Audiofanzine a 25 ans !
Se connecter
Se connecter
Mot de passe oublié ?
ou
Créer un compte
ou
Se connecter avec Facebook
FR
EN
Notifications
  • Refonte graphique octobre 2025
    Refonte graphique octobre 2025
    Une refonte graphique vient d'être mise en ligne. Nous espérons qu'elle vous plaira. Merci de nous signaler tout bug ou perte de fonctionnalité ici →
  • Un cadeau d'UVI pour les 25 ans d'Audiofanzine
    Un cadeau d'UVI pour les 25 ans d'Audiofanzine
    Pour célébrer notre quart de siècle, UVI se joint à nous et vous offre le Digital Synsations Vol.1. Pour en profiter c'est par ici 👉
  • Nouveauté : Bookmark article, news ou tuto
    Nouveauté : Bookmark article, news ou tuto
    Bookmarkez un article, une news ou un tuto et retrouvez-le dans votre section "Mes signets" du menu membre.
  • 6 nouveaux annuaires
    6 nouveaux annuaires
    Luthiers, Réparateurs, Cours de musique, Studios d’enregistrement, de mastering et de répétition... Suggérez l’ajout d’une entreprise, inscrivez la vôtre ou déposez un avis.
  • Alertes disponibilité et baisse de prix
    Alertes disponibilité et baisse de prix
    Ces nouvelles fonctionnalités vous permettent d'être informé·e dès qu'un produit est disponible ou que son prix a baissé.
  • Tentatives d'arnaque dans les petites annonces
    Nous faisons face depuis quelques mois à une recrudescence de tentatives d'arnaques dans les petites annonces. Suivez nos recommandations >
Fonctionnalités Audiofanzine
News
Articles
Médias
Forums
Tutoriels Tutos

réactions à la news Sécurité des comptes membres : changement de mot de passe demandé

  • 38 réponses
  • 21 participants
  • 1 936 vues
  • 21 followers
Sujet de la discussion Sécurité des comptes membres : changement de mot de passe demandé
619.jpg
Devant la recrudescence des tentatives d'usurpation d'identité, le changement de mot de passe peut vous être demandé


Lire la news


Ce thread a été créé automatiquement suite à la publication d'une news pour ce produit. N'hésitez pas à poster vos commentaires ici !

Tamen pax et amor, oscula.

2
Très bonne idée, décision. 👍

S'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

[ Dernière édition du message le 07/03/2023 à 07:28:32 ]

3
Mieux vaut prévenir... Done !

En toi laisse encore résonner

Le tout dernier accord plaqué
4
Un truc qu'est lourd sur ce site, c'est qu'au bout d'un certain temps (pas longtemps à mon sens) le système de redemander de te connecter. Genre 20 min...

Tu quittes... tu reviens un peu plus tard et faut te reconnecter. et ainsi de suite.
Du coup si tu fais des aller retour, tu te reconnectes sans arrêt.
C'est très très chiant !

Ca concerne, les options de connexions avec Facebook ou Google.
5
Je l'ai fait, mais honnêtement je ne vois pas vraiment l’intérêt, ce n'est pas un compte bancaire non plus.Et puis quel intérêt de pirater ce genre de compte ? pour trouver quoi ?


Accordeur de pianos, amateur de synthés        http://www.accord-eure.fr

6
Citation de Accord'Eure Pianos :
Je l'ai fait, mais honnêtement je ne vois pas vraiment l’intérêt, ce n'est pas un compte bancaire non plus.Et puis quel intérêt de pirater ce genre de compte ? pour trouver quoi ?


Là comme ça au pif : une arnaque par petite annonce si tu as un bon taux de confiance, récupérer un solde looper, utiliser tes données de connexion pour accéder à d'autres comptes plus sensibles si tu as réutilisé le même mot de passe ailleurs, vendre ton adresse mail / téléphone à des centres d'appels peu scrupuleux, contacter tes proches en se faisant passer pour toi, etc.
7
Citation de Charb0n :
Un truc qu'est lourd sur ce site, c'est qu'au bout d'un certain temps (pas longtemps à mon sens) le système de redemander de te connecter. Genre 20 min...

