Journal Waka ne signifie pas canoë qui prend l'eau en maori.

Posté par .
Tags : aucun
12
24
mai
2010
Skyblog a été la cible d'une attaque a travers de sa nouvelle plateforme waka (le « lache ton com » à 1 million du gouvernement).

Jusque là rien de très choquant. Le problème vient des paroles de Jérôme Aguesse, directeur de production de chez Skyblog : « Nous conservons dans une base protégée un historique des mots de passe en clair afin, d'une part, d'assister les utilisateurs lors des vols de mots de passe et, d'autre part, de pouvoir restituer leur mot de passe aux utilisateurs qui le demandent et dont les emails d'inscription ne sont plus valides ».

Pour être neuneu-proof, les mots de passe sont stockés en clair dans un base protégée (par un mot de passe en clair ?). :shocking:

Heu…

http://www.lemonde.fr/technologies/article/2010/05/24/skyblo(...)

http://www.numerama.com/magazine/15785-skyrock-fait-waka-dan(...)
  • # Sur le même sujet

    Posté par . Évalué à 5.

    Voir aussi http://www.korben.info/waka.html qui nous parle du côté bidon du site et des faux intervenants qui peuplent les commentaires

    Et http://www.pcinpact.com/actu/news/57107-waka-commentaire-lib(...) à propos de la censure qui règne sur ce site
    • [^] # Re: Sur le même sujet

      Posté par . Évalué à -1.

      Enfin, en même temps, qui a envie d'être hébergé sur Skyblog ? On y trouve soit les états d'âme des ados, soit le blog de Francis Marmande. Dans les deux cas, si ce n'est pas protégé, c'est parce qu'il n'y a rien à protéger.

      J'exagère à peine. Ce qui est effectivement ennuyeux, c'est que quelque puisse éventuellement faire dire des choses graves à une autre personne. Mais si le site est réputé non-fiable, il suffit de ne porter aucun crédit à ce qui y est écrit. En contrepartie, on a un espace que l'on peut « taguer » selon ses humeurs sans que ce soit considéré comme du vandalisme…
      • [^] # Re: Sur le même sujet

        Posté par . Évalué à 5.

        Le fait que ces comptes aient été piratés n'est pas gênant pour leur contenu directement, on est bien d'accord que tout le monde se fout de la disparision d'un skyblog.

        Par contre, là où cette attaque est problématique, c'est que skyrock génère plusieurs millions de visites par mois par à peu près autant de personnes.

        donc le gentil pirate dispose de millions de possibilités pour héberger et diffuser des liens vers des programmes méchants qui vont ensuite polluer l'internet mondial haut débit.

        Je pense que quand on développe une plateforme de cette envergure, on a une responsabilité qui dépasse la sécurité de ses propres serveurs, (with great power comes great responsability) et qu'il y a des moyens de crypter les mots de passes dans la base tout en permettant leur renvoi par mail en cas de demande, sans pour autant les stocker en clair.
        • [^] # Re: Sur le même sujet

          Posté par (page perso) . Évalué à 10.

          Et c'est sans compter que ces mots de passe potentiellement récupérés sont sûrement pour nombre, utilisés par les mêmes utilisateurs sur d'autres services web...

          D'un site mal sécurisé et d'une erreur de la part des utilisateurs (avoir des mots de passe similaires sur différents services) de très nombreuses possibilités s'ouvrent à la personne qui a une telle liste de mots de passe... Facebook, twitter, banques en ligne, webmail, msn etc... Sur 32 millions de compte, il doit y avoir de quoi faire.
          • [^] # Re: Sur le même sujet

            Posté par . Évalué à 1.

            Oui, mais ce n'est pas reprochable à Syblog, ça: si tu utilises le même mot de passe pour un blog en carton avec rien d'important, et pour gérer ton portefeuille d'action, ben.. s'toi le PEBCAK.

            THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Sur le même sujet

            Posté par . Évalué à 1.

            Il me semble qu'un forum de grande ouverture (si quelqu'un retrouve l'affaire...) avait subi une jolie attaque.

            L'attaquant avait publié la liste des mots de passe (mais sans la correspondance avec les login).

            Ce genre d'évenements (la publication d'une liste conséquente de mots de passe) peut avoir deux conséquences:

            1: création d'un dico pour aider une attaque "semi-brute" (on teste d'abord les pass du dico, puis seulement après on y va à la force vraiment brute)

            2: création d'une liste de mot de passes interdits car triviaux (car j'imagine, mais c'est seulement une supposition, que les djeun'z s'embetent pas avec des générateurs de pass).

            Y a déjà eu des choses similaires ? je serais curieux de lire à propos de ca si cela c'est déjà produit...
  • # astuce ?

    Posté par . Évalué à 4.

    Salut, je me trompe, où la procédure habituelle est de renvoyer un nouveau mot de passe, lorsque l'utilisateur a perdu le sien ?

    Moi personnellement, j'utilise un mot de passe aléatoire (pwgen est mon ami si l'on peut s'exprimer ainsi).

    Systemd, the bright side of linux, toward a better user experience and on the road to massive adoption of linux for the desktop.

