Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

1,82 million de comptes utilisateurs du forum d’Ubuntu dans la nature

Admin / Admin a encore frappé

1,82 million de comptes utilisateurs du forum d'Ubuntu dans la nature

Le 22 juillet 2013 à 07h02

Durant le weekend, le forum américain d'Ubuntu a subi une attaque en règle ainsi qu'un défaçage. 1,82 million de comptes utilisateurs sont potentiellement touchés et dans la nature. Canonical se veut néanmoins rassurant en expliquant que les mots de passe ne sont pas stockés en clairs sur les serveurs.

Ubuntu Forums

 

Une faille de sécurité semble avoir été exploitée sur les serveurs du forum d'Ubuntu durant le week-end. En effet, le site a été victime d'un défaçage ce samedi, ce qui a poussé les administrateurs de Canonical à le fermer ou tout du moins à le mettre en statut de maintenance.

 

Suite à une première analyse, il semblerait que 1,82 million de comptes utilisateurs (nom d'utilisateur, adresse mail et mot de passe) aient été exposés et se retrouvent dans la nature. Canonical se veut rassurant en expliquant que les mots de passe ne sont pas stockés en clair sur les serveurs, mais qu'ils sont hashés avec une pincée de sel. Une méthode utilisée par défaut sur les serveurs de vBulletin qu'exploite la société.

 

L'auteur revendiqué du méfait, connu sous le nom de @Sputn1k_, n'a semble-t-il pas encore publié d'une manière ou d'une autre le contenu de son larcin. Mais il serait très étonnant qu'au moins une partie de celui-ci ne se retrouve rapidement sur la Toile. Car, habituellement, c'est comme cela qu'est validée l'attaque.

 

En attendant, si vous vous êtes enregistrés sur les forums d'Ubuntu et que vous utilisez ce même mot de passe sur d'autres services, nous ne saurions que vous conseiller d'en changer rapidement.

Commentaires (136)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Naunaud a écrit :



Rainbow table, toussa.

Le hashing en md5, c’est pas super dur à “cracker”.

Surtout, que les hackers ont surement eu accès au “salt” des hash, vu la porte ouverte.







C’est du vBulletin, le salt est différent pour chaque compte, l’utilisation de rainbow table n’est pas possible ici.


votre avatar



Canonical se veut néanmoins rassurant en expliquant que les mots de passe ne sont pas stockés en clairs sur les serveurs.





Oui enfin des hash de mots de passe ca se casse. Il faut pas croire que parce que on a utilisé du md5 dessus que ca y est c’est la fête !

votre avatar

indyiv, le chiffrage utilisé par la plupart des sites ne tient pas la route face à la puissance disponible avec un simple PC de 2013 et une carte graphique à 200€.



S’ils indiquent cryptage+salage, ça veut dire qu’ils n’ont rien compris à la sécurité et n’utilisent pas un moyen de chiffrement efficace comme bcrypt (sinon ils sauraient que cryptage+salage n’offre pas plus de sécurité depuis très longtemps) - en quelques heures, le pirate, même sans connaissances particulières, aura décrypté la plupart des mots de passe associés aux comptes récupérés. Disons que, comme beaucoup de sites (PCInpact y compris je pense, vu qu’à chaque fois qu’on a un article dessus l’équipe évite soigneusement d’en parler), ils ont dix ans de retard par rapport aux mesures (pourtant simples) qu’il faudrait adopter.



Autrement dit, à moins de tomber sur un site qui prend ça au sérieux, et qui au lieu d’annoncer hashage+salage annonce un chiffrement adaptatif, tu peux assumer que tout mot de passe que tu laisses sur un site est stocké en clair, parce que hashage+salage, c’est ce à quoi ça équivaut depuis des années.

votre avatar







lincruste a écrit :



Ha merde faut que j’aille me faire ban là-bas aussi alors. Merci, j’y fonce.







Tu va avoir du mal étant donné que le forum est toujours en maintenance. ^^


votre avatar

Moi ce qui me fait chier c’est les millions d’émail qui ce ballade dans la nature. Car le nerf de la guerre des pirates c’est bel et bien ça ( les emails pour spamer ),après les mots de passe ils s’ent foutent un peu je pense.

votre avatar

Tiens tiens… comme c’est étrange, ça arrive au moment ou ubuntu doit parler de son edge. Etrange… etrange… <img data-src=" />

votre avatar







atem18 a écrit :



Tu va avoir du mal étant donné que le forum est toujours en maintenance. ^^





Justement, easy.



genre “punaise A croire que vos serveurs tournais sous Ubuntu Server pour être si long a revenir et si peu sécurisé”



<img data-src=" />



maximeK a écrit :



Moi ce qui me fait chier c’est les millions d’émail qui ce ballade dans la nature. Car le nerf de la guerre des pirates c’est bel et bien ça ( les emails pour spamer ),après les mots de passe ils s’ent foutent un peu je pense.





Bof, doivent bien tenté les MdP sur certains site pour avoir plus d’info (type CB).


votre avatar







miles_t a écrit :



indyiv, le chiffrage utilisé par la plupart des sites ne tient pas la route face à la puissance disponible avec un simple PC de 2013 et une carte graphique à 200€.



S’ils indiquent cryptage+salage, ça veut dire qu’ils n’ont rien compris à la sécurité et n’utilisent pas un moyen de chiffrement efficace comme bcrypt (sinon ils sauraient que cryptage+salage n’offre pas plus de sécurité depuis très longtemps) - en quelques heures, le pirate, même sans connaissances particulières, aura décrypté la plupart des mots de passe associés aux comptes récupérés. Disons que, comme beaucoup de sites (PCInpact y compris je pense, vu qu’à chaque fois qu’on a un article dessus l’équipe évite soigneusement d’en parler), ils ont dix ans de retard par rapport aux mesures (pourtant simples) qu’il faudrait adopter.



Autrement dit, à moins de tomber sur un site qui prend ça au sérieux, et qui au lieu d’annoncer hashage+salage annonce un chiffrement adaptatif, tu peux assumer que tout mot de passe que tu laisses sur un site est stocké en clair, parce que hashage+salage, c’est ce à quoi ça équivaut depuis des années.





Alors pourquoi bcrypt sale aussi si ca équivaut à un mot de passe en clair ? …



votre avatar







nucl3arsnake a écrit :



Justement, easy.



genre “punaise A croire que vos serveurs tournais sous Ubuntu Server pour être si long a revenir et si peu sécurisé”







Hahaha. En même temps, si leurs serveurs tournaient sous de la CentOS ou du SUSE, il faudrait se poser des questions. Ceci étant, ne pas oublier qu’une Ubuntu Server n’est ni plus ni moins qu’une Debian + quelques trucs de Canonical.


votre avatar







FREDOM1989 a écrit :



C’est peut-être MS qui est derrière….



Super le sous titre en tout cas. Au moins les MDP ne sont pas stocké en claire par comme chez Sony <img data-src=" />





Quand MS se fait hacker, ce sont des gros nuls, et quand c’est linux, c’est MS qui hack.



J’espère que c’était de l’humour…


votre avatar







miles_t a écrit :



….







Il ne faut au contraire SURTOUT PAS utiliser le chiffrement pour stocker un mot de passe. Chiffrement implique clé de (dé)chiffrement, stockée soit dans le code, soit dans la DB, mais clé nécessaire pour vérifier le mot de passe lorsque l’utilisateur le rentre. Et quand le hacker récupère cette clé, le mot de passe en clair apparaît sans bruteforce.



Il faut bien sûr utiliser un algorithme de hashage (plus évolué que md5), avec un grand nombre d’itérations et un salt différent par compte. Comme ce que font tous les softs un peu sérieux quoi.



Quant à la remarque sur PCI, le forum utilisé est IP.Board. Je crois que les comptes sont unifiés entre le forum et le site, donc c’est md5 salté.


votre avatar







atem18 a écrit :



Hahaha. En même temps, si leurs serveurs tournaient sous de la CentOS ou du SUSE, il faudrait se poser des questions.





Je sais pas pourquoi mais une société X qui utilise un serveur sous OS Y je trouve ça plus sécurisant qu’utiliser le même OS que celui commercialisé …







atem18 a écrit :



Ceci étant, ne pas oublier qu’une Ubuntu Server n’est ni plus ni moins qu’une [b]Debian + quelques trucs de Canonical.





