Cloudbleed : comment modifier le mot de passe de votre compte Next INpact

On n'est jamais trop prudent

Cloudbleed : comment modifier le mot de passe de votre compte Next INpact

Le 24 février 2017 à 13h15

Commentaires (71)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Ulfr Sarr a écrit :



Bon, rien de catastrophique, xhamster n’est pas touché…



 

Non mais la faille qui permet de visionner les vidéos privées sans compte est toujours la.


votre avatar

joli <img data-src=" />

votre avatar

“Merde, quand même !!” <img data-src=" />

votre avatar

changé, merci

votre avatar

Il y a quand même un point qui me chiffone. J’ai changé mon mot de passe depuis mon téléphone, j’ai donc du saisir le nouveau mot de passe dessus. Depuis je n’ai pas eu l’impression de l’avoir saisi sur le pc alors que j’y suis connecté sans problème ?!

votre avatar

Il faut se déconnecter/reconnecter pour invalider les coockies. Enfin, c’est ce que j’avais compris et je le laisse écrit tel quel.



Mais ça ne marche pas !


En écrivant cela, je me suis rappelé que j’avai utilisé mon PC portable ce WE sur NXI sans changer le mot de passe alors que je m’étais bien déconnecté sur mon PC fixe.



Si les choses étaient bien faites, le seul changement de mot de passe devrait invalider les sessions en cours et forcer la demande de mot de passe, sinon, si notre mot de passe est déjà utilisé, on ne peut plus rien faire !

votre avatar

MDP changé

votre avatar

La liste et l’outil ne donnet pas les mêmes résultats, exemple :



phpbb.com est sur la liste et l’outil indique



“Phew, the website does not use cloudflare!”



Bref, la pagaille.



De toutes façons, plus on regroupera de choses sur Internet, plus on sera vulnérables. Mais on continue…

votre avatar

Ça fait longtemps que je me dis que je dois changer mon mdp nxi parce qu’il est trop simple (et je le fais pas pour cause de flemme), là c’est une bonne occasion de me décider.

votre avatar

“Comme même”



COMME





MÊME…



COMME MÊME…:eek:

<img data-src=" />

votre avatar

Yep, c’est un même qui a la vie dure. :-/

votre avatar

C’est pas pour être méchant mais ça me semble relever de la faute de la part de l’équipe technique de NXi…





Faire transiter les données confidentielles par un tiers qui possède les clés de décryptage SSL c’est du grand n’importe quoi !



Un CDN c’est fait pour servir du contenu statique ! Point final ! A partir du moment où l’on commence à avoir des données sensibles qui transitent en clair chez un prestataire et que ce prestataire est assez gros ça devient un point de vulnérabilité critique du réseau.



Alors on pourrait taper sur cloudflare et ses fonctionnalités (pourries) qui vont au-delà du CDN pour promettre le beurre, l’argent du beurre et la crémière en prime (j’ai souvenir d’une conversation il y a peu sur nxi ou un brillant béotien me soutenait qu’il suffisait de mettre un site derrière cloudflare pour le sécuriser, le tout basé sur le white paper de cloudflare…), mais je tape bien plus sur les sites qui font le choix d’utiliser ces implémentations !



Jusqu’à il y a peu toute la partie login / account de nxi était sur azure, pourquoi avoir changé ??!!



Merci de rendre vos visiteurs et abonnés vulnérables….

votre avatar

CF, azure ou tamère ca ne change rien au problème de base: l’envoi en clair du mdp par POST.



Il est temps que le W3C ratifie l’un des nombreux RFC qui propose du challenge-response sur HTTP, et que le browser s’occupe de la partie hash/crypto du mdp lors de l’envoi.

votre avatar

Merci pour l’info, c’est fait aussi.

votre avatar







127.0.0.1 a écrit :



CF, azure ou tamère ca ne change rien au problème de base: l’envoi en clair du mdp par POST.



Il est temps que le W3C ratifie l’un des nombreux RFC qui propose du challenge-response sur HTTP, et que le browser s’occupe de la partie hash/crypto du mdp lors de l’envoi.







Plutot d’accord sur le fond, par contre pas d’accord du tout sur le fait de dire que ça ne change rien !



Si cloudflare n’était utilisé que pour ce pour quoi il est fait il n’y aurait aucune incidence (bon sauf éventuellement sur un piratage qui change le corps de la réponse).



Si la partie login / account était sur azure et que NXi se fasse hack ça compromettrait le couple login / mdp de nxi.



Par contre actuellement tous les sites utilisant cloudflare sont potentiellement touchés (et ça en fait un paquet !). Tu ne vois toujours pas le problème de faire transiter des données en clairs par un prestataire centralisé ? Le web n’a pas été pensé centralisé, c’est la base et toutes les RFC sont pensées sur une architecture décentralisée….


votre avatar







Fuinril a écrit :



Si cloudflare n’était utilisé que pour ce pour quoi il est fait il n’y aurait aucune incidence (bon sauf éventuellement sur un piratage qui change le corps de la réponse).





