Rien de grande ampleur cela dit, qu’on se rassure, ce super site web de partage de liens qu’est Reddit est toujours en vie !
C’était il y a deux semaines environ. L’attaque a consisté en l’interception de SMS. Reddit recommande donc de passer à l’authentification 2FA qui utilise un jeton (à la place du SMS).
Toutes les données de 2007 et antérieures ont fuitées, mais les mots de passe sont hashés et salés (ce qui veut dire si je ne m’abuse qu’il est nécessaire de les brute-forcer, et que si on a un mot de passe assez long1 on est tranquille dans l’absolu). Déjà, si vous êtes inscrit sur Reddit après cette année vous n’êtes pas concerné. Sinon vous avez sûrement reçu un mail… et bien si ce n’est pas le cas pensez à changer votre mot de passe !
Il y a aussi les « digests » depuis 2018 qui ont fuités (qui contiennent des suggestions personnalisées).
Pour utiliser l’application TOTP c’est par ici.
Je ne l’ai pas mis en place, parce que je suis feignant et que la documentation officielle n’indique que deux applications pour Android et iOS. Or moi j’utilise une distribution GNU/Linux, Debian pour ne pas la citer. Je n’ai pas de smartphone, je ne vis pas avec mon temps… je pense n’apprécier que moyennement de participer à Reddit, ou à LinuxFR, sur un écran minuscule avec un clavier virtuel de toute façon. Ils font suer à vouloir tuer mon desktop !
À priori il n’y a rien de compliqué, ça s’appelle TOTP et c’est du standard. Est-ce que certains utilisent déjà cette application ? Si c’est le cas, quel est leur ressenti ?
[1] Je ne sais pas à combien on est rendu actuellement… disons… pour que le temps d’essayer toutes les possibilités se mesure en années… je dirais qu’avec 20 caractères alphanumériques + quelques symboles on commence à être tranquille sur ce plan…
# faut chercher :P
Posté par Tulan . Évalué à 1. Dernière modification le 12 août 2018 à 08:48.
Tu trouveras une discussion à ce sujet avec pas mal de propositions de clients lourds ici.
[^] # J'utilise ça
Posté par dastious . Évalué à 1.
oathtool --totp=shaX --digits=X -b laclé | xclip -selection c
# Ils n'envoient pas un mail?
Posté par Zenitram (site web personnel) . Évalué à 2. Dernière modification le 12 août 2018 à 08:53.
Un truc que je comprend pas : les mechants interceptent le SMS, ok, mais dans la plupart des systèmes sensibles on reçoit un mail lors d'un connexion à partir d'une nouvelle machine ou IP, comment les gens ne voient pas par mail qu'un SMS à été intercepté et ne réagissent pas en conséquence?
Sinon, le 2FA c'est costaud mais perso j'ai toujours peur de perdre les codes de récupération.
PS : écrit de mon smartphone.
[^] # Re: Ils n'envoient pas un mail?
Posté par barmic . Évalué à 2.
Perso je les stocke dans une base de données keepass.
[^] # Re: Ils n'envoient pas un mail?
Posté par Anonyme . Évalué à 2.
Moi aussi, mais il faut bien avouer que ça casse le principe du 2FA.
Un peu comme avoir le générateur sur son laptop quoi.
[^] # Re: Ils n'envoient pas un mail?
Posté par barmic . Évalué à 2.
Le principe d'une base keepass c'est d'être fiable. Si tu n'y a pas confiance autant le stocker en clair. L'objectif de ce type de logiciel c'est de pouvoir le faire transiter sur des mediums non sûrs. Si tu accède à ma machine, il te faudra le fichier et ma passphrase pour passer (preuve de quelque chose que l'on a et preuve de quelque chose que l'on sait).
On peut considérer que tout chiffrement peut se percer mais à se moment là, je ne vois pas pourquoi avoir plus peur de voir le chiffrement de la base que d'un man in the middle par exemple.
[^] # Re: Ils n'envoient pas un mail?
Posté par Psychofox (Mastodon) . Évalué à 2.
Oui et non. Ta base keepass est chargée en mémoire et donc en clair quand tu y accèdes, ton presse-papier n'est pas forcément non plus sécurisé. Le principe du 2FA c'est que même si ta machine est compromise tu as besoin d'un deuxième secret délocalisé pour empêcher un attaquant d'obtenir l'accès demandé.
Après il y'a des fois des gens qui font le 2FA à moitié avec une option "déclarer ma machine comme sûre" qui ne va plus demander le deuxième facteur, ce qui est assez foireux à mon sens.
[^] # Re: Ils n'envoient pas un mail?
Posté par barmic . Évalué à 1.
J'en ai pas l'impression. Si je regarde la page wikipedia anglaise sur le sujet, le code par SMS, le token RSA et même la clef du type yubikey ne résistent pas à une compromission de l'ordinateur que tu utilise. Les 2 seules authentifications que j'utilise et qui y résistent c'est :
[^] # Re: Ils n'envoient pas un mail?
