Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Kickstarter victime d’une attaque, mais aucune information bancaire dérobée

Et pour cause

Kickstarter victime d'une attaque, mais aucune information bancaire dérobée

Le 17 février 2014 à 10h00

Kickstarter, le service bien connu de financement participatif, a subi une attaque la semaine dernière. La société a annoncé durant la journée de samedi qu’une fuite de données avait bien eu lieu. Toutefois, les données bancaires ne sont pas en danger. Explications.

kickstarter

Kickstarter et plusieurs projets hébergés en cours de financement

Un service brassant des sommes parfois rondelettes... 

Beaucoup connaissent déjà Kickstarter, un site permettant de mettre en place un projet et d’appeler les internautes à le financer. De nombreux concepts ont ainsi pu déboucher sur une véritable existence commerciale grâce à ce service, rémunéré en gardant un pourcentage des sommes perçues. On se rappelle par exemple que l’association VideoLAN avait largement remporté son pari sur Kickstarter afin de financer le développement d’une version pour Windows 8, pratiquement terminée aujourd’hui. Aussi, de nombreux jeux vidéo, dont certains ont soulevé d'importantes sommes ont été ainsi financés, comme nous l'expliquions dans notre dossier sur le financement participatif dans ce domaine.

 

C’est sans doute l’aspect financier du service qui a attiré les pirates. Du propre aveu de l’entreprise, l’information sur une brèche de sécurité dans ses infrastructures est venue mercredi dernier, de la part d’une agence fédérale dont le nom n’a pas été donné. La faille de sécurité a été rapidement corrigée mais la fuite d’informations avait déjà eu lieu. En outre, des mesures ont été prises pour que ce type d’opération ne puisse plus avoir lieu à l’avenir.

... mais qui ne stocke aucune information bancaire 

Quelles sont les informations qui ont été dérobées ? Kickstarter insiste évidemment sur le fait qu’aucune information bancaire n’a été dérobée. Et pour cause : l’entreprise ne les stocke pas. Cela ne signifie pas cependant que les données volées ne sont pas potentiellement dangereuses : noms d’utilisateurs, adresses email, adresses de mailing list, numéros de téléphones et mots de passe. Ces derniers étaient chiffrés, ce qui signifie que les pirates ne peuvent pas accéder dans l’immédiat à des informations plus sensibles, mais ledit chiffrement ne pourra pas les retenir indéfiniment. Pour information, chaque mot de passe est salé indépendamment et haché plusieurs fois (SHA-1).

 

Pour éviter une autre fuite d’informations, Kickstarter a procédé principalement à deux actions. Ceux qui ont un compte classique ont ainsi vu leur mot de passe réinitialisé. Ils ont normalement reçu un email expliquant la situation et les invitant à se reconnecter via un lien qui leur demandera de choisir un nouveau mot de passe. Dans le cas d’un compte créé grâce à Facebook Connect, le lien avec le réseau social a été automatiquement rompu pour éviter tout problème. Ce qui n’a malheureusement pas empêché deux comptes d’être compromis. Selon Kickstarter, la situation est sous contrôle et les deux utilisateurs ont été contactés pour que les comptes soient à nouveau sécurisés.

Les dangers de la réutilisation des mots de passe 

Le danger pour les utilisateurs est cependant toujours présent dans le cas d’une réutilisation multiple du même mot de passe. Trop d’internautes créent des comptes en utilisant le même identifiant, qui peut être soit un pseudonyme identique, soit la même adresse email. Pour simplifier la navigation quotidienne, un mot de passe identique est choisi pour plusieurs services. Le problème est que si le couple identifiant et mot de passe est découvert, il permet alors d’accéder à tous les comptes créés de cette manière. Aussi, même si Kickstarter a réinitialisé les mots de passe, il faudra veiller à les changer pour les autres services où ils auraient pu être utilisés.

 

En outre, le vol d’informations personnelles telles que les noms, prénoms, adresses email et autres, peuvent permettre la mise en place d’attaques par phishing personnalisées. Ce peut être le cas pour Kickstarter car les pirates ont ainsi une vision de ce qui intéresse un internaute en particulier. Il peut donc y avoir des suites, sur la seule base des quelques informations dérobées. Un danger qui existe pour chaque faille de sécurité découverte de cette manière.