Tu quittes... tu reviens un peu plus tard et faut te reconnecter. et ainsi de suite.
Du coup si tu fais des aller retour, tu te reconnectes sans arrêt.
C'est très très chiant !

Ca concerne, les options de connexions avec Facebook ou Google.


Quelques questions à our nous aider :
1. Navigation sur mobile ou ordinateur ?
2. Avec quel navigateur ?

Merci

Tamen pax et amor, oscula.

8
Citation de Charb0n :
Un truc qu'est lourd sur ce site, c'est qu'au bout d'un certain temps (pas longtemps à mon sens) le système de redemander de te connecter. Genre 20 min...

Tu quittes... tu reviens un peu plus tard et faut te reconnecter. et ainsi de suite.
Du coup si tu fais des aller retour, tu te reconnectes sans arrêt.
C'est très très chiant !

Ca concerne, les options de connexions avec Facebook ou Google.

Hello,

Ça devrait être mieux désormais. Merci de nous l'avoir signalé !
9
Citation de Accord'Eure Pianos :
Je l'ai fait, mais honnêtement je ne vois pas vraiment l’intérêt, ce n'est pas un compte bancaire non plus.Et puis quel intérêt de pirater ce genre de compte ? pour trouver quoi ?


Sur Audiofanzine, les usurpations d'identité ont principalement eu deux conséquences :

- la première, c'est l'invasion de messages de spam bots, quasi toujours en anglais, pour vendre diverses arnaques (à la cryptomonnaie, au viagra, etc). Honnêtement ces messages sont plus une pollution visuelle qu'autre chose, il n'empêche que c'est agaçant.

- la deuxième, c'est les tentatives d'arnaques aux petites annonces, et là on est dans quelque chose de beaucoup plus grave. Les attaquants récupèrent le contrôle d'un compte, publient des petites annonces, font en sorte de se faire payer pour ne jamais envoyer un produit qu'ils ne possèdent de toutes façons pas. Et comme un profil d'utilisateur légitime a été récupéré, il peut y avoir des transactions précédentes, un joli taux de confiance, bref, tout pour rassurer un acheteur prêt à être pigeonné.

Et ça c'est bien sûr inacceptable.

Mais ça, ce n'est que la partie visible des choses., et sur Audiofanzine uniquement.

Je te laisse juste imaginer quelques secondes ce qu'une personne mal intentionnée peut faire, en récupérant des accès un peu sensibles qui auraient pu faire partie de ce genre de fuites de données. Un bon accès au bon endroit, et ça peut donner par exemple des hôpitaux dont le système informatique est bloqué, avec des données médicales tenues en "otage" avec demande de rançon, pour parler de choses qui se sont concrètement déjà produites et dont la presse parle régulièrement.

Tamen pax et amor, oscula.

[ Dernière édition du message le 07/03/2023 à 10:32:18 ]

10
done

https://ctrlz.live

11
hop, fait aussi
12
Citation de Gros Oeil :
Citation de Charb0n :
Un truc qu'est lourd sur ce site, c'est qu'au bout d'un certain temps (pas longtemps à mon sens) le système de redemander de te connecter. Genre 20 min...

Tu quittes... tu reviens un peu plus tard et faut te reconnecter. et ainsi de suite.
Du coup si tu fais des aller retour, tu te reconnectes sans arrêt.
C'est très très chiant !

Ca concerne, les options de connexions avec Facebook ou Google.


Quelques questions à our nous aider :
1. Navigation sur mobile ou ordinateur ?
2. Avec quel navigateur ?

Merci


Ah ok super, merci ;)

Sur Safari principalement mais c'est aussi sur Chrome,
En gros je suis toujours obligé de me reconnecter après un certain temps. environ 20 min.
Par exemple, je quitte le site, je reviens 20 min plus tard et hop il faut se reconnecter.
ça concerne les connexions Google et Facebook.

