réactions à la news Sécurité des comptes membres : changement de mot de passe demandé
- 38 réponses
- 21 participants
- 1 922 vues
- 21 followers

Gronoeil Vert

Lire la news
Ce thread a été créé automatiquement suite à la publication d'une news pour ce produit. N'hésitez pas à poster vos commentaires ici !
Tamen pax et amor, oscula.
- 1
- 2

Beatless

S'il n'y a pas de solution, c'est qu'il n'y a pas de problème.
[ Dernière édition du message le 07/03/2023 à 07:28:32 ]

PascalChat_BJ

En toi laisse encore résonner
Le tout dernier accord plaqué

Anonyme

Tu quittes... tu reviens un peu plus tard et faut te reconnecter. et ainsi de suite.
Du coup si tu fais des aller retour, tu te reconnectes sans arrêt.
C'est très très chiant !
Ca concerne, les options de connexions avec Facebook ou Google.

Accord'Eure Pianos

Accordeur de pianos, amateur de synthés http://www.accord-eure.fr

chandl3r^

Je l'ai fait, mais honnêtement je ne vois pas vraiment l’intérêt, ce n'est pas un compte bancaire non plus.Et puis quel intérêt de pirater ce genre de compte ? pour trouver quoi ?
Là comme ça au pif : une arnaque par petite annonce si tu as un bon taux de confiance, récupérer un solde looper, utiliser tes données de connexion pour accéder à d'autres comptes plus sensibles si tu as réutilisé le même mot de passe ailleurs, vendre ton adresse mail / téléphone à des centres d'appels peu scrupuleux, contacter tes proches en se faisant passer pour toi, etc.

Gronoeil Vert

Un truc qu'est lourd sur ce site, c'est qu'au bout d'un certain temps (pas longtemps à mon sens) le système de redemander de te connecter. Genre 20 min...
Tu quittes... tu reviens un peu plus tard et faut te reconnecter. et ainsi de suite.
Du coup si tu fais des aller retour, tu te reconnectes sans arrêt.
C'est très très chiant !
Ca concerne, les options de connexions avec Facebook ou Google.
Quelques questions à our nous aider :
1. Navigation sur mobile ou ordinateur ?
2. Avec quel navigateur ?
Merci
Tamen pax et amor, oscula.

nero

Un truc qu'est lourd sur ce site, c'est qu'au bout d'un certain temps (pas longtemps à mon sens) le système de redemander de te connecter. Genre 20 min...
Tu quittes... tu reviens un peu plus tard et faut te reconnecter. et ainsi de suite.
Du coup si tu fais des aller retour, tu te reconnectes sans arrêt.
C'est très très chiant !
Ca concerne, les options de connexions avec Facebook ou Google.
Hello,
Ça devrait être mieux désormais. Merci de nous l'avoir signalé !

Gronoeil Vert

Je l'ai fait, mais honnêtement je ne vois pas vraiment l’intérêt, ce n'est pas un compte bancaire non plus.Et puis quel intérêt de pirater ce genre de compte ? pour trouver quoi ?
Sur Audiofanzine, les usurpations d'identité ont principalement eu deux conséquences :
- la première, c'est l'invasion de messages de spam bots, quasi toujours en anglais, pour vendre diverses arnaques (à la cryptomonnaie, au viagra, etc). Honnêtement ces messages sont plus une pollution visuelle qu'autre chose, il n'empêche que c'est agaçant.
- la deuxième, c'est les tentatives d'arnaques aux petites annonces, et là on est dans quelque chose de beaucoup plus grave. Les attaquants récupèrent le contrôle d'un compte, publient des petites annonces, font en sorte de se faire payer pour ne jamais envoyer un produit qu'ils ne possèdent de toutes façons pas. Et comme un profil d'utilisateur légitime a été récupéré, il peut y avoir des transactions précédentes, un joli taux de confiance, bref, tout pour rassurer un acheteur prêt à être pigeonné.
Et ça c'est bien sûr inacceptable.
Mais ça, ce n'est que la partie visible des choses., et sur Audiofanzine uniquement.
Je te laisse juste imaginer quelques secondes ce qu'une personne mal intentionnée peut faire, en récupérant des accès un peu sensibles qui auraient pu faire partie de ce genre de fuites de données. Un bon accès au bon endroit, et ça peut donner par exemple des hôpitaux dont le système informatique est bloqué, avec des données médicales tenues en "otage" avec demande de rançon, pour parler de choses qui se sont concrètement déjà produites et dont la presse parle régulièrement.
Tamen pax et amor, oscula.
[ Dernière édition du message le 07/03/2023 à 10:32:18 ]