    • [^] # Re: astuce ?

      Posté par . Évalué à -3.

      j'ai oublié de dire que j'utilise à chaque fois un mot de passe différent de longueur 10. À peu près 26¹⁰ combinaisons possibles, ça en fait des mots de passe ...
      ~(2⁶)¹⁰ = 2⁶⁰ combinaisons, en se référant à des mots de passe majuscule-minuscule-chiffres soit un total de 2*26 + 10 = 62 symboles.

      Systemd, the bright side of linux, toward a better user experience and on the road to massive adoption of linux for the desktop.

    • [^] # Re: astuce ?

      Posté par . Évalué à 2.

      J'utilise aussi des mots de passe générés. Cela se fait à l'aide d'une clef et du nom de domaine, plus utilisation de différents jeux de caractères en fonction des limitations du site. Je n'ai donc que faire de mon mot de passe. :) J'ai toujours vu les sites web proposer un mot de passe généré aléatoirement lorsque je perdais le mot de passe (je n'ai pas toujours eu le programme pour en générer :p)

      Je ne comprends pas l'argumentaire exposé par Skyblog sur la nécessité d'avoir les mdp en clair. Cela doit être ce qu'on appelle du discours marketing ; la lacune importante sur la sécurité du site se transforme en une fonctionnalité top moumoute.

      The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

      • [^] # Re: astuce ?

        Posté par . Évalué à 5.

        ben comme ça bogoss93@hotmail.fr qui a ouvert son blog sur skyblog, et qui par la suite a préféré utiliser suprgrossekekette93@hotmail.fr pour discuter avec sa nouvelle copine sur msn, ne sera pas déboussolé s'il oublie son mot de passe qui dans le cas d'une sécurité pas kevin-compliant, serait renvoyé (modifié en plus) vers bogoss93@hotmail.fr

        Une précision, "le « lache ton com » à 1 million du gouvernement", en fait c'est 2 millions, mais on n'est pas à un million près dans ces cas là...

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: astuce ?

          Posté par . Évalué à 10.

          J'aimerais bien que tu arrêtes de communiquer mes adresses mail partout !
      • [^] # Re: astuce ?

        Posté par . Évalué à 5.

        moi aussi je faisais ça, jusqu'à ce que je devienne schizo.

        mais maintenant nous allons mieux.
        • [^] # Re: astuce ?

          Posté par . Évalué à 4.

          Faudra le répéter un paquet de fois, mais allez, ça finira par rentrer : la schizophrénie n'est pas un synonyme de "personnalités multiples".

          Donc à la fin, tu vas mieux tout seul.
          • [^] # Re: astuce ?

            Posté par . Évalué à 6.

            Tu lui dis ça à lui, alors que c'est seulement sa seconde personalité qui est schizo!
      • [^] # Re: astuce ?

        Posté par . Évalué à 2.

        sinon, bien sûr que c'est du bullshit. c'est d'ailleurs le fond du journal: comment peux t-on oser justifier une telle hérésie ? discours marketing = discours politique ?

        Je ne vais pas paraphraser Audiard ce soir, mais j'en ai furieusement envie :)
  • # Chez over-blog c'est pareil

    Posté par (page perso) . Évalué à 2.

    Chez over-blog, les mots de passes sont eux aussi en clair.

    Bon, je n'ai pas de preuves, mais une personne proche du dossier m'en a fait par :P

    Ça a pas l'air d'être à la mode de chiffrer les mots de passes dans les gros sites propriétaires.

    Envoyé depuis mon lapin.

    • [^] # Re: Chez over-blog c'est pareil

      Posté par . Évalué à 2.

      Ca y est, la preuve je l'ai, tu fais un compte, tu confirme ton mail, tu vas dans récupérer identifiants de connexion. Tu recois tes identifiants et ton mot de passe.
      • [^] # Re: Chez over-blog c'est pareil

        Posté par (page perso) . Évalué à 5.

        Ça ne prouve pas qu'ils sont stockés en clair (ils peuvent être stockés chiffrés par un mot de passe), mais que ce n'est pas un hash tu mot de passe qui est conservé.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Chez over-blog c'est pareil

          Posté par (page perso) . Évalué à 4.

          , mais que ce n'est pas un hash tu mot de passe qui est conservé.

          Ce qui au niveau sécurité, est certes un peu mieux, mais pas beaucoup plus... Un mot de passe volé, ou juste une faille, et ça donne 20 Millions de mots de passe dispos!
    • [^] # Re: Chez over-blog c'est pareil

      Posté par . Évalué à 2.

      une personne proche du dossier m'en a fait par

      Par quoi ?

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

  • # Ce qu'il faut comprendre

    Posté par . Évalué à 5.

    "Nous conservons dans une base protégée un historique des mots de passe en clair afin, d'une part, d'assister les utilisateurs lors des vols de mots de passe [...]"

    Les utilisateurs dont il est question ne sont pas les utilisateurs de Skyblog, mais bien les pirates qui voudraient voler des mots de passe. Stocker les mots de passe en clair a donc dû bien les aider, en effet.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.