Debian &gt; all =D



votre avatar







miles_t a écrit :



Autrement dit, à moins de tomber sur un site qui prend ça au sérieux, et qui au lieu d’annoncer hashage+salage annonce un chiffrement adaptatif, tu peux assumer que tout mot de passe que tu laisses sur un site est stocké en clair, parce que hashage+salage, c’est ce à quoi ça équivaut depuis des années.







Ok les moyens pour sécuriser les comptes ne sont pas à la pointe de la technologie, mais finalement qu’est ce que ça change ? Quelqu’un veut vraiment rentrer dans un système, il le fait c’est pas le mot de passe stocké au 4 coins tu globes avec une clef dans le triangle des bermudes qui l’empêcheras d’y accéder. L’industrie culturelle (audio, vidéo et ludique) ne l’ont toujours pas compris, rajouter des tonnes de protection est inutile car il y a toujours plus force que soit dans le domaine. Et puis bon c’est un forum ce ne sont pas des coordonnées bancaires. Après tout est possible en matière de protection et le coût est une composante majeure lors des décisions.


votre avatar







NeVeS a écrit :



Quant à la remarque sur PCI, le forum utilisé est IP.Board. Je crois que les comptes sont unifiés entre le forum et le site, donc c’est md5 salté.





Visiblement d’après l’intéressé c’est le chiffrement par défaut de vBulletin (md5(md5(\(pass).\)salt)… Pas super mais déjà mieux que du clair à la sauce Sony, surtout que c’est un “forum”.


votre avatar







nucl3arsnake a écrit :



Je sais pas pourquoi mais une société X qui utilise un serveur sous OS Y je trouve ça plus sécurisant qu’utiliser le même OS que celui commercialisé …







Sans aucun doute niveau sécurité, mais commercialement parlant, ça ne fait pas très vendeur de dire que l’on utilise le produit d’une autre société que la notre.







nucl3arsnake a écrit :



Debian &gt; all =D







Yep en serveur, mais j’ai néanmoins ma préférence pour SUSE niveau desktop, KDE oblige. <img data-src=" />


votre avatar







Alameda a écrit :



Ok les moyens pour sécuriser les comptes ne sont pas à la pointe de la technologie, mais finalement qu’est ce que ça change ? Quelqu’un veut vraiment rentrer dans un système, il le fait c’est pas le mot de passe stocké au 4 coins tu globes avec une clef dans le triangle des bermudes qui l’empêcheras d’y accéder. L’industrie culturelle (audio, vidéo et ludique) ne l’ont toujours pas compris, rajouter des tonnes de protection est inutile car il y a toujours plus force que soit dans le domaine. Et puis bon c’est un forum ce ne sont pas des coordonnées bancaires. Après tout est possible en matière de protection et le coût est une composante majeure lors des décisions.





Les plupart des utilisateurs utilise le même mot de passe partout. Oui, je sais, tout le monde conseille d’utiliser des mots de passes différents mais quand tu es inscrit sur 50 sites, il faut retenir 50 mots de passes.

Les moyens mnémoniques peuvent aider mais ça reste compliqué pour une grande partie de la population (qui ne met même pas de mot de passe sur leurs téléphones)


votre avatar







v1nce a écrit :



Encrypter les adresses mail dans une BDD ça se pratique ou pas ? (performance, robustesse, aspect pratique)







CHIFFRER <img data-src=" />



Et non ca ne se fait pas :) c’est une hérésie.

Parce que la clef de déchiffrement doit se trouver quelque part et si le hacker à accès à la BDD on peut raisonnablement penser qu’il a accès au reste de l’application (le site web par exemple) qui elle a la clef.



C’est un peut laisser la clef de sa baraque sous le pot de fleurs <img data-src=" />



Le hashage par définition est irréversible car ce n’est PAS UN CHIFFREMENT. Tu peut tenter de bruteforcer, c’est à dire tester toutes les combinaisons de caractères possibles jusqua trouver celle qui produit le même hash (on parle de collision) mais c’est long.



Le hash c’est un “consensat” : on fait des opérations mathématiques sur les données a hasher pour produire un hash supposé unique et irréversible.



Si ton hash c’est 1850 , que la clef c’est la somme des caractères de ton mdp, tu as quelques combinaisons a tester avant de trouver. mais il faut toute les tester.



Remplace “additions” par des opérations mathématiques “non bijectives” plus complexes et diverses et réalisées en boucles = ca rajoute du temps de calcul :p



C’est là qu’interviennent les rainbow table : des gigantesques base de correspondances hash = chaines de caractères, qu’il est beaucoup plus rapide et surtout moins couteux en temps de calcul de faire parcourir par son logiciel ou..ses yeux :)



votre avatar







miles_t a écrit :



http://arstechnica.com/security/2012/08/hacked-blizzard-passwords-not-hard-to-crack/

http://arstechnica.com/security/2012/08/passwords-under-assault/

http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/







Merci.







NeVeS a écrit :



et ça peut être très long :)







Rofl, ça me parait relatif. Vue le prix d’une instance sur Amazon AWS on peut très facilement se faire une jolie ferme pour cracker des pass =).


votre avatar







sepas a écrit :



Quand on dit ça sur une faille sous Windows ou IE (avec des active X), ça n’empêche pas d’avoir des dizaines de trolls qui viennent nous dire que Windows est une passoire…







OOOhhhhhh, pauvre choux. Tout le monde il est méchant avec les défenseurs du gentil billoux. Tu veux une coquille d’oeuf pour mettre sur ta tête?


votre avatar







atem18 a écrit :



Y’a pas vraiment de dérivé de Fedora. Juste les spins à la rigueur.





Viperr pour ne cité que lui.


votre avatar







Winderly a écrit :



Je suis sur la 12.2 et j’ai pas remarqué ces soucis.

Ça concerne beaucoup de programmes ou librairies ?









Beaucoup trop en tout cas à mon utilisation.

Mais j’avais pas le .2 encore, peut-être corrigé mais genre VirtualBox c’était atroce xD.


votre avatar







RaoulC a écrit :



on peut raisonnablement penser qu’il a accès au reste de l’application (le site web par exemple) qui elle a la clef.







mouais. Pas évident. Tu peux récupérer le contenu par SQL injection sans avoir forcément accès à l’appli.

Si tu stockes adressemail XOR (md5(rowid + masterpwd)) et que l’attaquant n’a pas accès au masterpwd il ne va pas pouvoir utiliser les adresses mail.


votre avatar







v1nce a écrit :



mouais. Pas évident. Tu peux récupérer le contenu par SQL injection sans avoir forcément accès à l’appli.

Si tu stockes adressemail XOR (md5(rowid + masterpwd)) et que l’attaquant n’a pas accès au masterpwd il ne va pas pouvoir utiliser les adresses mail.







Si tu as codé un site permettant une injection SQL , rien ne dit qu’une autre faille donnant accès au fameux password ne s’y trouve pas <img data-src=" /> Autant y penser dès le départ.



C’est un mauvais exemple. Je parlais d’hérésie pour protéger les mots de passe, pas les emails. Le mot de passe étant LA donnée sensible par excellence (avec les données bancaires). Pour les adresses email, pourquoi pas.



Et puis, tu peut avoir blindé ton site, tu n’a pas toujours la main sur la configuration du serveur web qui peut mettre à mal le bousin <img data-src=" />


votre avatar







sepas a écrit :



Les plupart des utilisateurs utilise le même mot de passe partout. Oui, je sais, tout le monde conseille d’utiliser des mots de passes différents mais quand tu es inscrit sur 50 sites, il faut retenir 50 mots de passes.

Les moyens mnémoniques peuvent aider mais ça reste compliqué pour une grande partie de la population (qui ne met même pas de mot de passe sur leurs téléphones)







Des outils de gestion de mdp existent !


votre avatar







indyiv a écrit :



merci pour ces precisions!



du coup j’ai bcp de mal a comprendre!

si un cryptage “sérieux” ne coute pas plus cher; pourquoi les sites pro (et qui ont dans leur équipe au moins une personne qui connait le sujet) ne l’utilisiement pas?







Parce que un CHIFFREMENT des mots de passe implique qu’il existe une clé de déchiffrement. Si il n’est pas possible de la récupérer (ce dont je doute fort) il est toujours possible de la bruteforcer, ou de la trouver.


votre avatar







nucl3arsnake a écrit :



Beaucoup trop en tout cas à mon utilisation.

Mais j’avais pas le .2 encore, peut-être corrigé mais genre VirtualBox c’était atroce xD.