CZZ


Sonoita


Anonyme

Citation de Charb0n :Un truc qu'est lourd sur ce site, c'est qu'au bout d'un certain temps (pas longtemps à mon sens) le système de redemander de te connecter. Genre 20 min...
Tu quittes... tu reviens un peu plus tard et faut te reconnecter. et ainsi de suite.
Du coup si tu fais des aller retour, tu te reconnectes sans arrêt.
C'est très très chiant !
Ca concerne, les options de connexions avec Facebook ou Google.
Quelques questions à our nous aider :
1. Navigation sur mobile ou ordinateur ?
2. Avec quel navigateur ?
Merci
Ah ok super, merci

Sur Safari principalement mais c'est aussi sur Chrome,
En gros je suis toujours obligé de me reconnecter après un certain temps. environ 20 min.
Par exemple, je quitte le site, je reviens 20 min plus tard et hop il faut se reconnecter.
ça concerne les connexions Google et Facebook.
Je pense que l'idéal serait de se connecter une fois et d'avoir l'option " se souvenir de moi"... un genre comme ça

[ Dernière édition du message le 07/03/2023 à 14:32:33 ]

StratoGibs


kosmix

Putain Walter mais qu'est-ce que le Vietnam vient foutre là-dedans ?

alex.d.

Bon, laisser en place un mot de passe troué, ce n'est pas l'idéal non plus. Bref, pas facile.

Beatless


S'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

L-Scarlett


r0ck&roll

[ Dernière édition du message le 07/03/2023 à 20:47:53 ]

kosmix

Un bon vieux carnet ça fonctionne très bien pour les mdp, à l’ancienne 😁
Oui et puis tu le mets dans ton porte-feuilles pour que le voleur récupère bien tous tes codes

Putain Walter mais qu'est-ce que le Vietnam vient foutre là-dedans ?
[ Dernière édition du message le 07/03/2023 à 20:57:17 ]

Anonyme

Je l'ai fait, mais honnêtement je ne vois pas vraiment l’intérêt, ce n'est pas un compte bancaire non plus.Et puis quel intérêt de pirater ce genre de compte ? pour trouver quoi ?
L'être humain étant ce qu'il est, pour se simplifier la vie, il crée des comptes sur différents sites avec un mot de passe identique sur tous les sites, et si jamais l'identifiant demandé est l'adresse mail, il va utiliser la même adresse mail. A partir de là, les pirates ont des logiciels qui testent sur des dizaines de sites, ton mail et ton mot de passe. Le % de réussite est faible mais sur le volume des données piratées, même si seulement 1% fonctionne cela fait beaucoup de possibilités d'usurpations d'identités etc... Selon l'accès obtenu, ils vont pouvoir se servir en deniers, ouvrir des lignes téléphoniques pour mener des activités illicites comme l'organisation et la vente de drogue etc... L'imagination de ces pirates n'a pas de limites. Ce qui me dérange plus dans cette histoire c'est AF qui dit on ne sait pas d'où ca vient, de quand ca date mais on est certain que la faille ne provient pas de nous parce que d'autres sites sont concernés. Bah désolé mais si des personnes ont pu récupérer nos données c'est de votre responsabilité et c'est un peu facile d'essayer de se dédouaner de la sorte. Si vous ne savez pas d'où provient la fuite et de quand elle date, vous ne savez donc rien et par conséquent ne pouvez pas affirmer que le problème ne vient pas de chez vous.