T’as le droit de pas aimer (j’aime pas non plus), mais cloudflare c’est principalement un reverse proxy as a service, il est utilisé pour ce qu’il est fait.&nbsp; Non ce n’est pas juste un CDN pour servir des fichiers statiques.


votre avatar

ah c’est le seul truc qui t’as heurté ? l’absence de reconnaissance d’un homme face aux efforts d’un de ses congénères <img data-src=" />

votre avatar







Ulfr Sarr a écrit :



Bon, rien de catastrophique, xhamster n’est pas touché…



<img data-src=" />





ni &nbsp;yahoo.com&nbsp;<img data-src=" />


votre avatar







Pheem5Oo a écrit :



T’as le droit de pas aimer (j’aime pas non plus), mais cloudflare c’est principalement un reverse proxy as a service, il est utilisé pour ce qu’il est fait.  Non ce n’est pas juste un CDN pour servir des fichiers statiques.







Cloudflare c’est un CDN qui a développé des fonctionnalités de reverse proxy. D’ailleurs sur le site de cloudflare en produit c’est bien marqué CDN et non autre chose.



Et non ce n’est plus que ça…. et il aurait été bien plus sain plus le web que ça le reste….



Et puis leur méthode de présentation de service à base “utilisez cloudflare et vous aurez un site invulnérable aux DDoS et sécurisé”… c’est du niveau d’apple avec “il n’y a pas de virus sur mac”, oh certes, par contre il y a tout un tas de malware…


votre avatar







heret a écrit :



Suite à une fuite de données chez Cloudflare, un CDN utilisé notamment par Next INpact, nous conseillons à nos lecteurs…



Suite à, mais c’est horripilant, mais c’est insupportable !

&nbsp;

=&gt; Cloudflare, un CDN utilisé notamment par Next INpact, ayant été piraté, nous conseillons à nos lecteurs…

=&gt; En raison d’une fuite de données chez Cloudflare, un CDN utilisé notamment par Next INpact, nous conseillons à nos lecteurs…

=&gt; Parce qu’une fuite de données a été détectée chez Cloudflare, un CDN utilisé notamment par Next INpact, nous conseillons à nos lecteurs…



Et pourquoi pas “une fuite de données chez Cloudflare génère nos conseils de changements de mots de passe” ?



Halte au langage formaté ! Halte à l’appauvrissement du vocabulaire ! Halte à l’appauvrissement de la pensée ! Halte à la décadence !



“Horripilant, insupportable, appauvrissement, décadence”…pour 2 mots dans un article, tu dois souffrir dans ton quotidien ; ne serait-ce qu’en lisant les commentaires ici.



Signé : un ayatollah de l’orthographe qui a trouvé son maître.


votre avatar







Pheem5Oo a écrit :



Bof, l’intérêt est super limité non? Compromission du hash =&gt; compromission du compte, et compromission du serveur, compromission du mot de passe en clair, vu que c’est lui que sert le js qui va générer le hash. Je dis pas que l’intérêt est nul, c’est toujours une couche supplémentaire, mais bon, full https + pas de stockage en clair, c’est suffisant pour un site qui n’est pas une cible de haute valeur à priori.





Disons qu’il faut être globalement d’accord avec toi : c’est une couche supplémentaire, pas un miracle. Mais l’interception du Hash d’un MDP à ceci de positif qu’il protège l’ultra-majorité des utilisateurs qui ré-utilisent à de nombreux endroits le même mot de passe. Il est beaucoup plus difficile de challenger une authentification via le hash direct, voir impossible, surtout quand on ajoute un coup de salage.

Le camarade 127.0.0.1 en reparle un peu plus haut d’ailleurs.

Les bonnes pratiques sont de ne jamais faire transiter les MDP en claire, en particulier quand il y a des intermédiaires (cf la politique de 1password).


votre avatar

Ca serait peut être bien d’avoir aussi une case “Supprimer le mot de passe” pour avoir une connexion uniquement via OpenID/twitter/facebook/google ?



youtube.com YouTube&nbsp;

votre avatar

ashleymadison.com ??? encore ???

votre avatar

Si on a modifié le mode d’accès pour passer par LPL avant le 22/09/2016, normalement il n’y a pas de problème. Juste ?

votre avatar

github.com GitHubCa a pas été déjà donné par ici ?

votre avatar







heret a écrit :



Halte au langage formaté ! Halte à l’appauvrissement du vocabulaire ! Halte à l’appauvrissement de la pensée ! Halte à la décadence !