Jamais eu de soucis avec virtualbox sous OpenSuse, ni de soucis avec les lib 32 de mon côté. <img data-src=" />


votre avatar







Burn2 a écrit :



Jamais eu de soucis avec virtualbox sous OpenSuse, ni de soucis avec les lib 32 de mon côté. <img data-src=" />





Et avec Skype? Steam ? Pidgin ? SublimText ?


votre avatar







Mihashi a écrit :



C’est le forum anglais/américain (http://ubuntuforums.org ) pas le français (http://forum.ubuntu-fr.org ).





<img data-src=" />


votre avatar







nucl3arsnake a écrit :



Et avec Skype? Steam ? Pidgin ? SublimText ?







Skype je n’utilisais pas, pidgin ça marchait, sublimtext je n’utilisais pas, steam je viens juste de m’y mettre, et forcément c’est pas sur mon serveur home donc pas sur le poste OpenSuse (mais sur ma xubuntu).



Donc visiblement pas représentatif.

Cela dit skype je sais que certains avaient aussi des soucis sous Ubuntu.



(en parlant de steam c’est assez grisant de pouvoir enfin jouer à des jeux sous linux en natif! <img data-src=" /> )


votre avatar







v1nce a écrit :



mouais. Pas évident. Tu peux récupérer le contenu par SQL injection sans avoir forcément accès à l’appli.

Si tu stockes adressemail XOR (md5(rowid + masterpwd)) et que l’attaquant n’a pas accès au masterpwd il ne va pas pouvoir utiliser les adresses mail.







Si ton appli est vulnérable à une SQLi, je pense que la sécurité des adresses mails est le dernier de tes soucis :)


votre avatar







Burn2 a écrit :



EN l’occurrence rien ici ne dit que l’os est en faute.

C’est plus vbuling qui est en faute au niveau faille. ;)







Et c’est quoi Vbuling, c’est pas open source?


votre avatar







after_burner a écrit :



Et c’est quoi Vbuling, c’est pas open source?





C’est vbulletin et non c’est propriétaire:



Licence Propriétaire









Mais bon des failles sur des forums openSource ça doit aussi bien exister…


votre avatar







atem18 a écrit :



Sans aucun doute niveau sécurité, mais commercialement parlant, ça ne fait pas très vendeur de dire que l’on utilise le produit d’une autre société que la notre.







Yep en serveur, mais j’ai néanmoins ma préférence pour SUSE niveau desktop, KDE oblige. <img data-src=" />





Tu peux mettre un KDE sous Debian, Opensuse j’ai du mal.

(surement à cause de l’omniprésence de yast)


votre avatar







tschaggatta a écrit :



Visiblement d’après l’intéressé c’est le chiffrement par défaut de vBulletin (md5(md5(\(pass).\)salt)… Pas super mais déjà mieux que du clair à la sauce Sony, surtout que c’est un “forum”.







Oui pour Ubuntu, c’est vBulletin. Là je parlais du forum de PCI, dans le message que tu cites (dans les 2 cas c’est du md5 salté de toute façon).



Quant à Sony, je ne crois pas qu’on ai jamais su comment étaient stockés les mots de passe. Ils ont dit que c’était hashé, dans un communiqué, mais pas plus d’infos que ça, si j’ai rien loupé. En tout cas ils disent que c’était pas du clair.


votre avatar







miles_t a écrit :



Autrement dit, à moins de tomber sur un site qui prend ça au sérieux, et qui au lieu d’annoncer hashage+salage annonce un chiffrement adaptatif, tu peux assumer que tout mot de passe que tu laisses sur un site est stocké en clair, parce que hashage+salage, c’est ce à quoi ça équivaut depuis des années.







merci pour ces precisions!



du coup j’ai bcp de mal a comprendre!

si un cryptage “sérieux” ne coute pas plus cher; pourquoi les sites pro (et qui ont dans leur équipe au moins une personne qui connait le sujet) ne l’utilisiement pas?


votre avatar

Ça arrive à tout le monde.









C’est ce que certains libriste devrait comprendre.<img data-src=" />

votre avatar







klemix a écrit :



J’avais perdu mon mot de passe , s’il pouvait me le redonner ?







Pas grave ça, tu demande à PRISM, ils ont tout ça bien stocké au chaud ! <img data-src=" />


votre avatar







Alameda a écrit :



Et puis bon c’est un forum ce ne sont pas des coordonnées bancaires. Après tout est possible en matière de protection et le coût est une composante majeure lors des décisions.







Le problème c’est que beaucoup de gens associent le même mot de passe à leur boite mail par exemple . A partir de cet exemple, il est fort probable d’accéder aux mails perso, et donc a beaucoup d’informations d’ordre privé.



Des informations concernant l’attaque ?



Sinon bel exploit .


votre avatar







indyiv a écrit :



merci pour ces precisions!



du coup j’ai bcp de mal a comprendre!

si un cryptage “sérieux” ne coute pas plus cher; pourquoi les sites pro (et qui ont dans leur équipe au moins une personne qui connait le sujet) ne l’utilisiement pas?





LE coup réel de mise en place (temps + formation + personnel), le temps d’accès au données auprès du serveur après, la maintenance derrière, et le problème de la clé cité plus haut.



Après faut adapté la sécurité au site, un forum n’est pas un site marchand ;)


votre avatar









NeVeS a écrit :



Oui pour Ubuntu, c’est vBulletin. Là je parlais du forum de PCI, dans le message que tu cites (dans les 2 cas c’est du md5 salté de toute façon).



Quant à Sony, je ne crois pas qu’on ai jamais su comment étaient stockés les mots de passe. Ils ont dit que c’était hashé, dans un communiqué, mais pas plus d’infos que ça, si j’ai rien loupé. En tout cas ils disent que c’était pas du clair.





Oui tkt j’avais compris, c’était juste pour appuyer ton propos au sujet du forum d’ubuntu. Il me semblait que pour Sony, il y avait eu qql pb (dont un certain nb d’info en clair), mais bref ce n’est pas le sujet. De toute façon ce n’est pas la même criticité…


votre avatar







sepas a écrit :



Les plupart des utilisateurs utilise le même mot de passe partout. Oui, je sais, tout le monde conseille d’utiliser des mots de passes différents mais quand tu es inscrit sur 50 sites, il faut retenir 50 mots de passes.







oui en même temps, il suffit de demander au navigateur de conserver les mdp …

(a moins qu’on adore le petit jeu qui consiste a saisir 50 mdp différents chaque fois qu’on se connecte a un site …)


votre avatar







miles_t a écrit :



ils ont dix ans de retard par rapport aux mesures (pourtant simples) qu’il faudrait adopter.







Etant pas au fait de l’état de l’art dans le domaine, aurait tu des liens à recommander sur ces mesures simple qu’il faudrait adopter ?







NeVeS a écrit :



Il faut bien sûr utiliser un algorithme de hashage (plus évolué que md5), avec un grand nombre d’itérations et un salt différent par compte. Comme ce que font tous les softs un peu sérieux quoi.







Je suis pas un pro dans le domaine non plus, mais la question m’intéresse.



Qu’entends tu par “un grand nombre d’itérations” ? 10 ? 100 ? 10000 ? Plus ? Est ce nécessaire ? N’est pas des ressources serveur consommé inutilement à partir d’un certains nombre d’itération ?



Admettons que le hacker ait obtenu un accès root, il a donc accès à la base et au code (du moins pour une application en java ou en php, entre autre).



Pour le salt unique, soit il est stocké tel quel en base, et donc il est uniquement inutile, soit il est calculé à chaque login, en fonction d’élément propre à l’utilisateur, ou d’élément reproductible, donc on oublie l’instant T, l’id du thread, ou autre qu’on ne pourrait pas “re-deviner” plus tard ou sur une autre machine dans le cadre d’une appli en cluster. La sécurité du salt ne dépends donc que du secret qu’on peut avoir sur sa recette, et sur le secret du nombre et de la manière de hasher le pass, recette qui peut être facilement consultable dans le code.



Pire, dans le cadre d’une appli répandu largement et dont le code est accessible, genre les boards Invision ou phpBB, le hacker à juste besoin d’accèder à la base, la “recette” de hashage est publique, peut importe sa complexité.


votre avatar







indyiv a écrit :



oui en même temps, il suffit de demander au navigateur de conserver les mdp …

(a moins qu’on adore le petit jeu qui consiste a saisir 50 mdp différents chaque fois qu’on se connecte a un site …)







Ce qui engendre de nouvelles problématiques :




  • Comment te connecter au site quand tu ne connais pas ton mot de passe, qu’il n’est que dans ton navigateur, et que toi tu n’es pas chez toi ?

