Domino's Pizza : entre chiffrement, pirates « aguerris » et demande de rançon

Domino’s Pizza : entre chiffrement, pirates « aguerris » et demande de rançon

La prochaine fois, les mots de passe hashés menu avec un peu de sel svp

Avatar de l'auteur

Sébastien Gavois

Publié dansInternet

17/06/2014
42
Domino's Pizza : entre chiffrement, pirates « aguerris » et demande de rançon

Il y a quelques jours, Domino's Pizza était victime d'une cyberattaque entraînant une fuite de données personnelles. Contactée par nos soins, la société a répondu à nos questions concernant le chiffrement des mots de passe de ses clients. Elle nous confirme aussi avoir été la cible d'une demande de rançon de la part d'un groupe de pirates.

Pirate Piratage Sécurité
Crédits : Andrey Popov/iStock/Thinkstock

Vendredi dernier, Domino's Pizza informait ses clients qu'une faille de sécurité avait été identifiée et colmatée. Néanmoins, « cet accès illégitime a potentiellement entraîné la récupération d’un nombre limité de données vous concernant ». Cela concernait le nom, le prénom, l'adresse, l'email ainsi que le mot de passe.

Les mots de passe étaient chiffrés, mais les pirates étaient « aguerris »

Nous avions alors demandé un complément d'explications à la société sur ce dernier point, notamment en ce qui concerne le chiffrement des données : « Domino’s Pizza utilise un système de cryptage des données commerciales. Toutefois, les hackers dont nous avons été la cible sont des professionnels aguerris et ont été en mesure de décoder le système de cryptage. De fait, suite à la cyberattaque, nous avons immédiatement mandaté des experts pour auditer notre système de cryptage des données et identifier la faille qui pourrait avoir permis à des hackers de le décoder. Une faille potentielle a été identifiée et sécurisée ». nous répondait-on alors.

 

Les mots de passe étaient donc bien chiffrés, mais cela n'a pas été suffisant pour les protéger de l'attaque des pirates, ce qui semble indiquer une faiblesse dans la procédure utilisée. De plus, on regrettera que la société ne se contente pas d'enregistrer le hash avec une composante aléatoire de ces derniers, ce qui aurait pu éviter ce genre de déboires comme nous l'avons déjà plusieurs fois expliqué, notamment dans ce précédent article.

Une demande de rançon a bien été envoyée à Domino's Pizza...

Nous avons ensuite pu nous entretenir avec un porte-parole de la société sur un nouveau volet de cette sombre affaire : le chantage. Nous avons ainsi pu avoir la confirmation qu'une demande de rançon avait été envoyée à Domino's Pizza. Faute de payer 30 000 euros, un groupe de pirates répondant au nom de Rex Mundi explique qu'il publiera les coordonnées de pas moins de 592 000 comptes clients. À titre d'avertissement, trois exemples étaient mis en ligne, avant d'être finalement retirés :

 

Domino's Pizza 

Les données personnelles des trois comptes touchés ont volontairement été effacées par nos soins

 

Sur ce dernier point par contre, la société refuse de confirmer ou d'informer qu'il s'agit bien de comptes de ses clients, nous ne saurons donc pas si la base détenue provient effectivement de chez Domino's Pizza. On nous précise néanmoins que la faille a bel et bien été bouchée, contrairement à ce qui est annoncé par les pirates. Quoi qu'il en soit, Domino's Pizza indique qu'il n'est pas question de céder à cette demande de rançon et n'« entrera pas non plus dans ce jeu ».

 

Hier soir, elle s'est également fendue d'un communiqué de presse afin de réaffirmer sa position : « Domino’s Pizza France, qui collabore étroitement avec les autorités compétentes, est plus que jamais déterminée à ne pas répondre au chantage de quelque organisation criminelle que ce soit ». Une plainte a évidemment été déposée.