L-Scarlett


L-Scarlett

Ce qui me dérange plus dans cette histoire c'est AF qui dit on ne sait pas d'où ca vient, de quand ca date mais on est certain que la faille ne provient pas de nous parce que d'autres sites sont concernés. Bah désolé mais si des personnes ont pu récupérer nos données c'est de votre responsabilité et c'est un peu facile d'essayer de se dédouaner de la sorte. Si vous ne savez pas d'où provient la fuite et de quand elle date, vous ne savez donc rien et par conséquent ne pouvez pas affirmer que le problème ne vient pas de chez vous.
Ils ne disent pas que des hackers ont récupéré des données sur Audiofanzine, ils disent que des mots de passe ont été récupérés sur d'autres services totalement indépendant d'Audiofanzine. Ces fuites ça peut être :
- Un gestionnaire de mot de passe (et LastPass a eu un gros leak récemment), auquel cas des mots de passe Audiofanzine ont pu être récupérés dessus directement
- Plus probablement n'importe quel autre ou autres sites random sur lesquels des couples login/mot de passe ont été récupérés. Il suffit ensuite de tester ces logins sur d'autres services, beaucoup d'utilisateur utilisant les mêmes logins partout. Des fuites de ce genre il y en a tout le temps, partout, il est donc indispensable de ne pas réutiliser les mêmes mot de passe, même sur des services qui paraissent anodins.

Anonyme

Citation de Charb0n :Un truc qu'est lourd sur ce site, c'est qu'au bout d'un certain temps (pas longtemps à mon sens) le système de redemander de te connecter. Genre 20 min...
Tu quittes... tu reviens un peu plus tard et faut te reconnecter. et ainsi de suite.
Du coup si tu fais des aller retour, tu te reconnectes sans arrêt.
C'est très très chiant !
Ca concerne, les options de connexions avec Facebook ou Google.
Hello,
Ça devrait être mieux désormais. Merci de nous l'avoir signalé !
Yes ça fonctionne, parfait !