  • Que se passe-t-il quand ton ordinateur (ou ton navigateur) est compromis par un malware ?



    Il y a des solutions à ces problèmes (authentification unifié, master password, etc.), c’est juste pour montrer que rien n’est simple, et qu’il ne “suffit” pas de :)


votre avatar







indyiv a écrit :



si un cryptage “sérieux” ne coute pas plus cher; pourquoi les sites pro (et qui ont dans leur équipe au moins une personne qui connait le sujet) ne l’utilisiement pas?





Juste comme ça on dit plus “chiffrement” (ou “chiffrage” mais pas très beau je trouve) que “cryptage” (qui vient de l’anglais). Et ensuite comme le dit @nucl3arsnake, c’est souvent un problème de formation (ou de la fainéantise) de la par des personne qui maintiennent le site/db, qu’un réel coût direct…

C’est svt bien dommage…


votre avatar







nucl3arsnake a écrit :



Tu peux mettre un KDE sous Debian, Opensuse j’ai du mal. (surement à cause de l’omniprésence de yast)







Certes, mais il m’avait semblé que l’équipe KDE de Debian était composée de quelques mainteneurs. De plus, la version de KDE n’est pas la dernière, donc ça pue un peu.



Pour YAST, il existe, mais tu peux t’en passer facilement, voir même le désinstaller si l’envie te chante.


votre avatar







atem18 a écrit :



Certes, mais il m’avait semblé que l’équipe KDE de Debian était composée de quelques mainteneurs. De plus, la version de KDE n’est pas la dernière, donc ça pue un peu.



Pour YAST, il existe, mais tu peux t’en passer facilement, voir même le désinstaller si l’envie te chante.





Bha le soucis c’est “quelle ligne de commande remplace le aptitude update upgrade remove ^^”


votre avatar







jun a écrit :









Je suis pas spécialiste, mais il est svt possible de choisir l’algorithme de hashage qui sont reconnus comme plus ou moins robustes, de plus comme toute configuration, il vaut mieux éviter de laisser celle par défaut, enfin dans le cas de protection de mots de passe, la sauce (certes récupérable) peut-être modifiée, avec l’ajout d’un salt2, des règles au niveau des caractères à choisir et le nombre. Tout cela amène une complexité qui permet de rendre la tâche plus difficile aux hackers (mais pas impossible). En sachant que de toute façon, il faut être relativement à jour (la le pb semble être un soucis de “module” non à jour, justement ce qui est une cause récurrente )…


votre avatar







jun a écrit :



Je suis pas un pro dans le domaine non plus, mais la question m’intéresse.



Qu’entends tu par “un grand nombre d’itérations” ? 10 ? 100 ? 10000 ? Plus ? Est ce nécessaire ? N’est pas des ressources serveur consommé inutilement à partir d’un certains nombre d’itération ?







Faire 5000 itérations pour un login, ce n’est pas la mort comparé à la complexité que ça apporte pour casser le hash. Je ne peux pas te donner de nombre à utiliser, WordPress utilise 8192 itérations de phppass, Drupal 16384.



http://joncave.co.uk/2011/01/password-storage-in-drupal-and-wordpress/







jun a écrit :



Pour le salt unique, soit il est stocké tel quel en base, et donc il est uniquement inutile, soit il est calculé à chaque login, en fonction d’élément propre à l’utilisateur, ou d’élément reproductible, donc on oublie l’instant T, l’id du thread, ou autre qu’on ne pourrait pas “re-deviner” plus tard ou sur une autre machine dans le cadre d’une appli en cluster. La sécurité du salt ne dépends donc que du secret qu’on peut avoir sur sa recette, et sur le secret du nombre et de la manière de hasher le pass, recette qui peut être facilement consultable dans le code.







Le salt est là pour empêcher l’utilisation de rainbow table. On ne peut pas générer de rainbow table si le salt est différent pour chaque compte. Qu’il soit stocké et que le hacker y ait accès n’implique pas de problème à ce niveau là.







jun a écrit :



Pire, dans le cadre d’une appli répandu largement et dont le code est accessible, genre les boards Invision ou phpBB, le hacker à juste besoin d’accèder à la base, la “recette” de hashage est publique, peut importe sa complexité.







Si l’algo n’est pas faible, et que le mot de passe n’est pas ridicule ou contenu dans une dictionnaire, que l’algo soit connu n’ajoute aucun problème de sécurité. L’accès à la DB (dans les conditions énoncées précédemment) permet au hacker de lancer une attaque par bruteforce ou par dictionnaire, mais généralement pas plus. Ce n’est pas jackpot pour lui non plus, tous les mots de passe ne sont pas trouvables par ces méthodes, et ça peut être très long :)



votre avatar

C’est fou tout ce débat sur les mots de passe. Blablabla ils sont salés, blablabla il ne faut pas crypter, blablabla je suis un boulet. Le mec s’en branle de voler le mot de passe de geeks poilus qui doivent tous en utiliser un différent par sites.



1,82 millions de compte c’est surtout 1,82 millions d’adresses email qui pourront être exploitées, vendues. C’est bien pour Canonical de rassurer les utilisateurs pour leur mot de passe, mais l’adresse email est dans la nature, ce qui n’est pas tout le temps souhaitable. Prochaine étape, faire des stats sur les adresses emails et cibler les noobs auto-hébergés pour rooter leur serveur.

votre avatar







Burn2 a écrit :



Heu plait-il ?

openSUSE 12.3: 13-03-2013

openSUSE 13.1: 13-11-2013

openSUSE 13.2: 09-07-2014



C’est 8 mois pas 6 mais ça reste short. (loin de 18 mois hein :o )





autant pour moi ^^”


votre avatar







razcrambl3r a écrit :



Perso je m’en fout, du temps que ça puisse faire vivre PCInpact ;)

Et pourtant je suis sur un netbook, et dans le genre ça fait ramer :P







Moi non.La pub oui. Mais de manière raisonnable. Les placards qui masquent entièrement ta page ou les pubs qui viennent pourrir ta navigation quand tu les survoles, c’est non. Si ça venait à devenir une habitude pci sortira de la whitelist.


votre avatar







v1nce a écrit :



Moi non.La pub oui. Mais de manière raisonnable. Les placards qui masquent entièrement ta page ou les pubs qui viennent pourrir ta navigation quand tu les survoles, c’est non. Si ça venait à devenir une habitude pci sortira de la whitelist.





Sinon tu peux aussi payer un abonnement vu le prix franchement par ans ça vaut le coût…. ;)


votre avatar







Burn2 a écrit :



La grosse différence, c’est que la faille du site, a compromis les données du sites en soit et rien d ‘autre.



La ou une faille active X arrive à compromètre assez souvent toute la machine…

N’y vois tu point une différence notable?



En l’occurence la faille en question doit être reproductible sur tous les os, puisque c’est une faille de l’appli et donc rien avoir avec l’os en soit.



Mais bon oui il est sûr que tous les os contiennent des failles, toute la question est de savoir al vitesse de correction de ces failles, et la facilité de déployer des correctifs et mettre à jour…





La différence est au niveau des conséquences.

Sur le fond c’est le même problème : Faille d’un produit tiers et pas de l’OS


votre avatar







b801 a écrit :



1,82 millions de compte c’est surtout 1,82 millions d’adresses email qui pourront être exploitées, vendues.







Encrypter les adresses mail dans une BDD ça se pratique ou pas ? (performance, robustesse, aspect pratique)


votre avatar







nucl3arsnake a écrit :



Pour l’instant ça tient le planing ^^







En effet, c’est parce qu’ils utilisent un outil qui traduit le code YCP en Ruby.







nucl3arsnake a écrit :



J’ai vu plus de dérivé Debian/Red Hat que de dérivé Opensuse …







Moi aussi, mais c’est à cause de la mauvaise réputation qu’à SUSE (à tord à mon goût). De plus, il y a la dose de dérivés Debian, car facilement maintenables dans le temps à cause du peu d’outils disponibles. Pour Red Hat, à part CentOS, Scientific Linux et Oracle Linux, il n’y en a pas vraiment.


votre avatar







sepas a écrit :



Conserver le mot de passe dans le navigateur?




