Journal Reddit a subi une attaque informatique

Posté par . Licence CC by-sa.
21
12
août
2018

Rien de grande ampleur cela dit, qu’on se rassure, ce super site web de partage de liens qu’est Reddit est toujours en vie !

C’était il y a deux semaines environ. L’attaque a consisté en l’interception de SMS. Reddit recommande donc de passer à l’authentification 2FA qui utilise un jeton (à la place du SMS).

Toutes les données de 2007 et antérieures ont fuitées, mais les mots de passe sont hashés et salés (ce qui veut dire si je ne m’abuse qu’il est nécessaire de les brute-forcer, et que si on a un mot de passe assez long1 on est tranquille dans l’absolu). Déjà, si vous êtes inscrit sur Reddit après cette année vous n’êtes pas concerné. Sinon vous avez sûrement reçu un mail… et bien si ce n’est pas le cas pensez à changer votre mot de passe !

Il y a aussi les « digests » depuis 2018 qui ont fuités (qui contiennent des suggestions personnalisées).

Pour utiliser l’application TOTP c’est par ici.

Je ne l’ai pas mis en place, parce que je suis feignant et que la documentation officielle n’indique que deux applications pour Android et iOS. Or moi j’utilise une distribution GNU/Linux, Debian pour ne pas la citer. Je n’ai pas de smartphone, je ne vis pas avec mon temps… je pense n’apprécier que moyennement de participer à Reddit, ou à LinuxFR, sur un écran minuscule avec un clavier virtuel de toute façon. Ils font suer à vouloir tuer mon desktop !

À priori il n’y a rien de compliqué, ça s’appelle TOTP et c’est du standard. Est-ce que certains utilisent déjà cette application ? Si c’est le cas, quel est leur ressenti ?

                                                                                        

[1] Je ne sais pas à combien on est rendu actuellement… disons… pour que le temps d’essayer toutes les possibilités se mesure en années… je dirais qu’avec 20 caractères alphanumériques + quelques symboles on commence à être tranquille sur ce plan…

  • # faut chercher :P

    Posté par . Évalué à 1 (+1/-0). Dernière modification le 12/08/18 à 08:48.

    Tu trouveras une discussion à ce sujet avec pas mal de propositions de clients lourds ici.

  • # Ils n'envoient pas un mail?

    Posté par (page perso) . Évalué à 2 (+1/-1). Dernière modification le 12/08/18 à 08:53.

    Un truc que je comprend pas : les mechants interceptent le SMS, ok, mais dans la plupart des systèmes sensibles on reçoit un mail lors d'un connexion à partir d'une nouvelle machine ou IP, comment les gens ne voient pas par mail qu'un SMS à été intercepté et ne réagissent pas en conséquence?

    Sinon, le 2FA c'est costaud mais perso j'ai toujours peur de perdre les codes de récupération.

    PS : écrit de mon smartphone.

    • [^] # Re: Ils n'envoient pas un mail?

      Posté par . Évalué à 2 (+1/-0).

      Sinon, le 2FA c'est costaud mais perso j'ai toujours peur de perdre les codes de récupération.

      Perso je les stocke dans une base de données keepass.

      • [^] # Re: Ils n'envoient pas un mail?

        Posté par (page perso) . Évalué à 2 (+0/-0).

        Moi aussi, mais il faut bien avouer que ça casse le principe du 2FA.

        Un peu comme avoir le générateur sur son laptop quoi.

        • [^] # Re: Ils n'envoient pas un mail?

          Posté par . Évalué à 2 (+1/-0).

          Le principe d'une base keepass c'est d'être fiable. Si tu n'y a pas confiance autant le stocker en clair. L'objectif de ce type de logiciel c'est de pouvoir le faire transiter sur des mediums non sûrs. Si tu accède à ma machine, il te faudra le fichier et ma passphrase pour passer (preuve de quelque chose que l'on a et preuve de quelque chose que l'on sait).

          On peut considérer que tout chiffrement peut se percer mais à se moment là, je ne vois pas pourquoi avoir plus peur de voir le chiffrement de la base que d'un man in the middle par exemple.

          • [^] # Re: Ils n'envoient pas un mail?

            Posté par . Évalué à 2 (+0/-0).

            Oui et non. Ta base keepass est chargée en mémoire et donc en clair quand tu y accèdes, ton presse-papier n'est pas forcément non plus sécurisé. Le principe du 2FA c'est que même si ta machine est compromise tu as besoin d'un deuxième secret délocalisé pour empêcher un attaquant d'obtenir l'accès demandé.

