Le dimanche 30 septembre 2018 22:44:55, Vincent Duvernet vincent.duvernet@nolme.com a écrit:

Glop, glop,

Le truc à la mode en ce moment, c'est de recevoir par mail un message donnant son mot de passe associé à son mail et demandant une rançon à coups de BITCOINS. Sauf que, lorsqu'on utilise qu'un mot de passe par site, et bien, on retrouve vite le site en question.

Donc, ce mot de passe pour accéder au portail de LEGRAND (datant de 2012) vient de m'être mailé.

Même chose pour moi, avec des identifiants (adresse + mot de passe créés pour l'occasion), utilisés une seule fois, lors de la création d'un compte ayant juste pour but de jetter un coup d'oeil sur monster.fr, en 2008.

De plus, cette adresse n'est qu'un alias, donc par principe pas une boite mail piratable.

Je vais tenter de les contacter à ce sujet.

J'espère que tu auras une meilleur réaction avec eux que celle que j'ai eu avec Monster.fr, qui après que je leur ai donné tous les détails montrant que la divulgation de données ne pouvait venir que d'un vol de données sur leurs serveurs (il est vrai très ancien, j'ai vu après que ca datait probablement des hacks qu'ils ont eu en 2009 et 2011) et que le RGPD leur donnait obligation d'informer les utilisateurs sur le fait, m'ont répondu :

"Je comprends d'après votre e-mail que vous demandez la suppression exhaustive de vos données personnelles dans le cadre de la loi RGPD. Je me ferai un plaisir de vous aider."

Tête dans le sable ou désir de ne pas communiquer sur ces anciens hacks ?

Ceci-dit, j'ai reçu plusieurs mail du même type sur d'autres comptes. Vague d'exploitation massive de faille ?

Non, c'est essentiellement de la récupération d'identifiants déjà disponibles sur le net, parfois depuis longtemps.

Rien que pour mon domaine perso, les messages ont été envoyés à : - Le compte monster.fr, déjà cité. - Des adresses (alias) "honeypot" placées sur certains de mes sites web, et spammées depuis des décennies. - Des adresses utilisées pour envoyer des messages sur les newsgroups, et spammées depus longtemps.

Pour les adresses accompagnées d'un mot de passe, d'après ce que j'ai vu avec de comptes d'autres personnes, il s'agit souvent de hacks anciens, déjà mentionnées sur le site haveibeenpwned.com.

Par contre chose amusante en ce qui me concerne, ils ont utilisé des données issus de hack de monster.fr, qui n'est pas mentionnés sur haveibeenpwned, alors qu'une autre adresse (toujours un alias), récupérée lors d'un piratage chez AdobeLabs, qui représente à elle seule près de 60% de l'ensemble des spams que je reçois sur toutes mes adresses, n'a pas encore reçu un seul exemplaire de ces spams... Peut-être qu'il leur faut juste un petit peu de temps pour exploiter une base de 153 millions d'adresses + mots des passes... %-)

Par contre, le truc à noter, c'est que j'ai vu aussi bien sur mon domaine perso que sur d'autres que je gère, c'est que les spammeurs font effectivement des tests de connexion sur les boites lorsqu'ils ont des couplles adresses email + mots de passe. Ceci dit, ils "divulguent" ces mots de passe dans leurs messages, même lorsqu'ils n'ont pas pu vérifier qu'ils étaient exacts, probablement juste pour faire peur en donnant des information qu'ils savent être proches de la réalité....

A+ Jacques.