  • En terme de sécurité, je pense que c’est le pire

  • Ca veut dire que tu ne te connectes que de ta machine

  • Ca n’empêche pas qu’il faudra le rentrer de nouveau le jour où tu vides tes cookies ou si tu change de PC, donc tu dois les retenir (ou le noter sur un post-it :))





    <img data-src=" />







    indyiv a écrit :



    perso j’utilise un navigateur portable

    et mes mots de passe sont les premieres lettres de phrases d’un bouquin …

    donc quand je vide les cookies rien de plus simple pour les retrouver …







    Le navigateur les logiciels portable c’est déjà mieux en terme de sécu, les malware s’attaquant en général aux emplacement PAR DEFAUT ou sont stockés les mots de passe sur l’ordinateur.



    *On est pas à l’abri d’un malware qui parcourerais les disques pour trouver les logiciels portables <img data-src=" />



    *Si la machine est carrément compromise (RAT?) alors là ….<img data-src=" />


votre avatar







atem18 a écrit :



En effet, c’est parce qu’ils utilisent un outil qui traduit le code YCP en Ruby.







Moi aussi, mais c’est à cause de la mauvaise réputation qu’à SUSE (à tord à mon goût). De plus, il y a la dose de dérivés Debian, car facilement maintenables dans le temps à cause du peu d’outils disponibles. Pour Red Hat, à part CentOS, Scientific Linux et Oracle Linux, il n’y en a pas vraiment.





Fedora et les dérivé de Fedora (même avec release de 6mois) …


votre avatar







sepas a écrit :



La différence est au niveau des conséquences.

Sur le fond c’est le même problème : Faille d’un produit tiers et pas de l’OS





Bah non la différence est énorme…

Que seules les données du produit en cause soient compromises, ça n’a vraiment strictement rien de comparable à obtenir un accès root/admin de toute la machine.



Maintenant encore une fois oui ,des failles de ce style doivent et/ou ont existé à moment donné sous linux aussi, via des produits tiers que sont “java/flash”.



La grosse différence c’est aussi et surtout que dans les communautés libristes, on gueule justement sur ça, contre tous ces modules proprios qui sont obligatoires pour surfer sur internet et dont il n’existe aucune alternative, donc aucun contrôle donc ouverture aux failles et dépendances de l’éditeur.


votre avatar







b801 a écrit :



C’est fou tout ce débat sur les mots de passe. Blablabla ils sont salés, blablabla il ne faut pas crypter, blablabla je suis un boulet. Le mec s’en branle de voler le mot de passe de geeks poilus qui doivent tous en utiliser un différent par sites.



1,82 millions de compte c’est surtout 1,82 millions d’adresses email qui pourront être exploitées, vendues. C’est bien pour Canonical de rassurer les utilisateurs pour leur mot de passe, mais l’adresse email est dans la nature, ce qui n’est pas tout le temps souhaitable. Prochaine étape, faire des stats sur les adresses emails et cibler les noobs auto-hébergés pour rooter leur serveur.







Oui, mais tu préfére avoir spam + truc plus graves grâces aux mdp ou juste spam parce que la sécurité des mp va ralentir / faire chier/ stopper le hacker?

“Le mec s’en branle”… Va savoir, si il a une motivation pécuniaire ben piquer des sous sur Paypal grace aux mdp c’est envisageable.



Tu me diras, tu as raison : sur un forum d’utilisateurs Linux je pense que les utilisateurs doivent un minimum suivre les recommandations en termes de mots de passes <img data-src=" />


votre avatar







nucl3arsnake a écrit :



Fedora et les dérivé de Fedora (même avec release de 6mois) …





Y’a pas vraiment de dérivé de Fedora. Juste les spins à la rigueur.


votre avatar







RaoulC a écrit :



*On est pas à l’abri d’un malware qui parcourerais les disques pour trouver les logiciels portables <img data-src=" />







oui en même temps, le meilleur moyen de ne pas voir son PC etre attaqué … c’est de ne jamais se connecter

#captain_obvious



<img data-src=" />


votre avatar







v1nce a écrit :



Encrypter les adresses mail dans une BDD ça se pratique ou pas ? (performance, robustesse, aspect pratique)







Non, pour la même raison qui a été donné pour les mots de passe, si c’est chiffré alors c’est déchiffrable. Avec la clé par exemple dans le code. D’un certain coté cela obligerait à pirater la base de données et le code source (ce qui semble avoir été le cas ici).



Donc ça ne serait donc pas robuste (car c’est juste plus difficile, pas impossible), et surement pas pratique…


votre avatar







indyiv a écrit :



oui en même temps, le meilleur moyen de ne pas voir son PC etre attaqué … c’est de ne jamais se connecter

#captain_obvious



<img data-src=" />





<img data-src=" />

Je dis ca par ce que quand on voit comment c’est facile à faire.

Je pense que cela risque d’arriver :p

J’ai ajouté cette remarque pour ne pas que les gens se croient trop en sécurité de cette manière ce n’est jamais bon.<img data-src=" />



votre avatar







nucl3arsnake a écrit :



Et niveau librairies y’a enfin les 64 bits? Parce que j’avais pas mal de soucis avec le 64bits sous Opensuse avec la v12 (notamment il fallais des lib32 ….)





Je suis sur la 12.2 et j’ai pas remarqué ces soucis.

Ça concerne beaucoup de programmes ou librairies ?


votre avatar

Entre Apple et Ubuntu, ce fut un bon week-end pour les hackers !

votre avatar

J’avais perdu mon mot de passe , s’il pouvait me le redonner ?


votre avatar







Mr.Nox a écrit :



Entre Apple et Ubuntu, ce fut un bon week-end pour les hackers !





C’est peut-être MS qui est derrière….



Super le sous titre en tout cas. Au moins les MDP ne sont pas stocké en claire par comme chez Sony <img data-src=" />


votre avatar







Mr.Nox a écrit :



Entre Apple et Ubuntu, ce fut un bon week-end pour les hackers !





Et “Tango” également :

http://www.igen.fr/app-store/le-service-de-chat-tango-pirate-par-la-syrian-electronic-army-107180


votre avatar

Ca concerne le forum de quel pays?

votre avatar

Pour être original, c’est une annonce originale !

pcinpact.com PC INpact

votre avatar



Vous êtes banni(e) de ce forum. L’administrateur ou le modérateur qui vous a banni envoie le message suivant :



Hors sujet total à répétition



Bon ça va, mon compte là-bas était bien protégé.

votre avatar







lincruste a écrit :



Bon ça va, mon compte là-bas était bien protégé.







Ce sont les forums internationaux qui ont été attaqués, pas la communauté française.


votre avatar

Comprend pas … si les mdp ne sont pas stockés en clair; où est le risque?

votre avatar

Je suis content d’avoir changé mon mdp il y a quelques mois. Vive 1Password.

votre avatar







indyiv a écrit :



Comprend pas … si les mdp ne sont pas stockés en clair; où est le risque?





peux tjs tenter de les peter =)


votre avatar







indyiv a écrit :



Comprend pas … si les mdp ne sont pas stockés en clair; où est le risque?







Rainbow table, toussa.

Le hashing en md5, c’est pas super dur à “cracker”.

Surtout, que les hackers ont surement eu accès au “salt” des hash, vu la porte ouverte.


votre avatar

Ca y est les pub a la con viennent de frapper sur PCi. Elles s’agrandissent au survol et pas au click (eg CitroHaine)

votre avatar







atem18 a écrit :



Ce sont les forums internationaux qui ont été attaqués, pas la communauté française.





Ha merde faut que j’aille me faire ban là-bas aussi alors. Merci, j’y fonce.


votre avatar



ils sont hashés avec une pincée de sel





<img data-src=" />

Rhooo c’est pas bien, tout le monde ne va pas comprendre <img data-src=" />

votre avatar







TBirdTheYuri a écrit :



Ca concerne le forum de quel pays?





C’est le forum anglais/américain (http://ubuntuforums.org ) pas le français (http://forum.ubuntu-fr.org ).


votre avatar







v1nce a écrit :



Ca y est les pub a la con viennent de frapper sur PCi. Elles s’agrandissent au survol et pas au click (eg CitroHaine)







Perso je m’en fout, du temps que ça puisse faire vivre PCInpact ;)

Et pourtant je suis sur un netbook, et dans le genre ça fait ramer :P


votre avatar







nucl3arsnake a écrit :



Et niveau librairies y’a enfin les 64 bits? Parce que j’avais pas mal de soucis avec le 64bits sous Opensuse avec la v12 (notamment il fallais des lib32 ….)







