1,82 million de comptes utilisateurs du forum d'Ubuntu dans la nature

1,82 million de comptes utilisateurs du forum d’Ubuntu dans la nature

Admin / Admin a encore frappé

Avatar de l'auteur
Damien Labourot

Publié dans

Internet

22/07/2013
136

1,82 million de comptes utilisateurs du forum d'Ubuntu dans la nature

Durant le weekend, le forum américain d'Ubuntu a subi une attaque en règle ainsi qu'un défaçage. 1,82 million de comptes utilisateurs sont potentiellement touchés et dans la nature. Canonical se veut néanmoins rassurant en expliquant que les mots de passe ne sont pas stockés en clairs sur les serveurs.

Ubuntu Forums

 

Une faille de sécurité semble avoir été exploitée sur les serveurs du forum d'Ubuntu durant le week-end. En effet, le site a été victime d'un défaçage ce samedi, ce qui a poussé les administrateurs de Canonical à le fermer ou tout du moins à le mettre en statut de maintenance.

 

Suite à une première analyse, il semblerait que 1,82 million de comptes utilisateurs (nom d'utilisateur, adresse mail et mot de passe) aient été exposés et se retrouvent dans la nature. Canonical se veut rassurant en expliquant que les mots de passe ne sont pas stockés en clair sur les serveurs, mais qu'ils sont hashés avec une pincée de sel. Une méthode utilisée par défaut sur les serveurs de vBulletin qu'exploite la société.

 

L'auteur revendiqué du méfait, connu sous le nom de @Sputn1k_, n'a semble-t-il pas encore publié d'une manière ou d'une autre le contenu de son larcin. Mais il serait très étonnant qu'au moins une partie de celui-ci ne se retrouve rapidement sur la Toile. Car, habituellement, c'est comme cela qu'est validée l'attaque.

 

En attendant, si vous vous êtes enregistrés sur les forums d'Ubuntu et que vous utilisez ce même mot de passe sur d'autres services, nous ne saurions que vous conseiller d'en changer rapidement.

136

Écrit par Damien Labourot

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (136)


Le 22/07/2013 à 07h 05

Ah tiens un hacker frustré qui utilise Windows ? <img data-src=" />


Mr.Nox Abonné
Le 22/07/2013 à 07h 10

Entre Apple et Ubuntu, ce fut un bon week-end pour les hackers !


Le 22/07/2013 à 07h 13

J’avais perdu mon mot de passe , s’il pouvait me le redonner ?



FREDOM1989 Abonné
Le 22/07/2013 à 07h 16







Mr.Nox a écrit :



Entre Apple et Ubuntu, ce fut un bon week-end pour les hackers !





C’est peut-être MS qui est derrière….



Super le sous titre en tout cas. Au moins les MDP ne sont pas stocké en claire par comme chez Sony <img data-src=" />



Le 22/07/2013 à 07h 18







Mr.Nox a écrit :



Entre Apple et Ubuntu, ce fut un bon week-end pour les hackers !





Et “Tango” également :

http://www.igen.fr/app-store/le-service-de-chat-tango-pirate-par-la-syrian-electronic-army-107180



Le 22/07/2013 à 07h 18

Ca concerne le forum de quel pays?


Le 22/07/2013 à 07h 20
Le 22/07/2013 à 07h 20



Vous êtes banni(e) de ce forum. L’administrateur ou le modérateur qui vous a banni envoie le message suivant :



Hors sujet total à répétition



Bon ça va, mon compte là-bas était bien protégé.


Le 22/07/2013 à 07h 21







lincruste a écrit :



Bon ça va, mon compte là-bas était bien protégé.







Ce sont les forums internationaux qui ont été attaqués, pas la communauté française.



Le 22/07/2013 à 07h 23

Comprend pas … si les mdp ne sont pas stockés en clair; où est le risque?


Le 22/07/2013 à 07h 24

Je suis content d’avoir changé mon mdp il y a quelques mois. Vive 1Password.


Le 22/07/2013 à 07h 25







indyiv a écrit :



Comprend pas … si les mdp ne sont pas stockés en clair; où est le risque?





peux tjs tenter de les peter =)



Le 22/07/2013 à 07h 26







indyiv a écrit :



Comprend pas … si les mdp ne sont pas stockés en clair; où est le risque?







Rainbow table, toussa.

Le hashing en md5, c’est pas super dur à “cracker”.

Surtout, que les hackers ont surement eu accès au “salt” des hash, vu la porte ouverte.



Le 22/07/2013 à 07h 28

Ca y est les pub a la con viennent de frapper sur PCi. Elles s’agrandissent au survol et pas au click (eg CitroHaine)


Le 22/07/2013 à 07h 28







atem18 a écrit :



Ce sont les forums internationaux qui ont été attaqués, pas la communauté française.





Ha merde faut que j’aille me faire ban là-bas aussi alors. Merci, j’y fonce.



Le 22/07/2013 à 07h 29



ils sont hashés avec une pincée de sel





<img data-src=" />

Rhooo c’est pas bien, tout le monde ne va pas comprendre <img data-src=" />


Mihashi Abonné
Le 22/07/2013 à 07h 32







TBirdTheYuri a écrit :



Ca concerne le forum de quel pays?





C’est le forum anglais/américain (http://ubuntuforums.org ) pas le français (http://forum.ubuntu-fr.org ).



Le 22/07/2013 à 07h 33







Naunaud a écrit :



Rainbow table, toussa.

Le hashing en md5, c’est pas super dur à “cracker”.

Surtout, que les hackers ont surement eu accès au “salt” des hash, vu la porte ouverte.







C’est du vBulletin, le salt est différent pour chaque compte, l’utilisation de rainbow table n’est pas possible ici.



Le 22/07/2013 à 07h 38



Canonical se veut néanmoins rassurant en expliquant que les mots de passe ne sont pas stockés en clairs sur les serveurs.





Oui enfin des hash de mots de passe ca se casse. Il faut pas croire que parce que on a utilisé du md5 dessus que ca y est c’est la fête !


Le 22/07/2013 à 07h 38

indyiv, le chiffrage utilisé par la plupart des sites ne tient pas la route face à la puissance disponible avec un simple PC de 2013 et une carte graphique à 200€.



S’ils indiquent cryptage+salage, ça veut dire qu’ils n’ont rien compris à la sécurité et n’utilisent pas un moyen de chiffrement efficace comme bcrypt (sinon ils sauraient que cryptage+salage n’offre pas plus de sécurité depuis très longtemps) - en quelques heures, le pirate, même sans connaissances particulières, aura décrypté la plupart des mots de passe associés aux comptes récupérés. Disons que, comme beaucoup de sites (PCInpact y compris je pense, vu qu’à chaque fois qu’on a un article dessus l’équipe évite soigneusement d’en parler), ils ont dix ans de retard par rapport aux mesures (pourtant simples) qu’il faudrait adopter.



