Journal Waka ne signifie pas canoë qui prend l'eau en maori.

Posté par téthis le 24 mai 2010 à 18:05.

Étiquettes : aucune

mai

2010

Skyblog a été la cible d'une attaque a travers de sa nouvelle plateforme waka (le « lache ton com » à 1 million du gouvernement).

Jusque là rien de très choquant. Le problème vient des paroles de Jérôme Aguesse, directeur de production de chez Skyblog : « Nous conservons dans une base protégée un historique des mots de passe en clair afin, d'une part, d'assister les utilisateurs lors des vols de mots de passe et, d'autre part, de pouvoir restituer leur mot de passe aux utilisateurs qui le demandent et dont les emails d'inscription ne sont plus valides ».

Pour être neuneu-proof, les mots de passe sont stockés en clair dans un base protégée (par un mot de passe en clair ?). :shocking:

Heu…

http://www.lemonde.fr/technologies/article/2010/05/24/skyblo(...)

http://www.numerama.com/magazine/15785-skyrock-fait-waka-dan(...)

# Sur le même sujet

Posté par __o le 24 mai 2010 à 18:25. Évalué à 5.

Voir aussi http://www.korben.info/waka.html qui nous parle du côté bidon du site et des faux intervenants qui peuplent les commentaires

Et http://www.pcinpact.com/actu/news/57107-waka-commentaire-lib(...) à propos de la censure qui règne sur ce site
- [^] # Re: Sur le même sujet
  
  Posté par Obsidian le 24 mai 2010 à 20:52. Évalué à -1.
  
  Enfin, en même temps, qui a envie d'être hébergé sur Skyblog ? On y trouve soit les états d'âme des ados, soit le blog de Francis Marmande. Dans les deux cas, si ce n'est pas protégé, c'est parce qu'il n'y a rien à protéger.
  
  J'exagère à peine. Ce qui est effectivement ennuyeux, c'est que quelque puisse éventuellement faire dire des choses graves à une autre personne. Mais si le site est réputé non-fiable, il suffit de ne porter aucun crédit à ce qui y est écrit. En contrepartie, on a un espace que l'on peut « taguer » selon ses humeurs sans que ce soit considéré comme du vandalisme…
  - [^] # Re: Sur le même sujet
    
    Posté par Seb le 24 mai 2010 à 21:49. Évalué à 5.
    
    Le fait que ces comptes aient été piratés n'est pas gênant pour leur contenu directement, on est bien d'accord que tout le monde se fout de la disparision d'un skyblog.
    
    Par contre, là où cette attaque est problématique, c'est que skyrock génère plusieurs millions de visites par mois par à peu près autant de personnes.
    
    donc le gentil pirate dispose de millions de possibilités pour héberger et diffuser des liens vers des programmes méchants qui vont ensuite polluer l'internet mondial haut débit.
    
    Je pense que quand on développe une plateforme de cette envergure, on a une responsabilité qui dépasse la sécurité de ses propres serveurs, (with great power comes great responsability) et qu'il y a des moyens de crypter les mots de passes dans la base tout en permettant leur renvoi par mail en cas de demande, sans pour autant les stocker en clair.
    - [^] # Re: Sur le même sujet
      
      Posté par pampryl le 24 mai 2010 à 22:17. Évalué à 10.
      
      Et c'est sans compter que ces mots de passe potentiellement récupérés sont sûrement pour nombre, utilisés par les mêmes utilisateurs sur d'autres services web...
      
      D'un site mal sécurisé et d'une erreur de la part des utilisateurs (avoir des mots de passe similaires sur différents services) de très nombreuses possibilités s'ouvrent à la personne qui a une telle liste de mots de passe... Facebook, twitter, banques en ligne, webmail, msn etc... Sur 32 millions de compte, il doit y avoir de quoi faire.
      - [^] # Re: Sur le même sujet
        
        Posté par Grunt le 25 mai 2010 à 12:00. Évalué à 1.
        