Je pense que l'idéal serait de se connecter une fois et d'avoir l'option " se souvenir de moi"... un genre comme ça ;)

[ Dernière édition du message le 07/03/2023 à 14:32:33 ]

13
Excellente idée, car il y a peu de temps j'ai eu le cas d'un acheteur me demandant de régler, sans aucune négo et peu importe le prix, le montant de la vente de mon matos, en lui transmettant mes coordonnés et autres infos...de suite averti, les petits Gremlins de Looper ont mis fin au compte du pseudo acheteur frauduleux
14
Bon je l'ai fait, même si ça m'agace. Changer de mot de passe c'est déjà pénible mais en plus il faut toujours des mots de passe encore plus longs, encore plus compliqués et tarabiscotés... et ça ne s'arrêtera jamais. C'est comme si on devait changer de numéro de téléphone ou d'adresse mail, c'est contraignant. Bon je m'agace tout seul et ça sert à rien, ainsi est notre merveilleux monde moderne. Evidemment je peux relativiser il y a des choses bien plus graves et des gens bien plus à plaindre.

Putain Walter mais qu'est-ce que le Vietnam vient foutre là-dedans ?

15
Si les failles suspectées viennent de l'utilisation de gestionnaires de mot de passe qui ont été craqués, alors obliger à changer régulièrement les mots de passe, qui va inciter à utiliser un gestionnaire de mot de passe pour ne pas l'oublier, va être contre-productif.
Bon, laisser en place un mot de passe troué, ce n'est pas l'idéal non plus. Bref, pas facile.
16
Malheureux ! il ne faut pas utiliser un gestionnaire de mots de passe !!! Ecris-le sur un post'it que tu colles dans un coin de ton écran ! :volatil:

S'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

17
Il faut utiliser un gestionnaire de mot de passe local, sans sauvegarde sur un cloud, comme Keepass par exemple.
18
Un bon vieux carnet ça fonctionne très bien pour les mdp, à l’ancienne 😁

[ Dernière édition du message le 07/03/2023 à 20:47:53 ]

19
Citation de r0ck&roll :
Un bon vieux carnet ça fonctionne très bien pour les mdp, à l’ancienne 😁


Oui et puis tu le mets dans ton porte-feuilles pour que le voleur récupère bien tous tes codes :mrg:

Putain Walter mais qu'est-ce que le Vietnam vient foutre là-dedans ?

[ Dernière édition du message le 07/03/2023 à 20:57:17 ]

20
Citation de Accord'Eure Pianos :
Je l'ai fait, mais honnêtement je ne vois pas vraiment l’intérêt, ce n'est pas un compte bancaire non plus.Et puis quel intérêt de pirater ce genre de compte ? pour trouver quoi ?


L'être humain étant ce qu'il est, pour se simplifier la vie, il crée des comptes sur différents sites avec un mot de passe identique sur tous les sites, et si jamais l'identifiant demandé est l'adresse mail, il va utiliser la même adresse mail. A partir de là, les pirates ont des logiciels qui testent sur des dizaines de sites, ton mail et ton mot de passe. Le % de réussite est faible mais sur le volume des données piratées, même si seulement 1% fonctionne cela fait beaucoup de possibilités d'usurpations d'identités etc... Selon l'accès obtenu, ils vont pouvoir se servir en deniers, ouvrir des lignes téléphoniques pour mener des activités illicites comme l'organisation et la vente de drogue etc... L'imagination de ces pirates n'a pas de limites. Ce qui me dérange plus dans cette histoire c'est AF qui dit on ne sait pas d'où ca vient, de quand ca date mais on est certain que la faille ne provient pas de nous parce que d'autres sites sont concernés. Bah désolé mais si des personnes ont pu récupérer nos données c'est de votre responsabilité et c'est un peu facile d'essayer de se dédouaner de la sorte. Si vous ne savez pas d'où provient la fuite et de quand elle date, vous ne savez donc rien et par conséquent ne pouvez pas affirmer que le problème ne vient pas de chez vous.
21
Dans un carnet tu vas systématiquement mettre des mots de passe simples et cours, à moins que tu aies envie de régulièrement recopier à la main des trucs du genre "kasdI$asd_éKSAD8¨¨" , donc simples à craquer une fois qu'il y a une fuite de base de données. Et un carnet ça se vole.
22
Citation de pask30 :
Ce qui me dérange plus dans cette histoire c'est AF qui dit on ne sait pas d'où ca vient, de quand ca date mais on est certain que la faille ne provient pas de nous parce que d'autres sites sont concernés. Bah désolé mais si des personnes ont pu récupérer nos données c'est de votre responsabilité et c'est un peu facile d'essayer de se dédouaner de la sorte. Si vous ne savez pas d'où provient la fuite et de quand elle date, vous ne savez donc rien et par conséquent ne pouvez pas affirmer que le problème ne vient pas de chez vous.