...comme c'était le cas pour Feedly la semaine dernière

Cette histoire n'est pas sans rappeler le cas de Feedly qui a été victime d'un maître chanteur pas plus tard que la semaine dernière. Là encore, le service a refusé de payer la somme demandée, ce qui lui a d'ailleurs valu pas moins de trois attaques DDoS en l'espace de quelques jours. Depuis, les choses semblent s'être calmées, reste à voir si cela sera le cas dans la durée.

 

Pour rappel, le chantage aux attaques DDoS contre une rançon en bitcoins est en pleine expansion outre-Atlantique. Avec les failles de sécurité et autres fuites de données qui sont de plus en plus fréquentes ces derniers temps, ce genre de demande pourrait bien se développer encore un peu plus.

42
Avatar de l'auteur

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Poing Dev

Le poing Dev – Round 7

Meuh sept super !

22:32 Next 8
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

« Money time »

18:06 WebSécu 3

Trois consoles portables en quelques semaines

Et une nouvelle façon de concevoir le jeu se confirme

10:45 Hard 36

Sommaire de l'article

Introduction

Les mots de passe étaient chiffrés, mais les pirates étaient « aguerris »

Une demande de rançon a bien été envoyée à Domino's Pizza...

...comme c'était le cas pour Feedly la semaine dernière

Poing Dev

Le poing Dev – Round 7

Next 8
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 3

Trois consoles portables en quelques semaines

Hard 36
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

43
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 20
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub
Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 16
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 35
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 53
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 11

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion
livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast
Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (42)


Gab&
Il y a 9 ans

30K€, ces pirates ne demandent pas bien cher comparé au crime que cela représente et comparé au risque de se faire attraper à faire chanter cette entreprise… <img data-src=" />


anonyme_6d3c8325027b08b8beb8eb7f143f3660
Il y a 9 ans






Gab& a écrit :

30K€, ces pirates ne demandent pas bien cher comparé au crime que cela représente et comparé au risque de se faire attraper à faire chanter cette entreprise… <img data-src=" />



C’est claire que risque de se faire agrandir la chocolaterie pour 30k€ ( à se partager en plus) ça ne vaut pas le coups. 30K€ et une quatre fromages chacun aurait été plus judicieux.



Oliewan Abonné
Il y a 9 ans

Comme quoi la junk food n’est pas mauvaise que pour la santé du consommateur mais aussi pour ses données.


Esarend
Il y a 9 ans

D’un autre coté, nos données perso sont tellement piratés dans tous les sens qu’on se demande si elles ont encore une réelle valeur marchande (Même si ce n’est pas ce groupe qui les fournit, il y en a dix autres qui doivent déjà les avoir)


ziboom
Il y a 9 ans






Esarend a écrit :

D’un autre coté, nos données perso sont tellement piratés dans tous les sens qu’on se demande si elles ont encore une réelle valeur marchande (Même si ce n’est pas ce groupe qui les fournit, il y en a dix autres qui doivent déjà les avoir)



+1 je me posais exactement la même question.



megt Abonné
Il y a 9 ans






Gab& a écrit :

30K€, ces pirates ne demandent pas bien cher comparé au crime que cela représente et comparé au risque de se faire attraper à faire chanter cette entreprise… <img data-src=" />


Je pense qu’en demandant ‘que’ 30k€, les pirates se disent que Dominos (ou autre) diront plus facilement oui. Si on vous demande 1 M€ c’est assez difficile de ne pas ébruiter l’affaire. Uniquement 30 k€, cela passe plus facilement sur les comptes <img data-src=" />



nim65s Abonné
Il y a 9 ans






Gab& a écrit :

30K€, ces pirates ne demandent pas bien cher comparé au crime que cela représente et comparé au risque de se faire attraper à faire chanter cette entreprise… <img data-src=" />



Ouais, ’fin s’ils sont en France…
Dans un tas de pays, ils risquent pas gros…<img data-src=" />



Mihashi Abonné
Il y a 9 ans

De toute manière, céder à ce chantage serait stupide. C’est pas comme un otage qu’on libère contre une rançon. Là il n’y a aucune certitude que le groupe ne garde pas une copie et continue à demander plus après ou diffuse les données.


sashimi
Il y a 9 ans

règle numéro une : ne jamais céder à un chantage. Il est la porte ouverte à une succession infinie de chantages toujours plus gourmands.