Autrement dit, à moins de tomber sur un site qui prend ça au sérieux, et qui au lieu d’annoncer hashage+salage annonce un chiffrement adaptatif, tu peux assumer que tout mot de passe que tu laisses sur un site est stocké en clair, parce que hashage+salage, c’est ce à quoi ça équivaut depuis des années.


Le 22/07/2013 à 07h 43







lincruste a écrit :



Ha merde faut que j’aille me faire ban là-bas aussi alors. Merci, j’y fonce.







Tu va avoir du mal étant donné que le forum est toujours en maintenance. ^^



maximeK Abonné
Le 22/07/2013 à 07h 44

Moi ce qui me fait chier c’est les millions d’émail qui ce ballade dans la nature. Car le nerf de la guerre des pirates c’est bel et bien ça ( les emails pour spamer ),après les mots de passe ils s’ent foutent un peu je pense.


Le 22/07/2013 à 07h 45

Tiens tiens… comme c’est étrange, ça arrive au moment ou ubuntu doit parler de son edge. Etrange… etrange… <img data-src=" />


Le 22/07/2013 à 07h 45







atem18 a écrit :



Tu va avoir du mal étant donné que le forum est toujours en maintenance. ^^





Justement, easy.



genre “punaise A croire que vos serveurs tournais sous Ubuntu Server pour être si long a revenir et si peu sécurisé”



<img data-src=" />



maximeK a écrit :



Moi ce qui me fait chier c’est les millions d’émail qui ce ballade dans la nature. Car le nerf de la guerre des pirates c’est bel et bien ça ( les emails pour spamer ),après les mots de passe ils s’ent foutent un peu je pense.





Bof, doivent bien tenté les MdP sur certains site pour avoir plus d’info (type CB).



Le 22/07/2013 à 07h 51







miles_t a écrit :



indyiv, le chiffrage utilisé par la plupart des sites ne tient pas la route face à la puissance disponible avec un simple PC de 2013 et une carte graphique à 200€.



S’ils indiquent cryptage+salage, ça veut dire qu’ils n’ont rien compris à la sécurité et n’utilisent pas un moyen de chiffrement efficace comme bcrypt (sinon ils sauraient que cryptage+salage n’offre pas plus de sécurité depuis très longtemps) - en quelques heures, le pirate, même sans connaissances particulières, aura décrypté la plupart des mots de passe associés aux comptes récupérés. Disons que, comme beaucoup de sites (PCInpact y compris je pense, vu qu’à chaque fois qu’on a un article dessus l’équipe évite soigneusement d’en parler), ils ont dix ans de retard par rapport aux mesures (pourtant simples) qu’il faudrait adopter.



Autrement dit, à moins de tomber sur un site qui prend ça au sérieux, et qui au lieu d’annoncer hashage+salage annonce un chiffrement adaptatif, tu peux assumer que tout mot de passe que tu laisses sur un site est stocké en clair, parce que hashage+salage, c’est ce à quoi ça équivaut depuis des années.





Alors pourquoi bcrypt sale aussi si ca équivaut à un mot de passe en clair ? …




Le 22/07/2013 à 07h 54







nucl3arsnake a écrit :



Justement, easy.



genre “punaise A croire que vos serveurs tournais sous Ubuntu Server pour être si long a revenir et si peu sécurisé”







Hahaha. En même temps, si leurs serveurs tournaient sous de la CentOS ou du SUSE, il faudrait se poser des questions. Ceci étant, ne pas oublier qu’une Ubuntu Server n’est ni plus ni moins qu’une Debian + quelques trucs de Canonical.



Le 22/07/2013 à 07h 55







FREDOM1989 a écrit :



C’est peut-être MS qui est derrière….



Super le sous titre en tout cas. Au moins les MDP ne sont pas stocké en claire par comme chez Sony <img data-src=" />





Quand MS se fait hacker, ce sont des gros nuls, et quand c’est linux, c’est MS qui hack.



J’espère que c’était de l’humour…



Le 22/07/2013 à 07h 57







miles_t a écrit :



….







Il ne faut au contraire SURTOUT PAS utiliser le chiffrement pour stocker un mot de passe. Chiffrement implique clé de (dé)chiffrement, stockée soit dans le code, soit dans la DB, mais clé nécessaire pour vérifier le mot de passe lorsque l’utilisateur le rentre. Et quand le hacker récupère cette clé, le mot de passe en clair apparaît sans bruteforce.



Il faut bien sûr utiliser un algorithme de hashage (plus évolué que md5), avec un grand nombre d’itérations et un salt différent par compte. Comme ce que font tous les softs un peu sérieux quoi.



Quant à la remarque sur PCI, le forum utilisé est IP.Board. Je crois que les comptes sont unifiés entre le forum et le site, donc c’est md5 salté.



Le 22/07/2013 à 07h 58







atem18 a écrit :



Hahaha. En même temps, si leurs serveurs tournaient sous de la CentOS ou du SUSE, il faudrait se poser des questions.





Je sais pas pourquoi mais une société X qui utilise un serveur sous OS Y je trouve ça plus sécurisant qu’utiliser le même OS que celui commercialisé …







atem18 a écrit :



Ceci étant, ne pas oublier qu’une Ubuntu Server n’est ni plus ni moins qu’une [b]Debian + quelques trucs de Canonical.





Debian &gt; all =D




Le 22/07/2013 à 08h 03







miles_t a écrit :



Autrement dit, à moins de tomber sur un site qui prend ça au sérieux, et qui au lieu d’annoncer hashage+salage annonce un chiffrement adaptatif, tu peux assumer que tout mot de passe que tu laisses sur un site est stocké en clair, parce que hashage+salage, c’est ce à quoi ça équivaut depuis des années.







Ok les moyens pour sécuriser les comptes ne sont pas à la pointe de la technologie, mais finalement qu’est ce que ça change ? Quelqu’un veut vraiment rentrer dans un système, il le fait c’est pas le mot de passe stocké au 4 coins tu globes avec une clef dans le triangle des bermudes qui l’empêcheras d’y accéder. L’industrie culturelle (audio, vidéo et ludique) ne l’ont toujours pas compris, rajouter des tonnes de protection est inutile car il y a toujours plus force que soit dans le domaine. Et puis bon c’est un forum ce ne sont pas des coordonnées bancaires. Après tout est possible en matière de protection et le coût est une composante majeure lors des décisions.



Le 22/07/2013 à 08h 07







NeVeS a écrit :



Quant à la remarque sur PCI, le forum utilisé est IP.Board. Je crois que les comptes sont unifiés entre le forum et le site, donc c’est md5 salté.





Visiblement d’après l’intéressé c’est le chiffrement par défaut de vBulletin (md5(md5(\(pass).\)salt)… Pas super mais déjà mieux que du clair à la sauce Sony, surtout que c’est un “forum”.



