^.

    Sinon, j’avais toujours le mp par défaut livré à mon domicile en personne par Dr loser il y de nombreuses années lors de mon inscription (à l’époque c’était payant, comme j’avais pas les moyens Dr Loser était passé chez moi pour me péter les genoux ou se faire sucer je ne sais plus trop).

    Ça a été l’occasion de le changer.

  3. J’étais concerné et j’avais le même pw depuis un bon moment sur nf. C’est changé.

  4. J’ai découvert son site hier “grâce” au leak de NF, c’est plutôt bien foutu. Pwned 17 fois :'(

  5. Je suis owned aussi, mais c’est bizarre quand j’utilise la fonction rechercher du site de Troy je ne trouve rien, alors que je suis bel et bien dans la liste linkée par la news…

  6. drloser : Troy Hunt n’est pas « employé chez Microsoft ». C’est un indépendant. Il est Microsoft MVP, mais ce n’est pas la même chose (c’est une sorte de trophée pour se la péter en soirée mondaine, pas un contrat de travail).

  7. Non.

    C’est pas ce que dit HIBP :

    Each file contained both an email address and plain text password and were consequently loaded as a single “unverified” data breach.

  8. Doukyo

    Pour faire simple:

    1: Un logiciel ce connecte a plusieurs base de données avec des milliers de millions de mots de passe aléatoirement généré ou inséré manuellement.
    2: Si jamais le mot de passe recherché n’en fait pas partie, le petit programme élimine les mots de passe existant dans les base de données précédemment cité puis font du brut force sur les possibilité restant.
    3: Une fois le passe trouvé il envoie ton mot de passe dans les base de données de hachage.

    A l’époque les bases de données de “hachage md5,sha-1/256 etc…” n’était pas aussi fournis et les calcules ce faisait principalement via le cpu.

    Aujourd’hui les développeurs maîtrise très bien les calculs via les GPU beaucoup plus rapide (comme pour le mining) afin de déchiffrer les mots de passe (sha,mda) ce qui vas extrêmement plus vite.

    Heureusement ces méthode de hachage ne sont “normalement” plus utilisé depuis plusieurs années maintenant (tremblé si c’est le cas :D).

    Pour faire une exemple simple:
    Si ton mot de passe est ” petitcochon “en sha-1 ça donnera toujours cette clée: (a l’ancienne)
    d3304ee6344e6bac014cb6ba4d76cc7fedaa243e

    Mais aujourd’hui si ton mot de passe est ” petitcochon ” ça donnera des clés différente même si le mot est identique: (actuellement)
    (methode BCRYPT simple)

    $2y$10$YA6IPy05E2wqrJZNrt/BLOq1EWXdyhTgJA9TS4TIUFpmwJhl0szKW
    $2y$10$hiEXorFlK35Pupn2EFkHzuqvkMm4gjKqPBf4COOT8NmVZRdF5DOf2

    Ces deux cryptage veulent dire ” petitcochon ” et pourtant il sont différent!

    Ce qui rend le brut force impossible quasi impossible et surtout ne pourra n’aura pas d’interet a être enregistrer dans une BDD “pirate” car il sera toujours différent, en plus la fonction “bcrypt” évolue constamment.

    Même si les méthode de hachage ont changé les mots de passe reste les même, donc dans notre cas il vaut mieux modifier sont mots de passe si il est identique a ceux récupéré!

    Tu remarquera que des site demande souvent de réinitialiser sont mot de passe et empêche bien souvent de réutiliser le même, c’est parce qu’ils ont modifier le méthode de hachage, ou qu’il se sont fait piraté, ou qu’il sont parano.

    Enfin je suis pas hacker, je fait un peut de devs web et en tant que telle ont cherche a se prémunir des éventuelle attaque.

  9. Non.

    C’est pas ce que dit HIBP :

    Each file contained both an email address and plain text password and were consequently loaded as a single “unverified” data breach.

    Les mots de passe étaient chiffrés. Mais dans le leak ils sont en clair.

  10. Mais aujourd’hui si ton mot de passe est ” petitcochon ” ça donnera des clés différente même si le mot est identique:
    (methode BCRYPT simple)

    $2y$10$YA6IPy05E2wqrJZNrt/BLOq1EWXdyhTgJA9TS4TIUFpmwJhl0szKW
    $2y$10$hiEXorFlK35Pupn2EFkHzuqvkMm4gjKqPBf4COOT8NmVZRdF5DOf2

    Ces deux cryptage veulent dire ” petitcochon ” et pourtant il sont différent!
    Ce qui rend le brut force impossible.

    Oui, c’est le salt. Ça ne rend pas le brute force impossible, ça veut juste dire que tu dois brute forcer chaque mot de passe indépendamment, tu ne peux pas tous les cracker à la fois (parce que leurs salts sont tous différents), et tu ne peux pas utiliser de techniques avancées comme les Rainbow Tables (qui ne peuvent être précalculées que pour un hash donné).

    Le salt c’est qu’une partie de ce qui fait la sécurité de bcrypt et autres solutions modernes comme PBKDF2. Ce qui est aussi important c’est que l’algorithme de hash utilisé est optimisé pour le rendre inefficace sur les GPUs, et surtout l’algorithme applique un grand nombre d’itérations (1024 dans ton exemple) pour ralentir encore le calcul, ce qui rend le brute force tellement lent que ça élimine d’office la possibilité, sauf peut-être sur des dictionnaires courts.