Gericoz
Il y a 9 ans

Faut être bête pour payer une rançon sur un truc que l’on peut sauvegarder des millions de fois en quelques clic.
Faut être aussi bête pour penser qu’ils vont payer.

Menacer de diffuser sur internet pour filer la base client gratos à tout le monde alors qu’ils pourraient aussi la revendre à un tiers (je suis certain que cela se fait).

J’ai pas de comptes avec mot de passe chez eux mais ils ont mon nom/adresse/telephone du coup je sent que je vais bien me faire spam de pub une fois qu’ils auront revendu la base client à MikadoPizza <img data-src=" />


maestro321
Il y a 9 ans






sashimi a écrit :

règle numéro une : ne jamais céder à un chantage l’espionnage. Il est la porte ouverte à une succession infinie de chantages d’espionnage toujours plus gourmands.


<img data-src=" />

NSA approved



Abused
Il y a 9 ans

Pff encore un coup de la NSA !!

Ils voulaient savoir qui prennait des anchois ou des peperonis …
<img data-src=" />


quant aux chiffrements …. ils ont utilisé la clef publique de Google ?
<img data-src=" />


trshbn
Il y a 9 ans

Ce que je trouve inquiétant vu la multiplication de cas ces derniers temps, c’est qu’il y a sûrement un tas de boîtes victimes du même genre de chantage… mais qui payent (et donc ne communiquent pas)…
En ajoutant celles qui se font siphonner les données de leurs utilisateurs sans même s’en rendre compte, ça commence à faire un paquet de données dans la nature…


tAran
Il y a 9 ans

Eux, s’ils se font choper, ils vont prendre cher <img data-src=" />


Koxinga22
Il y a 9 ans

Ils précisent quand même “on tient à signaler que le site est toujours debout et vulnérable”, c’est une menace à peine cachée.

La réplique en cas de refus de paiement pourrait bien être une incursion plus destructrice pour Domino.


TriEdge
Il y a 9 ans

Pendant ce temps-là, chez imagine-r on stocke encore les mdp en clair. <img data-src=" />


RaoulC
Il y a 9 ans






Abused a écrit :

Pff encore un coup de la NSA !!

Ils voulaient savoir qui prennait des anchois ou des peperonis …
<img data-src=" />


quant aux chiffrements …. ils ont utilisé la clef publique de Google ?
<img data-src=" />



Non, ils traquent ceux qui prennent les pizza Margherita sans jambon, pour les accuser de terrorisme (jambon, mulsulman donc islamiste forcément terroriste <img data-src=" />)

Quand au chiffrement…. Si c’est une simple substitution de caractères c’est possible à péter pour peut que l’on ai assez de données et de patience.
Possible également que les attaquants ai eu accès à l’algo de chiffrement/déchiffrement <img data-src=" />

Mais si c’est un vrai algo de chiffrement reconnu genre RC4 ou AES il faut que ces messieurs ait la clef.

Clef qui naturellement peut se bruteforcer ou avoir été volée avec les données (qui sait si les attaquants n’ont pas eu accès à autre chose ?)

L’article dit bien “pas de hash”.
Et même sans les mdp, je doute que les adresses emails soient chiffrés et rien que ca, ca se vend !
Ce qui expliquerait d’ailleurs la faible rançon demandée.



Groultok
Il y a 9 ans






Gericoz a écrit :

J’ai pas de comptes avec mot de passe chez eux mais ils ont mon nom/adresse/telephone du coup je sent que je vais bien me faire spam de pub une fois qu’ils auront revendu la base client à MikadoPizza <img data-src=" />



Et ça se rajoutera à tous les spams que l’on reçoit déja <img data-src=" /> noyé dans la masse !



