Comment vérifier si les e-mails du personnel contiennent des violations de données - CloudSavvy IT
Agence web » Actualités du digital » Comment vérifier si les e-mails du personnel contiennent des violations de données –

Comment vérifier si les e-mails du personnel contiennent des violations de données –

ParTremplin Numérique Publié le
Kaspri/Shutterstock.com

Les identifiants de connexion de votre personnel sont-ils sur le dark web ? Nous vous montrons comment vérifier si leurs données ont été victimes d’une violation de données.

Notre vieil ami, le mot de passe

L’humble mot de passe reste la méthode la plus courante pour s’authentifier pour accéder à un ordinateur ou à un compte en ligne. D’autres systèmes existent et continueront d’apparaître et d’évoluer mais en ce moment, le mot de passe est omniprésent.

Le mot de passe est un enfant des années soixante. Lors du développement du Compatible Time-Sharing System (CTSS), les informaticiens ont réalisé que les fichiers appartenant à chaque utilisateur devaient être isolés et protégés. Un utilisateur devrait pouvoir voir et modifier ses propres fichiers, mais il ne devrait pas être autorisé à voir les fichiers appartenant à quelqu’un d’autre.

La solution impliquait d’identifier les utilisateurs. Ils avaient besoin d’un nom d’utilisateur. Et pour prouver que l’utilisateur était bien celui qu’il prétendait être, le mot de passe a été inventé. Le mérite de l’invention du mot de passe revient à Fernando J. Corbató.

Le problème avec les mots de passe est que toute personne connaissant votre mot de passe peut accéder à votre compte. C’est comme leur donner une clé de rechange pour votre maison. L’authentification à deux facteurs (2FA) améliore cette situation. Il combine quelque chose que vous connaître—votre mot de passe—avec quelque chose que vous propre—généralement votre smartphone. Lorsque vous entrez votre mot de passe dans un système avec 2FA, un code est envoyé à votre smartphone. Vous devez également entrer ce code dans l’ordinateur. Mais 2FA ne remplace pas le mot de passe, il augmente le modèle de sécurité du mot de passe standard.

La biométrie est également introduite dans certains systèmes. Cela combine un identifiant biologique unique, quelque chose que vous sont, dans le mélange, comme une empreinte digitale ou une reconnaissance faciale. Cela va au-delà de l’authentification à deux facteurs et vers l’authentification multifacteur. Ces nouvelles technologies ne filtreront pas dans la majorité des systèmes informatiques et des services en ligne avant de nombreuses décennies, et n’arriveront probablement jamais dans certains systèmes. Le mot de passe va être avec nous pendant longtemps.

Violations de données

Les violations de données se produisent sans cesse. Les données de ces violations arrivent finalement sur le dark web où elles sont vendues à d’autres cybercriminels. Il peut être utilisé dans les e-mails frauduleux, les e-mails de phishing, différents types de fraude et d’usurpation d’identité, et pour accéder à d’autres systèmes. Les attaques de bourrage d’informations d’identification utilisent un logiciel automatisé pour tenter de se connecter aux systèmes. Ces bases de données d’e-mails et de mots de passe fournissent des munitions pour ces attaques.

Les gens ont la mauvaise habitude de réutiliser les mots de passe. Au lieu d’avoir un mot de passe robuste unique par système, ils réutilisent souvent un seul mot de passe encore et encore sur plusieurs systèmes.

Il suffit que l’un de ces sites soit compromis pour que tous les autres sites soient à risque. Au lieu que les acteurs malveillants connaissent votre mot de passe sur le site violé, que vous modifierez dès que vous entendrez qu’il y a eu une violation, ils peuvent utiliser cet e-mail et ce mot de passe pour accéder à vos autres comptes.