Ils ne disent pas que des hackers ont récupéré des données sur Audiofanzine, ils disent que des mots de passe ont été récupérés sur d'autres services totalement indépendant d'Audiofanzine. Ces fuites ça peut être :
- Un gestionnaire de mot de passe (et LastPass a eu un gros leak récemment), auquel cas des mots de passe Audiofanzine ont pu être récupérés dessus directement
- Plus probablement n'importe quel autre ou autres sites random sur lesquels des couples login/mot de passe ont été récupérés. Il suffit ensuite de tester ces logins sur d'autres services, beaucoup d'utilisateur utilisant les mêmes logins partout. Des fuites de ce genre il y en a tout le temps, partout, il est donc indispensable de ne pas réutiliser les mêmes mot de passe, même sur des services qui paraissent anodins.
23
Citation de nero :
Citation de Charb0n :
Un truc qu'est lourd sur ce site, c'est qu'au bout d'un certain temps (pas longtemps à mon sens) le système de redemander de te connecter. Genre 20 min...

Tu quittes... tu reviens un peu plus tard et faut te reconnecter. et ainsi de suite.
Du coup si tu fais des aller retour, tu te reconnectes sans arrêt.
C'est très très chiant !

Ca concerne, les options de connexions avec Facebook ou Google.

Hello,

Ça devrait être mieux désormais. Merci de nous l'avoir signalé !


Yes ça fonctionne, parfait ! :)
24
Citation de pask30 :
Ce qui me dérange plus dans cette histoire c'est AF qui dit on ne sait pas d'où ca vient, de quand ca date mais on est certain que la faille ne provient pas de nous parce que d'autres sites sont concernés. Bah désolé mais si des personnes ont pu récupérer nos données c'est de votre responsabilité et c'est un peu facile d'essayer de se dédouaner de la sorte. Si vous ne savez pas d'où provient la fuite et de quand elle date, vous ne savez donc rien et par conséquent ne pouvez pas affirmer que le problème ne vient pas de chez vous.


La news était déjà assez longue, et je ne me suis pas fendu d'une communication détaillée sur tout ce que nous avons fait pour comprendre ce qui se passait, d'où cela pouvait provenir et quel était notre niveau de responsabilité dans ces évènements, il aurait fallu mettre un rapport d'audit entier en ligne pour se faire.

Déjà, très évidemment, nous avons pris la chose très au sérieux quand nous avons réalisé ce qui se passait. Le RGPD impose aux responsables de traitements de s'assurer de la sécurité des données personnelles, et un certain nombre de choses sont à faire en cas de fuite de données personnelles avérées.

A l'origine : Nous nous sommes aperçu qu'un spambot utilisait des comptes légitimes de membres d'Audiofanzine pour poster du spam dans les forums "informatique musicale". Nous avons réagi en coupant dans un premier temps les accès du bot, puis nous avons analysé la manière dont ils s'étaient connecté.

Les journaux de nos serveurs nous ont alors révélé que ce bot n'utilisait aucun chemin détourné pour se connecter, qu'il ne profitait d'aucune faille de code : il passait par la page de connexion comme tout à chacun, entrait un email ou un pseudo, un mot de passe (qu'il connaissait donc), validait, et si il était connecté il continuait en postant dans les forums. Pas de deuxième tentative si la connexion échouait. Et aucune trace d'attaques par force brute, ou par dictionnaire, un seul essai, point.

De là, nous avons cherché quel était le point commun dans les échecs de connexion : Dans tous les cas, l'utilisateur avait mis à jour son mot de passe plutôt récemment.

Nous avons ensuite cherché à comprendre comment un bot était en possession d'une liste d'identifiants par mots de passe ou email, et avec les mots de passe associés.