Jarodd Abonné
Il y a 9 ans


Domino’s Pizza utilise un système de cryptage des données commerciales. Toutefois, les hackers dont nous avons été la cible sont des professionnels aguerris et ont été en mesure de décoder le système de cryptage.


Ca n’apporte pas tellement d’infos. S’ils utilisent du md5, ils peuvent très bien dire que c’est chiffré, il n’empêche que cela ne tient pas longtemps pour ces « professionnels aguerris » ( <img data-src=" /> ).


Ami-Kuns Abonné
Il y a 9 ans

Et NXI a-t-il déja été pirater? Pas assez vieux sur le site pour savoir. <img data-src=" />


yl
Il y a 9 ans


La prochaine fois, les mots de passe hashés menu avec un peu de sel svp


<img data-src=" /> <img data-src=" />


psn00ps Abonné
Il y a 9 ans






Jarodd a écrit :

Ca n’apporte pas tellement d’infos. S’ils utilisent du md5, ils peuvent très bien dire que c’est chiffré, il n’empêche que cela ne tient pas longtemps pour ces « professionnels aguerris » ( <img data-src=" /> ).


Tu mets combien de temps pour un reverse md5 sur une base d’un million d’enregistrements ? <img data-src=" />



Charly32 Abonné
Il y a 9 ans

Tient c’est mardi fou aujourd’hui? <img data-src=" />


Sinon ben…j’espère que le camion à pizza qui est chez moi deux jours par semaines ne se fera pas hacker <img data-src=" />


Jarodd Abonné
Il y a 9 ans






psn00ps a écrit :

Tu mets combien de temps pour un reverse md5 sur une base d’un million d’enregistrements ? <img data-src=" />



Sur 592 000 <img data-src=" />

On connaît la robustesse des mots de passe généralement utilisés, surtout sur un site peu sensible comme un fabricant de pizzas. Les azerty et autres 123456 doivent être légion, et utilisés sur pas mal de comptes. Je doute donc que cela nécessite tellement de temps de les retrouver (ab4f63f9ac65152575886860dde480a1 et e10adc3949ba59abbe56e057f20f883e pour les deux suscités).



maestro321
Il y a 9 ans






psn00ps a écrit :

Tu mets combien de temps pour un reverse md5 sur une base d’un million d’enregistrements ? <img data-src=" />


Ça dépend s’il y a eu salage, et si le sel est unique par mot de passe.



jaguar_fr Abonné
Il y a 9 ans







psn00ps a écrit :

Tu mets combien de temps pour un reverse md5 sur une base d’un million d’enregistrements ? <img data-src=" />


Là il n’y a pas de sel, donc 80% des mots de passes doivent sauter le temps de les chercher dans une table précalculée.
En plus pour un site de pizza on va pas créer un mot de passe unique.



RaoulC
Il y a 9 ans






psn00ps a écrit :

Tu mets combien de temps pour un reverse md5 sur une base d’un million d’enregistrements ? <img data-src=" />



Voir la réponse de Jarood… Et c’est oublier les rainbow tables.
Quand j’ai lancé une recherche concernant le MD5 du mot de passe d’un client dans un moteur de recherche, j’ai trouvé ce qu’il me fallait en quelques secondes.

Zut, grillé <img data-src=" />



Zerbus
Il y a 9 ans






jaguar_fr a écrit :

En plus pour un site de pizza on va pas créer un mot de passe unique.



Et pourquoi pas ?
J’ai pas de compte sur dominos mais tout site qui a ma vraie identité (donc la plupart à l’exception de forums où on s’inscrit juste pour voir le contenu) a un mdp perso chez moi.

Bon ok c’est pas la majorité des utilisateurs…



Soriatane Abonné
Il y a 9 ans






Jarodd a écrit :

Ca n’apporte pas tellement d’infos. S’ils utilisent du md5, ils peuvent très bien dire que c’est chiffré, il n’empêche que cela ne tient pas longtemps pour ces « professionnels aguerris » ( <img data-src=" /> ).