  11. e-t172
    Yes 😉 , mais bon si je commence a allez dans les détailles il vas plus rien comprendre et moi non plus :D.

    Je m’intéresse et me documente au fur est a mesure… Deja quand j’ai repris le devs après 7 années d’absence j’était étonné de voir a quel point tout avait changé… Passé du php4 au 7 c’est juste dingue ^^, sans parlé des autres langages.

    J’ai mis a jours mon précédent post, je pensais que c’était absolument impossible, en tout cas il il n’est plus utile d’utiliser les BDD de hachage puisque c’est différent a chaque fois

  12. Mais aujourd’hui si ton mot de passe est ” petitcochon ” ça donnera des clés différente même si le mot est identique:
    (methode BCRYPT simple)

    $2y$10$YA6IPy05E2wqrJZNrt/BLOq1EWXdyhTgJA9TS4TIUFpmwJhl0szKW
    $2y$10$hiEXorFlK35Pupn2EFkHzuqvkMm4gjKqPBf4COOT8NmVZRdF5DOf2

    Ces deux cryptage veulent dire ” petitcochon ” et pourtant il sont différent!

    Ce qui rend le brut force impossible quasi impossible et surtout ne pourra être enregistrer dans une BDD car il sera toujours différent, en plus la fonction “bcrypt” évolue constamment.

    Comment un site comme Nofrag peut utiliser cette fonction Bcrypt si le mot de passe généré ne peut pas être stocké dans une BDD ?

  13. Ça ne répond pas vraiment à sa question. En fait, je pense que crazyb0b ne parlait pas de la base de données du site, mais d’une base de données utillisée par des hackers avec toutes les combinaisons mot de passe / mot de passe chiffré possibles.

    Cote site, c’est possible de stocker tes identifiants, car tu stockes à la fois le « salt » et le « hash ». Ce sera plus simple avec un exemple :

    Tu choisis le mot de passe ABC.
    Le serveur génère un « salt » au hasard : JGB
    Il accole le mot de passe et le salt : ABCJGB
    Il passe cette chaîne de caractère dans son algorithme de chiffrage ce qui donne le « hash » : 631
    La façon dont cet algorithme fonctionne fait qu’on sait passer de ABCJGB à 631 (quand tu entres ABCJGB ça sortira toujours 631), mais qu’il est strictement impossible de passer de 631 à ABCJGB. C’est strictement impossible car 631 ne contient pas assez d’info pour deviner qu’il a été généré à partir de ABCJGB.

    Dans ta base de donnée, tu vas stocker le salt JGB et le hash 631. Quand l’utilisateur essaiera de se connecter, le serveur prendra le mot de passe qu’il entre, l’accolera au salt, et vérifiera que les deux donnent bien 631 quand on les chiffre.

    Si un hackeur chope ta base de donnée, il aura le salt de chaque mot de passe, ainsi que leurs hash. S’il veut deviner les mots de passe en brut force, il devra prendre chaque salt individuellement, le tester avec des tas de mots de passes différents, et regarder si le résultat donne le bon hash. Il ne pourra pas utiliser bêtement une base de données contenant des millions de mots de passe déjà chiffrés, à cause du salt qui a été ajouté. C’est d’une telle base de données dont parlait crazyb0b, je suppose.

    Si c’est pas clair, lis cet article : https://fr.m.wikipedia.org/wiki/Fonction_de_hachage_cryptographique

    Je suis loin d’être un expert, donc je dis peut être quelques bêtises.

  14. C’était clair pour moi en tout cas, merci pour l’explication j’y connais pas grand chose en crypto.

  15. drloser
    Oui, je parlais bien de base de donnée pirate ^^.

    Pas évident de trouvé les bon mot pour faire simple, je n’ai jamais été et ne serais jamais pédagogue ^^.

    Et d’ailleurs, ils étaient haché en quoi les vieux mot de passe ?

    Voila a quoi peut ressemblé une base de donnée d’un “site normal” avec les mot de passe haché (bcrypt) et enregistré:
    Image
    C’est un cryptage “actuelle” et pas un vieux truc en sha1 md5 etc…
    Ca ne vaut pas grand chose sauf peut-être dans 5ans ou pour un magicien et encore…

    Pour répondre a ceux qui ce pose la question a quoi peut ressmblé une base de donnée de hashs
    Un exemple “simple”:
    http://md5decrypt.net/Sha1/
    Ce que je te présente est vraiment pas le site des méchant Russe ou Chinois qui triche sur pubg c’est a la porté de tous, mais tu constatera qu’il ont plus de 3,772,502,092 de mots pré-haché et il en existe des dizaine et des dizaine d’autre utilisant d’autre base de données, sans parlé de ceux du DARKWEB bouh! ^^.

  16. Si seulement… J’avais ce niveau de geekerie dans les doigts!
    Mais non…. Tout dans le bide :D.

    Un pote au lycée touchais ça bille, il a même été interdit d’utiliser les produits Microsoft pendant un temps ^^ avec une jolie amende ^^.
    Il piratait des compte msn il me semble avec contrôle des cam ^^.
    Apres ses étude il a travaillé a la défense.gouv en tant que devs web le salaud!

  17. Pinaise, y’a autant de gens qui mettent leur nom/prénom (ou celui de leur moitié) en tant que mot de passe ? o0

    edit : lol whitepowerl88, y’a des rigolos dans le dump

    edit 2 : ha ce sont des adresses emails, je mé trompé (*゚ー゚)ゞ

Connectez-vous pour laisser un commentaire