Le 22/07/2013 à 08h 09







nucl3arsnake a écrit :



Je sais pas pourquoi mais une société X qui utilise un serveur sous OS Y je trouve ça plus sécurisant qu’utiliser le même OS que celui commercialisé …







Sans aucun doute niveau sécurité, mais commercialement parlant, ça ne fait pas très vendeur de dire que l’on utilise le produit d’une autre société que la notre.







nucl3arsnake a écrit :



Debian &gt; all =D







Yep en serveur, mais j’ai néanmoins ma préférence pour SUSE niveau desktop, KDE oblige. <img data-src=" />



Le 22/07/2013 à 08h 10







Alameda a écrit :



Ok les moyens pour sécuriser les comptes ne sont pas à la pointe de la technologie, mais finalement qu’est ce que ça change ? Quelqu’un veut vraiment rentrer dans un système, il le fait c’est pas le mot de passe stocké au 4 coins tu globes avec une clef dans le triangle des bermudes qui l’empêcheras d’y accéder. L’industrie culturelle (audio, vidéo et ludique) ne l’ont toujours pas compris, rajouter des tonnes de protection est inutile car il y a toujours plus force que soit dans le domaine. Et puis bon c’est un forum ce ne sont pas des coordonnées bancaires. Après tout est possible en matière de protection et le coût est une composante majeure lors des décisions.





Les plupart des utilisateurs utilise le même mot de passe partout. Oui, je sais, tout le monde conseille d’utiliser des mots de passes différents mais quand tu es inscrit sur 50 sites, il faut retenir 50 mots de passes.

Les moyens mnémoniques peuvent aider mais ça reste compliqué pour une grande partie de la population (qui ne met même pas de mot de passe sur leurs téléphones)



Le 22/07/2013 à 08h 11







atem18 a écrit :



Sans aucun doute niveau sécurité, mais commercialement parlant, ça ne fait pas très vendeur de dire que l’on utilise le produit d’une autre société que la notre.







Yep en serveur, mais j’ai néanmoins ma préférence pour SUSE niveau desktop, KDE oblige. <img data-src=" />





Tu peux mettre un KDE sous Debian, Opensuse j’ai du mal.

(surement à cause de l’omniprésence de yast)



Le 22/07/2013 à 08h 13







tschaggatta a écrit :



Visiblement d’après l’intéressé c’est le chiffrement par défaut de vBulletin (md5(md5(\(pass).\)salt)… Pas super mais déjà mieux que du clair à la sauce Sony, surtout que c’est un “forum”.







Oui pour Ubuntu, c’est vBulletin. Là je parlais du forum de PCI, dans le message que tu cites (dans les 2 cas c’est du md5 salté de toute façon).



Quant à Sony, je ne crois pas qu’on ai jamais su comment étaient stockés les mots de passe. Ils ont dit que c’était hashé, dans un communiqué, mais pas plus d’infos que ça, si j’ai rien loupé. En tout cas ils disent que c’était pas du clair.



Le 22/07/2013 à 08h 15







miles_t a écrit :



Autrement dit, à moins de tomber sur un site qui prend ça au sérieux, et qui au lieu d’annoncer hashage+salage annonce un chiffrement adaptatif, tu peux assumer que tout mot de passe que tu laisses sur un site est stocké en clair, parce que hashage+salage, c’est ce à quoi ça équivaut depuis des années.







merci pour ces precisions!



du coup j’ai bcp de mal a comprendre!

si un cryptage “sérieux” ne coute pas plus cher; pourquoi les sites pro (et qui ont dans leur équipe au moins une personne qui connait le sujet) ne l’utilisiement pas?



Le 22/07/2013 à 08h 15

Ça arrive à tout le monde.









C’est ce que certains libriste devrait comprendre.<img data-src=" />


Le 22/07/2013 à 08h 17







klemix a écrit :



J’avais perdu mon mot de passe , s’il pouvait me le redonner ?







Pas grave ça, tu demande à PRISM, ils ont tout ça bien stocké au chaud ! <img data-src=" />



Le 22/07/2013 à 08h 17







Alameda a écrit :



Et puis bon c’est un forum ce ne sont pas des coordonnées bancaires. Après tout est possible en matière de protection et le coût est une composante majeure lors des décisions.







Le problème c’est que beaucoup de gens associent le même mot de passe à leur boite mail par exemple . A partir de cet exemple, il est fort probable d’accéder aux mails perso, et donc a beaucoup d’informations d’ordre privé.



Des informations concernant l’attaque ?



Sinon bel exploit .



Le 22/07/2013 à 08h 18







indyiv a écrit :



merci pour ces precisions!



du coup j’ai bcp de mal a comprendre!

si un cryptage “sérieux” ne coute pas plus cher; pourquoi les sites pro (et qui ont dans leur équipe au moins une personne qui connait le sujet) ne l’utilisiement pas?





LE coup réel de mise en place (temps + formation + personnel), le temps d’accès au données auprès du serveur après, la maintenance derrière, et le problème de la clé cité plus haut.



Après faut adapté la sécurité au site, un forum n’est pas un site marchand ;)



Le 22/07/2013 à 08h 19









NeVeS a écrit :



Oui pour Ubuntu, c’est vBulletin. Là je parlais du forum de PCI, dans le message que tu cites (dans les 2 cas c’est du md5 salté de toute façon).



Quant à Sony, je ne crois pas qu’on ai jamais su comment étaient stockés les mots de passe. Ils ont dit que c’était hashé, dans un communiqué, mais pas plus d’infos que ça, si j’ai rien loupé. En tout cas ils disent que c’était pas du clair.





Oui tkt j’avais compris, c’était juste pour appuyer ton propos au sujet du forum d’ubuntu. Il me semblait que pour Sony, il y avait eu qql pb (dont un certain nb d’info en clair), mais bref ce n’est pas le sujet. De toute façon ce n’est pas la même criticité…



Le 22/07/2013 à 08h 20







sepas a écrit :



Les plupart des utilisateurs utilise le même mot de passe partout. Oui, je sais, tout le monde conseille d’utiliser des mots de passes différents mais quand tu es inscrit sur 50 sites, il faut retenir 50 mots de passes.







oui en même temps, il suffit de demander au navigateur de conserver les mdp …

(a moins qu’on adore le petit jeu qui consiste a saisir 50 mdp différents chaque fois qu’on se connecte a un site …)



Le 22/07/2013 à 08h 22







miles_t a écrit :



ils ont dix ans de retard par rapport aux mesures (pourtant simples) qu’il faudrait adopter.







Etant pas au fait de l’état de l’art dans le domaine, aurait tu des liens à recommander sur ces mesures simple qu’il faudrait adopter ?







NeVeS a écrit :



Il faut bien sûr utiliser un algorithme de hashage (plus évolué que md5), avec un grand nombre d’itérations et un salt différent par compte. Comme ce que font tous les softs un peu sérieux quoi.







Je suis pas un pro dans le domaine non plus, mais la question m’intéresse.