  • 1



Anonyme
Il y a 9 ans






Jarodd a écrit :

Ca n’apporte pas tellement d’infos. S’ils utilisent du md5, ils peuvent très bien dire que c’est chiffré, il n’empêche que cela ne tient pas longtemps pour ces « professionnels aguerris » ( <img data-src=" /> ).



C’est bien ça, avant de se faire fermer leur compte Twitter les types de Rex Mundi ont posté un tweet dans lequel ils disaient que les mots de passe étaient stockés en md5 sans salt.

Un bon “système de cryptage des données commerciales” fait par le stagiaire…



Origami
Il y a 9 ans






TwEnTy-HuNdReD a écrit :

Un bon “système de cryptage des données commerciales” fait par le stagiaire…




Tu sais, le stagiaire, comme le développeur exécute le demande en se basant sur des spécifications techniques et fonctionnelles (quand il y en a…), rédigés par des MOA/MOE qui ont recueilli les besoins du client, client lui même démarché par des commerciaux qui ont bien ficelé le truc.
Que le(s) developpeur(s), stagiaire(s) et MOE alertent lors de la conception sur la vulnérabilité de chiffrer en md5 n’y changera rien, c’est le cout du projet qui compte, le reste en s’en balance. <img data-src=" />



bamzou
Il y a 9 ans

Pour avoir bosser sur le site il y a quelques années ( il y a eu une nouvelle version récemment mais je doute qu’ils aient changé la BDD ), les mdp stockés étaient de simple hash md5, le site avait été développé par des Juniors sans ou avec peu d’expérience donc forcement quelques années après ça fuite …


lysbleu
Il y a 9 ans






Jarodd a écrit :

Sur 592 000 <img data-src=" />

On connaît la robustesse des mots de passe généralement utilisés, surtout sur un site peu sensible comme un fabricant de pizzas. Les azerty et autres 123456 doivent être légion, et utilisés sur pas mal de comptes. Je doute donc que cela nécessite tellement de temps de les retrouver (ab4f63f9ac65152575886860dde480a1 et e10adc3949ba59abbe56e057f20f883e pour les deux suscités).


Sans aller jusqu’au azerty, j’utilise systématiquement des mots de passes peu robustes sur les sites où un vol de compte ne prête pas à conséquence (bon, c’est une suite de lettres aléatoires, j’imagine que c’est mieux que d’autres). Parce que là, mis à part commander plein de pizzas en mon nom, que je ne payerai pas, je ne vois pas ce que ça risque… De même, si on usurpe mon compte Nxi, je pourrai supporter que l’on trolle avec <img data-src=" />.



Jarodd Abonné
Il y a 9 ans






lysbleu a écrit :

Sans aller jusqu’au azerty, j’utilise systématiquement des mots de passrgument pour le symbole à utiliser dans le dessin.e problème n’est pas qu’on poste avec ton pseudo. C’est que es peu robustes sur les sites où un vol de compte ne prête pas à conséquence (bon, c’est une suite de lettres aléatoires, j’imagine que c’est mieux que d’autres). Parce que là, mis à part commander plein de pizzas en mon nom, que je ne payerai pas, je ne vois pas ce que ça risque… De même, si on usurpe mon compte Nxi, je pourrai supporter que l’on trolle avec <img data-src=" />.



Le problème n’est pas qu’on poste avec ton pseudo. Mais si on a ton nom, prénom, e-mail, on peut déjà le croiser avec d’autres bases d’utilisateurs voées, puisque c’est la mode en ce moment.

Déjà si tu as indiqué une adresse e-mail réelle, tu vas de prendre du spam avec chorizo et peperoni dans la g….

Ensuite avec plusieurs croisements, on peut déjà récolter quelques infos sur toi. Ca ne te concerne peut-être pas, mais ça en gênera certains attachés à leur vie privée.
Et puis cela augmente le risque de découvrir d’autres accès qui sont plus sensible que la pizzaria, par exemple ton e-mail. Avec une info perso (par exemple la date de naissance), on peut réinitialiser le mot de passe d’un compte. Et ainsi de fil en aiguille, ça peut s’avérer dangereux (accès aux e-mails). Quand je vois que ma date de naissance suffit à ma banque à valider un paiement en ligne, ça fait peur ! Toute ma famille, tous mes potes euvent m’emprunter ma CB et confirmer l’achat ainsi. Et là ça ne sert à rien d’avoir un chiffrement de warrior !

