réactions à la news Sécurité des comptes membres : changement de mot de passe demandé
- 38 réponses
- 21 participants
- 1 690 vues
- 22 followers
Gronoeil Vert
2861
Responsable de la modération
Membre depuis 19 ans
Sujet de la discussion Posté le 07/03/2023 à 00:10:53Sécurité des comptes membres : changement de mot de passe demandé
Devant la recrudescence des tentatives d'usurpation d'identité, le changement de mot de passe peut vous être demandé
Lire la news
Ce thread a été créé automatiquement suite à la publication d'une news pour ce produit. N'hésitez pas à poster vos commentaires ici !
Lire la news
Ce thread a été créé automatiquement suite à la publication d'une news pour ce produit. N'hésitez pas à poster vos commentaires ici !
Tamen pax et amor, oscula.
L-Scarlett
992
Posteur·euse AFfolé·e
Membre depuis 5 ans
21 Posté le 07/03/2023 à 21:13:52
Dans un carnet tu vas systématiquement mettre des mots de passe simples et cours, à moins que tu aies envie de régulièrement recopier à la main des trucs du genre "kasdI$asd_éKSAD8¨¨" , donc simples à craquer une fois qu'il y a une fuite de base de données. Et un carnet ça se vole.
L-Scarlett
992
Posteur·euse AFfolé·e
Membre depuis 5 ans
22 Posté le 07/03/2023 à 21:21:01
Citation de pask30 :
Ce qui me dérange plus dans cette histoire c'est AF qui dit on ne sait pas d'où ca vient, de quand ca date mais on est certain que la faille ne provient pas de nous parce que d'autres sites sont concernés. Bah désolé mais si des personnes ont pu récupérer nos données c'est de votre responsabilité et c'est un peu facile d'essayer de se dédouaner de la sorte. Si vous ne savez pas d'où provient la fuite et de quand elle date, vous ne savez donc rien et par conséquent ne pouvez pas affirmer que le problème ne vient pas de chez vous.
Ils ne disent pas que des hackers ont récupéré des données sur Audiofanzine, ils disent que des mots de passe ont été récupérés sur d'autres services totalement indépendant d'Audiofanzine. Ces fuites ça peut être :
- Un gestionnaire de mot de passe (et LastPass a eu un gros leak récemment), auquel cas des mots de passe Audiofanzine ont pu être récupérés dessus directement
- Plus probablement n'importe quel autre ou autres sites random sur lesquels des couples login/mot de passe ont été récupérés. Il suffit ensuite de tester ces logins sur d'autres services, beaucoup d'utilisateur utilisant les mêmes logins partout. Des fuites de ce genre il y en a tout le temps, partout, il est donc indispensable de ne pas réutiliser les mêmes mot de passe, même sur des services qui paraissent anodins.
Anonyme
23 Posté le 08/03/2023 à 07:24:04
Citation de nero :
Citation de Charb0n :Un truc qu'est lourd sur ce site, c'est qu'au bout d'un certain temps (pas longtemps à mon sens) le système de redemander de te connecter. Genre 20 min...
Tu quittes... tu reviens un peu plus tard et faut te reconnecter. et ainsi de suite.
Du coup si tu fais des aller retour, tu te reconnectes sans arrêt.
C'est très très chiant !
Ca concerne, les options de connexions avec Facebook ou Google.
Hello,
Ça devrait être mieux désormais. Merci de nous l'avoir signalé !
Yes ça fonctionne, parfait !
Gronoeil Vert
2861
Responsable de la modération
Membre depuis 19 ans
24 Posté le 08/03/2023 à 11:18:15
Citation de pask30 :
Ce qui me dérange plus dans cette histoire c'est AF qui dit on ne sait pas d'où ca vient, de quand ca date mais on est certain que la faille ne provient pas de nous parce que d'autres sites sont concernés. Bah désolé mais si des personnes ont pu récupérer nos données c'est de votre responsabilité et c'est un peu facile d'essayer de se dédouaner de la sorte. Si vous ne savez pas d'où provient la fuite et de quand elle date, vous ne savez donc rien et par conséquent ne pouvez pas affirmer que le problème ne vient pas de chez vous.
La news était déjà assez longue, et je ne me suis pas fendu d'une communication détaillée sur tout ce que nous avons fait pour comprendre ce qui se passait, d'où cela pouvait provenir et quel était notre niveau de responsabilité dans ces évènements, il aurait fallu mettre un rapport d'audit entier en ligne pour se faire.
Déjà, très évidemment, nous avons pris la chose très au sérieux quand nous avons réalisé ce qui se passait. Le RGPD impose aux responsables de traitements de s'assurer de la sécurité des données personnelles, et un certain nombre de choses sont à faire en cas de fuite de données personnelles avérées.