Qu’entends tu par “un grand nombre d’itérations” ? 10 ? 100 ? 10000 ? Plus ? Est ce nécessaire ? N’est pas des ressources serveur consommé inutilement à partir d’un certains nombre d’itération ?



Admettons que le hacker ait obtenu un accès root, il a donc accès à la base et au code (du moins pour une application en java ou en php, entre autre).



Pour le salt unique, soit il est stocké tel quel en base, et donc il est uniquement inutile, soit il est calculé à chaque login, en fonction d’élément propre à l’utilisateur, ou d’élément reproductible, donc on oublie l’instant T, l’id du thread, ou autre qu’on ne pourrait pas “re-deviner” plus tard ou sur une autre machine dans le cadre d’une appli en cluster. La sécurité du salt ne dépends donc que du secret qu’on peut avoir sur sa recette, et sur le secret du nombre et de la manière de hasher le pass, recette qui peut être facilement consultable dans le code.



Pire, dans le cadre d’une appli répandu largement et dont le code est accessible, genre les boards Invision ou phpBB, le hacker à juste besoin d’accèder à la base, la “recette” de hashage est publique, peut importe sa complexité.



Le 22/07/2013 à 08h 24







indyiv a écrit :



oui en même temps, il suffit de demander au navigateur de conserver les mdp …

(a moins qu’on adore le petit jeu qui consiste a saisir 50 mdp différents chaque fois qu’on se connecte a un site …)







Ce qui engendre de nouvelles problématiques :




  • Comment te connecter au site quand tu ne connais pas ton mot de passe, qu’il n’est que dans ton navigateur, et que toi tu n’es pas chez toi ?

  • Que se passe-t-il quand ton ordinateur (ou ton navigateur) est compromis par un malware ?



    Il y a des solutions à ces problèmes (authentification unifié, master password, etc.), c’est juste pour montrer que rien n’est simple, et qu’il ne “suffit” pas de :)



Le 22/07/2013 à 08h 25







indyiv a écrit :



si un cryptage “sérieux” ne coute pas plus cher; pourquoi les sites pro (et qui ont dans leur équipe au moins une personne qui connait le sujet) ne l’utilisiement pas?





Juste comme ça on dit plus “chiffrement” (ou “chiffrage” mais pas très beau je trouve) que “cryptage” (qui vient de l’anglais). Et ensuite comme le dit @nucl3arsnake, c’est souvent un problème de formation (ou de la fainéantise) de la par des personne qui maintiennent le site/db, qu’un réel coût direct…

C’est svt bien dommage…



Le 22/07/2013 à 08h 26







nucl3arsnake a écrit :



Tu peux mettre un KDE sous Debian, Opensuse j’ai du mal. (surement à cause de l’omniprésence de yast)







Certes, mais il m’avait semblé que l’équipe KDE de Debian était composée de quelques mainteneurs. De plus, la version de KDE n’est pas la dernière, donc ça pue un peu.



Pour YAST, il existe, mais tu peux t’en passer facilement, voir même le désinstaller si l’envie te chante.



Le 22/07/2013 à 08h 30







atem18 a écrit :



Certes, mais il m’avait semblé que l’équipe KDE de Debian était composée de quelques mainteneurs. De plus, la version de KDE n’est pas la dernière, donc ça pue un peu.



Pour YAST, il existe, mais tu peux t’en passer facilement, voir même le désinstaller si l’envie te chante.





Bha le soucis c’est “quelle ligne de commande remplace le aptitude update upgrade remove ^^”



Le 22/07/2013 à 08h 36







jun a écrit :









Je suis pas spécialiste, mais il est svt possible de choisir l’algorithme de hashage qui sont reconnus comme plus ou moins robustes, de plus comme toute configuration, il vaut mieux éviter de laisser celle par défaut, enfin dans le cas de protection de mots de passe, la sauce (certes récupérable) peut-être modifiée, avec l’ajout d’un salt2, des règles au niveau des caractères à choisir et le nombre. Tout cela amène une complexité qui permet de rendre la tâche plus difficile aux hackers (mais pas impossible). En sachant que de toute façon, il faut être relativement à jour (la le pb semble être un soucis de “module” non à jour, justement ce qui est une cause récurrente )…



Le 22/07/2013 à 08h 38







jun a écrit :



Je suis pas un pro dans le domaine non plus, mais la question m’intéresse.



Qu’entends tu par “un grand nombre d’itérations” ? 10 ? 100 ? 10000 ? Plus ? Est ce nécessaire ? N’est pas des ressources serveur consommé inutilement à partir d’un certains nombre d’itération ?







Faire 5000 itérations pour un login, ce n’est pas la mort comparé à la complexité que ça apporte pour casser le hash. Je ne peux pas te donner de nombre à utiliser, WordPress utilise 8192 itérations de phppass, Drupal 16384.



http://joncave.co.uk/2011/01/password-storage-in-drupal-and-wordpress/







jun a écrit :



Pour le salt unique, soit il est stocké tel quel en base, et donc il est uniquement inutile, soit il est calculé à chaque login, en fonction d’élément propre à l’utilisateur, ou d’élément reproductible, donc on oublie l’instant T, l’id du thread, ou autre qu’on ne pourrait pas “re-deviner” plus tard ou sur une autre machine dans le cadre d’une appli en cluster. La sécurité du salt ne dépends donc que du secret qu’on peut avoir sur sa recette, et sur le secret du nombre et de la manière de hasher le pass, recette qui peut être facilement consultable dans le code.







Le salt est là pour empêcher l’utilisation de rainbow table. On ne peut pas générer de rainbow table si le salt est différent pour chaque compte. Qu’il soit stocké et que le hacker y ait accès n’implique pas de problème à ce niveau là.







jun a écrit :



Pire, dans le cadre d’une appli répandu largement et dont le code est accessible, genre les boards Invision ou phpBB, le hacker à juste besoin d’accèder à la base, la “recette” de hashage est publique, peut importe sa complexité.







Si l’algo n’est pas faible, et que le mot de passe n’est pas ridicule ou contenu dans une dictionnaire, que l’algo soit connu n’ajoute aucun problème de sécurité. L’accès à la DB (dans les conditions énoncées précédemment) permet au hacker de lancer une attaque par bruteforce ou par dictionnaire, mais généralement pas plus. Ce n’est pas jackpot pour lui non plus, tous les mots de passe ne sont pas trouvables par ces méthodes, et ça peut être très long :)




Le 22/07/2013 à 08h 39







NeVeS a écrit :



Il y a des solutions à ces problèmes (authentification unifié, master password, etc.), c’est juste pour montrer que rien n’est simple, et qu’il ne “suffit” pas de :)







jamais pretendu que c’etait simple …

mais dans la vie de tous les jours, c’est quand même pour 99% des forums visité, bcp plus simple de choisir un mdp different bassé sur une phrase de chaque page d’un livre …

et de laisser le navigateur (unifié puisqu’il suffit d’utiliser un navigateur portable) retenir ces mdp!)