Gronoeil Vert

Ce qui me dérange plus dans cette histoire c'est AF qui dit on ne sait pas d'où ca vient, de quand ca date mais on est certain que la faille ne provient pas de nous parce que d'autres sites sont concernés. Bah désolé mais si des personnes ont pu récupérer nos données c'est de votre responsabilité et c'est un peu facile d'essayer de se dédouaner de la sorte. Si vous ne savez pas d'où provient la fuite et de quand elle date, vous ne savez donc rien et par conséquent ne pouvez pas affirmer que le problème ne vient pas de chez vous.
La news était déjà assez longue, et je ne me suis pas fendu d'une communication détaillée sur tout ce que nous avons fait pour comprendre ce qui se passait, d'où cela pouvait provenir et quel était notre niveau de responsabilité dans ces évènements, il aurait fallu mettre un rapport d'audit entier en ligne pour se faire.
Déjà, très évidemment, nous avons pris la chose très au sérieux quand nous avons réalisé ce qui se passait. Le RGPD impose aux responsables de traitements de s'assurer de la sécurité des données personnelles, et un certain nombre de choses sont à faire en cas de fuite de données personnelles avérées.
A l'origine : Nous nous sommes aperçu qu'un spambot utilisait des comptes légitimes de membres d'Audiofanzine pour poster du spam dans les forums "informatique musicale". Nous avons réagi en coupant dans un premier temps les accès du bot, puis nous avons analysé la manière dont ils s'étaient connecté.
Les journaux de nos serveurs nous ont alors révélé que ce bot n'utilisait aucun chemin détourné pour se connecter, qu'il ne profitait d'aucune faille de code : il passait par la page de connexion comme tout à chacun, entrait un email ou un pseudo, un mot de passe (qu'il connaissait donc), validait, et si il était connecté il continuait en postant dans les forums. Pas de deuxième tentative si la connexion échouait. Et aucune trace d'attaques par force brute, ou par dictionnaire, un seul essai, point.
De là, nous avons cherché quel était le point commun dans les échecs de connexion : Dans tous les cas, l'utilisateur avait mis à jour son mot de passe plutôt récemment.
Nous avons ensuite cherché à comprendre comment un bot était en possession d'une liste d'identifiants par mots de passe ou email, et avec les mots de passe associés.
Rappelons ici que vos mots de passe ne sont jamais stockés en clair, que nous sommes à ce que l'ANSSI appelle "l'état de l'art", au niveau de la méthode de chiffrement des mots de passe (utilisation de sels aléatoires et d'algorithmes sûrs en plus du mot de passe). Quand une tentative de connexion est faite, le mot de passe est transmis selon un protocole sécurisé sur nos serveurs, le chiffrage est ensuite refait sur ce mot de passe, et le résultat comparé à la donnée que nous avons en base. Il n'y a jamais de transmission en clair de ce mot de passe, et nous sommes totalement incapables de déchiffrer les mots de passe.
Nous avons donc tout de même cherché si des accès frauduleux à la base de donnée avaient été effectués, et si il y en avait eu, si une aspiration des données relatives aux membres d'Audiofanzine avait pu avoir lieu. Nous avons cherché dans les différents environnements où ce genre de données auraient pu être stockées (environnements de développement, de tests...) : Chou blanc.
Et puis nous avons fait des recherches sur les messages postés par les bots, et c'est là que nous nous sommes aperçus que nous étions loin d'être les seuls touchés. Sur un certain nombre de forums, francophones ou non, les mêmes messages postés par les mêmes bots (il existe des outils en ligne permettant de consulter l'activité des différents spambots, et s'assurer de les identifier). Et même bots, mêmes méthodes, comment ceux-ci pouvaient-ils être en possession d'une liste de comptes / mots de passe provenant de sites différents, utilisant aussi bien des solutions propriétaires que des projets open source ? Et je le rappelle, ces bots savent pour tel et tel site quel compte utiliser. Il ne s'agit pas du tout d'attaques au hasard, chaque tentative correspond à un vrai compte chez nous.
Quand nous avons regardé un échantillon des comptes attaqués sur les sites vérifiant les leaks de données personnelles, une partie d'entre eux ne donnaient aucun résultat.
Nous avons du coup pensé que la fuite de données provenait probablement d'un endroit centralisant un minimum les données en question, au vu de la multiplicité des sites concernés, et qu'il s'agissait du résultat d'une attaque ayant eu lieu un certain temps avant l'exploitation des données personnelles, puisque les changements de mots de passe récents faisaient échouer les attaques.
Il se trouve que des sites de stockage centralisés de mots de passe comme lastpass avaient annoncé avoir subi une fuite de données personnelles quelques temps auparavant. L'hypothèse se tient.
Autre hypothèse: ces données sont peut-être récupérées par un plugin de navigateur malveillant. Mais rien n'est sûr.
En parallèle, nous avons commencé à voir une recrudescence de tentatives d'arnaques aux petites annonces présentant des points communs avec l'attaque de spam bot : réactivation de comptes ancien, pas d'hésitations sur le couple utilisateur / mot de passe. Même fuite de données ? Fuite différente ?
Dans tous les cas, il n'est bien sûr pas acceptable de laisser les choses continuer ainsi, aussi nous avons réagi en prenant des mesures un peu radicales : Forcer les membres d'Audiofanzine qui n'ont pas changé leur mot de passe depuis un certain temps à le faire est certes une mesure un peu contraignante, mais comparé au préjudice que peuvent subir les membres suite à une arnaque aux petites annonces, c'est au final un petit peu d'embêtement pour qu'au final tout le monde en bénéficie.
P.S. L'absence de preuves n'étant pas preuve d'absence, je conçois que nous ne saurons probablement jamais à 100% si le souci vient bien d'un problème de sécurité dont nous serions responsable et que nous n'aurions pas détecté, mais les multiples vérifications que nous avons faites, et notre manière de stocker les données personnelles rend la réalisation de cette hypothèse vraiment difficile, raison pour laquelle nous privilégions l'hypothèse d'une fuite externe, qui explique par ailleurs mieux la multiplicité des sites concernés notamment.
Tamen pax et amor, oscula.

alex.d.

Il se trouve que des sites de stockage centralisés de mots de passe comme lastpass avaient annoncé avoir subi une fuite de données personnelles quelques temps auparavant. L'hypothèse se tient.
Autre hypothèse: ces données sont peut-être récupérées par un plugin de navigateur malveillant. Mais rien n'est sûr.
Vu que l'attaque utilise le compte d'utilisateurs légitimes, est-ce que vous avez envoyé un message à ces utilisateurs pour savoir s'ils utilisent un gestionnaire de mot de passe, quel navigateur ils utilisent, etc. ?
- < Liste des sujets
- Charte
- 1
- 2