Donc là le piratage Dominos est anodin. Mais comme ces affaires se multiplient, il faut quand même faire gaffe, surtout pour ceux qui utilisent les mêmes mots de passe, ou la même tournure, en mettant les initiales du site dedans par exemple (DomForever pour Dominos, PciForever pour ici,…). Les pirates ne font pas ça pour le plaisir, ni pour 30k€ qui leur seront refusés de toutes façons. Il y aura toujours des gens intéressés pour compléter ton profil, et pas forcément des cagoulés discrets, c’est même le but de certains sites avec quelques centaines de millions d’inscrits.



eliumnick Abonné
Il y a 9 ans






Jarodd a écrit :

Le problème n’est pas qu’on poste avec ton pseudo. Mais si on a ton nom, prénom, e-mail, on peut déjà le croiser avec d’autres bases d’utilisateurs voées, puisque c’est la mode en ce moment.

Déjà si tu as indiqué une adresse e-mail réelle, tu vas de prendre du spam avec chorizo et peperoni dans la g….

Ensuite avec plusieurs croisements, on peut déjà récolter quelques infos sur toi. Ca ne te concerne peut-être pas, mais ça en gênera certains attachés à leur vie privée.
Et puis cela augmente le risque de découvrir d’autres accès qui sont plus sensible que la pizzaria, par exemple ton e-mail. Avec une info perso (par exemple la date de naissance), on peut réinitialiser le mot de passe d’un compte. Et ainsi de fil en aiguille, ça peut s’avérer dangereux (accès aux e-mails). Quand je vois que ma date de naissance suffit à ma banque à valider un paiement en ligne, ça fait peur ! Toute ma famille, tous mes potes euvent m’emprunter ma CB et confirmer l’achat ainsi. Et là ça ne sert à rien d’avoir un chiffrement de warrior !

Donc là le piratage Dominos est anodin. Mais comme ces affaires se multiplient, il faut quand même faire gaffe, surtout pour ceux qui utilisent les mêmes mots de passe, ou la même tournure, en mettant les initiales du site dedans par exemple (DomForever pour Dominos, PciForever pour ici,…). Les pirates ne font pas ça pour le plaisir, ni pour 30k€ qui leur seront refusés de toutes façons. Il y aura toujours des gens intéressés pour compléter ton profil, et pas forcément des cagoulés discrets, c’est même le but de certains sites avec quelques centaines de millions d’inscrits.



Change vite de banque ^^ et donne le nom qu’on y aille pas ^^



anonyme_29e9d17fa770163b07bf6119766536aa
Il y a 9 ans

Sachant qu’il n’y a aucune coordonnée bancaire et que le mot de passe que j’avais utilisé est unique à ce site, quel est le “risque” encouru ? Que tout le monde sache que ma consommation de pizza a augmentée pendant la coupe du monde ? <img data-src=" />


lysbleu
Il y a 9 ans






Jarodd a écrit :

Le problème n’est pas qu’on poste avec ton pseudo. Mais si on a ton nom, prénom, e-mail, on peut déjà le croiser avec d’autres bases d’utilisateurs voées, puisque c’est la mode en ce moment.

Déjà si tu as indiqué une adresse e-mail réelle, tu vas de prendre du spam avec chorizo et peperoni dans la g….

Ensuite avec plusieurs croisements, on peut déjà récolter quelques infos sur toi. Ca ne te concerne peut-être pas, mais ça en gênera certains attachés à leur vie privée.
Et puis cela augmente le risque de découvrir d’autres accès qui sont plus sensible que la pizzaria, par exemple ton e-mail. Avec une info perso (par exemple la date de naissance), on peut réinitialiser le mot de passe d’un compte. Et ainsi de fil en aiguille, ça peut s’avérer dangereux (accès aux e-mails). Quand je vois que ma date de naissance suffit à ma banque à valider un paiement en ligne, ça fait peur ! Toute ma famille, tous mes potes euvent m’emprunter ma CB et confirmer l’achat ainsi. Et là ça ne sert à rien d’avoir un chiffrement de warrior !