Le 22/07/2013 à 08h 42







indyiv a écrit :



oui en même temps, il suffit de demander au navigateur de conserver les mdp …

(a moins qu’on adore le petit jeu qui consiste a saisir 50 mdp différents chaque fois qu’on se connecte a un site …)





Conserver le mot de passe dans le navigateur?




  • En terme de sécurité, je pense que c’est le pire

  • Ca veut dire que tu ne te connectes que de ta machine

  • Ca n’empêche pas qu’il faudra le rentrer de nouveau le jour où tu vides tes cookies ou si tu change de PC, donc tu dois les retenir (ou le noter sur un post-it :))



Le 22/07/2013 à 08h 45







indyiv a écrit :



jamais pretendu que c’etait simple …

mais dans la vie de tous les jours, c’est quand même pour 99% des forums visité, bcp plus simple de choisir un mdp different bassé sur une phrase de chaque page d’un livre …

et de laisser le navigateur (unifié puisqu’il suffit d’utiliser un navigateur portable) retenir ces mdp!)





Question de point de vue, qu’est-ce qui est le plus vulnérable, ton pc ou un serveur …



Le 22/07/2013 à 08h 48







sepas a écrit :





  • Ca n’empêche pas qu’il faudra le rentrer de nouveau le jour où tu vides tes cookies ou si tu change de PC, donc tu dois les retenir (ou le noter sur un post-it :))







    perso j’utilise un navigateur portable

    et mes mots de passe sont les premieres lettres de phrases d’un bouquin …

    donc quand je vide les cookies rien de plus simple pour les retrouver …



Le 22/07/2013 à 08h 52

il te faut donc 50 bouquins si tu as 50 sites…


FREDOM1989 Abonné
Le 22/07/2013 à 08h 53







sepas a écrit :



Quand MS se fait hacker, ce sont des gros nuls, et quand c’est linux, c’est MS qui hack.



J’espère que c’était de l’humour…





Non je suis sérieux, MS a peur des 1% de part de marché d’Ubuntu alors ils ont attaqué les forum de la communauté. La prochaine étape sera de porter les virus qui touchent windows sous linux en passant par des hacker chinois.



<img data-src=" />



Le 22/07/2013 à 08h 55







sepas a écrit :



il te faut donc 50 bouquins si tu as 50 sites…







ce bouquin n’a pas qu’une page ;-)



sinon, ne pas garder en memoire les différents mdp sur le navigateur, ça suppose de les rentrer A CHAQUE FOIS ?!

inconcevable pour moi!



Le 22/07/2013 à 09h 00







nucl3arsnake a écrit :



Bha le soucis c’est “quelle ligne de commande remplace le aptitude update upgrade remove ^^”







apt-get update –&gt; zypper refresh ou zypper ref

apt-get upgrade –&gt; zypper upgrade ou zypper up

apt-get remove –&gt; zypper remove ou zypper rm



Le 22/07/2013 à 09h 02







atem18 a écrit :



apt-get update –&gt; zypper ref

apt-get upgrade –&gt; zypper dup

apt-get remove –&gt; zypper remove







Une idée de pourquoi “ref” et “dup”?



Le 22/07/2013 à 09h 05







nucl3arsnake a écrit :



Une idée de pourquoi “ref” et “dup”?







J’ai modifié mon message pour être plus explicite. ^^



Le 22/07/2013 à 09h 12







indyiv a écrit :



ce bouquin n’a pas qu’une page ;-)



sinon, ne pas garder en memoire les différents mdp sur le navigateur, ça suppose de les rentrer A CHAQUE FOIS ?!

inconcevable pour moi!





Oui, d’ailleurs, les sites sécurisés ne permettent pas de les enregistrer.



Par exemple, les sites bancaires…



Certains entreprises essayent de faire des passeports qui fonctionnent très bien avec de la fédération d’identité.

Certains diront que c’est pire car si l’annuaire est cracké, tout est accessible.



Je suis assez d’accord sauf qu’il est alors plus facile de mettre un mot de passe très complexe et ce genre de structure peut-être plus facilement mise à jour avec les dernières normes de sécurité.

Il n’y a pas de solution miracle aujourd’hui mais certaines sont plus fiables que d’autres.



Aujourd’hui, par exemple, il est très facile de récupérer des milliers de mots de passes sans aucune connaissance en informatique, sans que personne ne puisse s’en rendre compte.

Pour moi, devoir choisir un mot de passe sur chaque site est trop dangereuse. La fédération serait déjà une avancée.



Le 22/07/2013 à 09h 13

Attention le problème de sécurité ne concerne pas Ubuntu ou linux, mais un problème de codage d’un l’un des modules du forum. <img data-src=" />



C’est toujours les appli tierces qui foutent la merde ^^


Le 22/07/2013 à 09h 15







atem18 a écrit :



J’ai modifié mon message pour être plus explicite. ^^





Et niveau librairies y’a enfin les 64 bits? Parce que j’avais pas mal de soucis avec le 64bits sous Opensuse avec la v12 (notamment il fallais des lib32 ….)



Le 22/07/2013 à 09h 17







FREDOM1989 a écrit :



Non je suis sérieux, MS a peur des 1% de part de marché d’Ubuntu alors ils ont attaqué les forum de la communauté. La prochaine étape sera de porter les virus qui touchent windows sous linux en passant par des hacker chinois.



<img data-src=" />





ou un bon vieux “virus.exe” a lancer avec Wine, le tout pour voir les photo de insérer personnalité nue.



Le 22/07/2013 à 09h 17







Tirr Mohma a écrit :



Attention le problème de sécurité ne concerne pas Ubuntu ou linux, mais un problème de codage d’un l’un des modules du forum. <img data-src=" />



C’est toujours les appli tierces qui foutent la merde ^^





Quand on dit ça sur une faille sous Windows ou IE (avec des active X), ça n’empêche pas d’avoir des dizaines de trolls qui viennent nous dire que Windows est une passoire…



Le 22/07/2013 à 09h 18







NeVeS a écrit :



Il ne faut au contraire SURTOUT PAS utiliser le chiffrement pour stocker un mot de passe. Chiffrement implique clé de (dé)chiffrement, stockée soit dans le code, soit dans la DB, mais clé nécessaire pour vérifier le mot de passe lorsque l’utilisateur le rentre. Et quand le hacker récupère cette clé, le mot de passe en clair apparaît sans bruteforce.



Il faut bien sûr utiliser un algorithme de hashage (plus évolué que md5), avec un grand nombre d’itérations et un salt différent par compte. Comme ce que font tous les softs un peu sérieux quoi.



Quant à la remarque sur PCI, le forum utilisé est IP.Board. Je crois que les comptes sont unifiés entre le forum et le site, donc c’est md5 salté.







Merci d’avoir corrigé mon explication foireuse, faut que je fasse plus attention aux termes que j’emploie.