        Oui, mais ce n'est pas reprochable à Syblog, ça: si tu utilises le même mot de passe pour un blog en carton avec rien d'important, et pour gérer ton portefeuille d'action, ben.. s'toi le PEBCAK.
        THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
        
        [^] # Re: Sur le même sujet
        
        Posté par pampryl le 25 mai 2010 à 12:33. Évalué à 3.
        
        D'un site mal sécurisé et d'une erreur de la part des utilisateurs
        ;-)
      - [^] # Re: Sur le même sujet
        
        Posté par thy_off le 26 mai 2010 à 23:37. Évalué à 1.
        
        Il me semble qu'un forum de grande ouverture (si quelqu'un retrouve l'affaire...) avait subi une jolie attaque.
        
        L'attaquant avait publié la liste des mots de passe (mais sans la correspondance avec les login).
        
        Ce genre d'évenements (la publication d'une liste conséquente de mots de passe) peut avoir deux conséquences:
        
        1: création d'un dico pour aider une attaque "semi-brute" (on teste d'abord les pass du dico, puis seulement après on y va à la force vraiment brute)
        
        2: création d'une liste de mot de passes interdits car triviaux (car j'imagine, mais c'est seulement une supposition, que les djeun'z s'embetent pas avec des générateurs de pass).
        
        Y a déjà eu des choses similaires ? je serais curieux de lire à propos de ca si cela c'est déjà produit...
# astuce ?

Posté par dave le 24 mai 2010 à 23:17. Évalué à 4.

Salut, je me trompe, où la procédure habituelle est de renvoyer un nouveau mot de passe, lorsque l'utilisateur a perdu le sien ?

Moi personnellement, j'utilise un mot de passe aléatoire (pwgen est mon ami si l'on peut s'exprimer ainsi).
Systemd, the bright side of linux, toward a better user experience and on the road to massive adoption of linux for the desktop.
- [^] # Re: astuce ?
  
  Posté par dave le 24 mai 2010 à 23:24. Évalué à -3.
  
  j'ai oublié de dire que j'utilise à chaque fois un mot de passe différent de longueur 10. À peu près 26¹⁰ combinaisons possibles, ça en fait des mots de passe ...
  ~(2⁶)¹⁰ = 2⁶⁰ combinaisons, en se référant à des mots de passe majuscule-minuscule-chiffres soit un total de 2*26 + 10 = 62 symboles.
  Systemd, the bright side of linux, toward a better user experience and on the road to massive adoption of linux for the desktop.
  - [^] # Re: astuce ?
    
    Posté par Sylvain (site web personnel) le 24 mai 2010 à 23:58. Évalué à 9.
    
    osef
  - [^] # Re: astuce ?
    
    Posté par Uvoguine le 25 mai 2010 à 00:03. Évalué à 10.
    
    C'est marrant, t'as appliqué la même technique pour ton login !
- [^] # Re: astuce ?
  
  Posté par téthis le 25 mai 2010 à 00:02. Évalué à 2.
  
  J'utilise aussi des mots de passe générés. Cela se fait à l'aide d'une clef et du nom de domaine, plus utilisation de différents jeux de caractères en fonction des limitations du site. Je n'ai donc que faire de mon mot de passe. :) J'ai toujours vu les sites web proposer un mot de passe généré aléatoirement lorsque je perdais le mot de passe (je n'ai pas toujours eu le programme pour en générer :p)
  
  Je ne comprends pas l'argumentaire exposé par Skyblog sur la nécessité d'avoir les mdp en clair. Cela doit être ce qu'on appelle du discours marketing ; la lacune importante sur la sécurité du site se transforme en une fonctionnalité top moumoute.
  The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
  - [^] # Re: astuce ?
    
    Posté par B16F4RV4RD1N le 25 mai 2010 à 01:12. Évalué à 5.
    
    ben comme ça bogoss93@hotmail.fr qui a ouvert son blog sur skyblog, et qui par la suite a préféré utiliser suprgrossekekette93@hotmail.fr pour discuter avec sa nouvelle copine sur msn, ne sera pas déboussolé s'il oublie son mot de passe qui dans le cas d'une sécurité pas kevin-compliant, serait renvoyé (modifié en plus) vers bogoss93@hotmail.fr
    
    Une précision, "le « lache ton com » à 1 million du gouvernement", en fait c'est 2 millions, mais on n'est pas à un million près dans ces cas là...
    Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
    - [^] # Re: astuce ?
      