ça va, sais abusé, on est pas chez l’académy francaise comme même, on ai sur un site sur le digital ! <img data-src=" />







Vite la bouteille d’oxygène pour heret ! <img data-src=" />


votre avatar







TheDwarf a écrit :



github.com GitHubCa a pas été déjà donné par ici ?





le lien est dans la news.



<img data-src=" />


votre avatar

Le changement de mot de passe, c’est maintenant !



AAAAAARRGH ! UN COMPLOT HOLLANDISTE !



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

Arf, je me demandais bien où j’avais pu trouver ce lien … <img data-src=" />

votre avatar

Mdp changé, au cas où.

Ah, quel bonheur les trucs centralisés …



Un prestataire qui a un soucis, des dizaines de sites potentiellement touchés.



Bon, je vais faire le tour des services que j’utilise, histoire de …

votre avatar

Bof, l’intérêt est super limité non? Compromission du hash =&gt; compromission du compte, et compromission du serveur, compromission du mot de passe en clair, vu que c’est lui que sert le js qui va générer le hash. Je dis pas que l’intérêt est nul, c’est toujours une couche supplémentaire, mais bon, full https + pas de stockage en clair, c’est suffisant pour un site qui n’est pas une cible de haute valeur à priori.

votre avatar







TheDwarf a écrit :



github.com GitHubCa a pas été déjà donné par ici ?







zone-telechargement.com





C’est un coup de Hollande!!


votre avatar

Fait



Mais c’est une honte ! je proteste !

Bientot dans Le Monde “NXI oblige ses lecteurs à changer leur mot de passe” <img data-src=" />

votre avatar

Fait :)

votre avatar

Le changement des mots de passe par précaution, à la suite de fuites, commence à devenir une occupation un peu trop récurente à mon goût. Je vais finir par bazarder tous les comptes qui n’offrent pas de double authentification.

votre avatar

Et hop, le MDP changé après 2 ans ! <img data-src=" />

<img data-src=" />

votre avatar

Au passage, on doit contacter qui quand on se voit attribuer un nouveau compte (oui, j’ai fait l’erreur de changer mon mot de passe avec “Mot de passe oublié”) ?

votre avatar

Là on est clairement en minitel 2.0 <img data-src=" />

votre avatar

Merci pour la transparence et l’information NXI ! Changements faits, longue vie à vous :)

votre avatar

+1.



Ca commence a devenir sacrément lourd … :/

votre avatar







Bejarid a écrit :



Donc malheureusement, faut changer les mots de passe de TOUS les site où tu ne voudrais pas voir ton compte fuiter. Sauf si t’es sur qu’il n’y a pas CloudFlare (ex Google, Microsoft, le site du geek du coin qui voudra plutôt déployer son propre CDN qu’en utiliser un tout fait, etc).





Non tu blague la <img data-src=" />



Bon yolo et je change rien <img data-src=" />


votre avatar

Les avocats spécialisés dans le divorce s’en frotteraient les mains pourtant… <img data-src=" />

votre avatar

Quelle preuve on a que NXI n’est pas sous contrôle de hackers, et que cette news n’est pas un fake destiné à sniffer nos anciens+nouveaux passwords ?



Après tout, les hackers ont très bien pu récupérer les password des admins.



#paranoiaaaa aaa aaaa

votre avatar

Perso, sur les sites comme next-inpact où la seule chose d’intéressant que je renseigne est mon e-mail spé spam, j’utilise un mdp perso que je sais qu’il a fuité depuis des années mais que osef, parce que j’ai rien à perdre.



&nbsp; Par contre, les comptes où j’ai ma CB de renseigné et/ou les comptes de jeux, j’ai un e-mail et des mdp bien plus velus et différents ^^.



&nbsp;Mais pouce vert pour la transparence ;)

votre avatar

Bah non il blague pas <img data-src=" /> il faut changer tous les mdp des sites utilisant cloudflare

votre avatar

Et c’est là où tu es content d’avoir KeePass (ou autre gestionnaire) avec mots de passe générés aléatoirement, pour ne pas avoir à se creuser la cervelle pour trouver des nouveaux mots de passe !

votre avatar

Le code c’est le code ? Ça va, ils se sont pas trop cassé le bonnet pour la trouver celle là… <img data-src=" />

votre avatar

Suite à une fuite de données chez Cloudflare, un CDN utilisé notamment par Next INpact, nous conseillons à nos lecteurs…



Suite à, mais c’est horripilant, mais c’est insupportable !

&nbsp;

=&gt; Cloudflare, un CDN utilisé notamment par Next INpact, ayant été piraté, nous conseillons à nos lecteurs…

=&gt; En raison d’une fuite de données chez Cloudflare, un CDN utilisé notamment par Next INpact, nous conseillons à nos lecteurs…

=&gt; Parce qu’une fuite de données a été détectée chez Cloudflare, un CDN utilisé notamment par Next INpact, nous conseillons à nos lecteurs…



Et pourquoi pas “une fuite de données chez Cloudflare génère nos conseils de changements de mots de passe” ?