Posté par groumly . Évalué à 2.
Ca dépend du but du 2fa.
Si le but est de prouver que c’est bien toi, PsychoFox, c’est relativement discutable, disons que ça dépend de la sécurité physique de la machine en question et de la fréquence de login (le 2fa à tendance à beaucoup lasser les humains, qui réagissent en le désactivant, donc retour à la case départ).
Si le but est de prouver que t’es humain (protection contre le bots), ya pas grand chose à redire. T’as prouvé une fois que cette machine est contrôlée une fois par un humain, on a pas forcément à revérifier à chaque fois.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
# Coût du hack SMS
Posté par claudex . Évalué à 8. Dernière modification le 12 août 2018 à 09:14.
Un point que j’ai découvert quand j’ai vu cette attaque, c’est que l’attaque sur les SMS est bien moins chère que je ne le pensais. En effet, je ne pense pas qu’un attaque sur reddit rapporte beaucoup (par rapport à une attaque sur les comptes bancaires comme il y a eu en Allemagne). Si les pirates l’ont utilisé pour reddit, c’est qu’il y avait accès pour pas trop cher.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Coût du hack SMS
Posté par robin . Évalué à 5.
Apparemment la sécurité des sms est tellement basse qu'il y a en permanence des "fournisseurs" de hack sur le darknet qui peuvent, et de manière fiable donner un accès complet à n'importe quel numéro, et apparemment (pour ceux qui s'y connaissent), c'est suffisamment simple à mettre en place pour ne pas avoir besoin de passer par ces services (1). C'est la raison pour laquelle l'ajout des sms en tant que facteur d’authentification est considérée comme étant une baisse de sécurité, car elle n'apporte quasiment rien, mais l'utilisateur pense que si.
(1) citation needed N'hésitez pas à me corriger si vous avez plus de connaissance que moi sur le sujet.
bépo powered
# interception SMS => ??? => données de <= 2007 ont fuités
Posté par fwhcat . Évalué à 7.
Salut,
j'ai un peu de mal à comprendre comment passer d'une interception de SMS à "Toutes les données de 2007 et antérieures ont fuitées".
ça sent la BDD archivée puispurgée, dont l'archive aurait été mise à dispo dans un dossier accessible publiquement ^
Une idée?
[^] # Re: interception SMS => ??? => données de <= 2007 ont fuités
Posté par Sébastien BLAISOT . Évalué à 4.
L'attaque de la 2FA à permis à l'attaquant de se connecter en admin et à accéder à une sauvegarde complète de 2007 qui avait été conservée (pourquoi ?)
# Sauvegarde et RGPD
Posté par Sébastien BLAISOT . Évalué à 3.
On parle beaucoup de l'attaque de la 2FA par interception de SMS mais ça ne me semble pas le sujet majeur.
Ce qui me preoccupe le plus, c'est qu'une sauvegarde complète ait été conservée plus de 10 ans. Cela signifie que toutes les personnes qui ont demandé la suppression de leur compte et de leurs données personnelles ont été trompées puisqu'une copie de ces données à été conservée pendant plus de 10 ans. Avec comme finalité une énorme fuite. Cela prouve que reddit n'a pas fait l'audit nécessaire pour se préparer au respect du RGPD.
A l'heure du RGPD cela me semble particulièrement inquiétant pour le respect de nos données personnelles.
[^] # Re: Sauvegarde et RGPD
Posté par Zenitram (site web personnel) . Évalué à 0. Dernière modification le 13 août 2018 à 12:12.
Faut peut-être arrêter le fantasme sur le RGPD, tu crois sérieusement que les entreprises vont s'amuser à sortir la LTO, lire le fichier DB, effacer une ligne, ré-écrire sur la LTO, pour chaque demande individuelle?
Le RGPD aide à beaucoup de gestion des données personnelles, mais faut arrêter à fantasmer avec "tromper" à tout bout de champs (ça ne veut pas dire que c'était bien qu'ils gardent, hein)
Si.
[^] # Re: Sauvegarde et RGPD
Posté par Sébastien BLAISOT . Évalué à 2.
Le RGPD n'a pas dit de supprimer mais de documenter ses traitements. Si tu as des données personnelles dans tes sauvegardes, tu dois en indiquer la durée de conservation dans ton registre de traitement des donnés.
On peut être en désaccord sur l'importance du sujet mais donner quelques arguments permettrait l'échange. Assement un "si" péremptoire ressemble plus à l'évitement de la conversation qu'à un échange.
(bisous)
[^] # Re: Sauvegarde et RGPD
Posté par claudex . Évalué à 10. Dernière modification le 13 août 2018 à 12:16.
Je te met au défi, sur une infra un peu conséquente, de faire un audit qui ne passera pas à côté d'un backup de base de donnée.
Est-ce qu'ils ont bien annoncé avoir supprimé les données ou que cela allait être fait dans un délai de 3 mois ?
Justement, ils ont signalé la fuite de données, conformément au RGPD.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Sauvegarde et RGPD
Posté par Psychofox (Mastodon) . Évalué à 10. Dernière modification le 13 août 2018 à 13:52.