10 milliards de comptes violés

Le site Web Have I Been Pwned collecte les ensembles de données de toutes les violations de données possibles. Vous pouvez rechercher toutes ces données combinées et voir si votre adresse e-mail a été exposée dans une violation. Si tel est le cas, Have I Been Pwned vous indique de quel site ou service proviennent les données. Vous pouvez ensuite accéder à ce site et modifier votre mot de passe ou fermer votre compte. Et si vous avez utilisé le mot de passe que vous avez utilisé sur ce site sur d’autres sites, vous devez également le modifier sur les sites.

Il y a actuellement plus 10 milliards d’enregistrements de données dans la base de données Have I Been Pwned. Quelles sont les chances qu’une ou plusieurs de vos adresses e-mail s’y trouvent ? Peut-être qu’une meilleure question serait quelles sont les chances que votre adresse e-mail n’est pas là-dedans ?

Recherche d’une adresse e-mail

La vérification est facile. Allez sur le site Web Have I Been Pwned et entrez votre adresse e-mail dans le champ « Adresse e-mail », puis cliquez sur le bouton « Pwned ? » bouton.

J’ai entré une ancienne adresse e-mail et j’ai découvert qu’elle avait été incluse dans six violations de données.

  • LinkedIn : LinkedIn a connu une brèche en 2016, lorsque 164 millions d’adresses e-mail et de mots de passe ont été exposés. Tous mes mots de passe sont uniques, je n’ai donc eu qu’à changer un mot de passe.
  • Vérifications.io : Verifications.io est ou était un service de vérification d’adresse e-mail. Les gens ont saisi des adresses e-mail pour savoir s’il s’agissait d’adresses e-mail valides. Je ne les avais jamais utilisés, donc évidemment quelqu’un d’autre a entré mon adresse e-mail pour la faire vérifier. Bien sûr, aucun mot de passe n’était impliqué, je n’avais donc aucune mesure de sécurité à prendre, à part être à l’affût des spams et des e-mails de phishing.
  • Exposition d’enrichissement des données à partir de PDL : Les People Data Labs (PDL) gagnent de l’argent en collectant et en vendant des données. J’ai demandé une copie de mes données à PDL et à première vue, je suppose qu’ils l’obtiennent en grattant et en croisant LinkedIn, Twitter, les sites Web d’entreprise et d’autres sources. Encore une fois, aucun mot de passe n’était impliqué, je n’avais donc aucune mesure de sécurité à prendre. Mais j’ai opté pour leur « service » afin qu’ils ne puissent plus vendre mes données.
  • Spambot en ligne : Un spambot appelé Online Spambot contenait mon adresse e-mail, probablement supprimée de l’une des autres violations. Mais ensuite, l’Onliner Spambot lui-même a été piraté, laissant fuiter 711 millions d’enregistrements personnels, y compris certains mots de passe.
  • Collection #1 et Liste combinée anti-publique : Les deux derniers étaient des collections massives de données précédemment violées, regroupées dans des méga-paquets pour la commodité des cybercriminels. Mes données personnelles se trouvaient donc dans ces violations, mais j’avais déjà réagi et traité les violations initiales.

Les points importants à noter sont :

  • Vos données peuvent être contenues dans des violations pour des sites que vous n’avez même jamais visités.
  • Même lorsque les violations de données ne contiennent pas de mots de passe, vos données personnelles peuvent toujours être utilisées à des fins criminelles, telles que les e-mails de spam, les e-mails frauduleux, les e-mails de phishing, le vol d’identité et la fraude.

Recherches de domaine

Aussi éclairant et utile que cela soit, la saisie des adresses e-mail de tout votre personnel prendra beaucoup de temps. La réponse de Have I Been Pwned est la fonction de recherche de domaine. Vous pouvez enregistrer votre domaine et obtenir un rapport couvrant toutes les adresses e-mail sur ce domaine qui ont été trouvées en violation.

Et si des adresses e-mail de votre domaine apparaissent dans de futures violations, vous en serez informé. C’est plutôt cool.