Donc là le piratage Dominos est anodin. Mais comme ces affaires se multiplient, il faut quand même faire gaffe, surtout pour ceux qui utilisent les mêmes mots de passe, ou la même tournure, en mettant les initiales du site dedans par exemple (DomForever pour Dominos, PciForever pour ici,…). Les pirates ne font pas ça pour le plaisir, ni pour 30k€ qui leur seront refusés de toutes façons. Il y aura toujours des gens intéressés pour compléter ton profil, et pas forcément des cagoulés discrets, c’est même le but de certains sites avec quelques centaines de millions d’inscrits.


Oui mais je ne parlais que du mot de passe. Si le pirate a accès à la base de donnée d’un site, il a accès à toutes ces informations personnelles sans que le mot de passe ne soit impliqué. Mon mot de passe reste trop compliqué pour que l’on puisse le trouver au hasard, et toutes les informations de mon profil Nxi sont publiques (c’est à dire, presque rien).



Anonyme
Il y a 9 ans






Origami a écrit :

Tu sais, le stagiaire, comme le développeur exécute le demande en se basant sur des spécifications techniques et fonctionnelles (quand il y en a…), rédigés par des MOA/MOE qui ont recueilli les besoins du client, client lui même démarché par des commerciaux qui ont bien ficelé le truc.
Que le(s) developpeur(s), stagiaire(s) et MOE alertent lors de la conception sur la vulnérabilité de chiffrer en md5 n’y changera rien, c’est le cout du projet qui compte, le reste en s’en balance. <img data-src=" />



Oui je sais comment ça fonctionne, je bosse dans le milieu.

Et je sais également que le coût est une très mauvaise excuse en ce qui concerne la façon dont stockés les mots de passe tellement le temps de dev pour faire un truc un minimum potable est négligeable sur un projet comme ça.

Sérieusement, tu chiffrerais à combien la différence entre faire un truc pourri avec un vieux md5 et utiliser du bcrypt salé… ? 5mn ? 10mn ?

Et vu que le bcrypt était peut-être pas à la mode à l’époque (aucune idée de quand a été dev leur site), je leur aurais excusé un SHA salé (idem, aucun coût supplémentaire, juste des connaissances à avoir), ou au minimum un MD5 salé.

Du MD5 non salé c’est juste une honte et de l’incompétence, pas des problèmes de coût.



RaoulC
Il y a 9 ans






bamzou a écrit :

Pour avoir bosser sur le site il y a quelques années ( il y a eu une nouvelle version récemment mais je doute qu’ils aient changé la BDD ), les mdp stockés étaient de simple hash md5, le site avait été développé par des Juniors sans ou avec peu d’expérience donc forcement quelques années après ça fuite …



Bienvenue sur PCI NXi <img data-src=" />



RaoulC
Il y a 9 ans






TwEnTy-HuNdReD a écrit :

Oui je sais comment ça fonctionne, je bosse dans le milieu.

Et je sais également que le coût est une très mauvaise excuse en ce qui concerne la façon dont stockés les mots de passe tellement le temps de dev pour faire un truc un minimum potable est négligeable sur un projet comme ça.

Sérieusement, tu chiffrerais à combien la différence entre faire un truc pourri avec un vieux md5 et utiliser du bcrypt salé… ? 5mn ? 10mn ?

Et vu que le bcrypt était peut-être pas à la mode à l’époque (aucune idée de quand a été dev leur site), je leur aurais excusé un SHA salé (idem, aucun coût supplémentaire, juste des connaissances à avoir), ou au minimum un MD5 salé.

Du MD5 non salé c’est juste une honte et de l’incompétence, pas des problèmes de coût.