Pour les autres posts, en tant qu’utilisateur tout ce que ça veut dire, c’est que sur un site lambda comme PCInpact il vaut mieux assumer que votre mot de passe est à la portée de tout le monde (oui, vraiment, vu le nombre de site qu’on utilise il y en a au moins un qui a déjà été hacké, et les autres ça arrivera forcément un jour). Donc type de mot de passe (la manip que vous utilisez pour le créer) totalement différent du type que vous utilisez sur un site sérieux où vous seriez mal si quelqu’un d’autre avait accès à votre compte. Et si vous avez un site et voulez faire les choses bien, c’est pas compliqué, si le temps que prend un hashage permettrait d’en faire des millions à la seconde, c’est qu’il ne sert à rien, employez une fonction plus lente et/ou rajouter des itérations, jusqu’à ce que ça se mesure au moins en millisecondes.



Le 22/07/2013 à 09h 19







v1nce a écrit :



Ca y est les pub a la con viennent de frapper sur PCi. Elles s’agrandissent au survol et pas au click (eg CitroHaine)







Perso je m’en fout, du temps que ça puisse faire vivre PCInpact ;)

Et pourtant je suis sur un netbook, et dans le genre ça fait ramer :P



Le 22/07/2013 à 09h 20







nucl3arsnake a écrit :



Et niveau librairies y’a enfin les 64 bits? Parce que j’avais pas mal de soucis avec le 64bits sous Opensuse avec la v12 (notamment il fallais des lib32 ….)







C’est possible qu’il y avait des problèmes, oui, m’en souvient peut-être. Enfin bref, plus aucun soucis de nos jours, la 12.3 roule niquel.



Le 22/07/2013 à 09h 22







atem18 a écrit :



C’est possible qu’il y avait des problèmes, oui, m’en souvient peut-être. Enfin bref, plus aucun soucis de nos jours, la 12.3 roule niquel.





je verrais a la prochaine version, on est a la milestone 3, bientot la release ^^



Burn2 Abonné
Le 22/07/2013 à 09h 23







after_burner a écrit :



Ça arrive à tout le monde.









C’est ce que certains libriste devrait comprendre.<img data-src=" />





EN l’occurrence rien ici ne dit que l’os est en faute.

C’est plus vbuling qui est en faute au niveau faille. ;)



Burn2 Abonné
Le 22/07/2013 à 09h 26







nucl3arsnake a écrit :



Bha le soucis c’est “quelle ligne de commande remplace le aptitude update upgrade remove ^^”





zypper…



Le 22/07/2013 à 09h 27







Burn2 a écrit :



zypper…





On m’as répondu c’est bon ^^.



Y’a que Opensuse qui utilise “zypper” non?



Le 22/07/2013 à 09h 28







nucl3arsnake a écrit :



je verrais a la prochaine version, on est a la milestone 3, bientot la release ^^







Oui pour la 13.1 . À priori, pas de grands changements, hormis le ré-encodage en Ruby de YAST. On verra si tout est prêt pour Novembre ! ^^



Burn2 Abonné
Le 22/07/2013 à 09h 30







sepas a écrit :



Quand on dit ça sur une faille sous Windows ou IE (avec des active X), ça n’empêche pas d’avoir des dizaines de trolls qui viennent nous dire que Windows est une passoire…





La grosse différence, c’est que la faille du site, a compromis les données du sites en soit et rien d ‘autre.



La ou une faille active X arrive à compromètre assez souvent toute la machine…

N’y vois tu point une différence notable?



En l’occurence la faille en question doit être reproductible sur tous les os, puisque c’est une faille de l’appli et donc rien avoir avec l’os en soit.



Mais bon oui il est sûr que tous les os contiennent des failles, toute la question est de savoir al vitesse de correction de ces failles, et la facilité de déployer des correctifs et mettre à jour…



Le 22/07/2013 à 09h 30







nucl3arsnake a écrit :



On m’as répondu c’est bon ^^.



Y’a que Opensuse qui utilise “zypper” non?







Yep, tout comme il n’y a que Fedora qui utilise YUM (Red hat et ses dérivés ne comptent pas puisque c’est la même base).



Le 22/07/2013 à 09h 32







atem18 a écrit :



Oui pour la 13.1 . À priori, pas de grands changements, hormis le ré-encodage en Ruby de YAST. On verra si tout est prêt pour Novembre ! ^^





Pour l’instant ça tient le planing ^^







atem18 a écrit :



Yep, tout comme il n’y a que Fedora qui utilise YUM (Red hat et ses dérivés ne comptent pas puisque c’est la même base).





J’ai vu plus de dérivé Debian/Red Hat que de dérivé Opensuse …



Le 22/07/2013 à 09h 33



Une faille de sécurité semble avoir été exploitée sur les serveurs du forum d’Ubuntu durant le week-end.



Ubuntu Server….<img data-src=" />


Le 22/07/2013 à 09h 33







Burn2 a écrit :



La grosse différence, c’est que la faille du site, a compromis les données du sites en soit et rien d ‘autre.



La ou une faille active X arrive à compromètre assez souvent toute la machine…

N’y vois tu point une différence notable?



En l’occurence la faille en question doit être reproductible sur tous les os, puisque c’est une faille de l’appli et donc rien avoir avec l’os en soit.



Mais bon oui il est sûr que tous les os contiennent des failles, toute la question est de savoir al vitesse de correction de ces failles, et la facilité de déployer des correctifs et mettre à jour…





ActiveX sur internet c’est mort non?



Le 22/07/2013 à 09h 34







jun a écrit :



Etant pas au fait de l’état de l’art dans le domaine, aurait tu des liens à recommander sur ces mesures simple qu’il faudrait adopter ?







http://arstechnica.com/security/2012/08/hacked-blizzard-passwords-not-hard-to-crack/

http://arstechnica.com/security/2012/08/passwords-under-assault/

http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/



Burn2 Abonné
Le 22/07/2013 à 09h 35







nucl3arsnake a écrit :



On m’as répondu c’est bon ^^.



Y’a que Opensuse qui utilise “zypper” non?





J’ai vu après oui. <img data-src=" />





Le seul truc qui m’a fait quitté openSuse, c’est la non présence de version LTS. :/



Sinon j’en était globalement satisfait, mais devoir mettre à jour tous les 6 mois c’était trop contraignant, j’ai encore un serveur home à la maison sous une openSuse et total il a 1 version de retard et bientôt 2 avec la sortie de la 13.1…



Le 22/07/2013 à 09h 37







Burn2 a écrit :



J’ai vu après oui. <img data-src=" />





Le seul truc qui m’a fait quitté openSuse, c’est la non présence de version LTS. :/



Sinon j’en était globalement satisfait, mais devoir mettre à jour tous les 6 mois c’était trop contraignant, j’ai encore un serveur home à la maison sous une openSuse et total il a 1 version de retard et bientôt 2 avec la sortie de la 13.1…





C’est pas 6mois justement, c’est 18mois.