            Après il y'a des fois des gens qui font le 2FA à moitié avec une option "déclarer ma machine comme sûre" qui ne va plus demander le deuxième facteur, ce qui est assez foireux à mon sens.

            • [^] # Re: Ils n'envoient pas un mail?

              Posté par . Évalué à 1 (+0/-0).

              Le principe du 2FA c'est que même si ta machine est compromise tu as besoin d'un deuxième secret délocalisé pour empêcher un attaquant d'obtenir l'accès demandé.

              J'en ai pas l'impression. Si je regarde la page wikipedia anglaise sur le sujet, le code par SMS, le token RSA et même la clef du type yubikey ne résistent pas à une compromission de l'ordinateur que tu utilise. Les 2 seules authentifications que j'utilise et qui y résistent c'est :

              • pour google qui lui me demande de valider sur mon téléphone l'authentification
              • pour whatsapp web qui me demande de scanner un code barre 2D avec mon téléphone
            • [^] # Re: Ils n'envoient pas un mail?

              Posté par . Évalué à 2 (+0/-0).

              Après il y'a des fois des gens qui font le 2FA à moitié avec une option "déclarer ma machine comme sûre" qui ne va plus demander le deuxième facteur, ce qui est assez foireux à mon sens.

              Ca dépend du but du 2fa.
              Si le but est de prouver que c’est bien toi, PsychoFox, c’est relativement discutable, disons que ça dépend de la sécurité physique de la machine en question et de la fréquence de login (le 2fa à tendance à beaucoup lasser les humains, qui réagissent en le désactivant, donc retour à la case départ).
              Si le but est de prouver que t’es humain (protection contre le bots), ya pas grand chose à redire. T’as prouvé une fois que cette machine est contrôlée une fois par un humain, on a pas forcément à revérifier à chaque fois.

              Linuxfr, le portail francais du logiciel libre et du neo nazisme.

  • # Coût du hack SMS

    Posté par (page perso) . Évalué à 8 (+5/-0). Dernière modification le 12/08/18 à 09:14.

    Un point que j’ai découvert quand j’ai vu cette attaque, c’est que l’attaque sur les SMS est bien moins chère que je ne le pensais. En effet, je ne pense pas qu’un attaque sur reddit rapporte beaucoup (par rapport à une attaque sur les comptes bancaires comme il y a eu en Allemagne). Si les pirates l’ont utilisé pour reddit, c’est qu’il y avait accès pour pas trop cher.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Coût du hack SMS

      Posté par . Évalué à 5 (+4/-0).

      Apparemment la sécurité des sms est tellement basse qu'il y a en permanence des "fournisseurs" de hack sur le darknet qui peuvent, et de manière fiable donner un accès complet à n'importe quel numéro, et apparemment (pour ceux qui s'y connaissent), c'est suffisamment simple à mettre en place pour ne pas avoir besoin de passer par ces services (1). C'est la raison pour laquelle l'ajout des sms en tant que facteur d’authentification est considérée comme étant une baisse de sécurité, car elle n'apporte quasiment rien, mais l'utilisateur pense que si.

      (1) citation needed N'hésitez pas à me corriger si vous avez plus de connaissance que moi sur le sujet.

      bépo powered

  • # interception SMS => ??? => données de <= 2007 ont fuités

    Posté par . Évalué à 7 (+7/-0).

    Salut,

    j'ai un peu de mal à comprendre comment passer d'une interception de SMS à "Toutes les données de 2007 et antérieures ont fuitées".

    ça sent la BDD archivée puispurgée, dont l'archive aurait été mise à dispo dans un dossier accessible publiquement ^

    Une idée?

  • # Sauvegarde et RGPD

    Posté par . Évalué à 3 (+5/-2).

    On parle beaucoup de l'attaque de la 2FA par interception de SMS mais ça ne me semble pas le sujet majeur.

    Ce qui me preoccupe le plus, c'est qu'une sauvegarde complète ait été conservée plus de 10 ans. Cela signifie que toutes les personnes qui ont demandé la suppression de leur compte et de leurs données personnelles ont été trompées puisqu'une copie de ces données à été conservée pendant plus de 10 ans. Avec comme finalité une énorme fuite. Cela prouve que reddit n'a pas fait l'audit nécessaire pour se préparer au respect du RGPD.

    A l'heure du RGPD cela me semble particulièrement inquiétant pour le respect de nos données personnelles.