À priori tant que les données utilisateurs sont purgées de la base "active", que les procédures de restoration excluent (ou prennent en compte un cleanup) des données des utilisateurs ayant demandés l'oubli et que ceux-ci sont informés de la durée de rétention définie, il n'y a pas d'obligation à détruire les backups avant la fin de ladite rétention:
http://blog.quantum.com/backup-administrators-the-1-advice-to-deal-with-gdpr-and-the-right-of-erasure/#.Wv7qy0xFwy9
Alors certe dans ce cas précis il y'a à priori eu une erreur de faite car à moins qu'il y'ait des besoins légaux je ne vois pas l'intérêt pour un site comme Reddit de garder des archives aussi longues et en tout cas pas sur des serveurs "en ligne".
Après, faire une erreur ne veut pas dire qu'on "trompe" les utilisateurs.
[^] # Re: Sauvegarde et RGPD
Posté par Sébastien BLAISOT . Évalué à 1. Dernière modification le 13 août 2018 à 19:31.
Je me suis peut être mal exprimé, je n'ai pas voulu prétendre qu'ils trompaient volontairement les utilisateurs.
Je dis simplement que des données personnelles des utilisateurs de reddit se baladent sur leurs serveurs pendant 10 ans sans qu'ils s'en rendent compte (au mieux), ou pire qu'ils ont conservé sciemment une sauvegarde contenant des données personnelles pendant 10 ans.
Je trouve ça inquiétant pour la confiance qu'on peut avoir concernant la protection de nos données personnelles que nous sommes en droit d'attendre d'eux en tant qu'utilisateurs…
[^] # Re: Sauvegarde et RGPD
Posté par Marotte ⛧ . Évalué à 3. Dernière modification le 14 août 2018 à 00:52.
C’est un site qui étudie les comportements sur le web. Avec le crowdsourcing, le big data, c’est complètement logique qu’ils conservent le maximum de ce qu’il peuvent sauvegarder et exploiter. Pour des méta-données des plus basiques, dix ans c’est vraiment pas excessif… Des données « personnelles » j’aurais tendance à dire qu’elles peuvent se monnayer sur quelques générations, disons six ou sept (pour viser large), donc il faudrait garder à peu prêt 150 ans… et je pense qu’on gardera plus…
# Application desktop
Posté par Starch . Évalué à 5.
J'ai un smartphone mais ça m'énerve de le chercher à chaque fois que je veux me connecter quelque part. Et mes clés TOTP sont stockées sur ma yubikey 4. Du coup j'ai utilisé un temps yubioath-desktop.
Mais cette appli me saoulait grandement car elle cohabite très mal avec gnupg, plus particulièrement gpg-agent. En gros si gpg-agent a été utilisé pour récupérer ma clé gpg sur la yubikey, yubioauth ne marche pas. En plus c'est du qt et ça me fait mal aux yeux dans mon env gnome (je sais c'est mal de rejeter une appli juste à cause de son toolkit graphique, mais voilà). Au même moment je me cherchais un mini projet à faire en python3 + gtk, en conséquence je me suis fait mon propre soft.
J'ai jeté le code sur framagit des fois ça intéresse des gens. C'est pas très propre, c'est pas très intuitif, il y a des bugs non corrigés depuis trop longtemps, mais chez-moi-ça-marchotte© (debian testing avec gnome). Pas besoin de yubikey, par défaut ça stocke les clés dans le keyring de l'user.
Je ne suis pas 100% sûr qu'avoir une appli desktop pour générer des codes TOTP ne va pas totalement à l'encontre de la philosophie du 2FA, mais dans mon cas mes clés sont sur un token physique, et puis ça marche et c'est moins pénible que le smartphone (imho).
# Et pendant ce temps à Vera Cruz...
Posté par chimrod (site web personnel) . Évalué à 2.
Courriel reçu ce matin suite à une inscription sur une boutique en ligne :
La sécurité a encore des progrès à faire…
[^] # Re: Et pendant ce temps à Vera Cruz...
Posté par Maclag . Évalué à 5. Dernière modification le 15 août 2018 à 00:21.
Pour récupérer votre mot de passe en cas de perte, répondez à cette question secrète:
"Quel est votre pseudo sur notre site?"
Et nous l'enverrons à l'adresse email de votre choix! \o/
[^] # Re: Et pendant ce temps à Vera Cruz...
Posté par GG (site web personnel) . Évalué à 3.
Il est question d'abus d'utilisations qui pose problème avec leur hébergeur.
Il n'est pas question d'un problème de sécurité.
Il y a plein d'autres raisons possibles.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Et pendant ce temps à Vera Cruz...
Posté par chimrod (site web personnel) . Évalué à 3.
l'image a été remplacée ! Il ne s'agit pas de ce que j'avais posté. (C'était la capture d'écran d'un mail reçu contenant le récapitulatif de mon inscription : mon identifiant, et mon mot de passe)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.