      Posté par kowalsky le 25 mai 2010 à 13:38. Évalué à 10.
      
      J'aimerais bien que tu arrêtes de communiquer mes adresses mail partout !
  - [^] # Re: astuce ?
    
    Posté par Graveen le 25 mai 2010 à 01:16. Évalué à 5.
    
    moi aussi je faisais ça, jusqu'à ce que je devienne schizo.
    
    mais maintenant nous allons mieux.
    - [^] # Re: astuce ?
      
      Posté par adonai le 25 mai 2010 à 20:04. Évalué à 4.
      
      Faudra le répéter un paquet de fois, mais allez, ça finira par rentrer : la schizophrénie n'est pas un synonyme de "personnalités multiples".
      
      Donc à la fin, tu vas mieux tout seul.
      - [^] # Re: astuce ?
        
        Posté par Maclag le 26 mai 2010 à 07:19. Évalué à 6.
        
        Tu lui dis ça à lui, alors que c'est seulement sa seconde personalité qui est schizo!
  - [^] # Re: astuce ?
    
    Posté par Graveen le 25 mai 2010 à 01:17. Évalué à 2.
    
    sinon, bien sûr que c'est du bullshit. c'est d'ailleurs le fond du journal: comment peux t-on oser justifier une telle hérésie ? discours marketing = discours politique ?
    
    Je ne vais pas paraphraser Audiard ce soir, mais j'en ai furieusement envie :)
# Chez over-blog c'est pareil

Posté par yellowiscool le 25 mai 2010 à 00:36. Évalué à 2.

Chez over-blog, les mots de passes sont eux aussi en clair.

Bon, je n'ai pas de preuves, mais une personne proche du dossier m'en a fait par :P

Ça a pas l'air d'être à la mode de chiffrer les mots de passes dans les gros sites propriétaires.
Envoyé depuis mon lapin.
- [^] # Re: Chez over-blog c'est pareil
  
  Posté par Sébastien B. le 25 mai 2010 à 10:50. Évalué à 2.
  
  Ca y est, la preuve je l'ai, tu fais un compte, tu confirme ton mail, tu vas dans récupérer identifiants de connexion. Tu recois tes identifiants et ton mot de passe.
  - [^] # Re: Chez over-blog c'est pareil
    
    Posté par claudex le 25 mai 2010 à 10:53. Évalué à 5.
    
    Ça ne prouve pas qu'ils sont stockés en clair (ils peuvent être stockés chiffrés par un mot de passe), mais que ce n'est pas un hash tu mot de passe qui est conservé.
    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
    - [^] # Re: Chez over-blog c'est pareil
      
      Posté par Zenitram (site web personnel) le 25 mai 2010 à 21:45. Évalué à 4.
      
      , mais que ce n'est pas un hash tu mot de passe qui est conservé.
      
      Ce qui au niveau sécurité, est certes un peu mieux, mais pas beaucoup plus... Un mot de passe volé, ou juste une faille, et ça donne 20 Millions de mots de passe dispos!
- [^] # Re: Chez over-blog c'est pareil
  
  Posté par zebra3 le 25 mai 2010 à 14:28. Évalué à 2.
  
  une personne proche du dossier m'en a fait par
  
  Par quoi ?
  Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
  - [^] # Re: Chez over-blog c'est pareil
    
    Posté par hervé Couvelard le 25 mai 2010 à 15:44. Évalué à 4.
    
    on dit "par ou ?"
# Ce qu'il faut comprendre

Posté par Moogle le 25 mai 2010 à 15:54. Évalué à 5.

"Nous conservons dans une base protégée un historique des mots de passe en clair afin, d'une part, d'assister les utilisateurs lors des vols de mots de passe [...]"

Les utilisateurs dont il est question ne sont pas les utilisateurs de Skyblog, mais bien les pirates qui voudraient voler des mots de passe. Stocker les mots de passe en clair a donc dû bien les aider, en effet.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.