 

Or, le paysage de la sécurité est justement en pleine ébullition actuellement. Dans un monde post-Snowden, il est devenu clair pour les internautes que les agences de renseignement ne font pas grand cas du respect de la vie privée. Un paysage encore affecté par la longue chaine de piratages et fuites d’informations que l’on peut observer depuis quelques mois : les chaines américaines Target et Neiman Marcus, Snapchat ou encore Yahoo font ainsi partie des victimes.

Commentaires (22)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







CryoGen a écrit :



Tu peux aussi les mettre en clair dans un txt que tu sauves dans un container trucrypt et tu stocks le mot de passe de ce dernier dans Keepass <img data-src=" />





<img data-src=" />







Je suis certain que tu peux trouver plus compliquer. <img data-src=" />


votre avatar



Pour information, chaque mot de passe est salé indépendamment et haché plusieurs fois (SHA-1).





C’est plus sécurisé en le hachant hashant plusieurs fois ?









versgui a écrit :



J’aurais bien voulu utiliser des emails différents en utilisants les labels sur Gmail, mais beaucoup trop de services n’acceptent pas le caractère “+” dans les adresses, alors que c’est conforme <img data-src=" />



Par exemple, j’aimerais utiliser [email protected] sur un site, et [email protected] sur un autre site.



Et je ne compte même pas les limites maximales de caractères pour les mots de passe, les sites d’assurance qui réclament seulement un code PIN à 6 chiffres…

Certains éditeurs ne peuvent que s’en prendre à eux même.







Gros +1 sur le “+”. C’est très pratique pour voir qui revend les adresses, avec l’alias ajouté après le plus. Du genre un spam sur [email protected], je sais que c’est Teuf qui arrondit ses fins de mois.



Concernant le refus du plus dans l’adresse, j’en fais une croisade, je maile tous les SAV des sites qui refusent ce signe.



Le must étant Oxybul, qui a validé la création du compte avec le “+”, mais l’a en fait enregistré avec un espace (un “%20”) à la place. Donc impossible de se reconnecter (et de suivre la commande faite après la création du compte), l’espace rentournant une erreur, ni de faire une modif du compte.



Le SAV m’a retourné mon mdp en clair par mail (donc pas chiffré chez eux, pas sécurisé par e-mail, en plus d’être HS car ce n’était pas ça le problème), et m’a répondu que ce signe était dangereux dans un e-mail et ne devait pas être utilisé <img data-src=" />



Je leur ai envoyé ce lien mais ils n’ont pas du tout comprendre… Donc j’ai demandé la suppression pure et simple du compte (ce qui a pris plusieurs semaines) et désormais j’achète ailleurs.


votre avatar







zefling a écrit :



Je suis certain que tu peux trouver plus compliquer. <img data-src=" />







En quoi c’est compliqué ? J’utilise cette méthode, sauf que le txt n’est pas en clair mais chifrfé avec Axcrypt (pour Windows) et Ccrypt (pour Ubuntu), ça prend 3 secondes de retrouver un mdp, et c’est assez sécurisé (bien qu’aucune méthode ne soit infaillible).



M’enfin vu que la plupart des gens enregistrent leur mdp dans le navigateur, sans mdp principal, tout cela ne sert pas à grand-chose <img data-src=" />


votre avatar







Jarodd a écrit :



En quoi c’est compliqué ?





Ce qui m’amusais c’est que tu mettre ton mot de passe final dans KeePass. Si t’en a te souvenir, KeePass ne sert à rien. C’est quand si je mettais mon mot de passe KeePass dans un autre KeePass, par sécurité.







Jarodd a écrit :



M’enfin vu que la plupart des gens enregistrent leur mdp dans le navigateur, sans mdp principal, tout cela ne sert pas à grand-chose <img data-src=" />





J’avoue que j’enregistre mes mots de passes, mais avec un mot de passe maître (faut pas déconner).


votre avatar

Il serait temps que l’OpenID se répande surtout.

votre avatar







Jarodd a écrit :



C’est plus sécurisé en le hachant hashant plusieurs fois ?