C’est possible qu’il y avait des problèmes, oui, m’en souvient peut-être. Enfin bref, plus aucun soucis de nos jours, la 12.3 roule niquel.


votre avatar







atem18 a écrit :



C’est possible qu’il y avait des problèmes, oui, m’en souvient peut-être. Enfin bref, plus aucun soucis de nos jours, la 12.3 roule niquel.





je verrais a la prochaine version, on est a la milestone 3, bientot la release ^^


votre avatar







after_burner a écrit :



Ça arrive à tout le monde.









C’est ce que certains libriste devrait comprendre.<img data-src=" />





EN l’occurrence rien ici ne dit que l’os est en faute.

C’est plus vbuling qui est en faute au niveau faille. ;)


votre avatar







nucl3arsnake a écrit :



Bha le soucis c’est “quelle ligne de commande remplace le aptitude update upgrade remove ^^”





zypper…


votre avatar







Burn2 a écrit :



zypper…





On m’as répondu c’est bon ^^.



Y’a que Opensuse qui utilise “zypper” non?


votre avatar







nucl3arsnake a écrit :



je verrais a la prochaine version, on est a la milestone 3, bientot la release ^^







Oui pour la 13.1 . À priori, pas de grands changements, hormis le ré-encodage en Ruby de YAST. On verra si tout est prêt pour Novembre ! ^^


votre avatar







sepas a écrit :



Quand on dit ça sur une faille sous Windows ou IE (avec des active X), ça n’empêche pas d’avoir des dizaines de trolls qui viennent nous dire que Windows est une passoire…





La grosse différence, c’est que la faille du site, a compromis les données du sites en soit et rien d ‘autre.



La ou une faille active X arrive à compromètre assez souvent toute la machine…

N’y vois tu point une différence notable?



En l’occurence la faille en question doit être reproductible sur tous les os, puisque c’est une faille de l’appli et donc rien avoir avec l’os en soit.



Mais bon oui il est sûr que tous les os contiennent des failles, toute la question est de savoir al vitesse de correction de ces failles, et la facilité de déployer des correctifs et mettre à jour…


votre avatar







nucl3arsnake a écrit :



On m’as répondu c’est bon ^^.



Y’a que Opensuse qui utilise “zypper” non?







Yep, tout comme il n’y a que Fedora qui utilise YUM (Red hat et ses dérivés ne comptent pas puisque c’est la même base).


votre avatar







atem18 a écrit :



Oui pour la 13.1 . À priori, pas de grands changements, hormis le ré-encodage en Ruby de YAST. On verra si tout est prêt pour Novembre ! ^^





Pour l’instant ça tient le planing ^^







atem18 a écrit :



Yep, tout comme il n’y a que Fedora qui utilise YUM (Red hat et ses dérivés ne comptent pas puisque c’est la même base).





J’ai vu plus de dérivé Debian/Red Hat que de dérivé Opensuse …


votre avatar



Une faille de sécurité semble avoir été exploitée sur les serveurs du forum d’Ubuntu durant le week-end.



Ubuntu Server….<img data-src=" />

votre avatar







jun a écrit :



Etant pas au fait de l’état de l’art dans le domaine, aurait tu des liens à recommander sur ces mesures simple qu’il faudrait adopter ?







arstechnica.com Ars Technicaarstechnica.com Ars Technicaarstechnica.com Ars Technica


votre avatar







Burn2 a écrit :



La grosse différence, c’est que la faille du site, a compromis les données du sites en soit et rien d ‘autre.



La ou une faille active X arrive à compromètre assez souvent toute la machine…

N’y vois tu point une différence notable?



En l’occurence la faille en question doit être reproductible sur tous les os, puisque c’est une faille de l’appli et donc rien avoir avec l’os en soit.



Mais bon oui il est sûr que tous les os contiennent des failles, toute la question est de savoir al vitesse de correction de ces failles, et la facilité de déployer des correctifs et mettre à jour…





ActiveX sur internet c’est mort non?


votre avatar







nucl3arsnake a écrit :



On m’as répondu c’est bon ^^.



Y’a que Opensuse qui utilise “zypper” non?





J’ai vu après oui. <img data-src=" />





Le seul truc qui m’a fait quitté openSuse, c’est la non présence de version LTS. :/



Sinon j’en était globalement satisfait, mais devoir mettre à jour tous les 6 mois c’était trop contraignant, j’ai encore un serveur home à la maison sous une openSuse et total il a 1 version de retard et bientôt 2 avec la sortie de la 13.1…


votre avatar







Burn2 a écrit :



J’ai vu après oui. <img data-src=" />





Le seul truc qui m’a fait quitté openSuse, c’est la non présence de version LTS. :/



Sinon j’en était globalement satisfait, mais devoir mettre à jour tous les 6 mois c’était trop contraignant, j’ai encore un serveur home à la maison sous une openSuse et total il a 1 version de retard et bientôt 2 avec la sortie de la 13.1…





C’est pas 6mois justement, c’est 18mois.



Fedora c’est 6 mois.



Opensuse fait un peu “mixte” de LTS et “semi” rolling <img data-src=" />


votre avatar







nucl3arsnake a écrit :



C’est pas 6mois justement, c’est 18mois.



Fedora c’est 6 mois.



Opensuse fait un peu “mixte” de LTS et “semi” rolling <img data-src=" />





Heu plait-il ?

openSUSE 12.3: 13-03-2013

openSUSE 13.1: 13-11-2013

openSUSE 13.2: 09-07-2014



C’est 8 mois pas 6 mais ça reste short. (loin de 18 mois hein :o )


votre avatar







Jarodd a écrit :



Ben oui mais le forum est par terre, qu’on te dit <img data-src=" />



Ou alors s’il y a un lien, merci de le mettre dans l’actu !







Je pense que le message est: “si vous utilisez ce même mot de passe sur un autre service (boite mail, autre forum, …), allez sur ce service et changez votre mot de passe”.


votre avatar

Bah, vu que mon mdp en était un généré aléatoirement par Keepass et que c’était une adresse mail poubelle, donc ça va perso, je risque pas grand chose <img data-src=" />

votre avatar

certes mais c’est pas comme si 1.8 M de personne poster tout les jours sur leurs forum (pis c’est que “un forum” si j’ose dire :x).

votre avatar

Je n’ai pas lu toutes les pages, mais est ce que les comptes Ubuntu One sont touchés ou ce sont juste les forums ?

votre avatar







Para-doxe a écrit :



C’est rigolo de voir quelqu’un considérer de l’opposition comme un affront, on est sur qu’il répondra à tout les coup. <img data-src=" />





Non, j’aime l’opposition constructive, elle fait avancer. Par contre, tes trolls sont à ton niveau, c’est du vide







Para-doxe a écrit :



Tu rêverais de réduire au silence les gens pensant différemment, tu considère l’opposition comme un affront. Et j’imagine que pour toi, les extrémistes ce sont les autres.





Voir point 1







Para-doxe a écrit :



Mais oui, un logiciel proprio à une faille et ça prouve que le libre n’est pas sécurisé. <img data-src=" />





Ah, tu pars dans un délire. Relis toi, tu n’arrives pas à faire une phrase avec un sens







Para-doxe a écrit :



HOOO, magie, comme mon avis général est différent du tient c’est obligatoirement du troll. <img data-src=" /> <img data-src=" />



J’ai trouvé de quoi me divertir aujourd’hui. \o/







Voir point 1



Pas la peine de continuer, ça n’avancera à rien mais je te fais confiance pour venir cracher ton venin à la moindre news sur MS ou Apple


votre avatar







sepas a écrit :



Non, j’aime l’opposition constructive, elle fait avancer. Par contre, tes trolls sont à ton niveau, c’est du vide







Encore une affirmation gratuite que je trolle. On sent tout l’argumentaire constructif là.







sepas a écrit :



Voir point 1







Il n’y a pas grand chose à voir dans une affirmation gratuite.







sepas a écrit :



Ah, tu pars dans un délire. Relis toi, tu n’arrives pas à faire une phrase avec un sens







Cette phrase à du sens. Elle met en avant la faiblesse de ton discours. Que tu ne l’aime pas ne la dénue pas de tout sens.







sepas a écrit :



Voir point 1







Il n’y a toujours pas grand chose à voir dans une affirmation gratuite.







sepas a écrit :



Pas la peine de continuer, ça n’avancera à rien mais je te fais confiance pour venir cracher ton venin à la moindre news sur MS ou Apple







Et encore une affirmation gratuite. J’ai dut gagner à la loterie pour avoir le droit à tant d’amusement. <img data-src=" />


votre avatar

La cyber War commence à se voir <img data-src=" />

votre avatar

Ah tiens un hacker frustré qui utilise Windows ? <img data-src=" />

votre avatar







NeVeS a écrit :



Il y a des solutions à ces problèmes (authentification unifié, master password, etc.), c’est juste pour montrer que rien n’est simple, et qu’il ne “suffit” pas de :)







jamais pretendu que c’etait simple …

mais dans la vie de tous les jours, c’est quand même pour 99% des forums visité, bcp plus simple de choisir un mdp different bassé sur une phrase de chaque page d’un livre …

et de laisser le navigateur (unifié puisqu’il suffit d’utiliser un navigateur portable) retenir ces mdp!)



votre avatar







indyiv a écrit :



oui en même temps, il suffit de demander au navigateur de conserver les mdp …

(a moins qu’on adore le petit jeu qui consiste a saisir 50 mdp différents chaque fois qu’on se connecte a un site …)





Conserver le mot de passe dans le navigateur?