    • [^] # Re: Sauvegarde et RGPD

      Posté par (page perso) . Évalué à 0 (+5/-7). Dernière modification le 13/08/18 à 12:12.

      pour se préparer au respect du RGPD

      Faut peut-être arrêter le fantasme sur le RGPD, tu crois sérieusement que les entreprises vont s'amuser à sortir la LTO, lire le fichier DB, effacer une ligne, ré-écrire sur la LTO, pour chaque demande individuelle?

      Le RGPD aide à beaucoup de gestion des données personnelles, mais faut arrêter à fantasmer avec "tromper" à tout bout de champs (ça ne veut pas dire que c'était bien qu'ils gardent, hein)

      On parle beaucoup de l'attaque de la 2FA par interception de SMS mais ça ne me semble pas le sujet majeur.

      Si.

      • [^] # Re: Sauvegarde et RGPD

        Posté par . Évalué à 2 (+3/-1).

        Le RGPD n'a pas dit de supprimer mais de documenter ses traitements. Si tu as des données personnelles dans tes sauvegardes, tu dois en indiquer la durée de conservation dans ton registre de traitement des donnés.

        On peut être en désaccord sur l'importance du sujet mais donner quelques arguments permettrait l'échange. Assement un "si" péremptoire ressemble plus à l'évitement de la conversation qu'à un échange.

        (bisous)

    • [^] # Re: Sauvegarde et RGPD

      Posté par (page perso) . Évalué à 10 (+7/-0). Dernière modification le 13/08/18 à 12:16.

      Je te met au défi, sur une infra un peu conséquente, de faire un audit qui ne passera pas à côté d'un backup de base de donnée.

      Cela signifie que toutes les personnes qui ont demandé la suppression de leur compte et de leurs données personnelles ont été trompées

      Est-ce qu'ils ont bien annoncé avoir supprimé les données ou que cela allait être fait dans un délai de 3 mois ?

      A l'heure du RGPD cela me semble particulièrement inquiétant pour le respect de nos données personnelles.

      Justement, ils ont signalé la fuite de données, conformément au RGPD.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Sauvegarde et RGPD

      Posté par . Évalué à 10 (+8/-0). Dernière modification le 13/08/18 à 13:52.

      À priori tant que les données utilisateurs sont purgées de la base "active", que les procédures de restoration excluent (ou prennent en compte un cleanup) des données des utilisateurs ayant demandés l'oubli et que ceux-ci sont informés de la durée de rétention définie, il n'y a pas d'obligation à détruire les backups avant la fin de ladite rétention:

      The GDPR is open to interpretation, so we asked an EU Member State supervisory authority (CNIL in France) for clarification. CNIL confirmed that you’ll have one month to answer to a removal request, and that you don’t need to delete a backup set in order to remove an individual from it. Organizations will have to clearly explain to the data subject (using clear and plain language) that his or her personal data has been removed from production systems, but a backup copy may remain, but will expire after a certain amount of time (indicate the retention time in your communication with the data subject). Backups should only be used for restoring a technical environment, and data subject personal data should not be processed again after restore (and deleted again).

      http://blog.quantum.com/backup-administrators-the-1-advice-to-deal-with-gdpr-and-the-right-of-erasure/#.Wv7qy0xFwy9

      When individuals request the erasure of their personal data, controllers should be transparent with them about what will happen to the backups:

      Primary instances of their data in production systems will be erased with all due speed
      Their personal data may reside in backup archives that must be retained for a longer period of time – either because it is impractical to isolate individual personal data within the archive, or because the controller is required to retain data longer for contractual, legal or compliance reasons.
      The individual can be assured that their personal data will not be restored back to production systems (except in certain rare instances, e.g., the need to recover from a natural disaster or serious security breach). In such cases, the user’s personal data may be restored from backups, but the controller will take the necessary steps to honor the initial request and erase the primary instance of the data again.
      Backup archives containing personal data will be protected with strong encryption, so that even if criminals were able to steal the archive, its contents would remain useless to them.
      Retention rules have been put in place so that personal data in backup archives is retained for as short a time as necessary before being automatically deleted.
      Records of all data subject requests regarding their personal data will be retained, as will audit logs that record all activities on backup archives containing personal data. This means that the user can be confident that their personal data has been backed up in accordance with GDPR principles of security by design and by default, as well as data minimization, and that their rights, including the right to be forgotten, have been honored.

      https://www.acronis.com/en-us/blog/posts/backups-and-gdpr-right-be-forgotten-recommendations

      Alors certe dans ce cas précis il y'a à priori eu une erreur de faite car à moins qu'il y'ait des besoins légaux je ne vois pas l'intérêt pour un site comme Reddit de garder des archives aussi longues et en tout cas pas sur des serveurs "en ligne".