A l'origine : Nous nous sommes aperçu qu'un spambot utilisait des comptes légitimes de membres d'Audiofanzine pour poster du spam dans les forums "informatique musicale". Nous avons réagi en coupant dans un premier temps les accès du bot, puis nous avons analysé la manière dont ils s'étaient connecté.
Les journaux de nos serveurs nous ont alors révélé que ce bot n'utilisait aucun chemin détourné pour se connecter, qu'il ne profitait d'aucune faille de code : il passait par la page de connexion comme tout à chacun, entrait un email ou un pseudo, un mot de passe (qu'il connaissait donc), validait, et si il était connecté il continuait en postant dans les forums. Pas de deuxième tentative si la connexion échouait. Et aucune trace d'attaques par force brute, ou par dictionnaire, un seul essai, point.
De là, nous avons cherché quel était le point commun dans les échecs de connexion : Dans tous les cas, l'utilisateur avait mis à jour son mot de passe plutôt récemment.
Nous avons ensuite cherché à comprendre comment un bot était en possession d'une liste d'identifiants par mots de passe ou email, et avec les mots de passe associés.
Rappelons ici que vos mots de passe ne sont jamais stockés en clair, que nous sommes à ce que l'ANSSI appelle "l'état de l'art", au niveau de la méthode de chiffrement des mots de passe (utilisation de sels aléatoires et d'algorithmes sûrs en plus du mot de passe). Quand une tentative de connexion est faite, le mot de passe est transmis selon un protocole sécurisé sur nos serveurs, le chiffrage est ensuite refait sur ce mot de passe, et le résultat comparé à la donnée que nous avons en base. Il n'y a jamais de transmission en clair de ce mot de passe, et nous sommes totalement incapables de déchiffrer les mots de passe.
Nous avons donc tout de même cherché si des accès frauduleux à la base de donnée avaient été effectués, et si il y en avait eu, si une aspiration des données relatives aux membres d'Audiofanzine avait pu avoir lieu. Nous avons cherché dans les différents environnements où ce genre de données auraient pu être stockées (environnements de développement, de tests...) : Chou blanc.
Et puis nous avons fait des recherches sur les messages postés par les bots, et c'est là que nous nous sommes aperçus que nous étions loin d'être les seuls touchés. Sur un certain nombre de forums, francophones ou non, les mêmes messages postés par les mêmes bots (il existe des outils en ligne permettant de consulter l'activité des différents spambots, et s'assurer de les identifier). Et même bots, mêmes méthodes, comment ceux-ci pouvaient-ils être en possession d'une liste de comptes / mots de passe provenant de sites différents, utilisant aussi bien des solutions propriétaires que des projets open source ? Et je le rappelle, ces bots savent pour tel et tel site quel compte utiliser. Il ne s'agit pas du tout d'attaques au hasard, chaque tentative correspond à un vrai compte chez nous.
Quand nous avons regardé un échantillon des comptes attaqués sur les sites vérifiant les leaks de données personnelles, une partie d'entre eux ne donnaient aucun résultat.
Nous avons du coup pensé que la fuite de données provenait probablement d'un endroit centralisant un minimum les données en question, au vu de la multiplicité des sites concernés, et qu'il s'agissait du résultat d'une attaque ayant eu lieu un certain temps avant l'exploitation des données personnelles, puisque les changements de mots de passe récents faisaient échouer les attaques.
Il se trouve que des sites de stockage centralisés de mots de passe comme lastpass avaient annoncé avoir subi une fuite de données personnelles quelques temps auparavant. L'hypothèse se tient.
Autre hypothèse: ces données sont peut-être récupérées par un plugin de navigateur malveillant. Mais rien n'est sûr.
En parallèle, nous avons commencé à voir une recrudescence de tentatives d'arnaques aux petites annonces présentant des points communs avec l'attaque de spam bot : réactivation de comptes ancien, pas d'hésitations sur le couple utilisateur / mot de passe. Même fuite de données ? Fuite différente ?
Dans tous les cas, il n'est bien sûr pas acceptable de laisser les choses continuer ainsi, aussi nous avons réagi en prenant des mesures un peu radicales : Forcer les membres d'Audiofanzine qui n'ont pas changé leur mot de passe depuis un certain temps à le faire est certes une mesure un peu contraignante, mais comparé au préjudice que peuvent subir les membres suite à une arnaque aux petites annonces, c'est au final un petit peu d'embêtement pour qu'au final tout le monde en bénéficie.