Halte au langage formaté ! Halte à l’appauvrissement du vocabulaire ! Halte à l’appauvrissement de la pensée ! Halte à la décadence !

votre avatar
votre avatar

Et voilà qu’Heret tique…

votre avatar

D’ailleurs, on peut espérer que NXI, dans ses excellentes pratiques, procède bien à un hachage côté navigateur avant de faire transiter le mot de passe (au moment de l’identification) n’est-ce pas ? Https ou pas https.

votre avatar







ITWT a écrit :



Et voilà qu’Heret tique…





ah ah joli <img data-src=" />


votre avatar







David_L a écrit :



Non, le site n’est pas derrière CF (sinon on l’aurait précisé)





L’Article qu’il nous faut vraiment, c’est comment trouver simplement TOUT les site qui utilise CF…



Enfin je dit ça, je dit rien.


votre avatar

2 sites connus concernés :



-&nbsp; voyageforum.com




  • uptobox.com

votre avatar

<img data-src=" />

votre avatar

J’ai a priori réussi à faire 2 fois la même erreur lors du changement de mot de passe.

J’ai dû passer par une réinitialisation pour mettre celui que je voulais mettre…

votre avatar

j’ai lu un peu leur blog en diagonal, mais je vois pas trop comment le mdp aurait put être leaké étant donné que c’est en https et que les clef ssl n’ont pas leak.



Théoriquement c’est safe non ? ( un peu plus de détail sur la faille peu être intéressant )

votre avatar

Je n’ai aucun login et/ou mdp employé deux fois, même isolément… J’ai pas trop l’intention de changer du coup, si ça foire c’est qu’il y a un souci plus gros que prévu.

votre avatar

Le changement est-il nécessaire aussi pour la presse libre? Vu que le changement de celui de NXI ne l’affecte pas.



Le site mouline, j’ai galérer pour me connecté.<img data-src=" />

votre avatar

Non, le site n’est pas derrière CF (sinon on l’aurait précisé)&nbsp;

votre avatar

Merci.<img data-src=" />

votre avatar

Merci pour l’info, je l’ai fait par sécurité, même si le risque est faible. On sait jamais.



En même temps après tous les articles sur la sécurité/crypto/gestionnaire de MDP, ça serait un comple pour vous de pas vous en soucier lol.

votre avatar

Changé, on sait jamais.<img data-src=" />

votre avatar

Hmmm je suis en HTTPS la, si cela n’a pas fuité à ce niveau, c’est assez safe ?



Edit &gt; Cela ne semble toucher que les flux HTTP, pas HTTPS donc, si l’on est full HTTPS sur NXi, on ne risque à priori rien du tout.

votre avatar

A partir d’une requête POST par exemple

votre avatar

Jamais trop prudent.

MDP changé

votre avatar

https ça change rien, cloudflare est un mitm dans ce cas, ils voient passer les flux en clair, et donc ont pu leaker votre mot de passe.

votre avatar

@PCI vous êtes transparents sur le sujet et c’est plutôt cool…

Mais comment savoir si l’un des sites qu’on consulte au quotidien utilise CF histoire d’y changer le MDP ?



Merci !



Edit : J’ai bien vu le site qui permet de savoir si CF est utilisé ou non, mais vu ma liste de site, ça va faire une soirée sympa à lister tous mes sites inscrits sur LastPass… ça va être fun… !

votre avatar

pour ma part j’ai aussi changé le MDP sur plex.tv

votre avatar







Orphee a écrit :



@PCI vous êtes transparents sur le sujet et c’est plutôt cool…

Mais comment savoir si l’un des sites qu’on consulte au quotidien utilise CF histoire d’y changer le MDP ?



Merci !



Edit : J’ai bien vu le site qui permet de savoir si CF est utilisé ou non, mais vu ma liste de site, ça va faire une soirée sympa à lister tous mes sites inscrits sur LastPass… ça va être fun… !





Même CloudFlare est incapable de savoir quel site ont utilisé leur service récemment (car la faille ne date pas d’hier, et il suffit de se pencher sur les échanges passé pour trouver ce qu’on souhaite trouver ajd), car ils n’ont pas pu donner cette liste à Google pour qu’ils vident leurs cache.



Donc malheureusement, faut changer les mots de passe de TOUS les site où tu ne voudrais pas voir ton compte fuiter. Sauf si t’es sur qu’il n’y a pas CloudFlare (ex Google, Microsoft, le site du geek du coin qui voudra plutôt déployer son propre CDN qu’en utiliser un tout fait, etc).


votre avatar

Bon, rien de catastrophique, xhamster n’est pas touché…



<img data-src=" />

Cloudbleed : comment modifier le mot de passe de votre compte Next INpact

Fermer