Vous devez bien sûr prouver la propriété du domaine. Il existe différentes manières d’y parvenir. Vous pouvez:

  • Vérifiez par e-mail à security@ , hostmaster@ , postmaster@ , ou alors webmaster@ sur votre domaine.
  • Ajoutez une balise META contenant un identifiant unique à la page d’accueil de votre site Web.
  • Téléchargez un fichier à la racine de votre site Web, contenant un identifiant unique.
  • Créez un enregistrement TXT sur le domaine, contenant un identifiant unique.

Il s’agit d’un excellent service gratuit qui vaut bien les quelques instants nécessaires pour s’inscrire.

Mais que se passe-t-il si vous avez une collection hétéroclite d’e-mails à vérifier, dispersés dans différents domaines ? Vous avez peut-être des adresses e-mail pour gmail.com, et d’autres domaines dont vous ne pourrez évidemment pas prouver la propriété.

Voici un script shell Linux qui prend un fichier texte comme paramètre de ligne de commande. Le fichier texte doit contenir des adresses e-mail, une par ligne. Le script effectue une recherche d’e-mail Have I Been Pwned pour chaque adresse e-mail dans le fichier texte.

Le script utilise une API authentifiée. Vous allez avoir besoin d’une clé API. Pour obtenir une clé, vous devez vous inscrire et payer pour le service. Troy Hunt a écrit un article de blog détaillé sur le thème de la facturation de l’utilisation de l’API. Il explique en toute franchise pourquoi il a été contraint de facturer pour lutter contre les abus d’API. Le coût est de 3,50 USD par mois, ce qui est moins qu’un café d’un point de vente de la rue principale. Vous pouvez payer pour un mois ou vous abonner pour un an.

Voici l’intégralité du script.

#!/bin/bash

if [[ $# -ne 1 ]]; then
  echo "Usage:" $0 "file-containing-email-addresses"
  exit 1
fi

for email in $(cat $1)
do
  echo $email

  curl -s -A "CloudSavvyIT" 
  -H "hibp-api-key:your-API-key-goes-here" 
  https://haveibeenpwned.com/api/v3/breachedaccount/$email?truncateResponse=false 
  | jq -j '.[] | " ", .Title, " [", .Name, "] ", .BreachDate, "n"'

  echo "---"
  sleep 1.6
done

exit 0

Avant d’expliquer le fonctionnement du script, vous avez peut-être remarqué qu’il utilise curl et jq. Si vous ne les avez pas installés sur votre ordinateur, vous devrez les ajouter.

Sur Ubuntu, les commandes sont :

sudo apt-get install curl

sudo apt-get install jq

Sur Fedora, vous devez taper :

sudo dnf install curl

sudo dnf install jq

Sur Manjaro, vous utiliserez pacman:

sudo pacman -Syu curl

sudo pacman -Syu jq

Comment fonctionne le script

La variable $# contient le nombre de paramètres de ligne de commande qui ont été transmis au script. S’il n’est pas égal à un, le message d’utilisation s’affiche et le script se termine. La variable $0 contient le nom du script.

if [[ $# -ne 1 ]]; then 

  echo "Usage:" $0 "file-containing-email-addresses" 

  exit 1

fi

Le script lit les adresses e-mail à partir du fichier texte en utilisant cat, et définit $email pour contenir le nom de l’adresse e-mail en cours de traitement.

for email in $(cat $1) 
do
  echo $email

le curl La commande est utilisée pour accéder à l’API et récupérer le résultat. Les options que nous utilisons avec sont :

  • s : Silencieux.
  • UNE: Chaîne d’agent utilisateur. Toutes les API HTTP n’ont pas besoin d’en recevoir une, mais il est recommandé d’en inclure une. Vous pouvez mettre le nom de votre entreprise ici.
  • H : En-tête HTTP supplémentaire. Nous utilisons un en-tête HTTP supplémentaire pour transmettre la clé API. Remplacer your-API-key-goes-here avec votre clé API actuelle.