P.S. L'absence de preuves n'étant pas preuve d'absence, je conçois que nous ne saurons probablement jamais à 100% si le souci vient bien d'un problème de sécurité dont nous serions responsable et que nous n'aurions pas détecté, mais les multiples vérifications que nous avons faites, et notre manière de stocker les données personnelles rend la réalisation de cette hypothèse vraiment difficile, raison pour laquelle nous privilégions l'hypothèse d'une fuite externe, qui explique par ailleurs mieux la multiplicité des sites concernés notamment.
Tamen pax et amor, oscula.
alex.d.
5544
Je poste, donc je suis
Membre depuis 9 ans
25 Posté le 08/03/2023 à 11:45:29
Citation de Gros Oeil :
Il se trouve que des sites de stockage centralisés de mots de passe comme lastpass avaient annoncé avoir subi une fuite de données personnelles quelques temps auparavant. L'hypothèse se tient.
Autre hypothèse: ces données sont peut-être récupérées par un plugin de navigateur malveillant. Mais rien n'est sûr.
Vu que l'attaque utilise le compte d'utilisateurs légitimes, est-ce que vous avez envoyé un message à ces utilisateurs pour savoir s'ils utilisent un gestionnaire de mot de passe, quel navigateur ils utilisent, etc. ?
Anonyme
26 Posté le 08/03/2023 à 12:20:50
Quand j'ai vu le gros bandeau rouge, je n'avais pas mes binocles. De battre mon cœur s'est arrêté. M......Ça craint. Les gros yeux me surveillent, comme le lait sur le feu. Mais non, en fait, ouf, c’était un banal changement de MDP. J'ai mis 1.2.3.4. pour bien m'en rappeler. Je plaisantais, sur toute la ligne, et surtout perdez pas votre temps à essayer. Le message d'AF pour opérer le changement à eu la mauvaise idée de se nicher très vicieusement dans mes spams, sinon, à part ça, tout va bien. Un mot de passe se change en principe tous les trois mois, et comporte minuscules, majuscules et des caractères spéciaux. Firefox est celui qui me semble le plus sécurisé, couplé avec un système Linux. Mais est ce que ça arrête vraiment les pirates du web ?
nero
4491
Administrateur·trice du site
Membre depuis 21 ans
27 Posté le 08/03/2023 à 12:21:43
Citation de alex.d. :
Vu que l'attaque utilise le compte d'utilisateurs légitimes, est-ce que vous avez envoyé un message à ces utilisateurs pour savoir s'ils utilisent un gestionnaire de mot de passe, quel navigateur ils utilisent, etc. ?
Hello. J'ai personnellement appelé et échangé avec plusieurs membres dont le compte avait été usurpé. Le point commun jusque là est la réutilisation du même mot de passe sur plusieurs sites et surtout le stockage des mots de passe dans le navigateur... navigateur qui comportait des extensions douteuses. Certains s'étaient d'ailleurs fait pirater d'autres comptes, parfois même avec des transactions illicites (Amazon par exemple).
Synthpunk
3105
Squatteur·euse d’AF
Membre depuis 6 ans
28 Posté le 09/03/2023 à 01:03:13
Modifié à l'instant 01.02 H heure locale de Paris
Le nouveau MDP marche
Le nouveau MDP marche
Mondialiste et Droit de l'Hommiste Fan des musiques populaires de la zone mondiale
*Seed*
11397
Drogué·e à l’AFéine
Membre depuis 17 ans
29 Posté le 09/03/2023 à 07:51:28
Citation de Charb0n :
Un truc qu'est lourd sur ce site, c'est qu'au bout d'un certain temps (pas longtemps à mon sens) le système de redemander de te connecter. Genre 20 min...
Tu quittes... tu reviens un peu plus tard et faut te reconnecter. et ainsi de suite.
Du coup si tu fais des aller retour, tu te reconnectes sans arrêt.
C'est très très chiant !
Ca concerne, les options de connexions avec Facebook ou Google.
J'ai jamais besoin de me reconnecter même après des jours d'absences. Les seules fois où je dois me reco c'est sur l'ordinateur quand je fais le ménage avec CCleaner.
Sysex and sun
nero
4491
Administrateur·trice du site
Membre depuis 21 ans
30 Posté le 09/03/2023 à 12:10:42
Citation de *Seed* :
J'ai jamais besoin de me reconnecter même après des jours d'absences. Les seules fois où je dois me reco c'est sur l'ordinateur quand je fais le ménage avec CCleaner.
Le fonctionnement était effectivement différent quand on utilisait la connexion Google ou Facebook mais j'ai corrigé ça avant hier du coup
- < Liste des sujets
- Charte