Oui, en théorie ça ralentit l’attaque par brute force. Au plus le hashage est lent au plus il faut de ressources aux hackers pour retrouver les mpd.

De toutes façons si c’est bien salé je vois pas les hackers essayer de retrouver les mpd.

Le seul truc embêtant c’est les identifiants en clair pour ceux qui utilisent le même mdp partout :s

Si seulement ils pouvaient être tous comme kickstarter, c-à-dire ne pas stocker les données bancaires et faire un salage correct (d’après le peu d’info de la news) avec la cerise sur le gâteau en optant pour un hashage plus lent.



votre avatar

Il suffit de ne pas reutiliser le même mot de passe



mon_mot_de_passe_Kickstarter

mon_mot_de_passe_hotmail



Oh wait! <img data-src=" />

votre avatar

Forbes aussi s’est fait visiter <img data-src=" />





Sinon j’ai eu le mail de Kickstarter et changé le mdp comme demandé <img data-src=" />

votre avatar

Content de voir qu’ils ont fait le boulo sur le chiffrage des mots de passe …



<img data-src=" />

votre avatar







jb18v a écrit :



Sinon j’ai eu le mail de Kickstarter et changé le mdp comme demandé <img data-src=" />







Pareil… En plus depuis que j’utilise KeePass j’ai tendance à varier mes mots des passes et les allonger.


votre avatar







zefling a écrit :



Pareil… En plus depuis que j’utilise KeePass j’ai tendance à varier mes mots des passes et les allonger.







Yup, c’est vraiment pratique de changer son MdP de 25 caractères en 5s chrono.



Par contre, je trouves qu’ils ont prévenu un poil tard (prévenu mercredi, j’ai reçu le mail dans la nuit de samedi à dimanche). Sans parler du fait que c’est la NSA une agence fédérale qui a signalé la chose à KS, ce qui signifie que leurs admins ont loupé la chose


votre avatar



Trop d’internautes créent des comptes en utilisant le même identifiant, qui peut être soit un pseudonyme identique, soit la même adresse email.





J’aurais bien voulu utiliser des emails différents en utilisants les labels sur Gmail, mais beaucoup trop de services n’acceptent pas le caractère “+” dans les adresses, alors que c’est conforme <img data-src=" />



Par exemple, j’aimerais utiliser [email protected] sur un site, et [email protected] sur un autre site.



Et je ne compte même pas les limites maximales de caractères pour les mots de passe, les sites d’assurance qui réclament seulement un code PIN à 6 chiffres…

Certains éditeurs ne peuvent que s’en prendre à eux même.

votre avatar







John Shaft a écrit :



Yup, c’est vraiment pratique de changer son MdP de 25 caractères en 5s chrono.



Par contre, je trouves qu’ils ont prévenu un poil tard (prévenu mercredi, j’ai reçu le mail dans la nuit de samedi à dimanche). Sans parler du fait que c’est la NSA une agence fédérale qui a signalé la chose à KS, ce qui signifie que leurs admins ont loupé la chose







Pareil… Par contre je préfère toujours utiliser de mots de passes que je peux écrire, parce que si je me retrouve à devoir le taper, les 25 caractères aléatoires c’est pas pour moi. Ça m’est arrivé il y a pas longtemps, c’était un peu lourd. <img data-src=" />


votre avatar







versgui a écrit :



J’aurais bien voulu utiliser des emails différents en utilisants les labels sur Gmail, mais beaucoup trop de services n’acceptent pas le caractère “+” dans les adresses, alors que c’est conforme <img data-src=" />



Par exemple, j’aimerais utiliser [email protected] sur un site, et [email protected] sur un autre site.







Tiens, je connaissais pas. Je pense pas que ça soit reconnu par mon serveur mail, il faudrait que je teste (quoi que créer une nouvelle adresse de redirection ça prend moins de 10 secondes… je devrais peut-être regarder ça).


votre avatar

Le caractère + c’est bien pour identifier d’où vient le spam plus tard mais niveau sécurité c’est vraiment sans aucun effet. À partir du moment où t’as le mot de passe en clair, ça coûte pas beaucoup plus de tester les adresses dans leur format original et dans leur format nettoyé.