Fedora c’est 6 mois.



Opensuse fait un peu “mixte” de LTS et “semi” rolling <img data-src=" />



Burn2 Abonné
Le 22/07/2013 à 09h 40







nucl3arsnake a écrit :



C’est pas 6mois justement, c’est 18mois.



Fedora c’est 6 mois.



Opensuse fait un peu “mixte” de LTS et “semi” rolling <img data-src=" />





Heu plait-il ?

openSUSE 12.3: 13-03-2013

openSUSE 13.1: 13-11-2013

openSUSE 13.2: 09-07-2014



C’est 8 mois pas 6 mais ça reste short. (loin de 18 mois hein :o )



Le 22/07/2013 à 09h 40

C’est fou tout ce débat sur les mots de passe. Blablabla ils sont salés, blablabla il ne faut pas crypter, blablabla je suis un boulet. Le mec s’en branle de voler le mot de passe de geeks poilus qui doivent tous en utiliser un différent par sites.



1,82 millions de compte c’est surtout 1,82 millions d’adresses email qui pourront être exploitées, vendues. C’est bien pour Canonical de rassurer les utilisateurs pour leur mot de passe, mais l’adresse email est dans la nature, ce qui n’est pas tout le temps souhaitable. Prochaine étape, faire des stats sur les adresses emails et cibler les noobs auto-hébergés pour rooter leur serveur.


Le 22/07/2013 à 09h 41







Burn2 a écrit :



Heu plait-il ?

openSUSE 12.3: 13-03-2013

openSUSE 13.1: 13-11-2013

openSUSE 13.2: 09-07-2014



C’est 8 mois pas 6 mais ça reste short. (loin de 18 mois hein :o )





autant pour moi ^^”



Le 22/07/2013 à 09h 42







razcrambl3r a écrit :



Perso je m’en fout, du temps que ça puisse faire vivre PCInpact ;)

Et pourtant je suis sur un netbook, et dans le genre ça fait ramer :P







Moi non.La pub oui. Mais de manière raisonnable. Les placards qui masquent entièrement ta page ou les pubs qui viennent pourrir ta navigation quand tu les survoles, c’est non. Si ça venait à devenir une habitude pci sortira de la whitelist.



Burn2 Abonné
Le 22/07/2013 à 09h 45







v1nce a écrit :



Moi non.La pub oui. Mais de manière raisonnable. Les placards qui masquent entièrement ta page ou les pubs qui viennent pourrir ta navigation quand tu les survoles, c’est non. Si ça venait à devenir une habitude pci sortira de la whitelist.





Sinon tu peux aussi payer un abonnement vu le prix franchement par ans ça vaut le coût…. ;)



Le 22/07/2013 à 09h 46







Burn2 a écrit :



La grosse différence, c’est que la faille du site, a compromis les données du sites en soit et rien d ‘autre.



La ou une faille active X arrive à compromètre assez souvent toute la machine…

N’y vois tu point une différence notable?



En l’occurence la faille en question doit être reproductible sur tous les os, puisque c’est une faille de l’appli et donc rien avoir avec l’os en soit.



Mais bon oui il est sûr que tous les os contiennent des failles, toute la question est de savoir al vitesse de correction de ces failles, et la facilité de déployer des correctifs et mettre à jour…





La différence est au niveau des conséquences.

Sur le fond c’est le même problème : Faille d’un produit tiers et pas de l’OS



Le 22/07/2013 à 09h 47







b801 a écrit :



1,82 millions de compte c’est surtout 1,82 millions d’adresses email qui pourront être exploitées, vendues.







Encrypter les adresses mail dans une BDD ça se pratique ou pas ? (performance, robustesse, aspect pratique)



Le 22/07/2013 à 09h 52







nucl3arsnake a écrit :



Pour l’instant ça tient le planing ^^







En effet, c’est parce qu’ils utilisent un outil qui traduit le code YCP en Ruby.







nucl3arsnake a écrit :



J’ai vu plus de dérivé Debian/Red Hat que de dérivé Opensuse …







Moi aussi, mais c’est à cause de la mauvaise réputation qu’à SUSE (à tord à mon goût). De plus, il y a la dose de dérivés Debian, car facilement maintenables dans le temps à cause du peu d’outils disponibles. Pour Red Hat, à part CentOS, Scientific Linux et Oracle Linux, il n’y en a pas vraiment.



Le 22/07/2013 à 09h 54







sepas a écrit :



Conserver le mot de passe dans le navigateur?




  • En terme de sécurité, je pense que c’est le pire

  • Ca veut dire que tu ne te connectes que de ta machine

  • Ca n’empêche pas qu’il faudra le rentrer de nouveau le jour où tu vides tes cookies ou si tu change de PC, donc tu dois les retenir (ou le noter sur un post-it :))





    <img data-src=" />







    indyiv a écrit :



    perso j’utilise un navigateur portable

    et mes mots de passe sont les premieres lettres de phrases d’un bouquin …

    donc quand je vide les cookies rien de plus simple pour les retrouver …







    Le navigateur les logiciels portable c’est déjà mieux en terme de sécu, les malware s’attaquant en général aux emplacement PAR DEFAUT ou sont stockés les mots de passe sur l’ordinateur.



    *On est pas à l’abri d’un malware qui parcourerais les disques pour trouver les logiciels portables <img data-src=" />



    *Si la machine est carrément compromise (RAT?) alors là ….<img data-src=" />



Le 22/07/2013 à 09h 54







atem18 a écrit :



En effet, c’est parce qu’ils utilisent un outil qui traduit le code YCP en Ruby.







Moi aussi, mais c’est à cause de la mauvaise réputation qu’à SUSE (à tord à mon goût). De plus, il y a la dose de dérivés Debian, car facilement maintenables dans le temps à cause du peu d’outils disponibles. Pour Red Hat, à part CentOS, Scientific Linux et Oracle Linux, il n’y en a pas vraiment.





Fedora et les dérivé de Fedora (même avec release de 6mois) …



Burn2 Abonné
Le 22/07/2013 à 09h 56







sepas a écrit :



La différence est au niveau des conséquences.

Sur le fond c’est le même problème : Faille d’un produit tiers et pas de l’OS





Bah non la différence est énorme…

Que seules les données du produit en cause soient compromises, ça n’a vraiment strictement rien de comparable à obtenir un accès root/admin de toute la machine.



Maintenant encore une fois oui ,des failles de ce style doivent et/ou ont existé à moment donné sous linux aussi, via des produits tiers que sont “java/flash”.



La grosse différence c’est aussi et surtout que dans les communautés libristes, on gueule justement sur ça, contre tous ces modules proprios qui sont obligatoires pour surfer sur internet et dont il n’existe aucune alternative, donc aucun contrôle donc ouverture aux failles et dépendances de l’éditeur.