      Après, faire une erreur ne veut pas dire qu'on "trompe" les utilisateurs.

      • [^] # Re: Sauvegarde et RGPD

        Posté par . Évalué à 1 (+3/-2). Dernière modification le 13/08/18 à 19:31.

        Je me suis peut être mal exprimé, je n'ai pas voulu prétendre qu'ils trompaient volontairement les utilisateurs.

        Je dis simplement que des données personnelles des utilisateurs de reddit se baladent sur leurs serveurs pendant 10 ans sans qu'ils s'en rendent compte (au mieux), ou pire qu'ils ont conservé sciemment une sauvegarde contenant des données personnelles pendant 10 ans.

        Je trouve ça inquiétant pour la confiance qu'on peut avoir concernant la protection de nos données personnelles que nous sommes en droit d'attendre d'eux en tant qu'utilisateurs…

        • [^] # Re: Sauvegarde et RGPD

          Posté par . Évalué à 3 (+1/-1). Dernière modification le 14/08/18 à 00:52.

          ou pire qu'ils ont conservé sciemment une sauvegarde contenant des données personnelles pendant 10 ans.

          C’est un site qui étudie les comportements sur le web. Avec le crowdsourcing, le big data, c’est complètement logique qu’ils conservent le maximum de ce qu’il peuvent sauvegarder et exploiter. Pour des méta-données des plus basiques, dix ans c’est vraiment pas excessif… Des données « personnelles » j’aurais tendance à dire qu’elles peuvent se monnayer sur quelques générations, disons six ou sept (pour viser large), donc il faudrait garder à peu prêt 150 ans… et je pense qu’on gardera plus…

  • # Application desktop

    Posté par . Évalué à 5 (+5/-0).

    Or moi j’utilise une distribution GNU/Linux, Debian pour ne pas la citer. Je n’ai pas de smartphone, je ne vis pas avec mon temps…
    

    J'ai un smartphone mais ça m'énerve de le chercher à chaque fois que je veux me connecter quelque part. Et mes clés TOTP sont stockées sur ma yubikey 4. Du coup j'ai utilisé un temps yubioath-desktop.

    Mais cette appli me saoulait grandement car elle cohabite très mal avec gnupg, plus particulièrement gpg-agent. En gros si gpg-agent a été utilisé pour récupérer ma clé gpg sur la yubikey, yubioauth ne marche pas. En plus c'est du qt et ça me fait mal aux yeux dans mon env gnome (je sais c'est mal de rejeter une appli juste à cause de son toolkit graphique, mais voilà). Au même moment je me cherchais un mini projet à faire en python3 + gtk, en conséquence je me suis fait mon propre soft.

    J'ai jeté le code sur framagit des fois ça intéresse des gens. C'est pas très propre, c'est pas très intuitif, il y a des bugs non corrigés depuis trop longtemps, mais chez-moi-ça-marchotte© (debian testing avec gnome). Pas besoin de yubikey, par défaut ça stocke les clés dans le keyring de l'user.

    Je ne suis pas 100% sûr qu'avoir une appli desktop pour générer des codes TOTP ne va pas totalement à l'encontre de la philosophie du 2FA, mais dans mon cas mes clés sont sur un token physique, et puis ça marche et c'est moins pénible que le smartphone (imho).

  • # Et pendant ce temps à Vera Cruz...

    Posté par (page perso) . Évalué à 2 (+2/-2).

    Courriel reçu ce matin suite à une inscription sur une boutique en ligne :

    Capture du courriel reçu avec identifiant et mdp

    La sécurité a encore des progrès à faire…

    • [^] # Re: Et pendant ce temps à Vera Cruz...

      Posté par . Évalué à 5 (+2/-0). Dernière modification le 15/08/18 à 00:21.

      Pour récupérer votre mot de passe en cas de perte, répondez à cette question secrète:
      "Quel est votre pseudo sur notre site?"
      Et nous l'enverrons à l'adresse email de votre choix! \o/

    • [^] # Re: Et pendant ce temps à Vera Cruz...

      Posté par (page perso) . Évalué à 3 (+1/-0).

      Il est question d'abus d'utilisations qui pose problème avec leur hébergeur.

      Il n'est pas question d'un problème de sécurité.

      Il y a plein d'autres raisons possibles.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.