Rappelons ici que vos mots de passe ne sont jamais stockés en clair, que nous sommes à ce que l'ANSSI appelle "l'état de l'art", au niveau de la méthode de chiffrement des mots de passe (utilisation de sels aléatoires et d'algorithmes sûrs en plus du mot de passe). Quand une tentative de connexion est faite, le mot de passe est transmis selon un protocole sécurisé sur nos serveurs, le chiffrage est ensuite refait sur ce mot de passe, et le résultat comparé à la donnée que nous avons en base. Il n'y a jamais de transmission en clair de ce mot de passe, et nous sommes totalement incapables de déchiffrer les mots de passe.

Nous avons donc tout de même cherché si des accès frauduleux à la base de donnée avaient été effectués, et si il y en avait eu, si une aspiration des données relatives aux membres d'Audiofanzine avait pu avoir lieu. Nous avons cherché dans les différents environnements où ce genre de données auraient pu être stockées (environnements de développement, de tests...) : Chou blanc.

Et puis nous avons fait des recherches sur les messages postés par les bots, et c'est là que nous nous sommes aperçus que nous étions loin d'être les seuls touchés. Sur un certain nombre de forums, francophones ou non, les mêmes messages postés par les mêmes bots (il existe des outils en ligne permettant de consulter l'activité des différents spambots, et s'assurer de les identifier). Et même bots, mêmes méthodes, comment ceux-ci pouvaient-ils être en possession d'une liste de comptes / mots de passe provenant de sites différents, utilisant aussi bien des solutions propriétaires que des projets open source ? Et je le rappelle, ces bots savent pour tel et tel site quel compte utiliser. Il ne s'agit pas du tout d'attaques au hasard, chaque tentative correspond à un vrai compte chez nous.

Quand nous avons regardé un échantillon des comptes attaqués sur les sites vérifiant les leaks de données personnelles, une partie d'entre eux ne donnaient aucun résultat.

Nous avons du coup pensé que la fuite de données provenait probablement d'un endroit centralisant un minimum les données en question, au vu de la multiplicité des sites concernés, et qu'il s'agissait du résultat d'une attaque ayant eu lieu un certain temps avant l'exploitation des données personnelles, puisque les changements de mots de passe récents faisaient échouer les attaques.

Il se trouve que des sites de stockage centralisés de mots de passe comme lastpass avaient annoncé avoir subi une fuite de données personnelles quelques temps auparavant. L'hypothèse se tient.
Autre hypothèse: ces données sont peut-être récupérées par un plugin de navigateur malveillant. Mais rien n'est sûr.

En parallèle, nous avons commencé à voir une recrudescence de tentatives d'arnaques aux petites annonces présentant des points communs avec l'attaque de spam bot : réactivation de comptes ancien, pas d'hésitations sur le couple utilisateur / mot de passe. Même fuite de données ? Fuite différente ?

Dans tous les cas, il n'est bien sûr pas acceptable de laisser les choses continuer ainsi, aussi nous avons réagi en prenant des mesures un peu radicales : Forcer les membres d'Audiofanzine qui n'ont pas changé leur mot de passe depuis un certain temps à le faire est certes une mesure un peu contraignante, mais comparé au préjudice que peuvent subir les membres suite à une arnaque aux petites annonces, c'est au final un petit peu d'embêtement pour qu'au final tout le monde en bénéficie.

P.S. L'absence de preuves n'étant pas preuve d'absence, je conçois que nous ne saurons probablement jamais à 100% si le souci vient bien d'un problème de sécurité dont nous serions responsable et que nous n'aurions pas détecté, mais les multiples vérifications que nous avons faites, et notre manière de stocker les données personnelles rend la réalisation de cette hypothèse vraiment difficile, raison pour laquelle nous privilégions l'hypothèse d'une fuite externe, qui explique par ailleurs mieux la multiplicité des sites concernés notamment.

Tamen pax et amor, oscula.

25
Citation de Gros Oeil :
Il se trouve que des sites de stockage centralisés de mots de passe comme lastpass avaient annoncé avoir subi une fuite de données personnelles quelques temps auparavant. L'hypothèse se tient.
Autre hypothèse: ces données sont peut-être récupérées par un plugin de navigateur malveillant. Mais rien n'est sûr.


Vu que l'attaque utilise le compte d'utilisateurs légitimes, est-ce que vous avez envoyé un message à ces utilisateurs pour savoir s'ils utilisent un gestionnaire de mot de passe, quel navigateur ils utilisent, etc. ?