  • En terme de sécurité, je pense que c’est le pire

  • Ca veut dire que tu ne te connectes que de ta machine

  • Ca n’empêche pas qu’il faudra le rentrer de nouveau le jour où tu vides tes cookies ou si tu change de PC, donc tu dois les retenir (ou le noter sur un post-it :))


votre avatar







indyiv a écrit :



jamais pretendu que c’etait simple …

mais dans la vie de tous les jours, c’est quand même pour 99% des forums visité, bcp plus simple de choisir un mdp different bassé sur une phrase de chaque page d’un livre …

et de laisser le navigateur (unifié puisqu’il suffit d’utiliser un navigateur portable) retenir ces mdp!)





Question de point de vue, qu’est-ce qui est le plus vulnérable, ton pc ou un serveur …


votre avatar







sepas a écrit :





  • Ca n’empêche pas qu’il faudra le rentrer de nouveau le jour où tu vides tes cookies ou si tu change de PC, donc tu dois les retenir (ou le noter sur un post-it :))







    perso j’utilise un navigateur portable

    et mes mots de passe sont les premieres lettres de phrases d’un bouquin …

    donc quand je vide les cookies rien de plus simple pour les retrouver …


votre avatar

il te faut donc 50 bouquins si tu as 50 sites…

votre avatar







sepas a écrit :



Quand MS se fait hacker, ce sont des gros nuls, et quand c’est linux, c’est MS qui hack.



J’espère que c’était de l’humour…





Non je suis sérieux, MS a peur des 1% de part de marché d’Ubuntu alors ils ont attaqué les forum de la communauté. La prochaine étape sera de porter les virus qui touchent windows sous linux en passant par des hacker chinois.



<img data-src=" />


votre avatar







sepas a écrit :



il te faut donc 50 bouquins si tu as 50 sites…







ce bouquin n’a pas qu’une page ;-)



sinon, ne pas garder en memoire les différents mdp sur le navigateur, ça suppose de les rentrer A CHAQUE FOIS ?!

inconcevable pour moi!


votre avatar







nucl3arsnake a écrit :



Bha le soucis c’est “quelle ligne de commande remplace le aptitude update upgrade remove ^^”







apt-get update –&gt; zypper refresh ou zypper ref

apt-get upgrade –&gt; zypper upgrade ou zypper up

apt-get remove –&gt; zypper remove ou zypper rm


votre avatar







atem18 a écrit :



apt-get update –&gt; zypper ref

apt-get upgrade –&gt; zypper dup

apt-get remove –&gt; zypper remove







Une idée de pourquoi “ref” et “dup”?


votre avatar







nucl3arsnake a écrit :



Une idée de pourquoi “ref” et “dup”?







J’ai modifié mon message pour être plus explicite. ^^


votre avatar







indyiv a écrit :



ce bouquin n’a pas qu’une page ;-)



sinon, ne pas garder en memoire les différents mdp sur le navigateur, ça suppose de les rentrer A CHAQUE FOIS ?!

inconcevable pour moi!





Oui, d’ailleurs, les sites sécurisés ne permettent pas de les enregistrer.



Par exemple, les sites bancaires…



Certains entreprises essayent de faire des passeports qui fonctionnent très bien avec de la fédération d’identité.

Certains diront que c’est pire car si l’annuaire est cracké, tout est accessible.



Je suis assez d’accord sauf qu’il est alors plus facile de mettre un mot de passe très complexe et ce genre de structure peut-être plus facilement mise à jour avec les dernières normes de sécurité.

Il n’y a pas de solution miracle aujourd’hui mais certaines sont plus fiables que d’autres.



Aujourd’hui, par exemple, il est très facile de récupérer des milliers de mots de passes sans aucune connaissance en informatique, sans que personne ne puisse s’en rendre compte.

Pour moi, devoir choisir un mot de passe sur chaque site est trop dangereuse. La fédération serait déjà une avancée.


votre avatar

Attention le problème de sécurité ne concerne pas Ubuntu ou linux, mais un problème de codage d’un l’un des modules du forum. <img data-src=" />



C’est toujours les appli tierces qui foutent la merde ^^

votre avatar







atem18 a écrit :



J’ai modifié mon message pour être plus explicite. ^^





Et niveau librairies y’a enfin les 64 bits? Parce que j’avais pas mal de soucis avec le 64bits sous Opensuse avec la v12 (notamment il fallais des lib32 ….)


votre avatar







FREDOM1989 a écrit :



Non je suis sérieux, MS a peur des 1% de part de marché d’Ubuntu alors ils ont attaqué les forum de la communauté. La prochaine étape sera de porter les virus qui touchent windows sous linux en passant par des hacker chinois.



<img data-src=" />





ou un bon vieux “virus.exe” a lancer avec Wine, le tout pour voir les photo de insérer personnalité nue.


votre avatar







Tirr Mohma a écrit :



Attention le problème de sécurité ne concerne pas Ubuntu ou linux, mais un problème de codage d’un l’un des modules du forum. <img data-src=" />



C’est toujours les appli tierces qui foutent la merde ^^





Quand on dit ça sur une faille sous Windows ou IE (avec des active X), ça n’empêche pas d’avoir des dizaines de trolls qui viennent nous dire que Windows est une passoire…


votre avatar







NeVeS a écrit :



Il ne faut au contraire SURTOUT PAS utiliser le chiffrement pour stocker un mot de passe. Chiffrement implique clé de (dé)chiffrement, stockée soit dans le code, soit dans la DB, mais clé nécessaire pour vérifier le mot de passe lorsque l’utilisateur le rentre. Et quand le hacker récupère cette clé, le mot de passe en clair apparaît sans bruteforce.



Il faut bien sûr utiliser un algorithme de hashage (plus évolué que md5), avec un grand nombre d’itérations et un salt différent par compte. Comme ce que font tous les softs un peu sérieux quoi.



Quant à la remarque sur PCI, le forum utilisé est IP.Board. Je crois que les comptes sont unifiés entre le forum et le site, donc c’est md5 salté.







Merci d’avoir corrigé mon explication foireuse, faut que je fasse plus attention aux termes que j’emploie.



Pour les autres posts, en tant qu’utilisateur tout ce que ça veut dire, c’est que sur un site lambda comme PCInpact il vaut mieux assumer que votre mot de passe est à la portée de tout le monde (oui, vraiment, vu le nombre de site qu’on utilise il y en a au moins un qui a déjà été hacké, et les autres ça arrivera forcément un jour). Donc type de mot de passe (la manip que vous utilisez pour le créer) totalement différent du type que vous utilisez sur un site sérieux où vous seriez mal si quelqu’un d’autre avait accès à votre compte. Et si vous avez un site et voulez faire les choses bien, c’est pas compliqué, si le temps que prend un hashage permettrait d’en faire des millions à la seconde, c’est qu’il ne sert à rien, employez une fonction plus lente et/ou rajouter des itérations, jusqu’à ce que ça se mesure au moins en millisecondes.


votre avatar







Burn2 a écrit :



C’est vbulletin et non c’est propriétaire:









Mais bon des failles sur des forums openSource ça doit aussi bien exister…







Ah j’ai manqué l’info, en effet c’est pas pour ça que les failles n’existent pas dans l’open source. <img data-src=" />


votre avatar







Para-doxe a écrit :



OOOhhhhhh, pauvre choux. Tout le monde il est méchant avec les défenseurs du gentil billoux. Tu veux une coquille d’oeuf pour mettre sur ta tête?