le curl La commande envoie la demande à l’URL de l’API du compte piraté Have I Been Pwned. La réponse est acheminée dans jq.

jq extrait le titre ( .Title ) de la violation, l’identifiant interne ( .Name ) pour la violation, et la date de la violation ( .BreachDate ) du tableau sans nom ( .[] ) contenant les informations JSON.

  curl -s -A "CloudSavvyIT" 
  -H "hibp-api-key:your-API-key-goes-here" 
  https://haveibeenpwned.com/api/v3/breachedaccount/$email?truncateResponse=false 
  | jq -j '.[] | "  ", .Title, " [", .Name, "] ", .BreachDate, "n"' 

  echo "---" 
  sleep 1.6 
done

exit 0

Quelques espaces sont affichés avant le titre de la violation pour indenter la sortie. Cela facilite la distinction entre les adresses e-mail et les noms de violation. Des supports ont été placés de chaque côté du .Name élément de données pour aider à l’analyse visuelle. Ce sont des produits cosmétiques simples et peuvent être modifiés ou supprimés, selon vos besoins.

Trois tirets sont affichés pour séparer les données de chaque adresse e-mail, et une pause de 1,6 seconde est ajoutée entre les vérifications. Ceci est nécessaire pour éviter de bombarder l’API trop fréquemment et d’être temporairement bloqué.

Il y a 15 éléments de données que vous pouvez choisir d’afficher. La liste complète est affichée sur les pages API du site Web.

Exécution du script

Copiez l’intégralité du script dans un éditeur, remplacez your-API-key-goes-here avec votre clé API, puis enregistrez-la sous le nom « pwnchk.sh ». Pour le rendre exécutable, exécutez cette commande :

chmod +x pwnchk.sh

Nous avons un fichier texte appelé « email-list.txt ». il contient ces adresses e-mail :

  • president@whitehouse.gov
  • vice.président@whitehouse.gov
  • privateoffice@no10.x.gsi.gov.uk

Il s’agit du président et du vice-président des États-Unis et du cabinet du premier ministre du Royaume-Uni. Ce sont toutes des adresses e-mail accessibles au public, nous n’enfreignons donc aucun protocole de confidentialité ou de sécurité en les utilisant ici. Pour plus de commodité, nous dirigeons la sortie dans less. Vous pouvez tout aussi facilement rediriger la sortie vers un fichier.

./pwnchk.sh email-list.txt | less

La première ligne mentionne « 2 844 violations de données distinctes ».

C’est le nom d’une collection de données violées composée de 2 844 violations plus petites. Cela ne signifie pas que l’adresse e-mail a fait l’objet de tant de violations.

Faites défiler la sortie et vous verrez que ces adresses e-mail ont été trouvées dans plusieurs violations remontant à une violation de Myspace de 2008.

Un dernier mot sur les mots de passe

Vous pouvez également rechercher des mots de passe sur Have I been Pwned. Si une correspondance est trouvée, cela ne signifie pas nécessairement que le mot de passe dans la violation de données est le vôtre. Cela signifie probablement que votre mot de passe n’est pas unique.

Plus votre mot de passe est faible, moins il est probable qu’il soit unique. Par exemple, le mot de passe préféré de l’utilisateur paresseux, 123456, avait 23,5 millions de correspondances. C’est pourquoi la recherche par e-mail est la meilleure option.

Utilisez toujours des mots de passe uniques robustes. Utilisez un gestionnaire de mots de passe si vous avez trop de mots de passe à retenir. Lorsque 2FA est proposé, utilisez-le.

Le script que nous avons présenté vous aidera à vérifier une liste disparate d’adresses e-mail. Cela vous fera gagner beaucoup de temps, surtout s’il s’agit de quelque chose que vous allez exécuter périodiquement.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.