Bon là je suis passé d’un mot de passe aléatoire d’une vingtaine de caractères à un autre de plus de 40 caractères, je pense que j’ai été sage pendant les quelques jours ou personne n’a réagit. Vive keepass !!

votre avatar







zefling a écrit :



Pareil… En plus depuis que j’utilise KeePass j’ai tendance à varier mes mots des passes et les allonger.





Sans moi… j’ai tendance à me méfier d’un plantage général: extrèmement difficile de se rappeler de pleins de mots de passe, encore pire si tu ne les tape jamais!


votre avatar







dematbreizh a écrit :



Sans moi… j’ai tendance à me méfier d’un plantage général: extrèmement difficile de se rappeler de pleins de mots de passe, encore pire si tu ne les tape jamais!





Il faut faire un backup du fichier de mot de passe. C’est ultra simple à faire.


votre avatar







versgui a écrit :



J’aurais bien voulu utiliser des emails différents en utilisants les labels sur Gmail, mais beaucoup trop de services n’acceptent pas le caractère “+” dans les adresses, alors que c’est conforme <img data-src=" />



Par exemple, j’aimerais utiliser [email protected] sur un site, et [email protected] sur un autre site.



Et je ne compte même pas les limites maximales de caractères pour les mots de passe, les sites d’assurance qui réclament seulement un code PIN à 6 chiffres…

Certains éditeurs ne peuvent que s’en prendre à eux même.





C’est vrai. Par contre ce que tu peux faire avec GMail, c’est:

pour une @mail en : [email protected]





  • Utiliser [email protected]

  • Mettre des “.” n’importe où dans ton nom d’utilisateur ( [email protected] )





    Mais je concède que c’est pas super pratique pour s’en souvenir.


votre avatar







versgui a écrit :



J’aurais bien voulu utiliser des emails différents en utilisants les labels sur Gmail, mais beaucoup trop de services n’acceptent pas le caractère “+” dans les adresses, alors que c’est conforme <img data-src=" />



Par exemple, j’aimerais utiliser [email protected] sur un site, et [email protected] sur un autre site.



Et je ne compte même pas les limites maximales de caractères pour les mots de passe, les sites d’assurance qui réclament seulement un code PIN à 6 chiffres…

Certains éditeurs ne peuvent que s’en prendre à eux même.





Des fois c’est juste un javascript qui fait chier. Envoyer le formulaire sans passer la validation javascript fonctionne bien et tu reçois bien les mails. (et tu sais aussi que celui qui a fait le site web est un branquignol)


votre avatar







zefling a écrit :



Il faut faire un backup du fichier de mot de passe. C’est ultra simple à faire.







Tu peux aussi les mettre en clair dans un txt que tu sauves dans un container trucrypt et tu stocks le mot de passe de ce dernier dans Keepass <img data-src=" />





<img data-src=" />


votre avatar







ExIcarus a écrit :



Il suffit de ne pas reutiliser le même mot de passe



mon_mot_de_passe_Kickstarter

mon_mot_de_passe_hotmail



Oh wait! <img data-src=" />





J’utilise justement ce principe (en plus compliqué quand même) pour retenir facilement mes passes.


votre avatar







versgui a écrit :



J’aurais bien voulu utiliser des emails différents en utilisants les labels sur Gmail, mais beaucoup trop de services n’acceptent pas le caractère “+” dans les adresses, alors que c’est conforme <img data-src=" />



Par exemple, j’aimerais utiliser [email protected] sur un site, et [email protected] sur un autre site.



Et je ne compte même pas les limites maximales de caractères pour les mots de passe, les sites d’assurance qui réclament seulement un code PIN à 6 chiffres…

Certains éditeurs ne peuvent que s’en prendre à eux même.





La MAAF qui considère que des espaces dans le passe diminue la sécurité du passe et du coup refuse de le créer… <img data-src=" />


Kickstarter victime d’une attaque, mais aucune information bancaire dérobée

  • Un service brassant des sommes parfois rondelettes... 

  • ... mais qui ne stocke aucune information bancaire 

  • Les dangers de la réutilisation des mots de passe 

Fermer