Quand tu a des BDD clients qui comportent un système de MDP foireux et que l’on te demande toi dev de changer ca…
Que tu as déjà du mal à faire accepter au boss le fait qu’utiliser un hash est plus sécurisé qu’un encodage a la noix (EBCDIC <img data-src=" />) alors va lui parler d’un salt…<img data-src=" />

Et ensuite tu te fait engueuler parce que tu as réussi a retrouver le pass débile du client à partir du MD5. Si il avait fallu forcer des mdp forts en même temps les clients aurait ralés et j’aurais pris quand même <img data-src=" />

Je pensais naïvement que le boss SAVAIT qu’un mdp genre 12345 ne valait rien vu son expérience… <img data-src=" />

Avec toute la bonne volonté du monde, si tu doit changer un truc qui existe déjà, c’est pas toujours évident.<img data-src=" />

Précision toutefois : ces BDD ne sont pas sur internet mais sur des serveurs isolés chez le client. Quand même…



psn00ps Abonné
Il y a 9 ans






TwEnTy-HuNdReD a écrit :

Oui je sais comment ça fonctionne, je bosse dans le milieu.

Et je sais également que le coût est une très mauvaise excuse en ce qui concerne la façon dont stockés les mots de passe tellement le temps de dev pour faire un truc un minimum potable est négligeable sur un projet comme ça.

Sérieusement, tu chiffrerais à combien la différence entre faire un truc pourri avec un vieux md5 et utiliser du bcrypt salé… ? 5mn ? 10mn ?

Et vu que le bcrypt était peut-être pas à la mode à l’époque (aucune idée de quand a été dev leur site), je leur aurais excusé un SHA salé (idem, aucun coût supplémentaire, juste des connaissances à avoir), ou au minimum un MD5 salé.

Du MD5 non salé c’est juste une honte et de l’incompétence, pas des problèmes de coût.


Un MD5 salé c’est juste une honte et de l’incompétence, vu qu’il est bourré de collisions.

Et quand on se préoccupe un minimum de la sécurité de ses données clients,
un mailing avec reset du mot de passe prend 10 mn à faire.



Anonyme
Il y a 9 ans






psn00ps a écrit :

Un MD5 salé c’est juste une honte et de l’incompétence, vu qu’il est bourré de collisions.

Et quand on se préoccupe un minimum de la sécurité de ses données clients,
un mailing avec reset du mot de passe prend 10 mn à faire.



J’ai pas dit que c’était un truc à faire, juste que je leur aurais davantage excusé car dans ce cas (et je dis bien dans ce cas précis - où toutes les infos étaient présentes dans le dump et que le mal était déjà fait), le problème des collisions à cause des salts est beaucoup moins impactant que le risque qu’il y a à stocker simplement le mdp en md5 non salé.

Là le souci vient principalement du fait que certains clients Domino’s utilisent le même mot de passe sur des sites qui peuvent être beaucoup plus intéressant pour un type mal intentionné (parce qu’honnêtement, avoir accès à un compte Domino’s c’est useless, surtout quand t’as déjà le dump de la base à côté).

Donc si tu stockes les MDP direct en MD5 sans salt et que le mec trouve le MDP correspondant au hash d’un client, il a potentiellement accès à d’autres comptes (Gmail ? Paypal ? Amazon ? …).

Si tu stockes les MDP avec un MD5 salé :




  • Tu augmentes la difficulté de retrouver le mot de passe de base

  • Même si le nombre de collisions est potentiellement augmenté, l’impact est moindre car si le type trouve une collision il ne peut pas l’utiliser pour se logguer sur les autres comptes du client (et vu qu’il se fout de s’authentifier sur Domino’s car il a déjà toutes les autres infos présentes en base…)

    Bref, oui c’est honteux quand il y a des solutions beaucoup mieux qui ne coûtent rien de plus à implémenter, mais dans ce cas ça aurait été beaucoup plus excusable.
    Et je suis d’accord pour le coup du mailing.