Non, je te la laisse, c’est de toi (entre autre) que je parlais. Quand tu viens troller sur les news Microsoft ou Apple, je pense que c’est bien toi qui fait ton Caliméro.

Mais là, curieusement, rien. Mauvaise foi, quand tu nous tiens…


votre avatar

Et moi qui n’arrête pas d’entendre qu’Ubuntu a une sécurité optimale comparé à d’autres…on m’aurait menti.



Le site d’Apple réservé aux développeurs a été piraté également et j’en suis sur qu’il est hébergé sur un serveur Linux. Après Linux ne fait pas tout, il faut voir le développement du site mais bon, on parle ici d’un site d’Apple réservé aux développeurs, j’imagine que le site n’a pas été déveloper avec les pieds

votre avatar







befa508 a écrit :



Et moi qui n’arrête pas d’entendre qu’Ubuntu a une sécurité optimale comparé à d’autres…on m’aurait menti.



Le site d’Apple réservé aux développeurs a été piraté également et j’en suis sur qu’il est hébergé sur un serveur Linux. Après Linux ne fait pas tout, il faut voir le développement du site mais bon, on parle ici d’un site d’Apple réservé aux développeurs, j’imagine que le site n’a pas été déveloper avec les pieds





<img data-src=" />

La moindre des choses quand on veut troller de manière efficace c’est de lire ce qui a été dit avant…


votre avatar







Burn2 a écrit :



Bah non la différence est énorme…

Que seules les données du produit en cause soient compromises, ça n’a vraiment strictement rien de comparable à obtenir un accès root/admin de toute la machine.



Maintenant encore une fois oui ,des failles de ce style doivent et/ou ont existé à moment donné sous linux aussi, via des produits tiers que sont “java/flash”.



La grosse différence c’est aussi et surtout que dans les communautés libristes, on gueule justement sur ça, contre tous ces modules proprios qui sont obligatoires pour surfer sur internet et dont il n’existe aucune alternative, donc aucun contrôle donc ouverture aux failles et dépendances de l’éditeur.







Les conséquences sont aussi graves car comme je le disais, la plupart des utilisateurs a le même mot de passe partout.



Quand je parle de raison identiques, je parle de la cause d’un produit tiers dans les 2 cas.

Donc, oui une faille sur un composant Active X d’IE peut (c’est de plus en plus rare) te donner un contrôle total de la machine mais la cause n’est pas IE.

Là, c’est une faille sur un composant qui te donne accès à une base de milliers d’utilisateurs et potentiellement leurs mots de passes.

Avec ça, plus besoin d’un accès complet au serveur, le hacker a tout ce qu’il veut


votre avatar







nucl3arsnake a écrit :



Viperr pour ne cité que lui.







En effet, même si je t’avouerais que je n’ai pas trop regardé.


votre avatar







nucl3arsnake a écrit :



Et avec Skype? Steam ? Pidgin ? SublimText ?







J’utilise Skype et Sublimetext et aucun soucis de mon côté.


votre avatar







nucl3arsnake a écrit :



Viperr pour ne citer que lui.







Viperr c’est pas justement une fedora avec un thème et quelques programmes installés par défaut ? Je ne connais pas, jamais utilisé, mais c’est la description qu’on m’en a fait.


votre avatar







NeVeS a écrit :



Viperr c’est pas justement une fedora avec un thème et quelques programmes installés par défaut ? Je ne connais pas, jamais utilisé, mais c’est la description qu’on m’en a fait.





Fedora, Openbox, script post-installation


votre avatar







sepas a écrit :



Non, je te la laisse, c’est de toi (entre autre) que je parlais. Quand tu viens troller sur les news Microsoft ou Apple, je pense que c’est bien toi qui fait ton Caliméro.

Mais là, curieusement, rien. Mauvaise foi, quand tu nous tiens…







Ah, maintenant tu nous donne dans le “c’est celui qui dit qui est!”. C’est mignon.


votre avatar







Cara62 a écrit :



Ah tiens un hacker frustré qui utilise Windows ? <img data-src=" />







Excellent ++++


votre avatar







Para-doxe a écrit :



Ah, maintenant tu nous donne dans le “c’est celui qui dit qui est!”. C’est mignon.







Je ne suis pas un lapin de 6 semaines. Si tu penses m’énerver avec tes remarques débiles, tu te fourres le doigt dans l’œil.

Je peux comprendre que quand on s’aperçoit que son argumentaire favori sur la sécurité tombe, on n’a plus rien à dire.

Calme toi, rien de grave, tu continueras à troller de toutes façons, ça ne changera pas ta vie.


votre avatar







sepas a écrit :



Les conséquences sont aussi graves car comme je le disais, la plupart des utilisateurs a le même mot de passe partout.





Les conséquences ne permettent pas de déterminer les responsabilités.

Le bug ssl de debian aurait été tout aussi grave si ce n’était pas un packager qui avait provoqué la faille en modifier le code.

Donc, on a 2 situations où les conséquences sont identiques, mais où, dans un cas, on peut critiquer Debian, et dans l’autre, non.



Quand je parle de raison identiques, je parle de la cause d’un produit tiers dans les 2 cas.



De nouveau, ça ne permet pas de déterminer les responsabilités.

Si je choisis d’installer un logiciel tiers connu pour être une passoire sur une machine à risque, j’ai une plus grande responsabilité dans les problèmes qui surviennent que l’auteur du logiciel tiers. Si par contre le logiciel est réputé fiable mais que le développeur ajoute une grossière erreur lors de la nouvelle version, c’est plutôt le développeur du logiciel qui est à blâmer.





Donc, oui une faille sur un composant Active X d’IE peut (c’est de plus en plus rare) te donner un contrôle total de la machine mais la cause n’est pas IE.

Là, c’est une faille sur un composant qui te donne accès à une base de milliers d’utilisateurs et potentiellement leurs mots de passes.

Avec ça, plus besoin d’un accès complet au serveur, le hacker a tout ce qu’il veut



Dans le cas d’Active X, le reproche était que Active X n’était pas conçu de manière suffisamment isolée (ou plutôt: permettait de faire trop de chose par rapport au besoin), ce qui est de la responsabilité des créateurs d’Active X. Dans le cas de l’article, le système, lui, est totalement hors de cause: même avec un système hyper-sécurisé, l’accès à la BDD est nécessaire pour le logiciel tiers.


votre avatar

Impossible de faire de maj d’ubuntu cet aprem, et j’ai eu beau expliquer que ce n’était pas à cause du système d’exploitation, ça n’a pas convaincu <img data-src=" />

Heureusement j’ai pu compter sur microsoft pour rattraper le coup, leur site s’est mis à bugguer, impossible d’avoir une licence <img data-src=" />

votre avatar







sepas a écrit :



Je ne suis pas un lapin de 6 semaines. Si tu penses m’énerver avec tes remarques débiles, tu te fourres le doigt dans l’œil.







C’est rigolo de voir quelqu’un considérer de l’opposition comme un affront, on est sur qu’il répondra à tout les coup. <img data-src=" />







sepas a écrit :



Je peux comprendre que quand on s’aperçoit que son argumentaire favori sur la sécurité tombe, on n’a plus rien à dire.







Tu rêverais de réduire au silence les gens pensant différemment, tu considère l’opposition comme un affront. Et j’imagine que pour toi, les extrémistes ce sont les autres.







sepas a écrit :



Calme toi, rien de grave, tu continueras à troller de toutes façons, ça ne changera pas ta vie.







Mais oui, un logiciel proprio à une faille et ça prouve que le libre n’est pas sécurisé. <img data-src=" />



HOOO, magie, comme mon avis général est différent du tient c’est obligatoirement du troll. <img data-src=" /> <img data-src=" />



J’ai trouvé de quoi me divertir aujourd’hui. \o/


votre avatar



En attendant, si vous vous êtes enregistrés sur les forums d’Ubuntu et que vous utilisez ce même mot de passe sur d’autres services, nous ne saurions que vous conseiller d’en changer rapidement.





Ben oui mais le forum est par terre, qu’on te dit <img data-src=" />



Ou alors s’il y a un lien, merci de le mettre dans l’actu !

1,82 million de comptes utilisateurs du forum d’Ubuntu dans la nature

Fermer