Le 22/07/2013 à 09h 58







b801 a écrit :



C’est fou tout ce débat sur les mots de passe. Blablabla ils sont salés, blablabla il ne faut pas crypter, blablabla je suis un boulet. Le mec s’en branle de voler le mot de passe de geeks poilus qui doivent tous en utiliser un différent par sites.



1,82 millions de compte c’est surtout 1,82 millions d’adresses email qui pourront être exploitées, vendues. C’est bien pour Canonical de rassurer les utilisateurs pour leur mot de passe, mais l’adresse email est dans la nature, ce qui n’est pas tout le temps souhaitable. Prochaine étape, faire des stats sur les adresses emails et cibler les noobs auto-hébergés pour rooter leur serveur.







Oui, mais tu préfére avoir spam + truc plus graves grâces aux mdp ou juste spam parce que la sécurité des mp va ralentir / faire chier/ stopper le hacker?

“Le mec s’en branle”… Va savoir, si il a une motivation pécuniaire ben piquer des sous sur Paypal grace aux mdp c’est envisageable.



Tu me diras, tu as raison : sur un forum d’utilisateurs Linux je pense que les utilisateurs doivent un minimum suivre les recommandations en termes de mots de passes <img data-src=" />



Le 22/07/2013 à 10h 02







nucl3arsnake a écrit :



Fedora et les dérivé de Fedora (même avec release de 6mois) …





Y’a pas vraiment de dérivé de Fedora. Juste les spins à la rigueur.



Le 22/07/2013 à 10h 04







RaoulC a écrit :



*On est pas à l’abri d’un malware qui parcourerais les disques pour trouver les logiciels portables <img data-src=" />







oui en même temps, le meilleur moyen de ne pas voir son PC etre attaqué … c’est de ne jamais se connecter

#captain_obvious



<img data-src=" />



Le 22/07/2013 à 10h 11







v1nce a écrit :



Encrypter les adresses mail dans une BDD ça se pratique ou pas ? (performance, robustesse, aspect pratique)







Non, pour la même raison qui a été donné pour les mots de passe, si c’est chiffré alors c’est déchiffrable. Avec la clé par exemple dans le code. D’un certain coté cela obligerait à pirater la base de données et le code source (ce qui semble avoir été le cas ici).



Donc ça ne serait donc pas robuste (car c’est juste plus difficile, pas impossible), et surement pas pratique…



Le 22/07/2013 à 10h 13







indyiv a écrit :



oui en même temps, le meilleur moyen de ne pas voir son PC etre attaqué … c’est de ne jamais se connecter

#captain_obvious



<img data-src=" />





<img data-src=" />

Je dis ca par ce que quand on voit comment c’est facile à faire.

Je pense que cela risque d’arriver :p

J’ai ajouté cette remarque pour ne pas que les gens se croient trop en sécurité de cette manière ce n’est jamais bon.<img data-src=" />




Winderly Abonné
Le 22/07/2013 à 10h 19







nucl3arsnake a écrit :



Et niveau librairies y’a enfin les 64 bits? Parce que j’avais pas mal de soucis avec le 64bits sous Opensuse avec la v12 (notamment il fallais des lib32 ….)





Je suis sur la 12.2 et j’ai pas remarqué ces soucis.

Ça concerne beaucoup de programmes ou librairies ?



Le 22/07/2013 à 10h 23







v1nce a écrit :



Encrypter les adresses mail dans une BDD ça se pratique ou pas ? (performance, robustesse, aspect pratique)







CHIFFRER <img data-src=" />



Et non ca ne se fait pas :) c’est une hérésie.

Parce que la clef de déchiffrement doit se trouver quelque part et si le hacker à accès à la BDD on peut raisonnablement penser qu’il a accès au reste de l’application (le site web par exemple) qui elle a la clef.



C’est un peut laisser la clef de sa baraque sous le pot de fleurs <img data-src=" />



Le hashage par définition est irréversible car ce n’est PAS UN CHIFFREMENT. Tu peut tenter de bruteforcer, c’est à dire tester toutes les combinaisons de caractères possibles jusqua trouver celle qui produit le même hash (on parle de collision) mais c’est long.



Le hash c’est un “consensat” : on fait des opérations mathématiques sur les données a hasher pour produire un hash supposé unique et irréversible.



Si ton hash c’est 1850 , que la clef c’est la somme des caractères de ton mdp, tu as quelques combinaisons a tester avant de trouver. mais il faut toute les tester.



Remplace “additions” par des opérations mathématiques “non bijectives” plus complexes et diverses et réalisées en boucles = ca rajoute du temps de calcul :p



C’est là qu’interviennent les rainbow table : des gigantesques base de correspondances hash = chaines de caractères, qu’il est beaucoup plus rapide et surtout moins couteux en temps de calcul de faire parcourir par son logiciel ou..ses yeux :)




Le 22/07/2013 à 10h 28







miles_t a écrit :



http://arstechnica.com/security/2012/08/hacked-blizzard-passwords-not-hard-to-crack/

http://arstechnica.com/security/2012/08/passwords-under-assault/

http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/







Merci.







NeVeS a écrit :



et ça peut être très long :)







Rofl, ça me parait relatif. Vue le prix d’une instance sur Amazon AWS on peut très facilement se faire une jolie ferme pour cracker des pass =).



Le 22/07/2013 à 10h 45







sepas a écrit :



Quand on dit ça sur une faille sous Windows ou IE (avec des active X), ça n’empêche pas d’avoir des dizaines de trolls qui viennent nous dire que Windows est une passoire…







OOOhhhhhh, pauvre choux. Tout le monde il est méchant avec les défenseurs du gentil billoux. Tu veux une coquille d’oeuf pour mettre sur ta tête?



Le 22/07/2013 à 10h 58







atem18 a écrit :



Y’a pas vraiment de dérivé de Fedora. Juste les spins à la rigueur.





Viperr pour ne cité que lui.



Le 22/07/2013 à 10h 59







Winderly a écrit :



Je suis sur la 12.2 et j’ai pas remarqué ces soucis.

Ça concerne beaucoup de programmes ou librairies ?









Beaucoup trop en tout cas à mon utilisation.

Mais j’avais pas le .2 encore, peut-être corrigé mais genre VirtualBox c’était atroce xD.



Le 22/07/2013 à 11h 00







RaoulC a écrit :



on peut raisonnablement penser qu’il a accès au reste de l’application (le site web par exemple) qui elle a la clef.







mouais. Pas évident. Tu peux récupérer le contenu par SQL injection sans avoir forcément accès à l’appli.

Si tu stockes adressemail XOR (md5(rowid + masterpwd)) et que l’attaquant n’a pas accès au masterpwd il ne va pas pouvoir utiliser les adresses mail.



Le 22/07/2013 à 11h 11







v1nce a écrit :



mouais. Pas évident. Tu peux récupérer le contenu par SQL injection sans avoir forcément accès à l’appli.

Si tu stockes adressemail XOR (md5(rowid + masterpwd)) et que l’attaquant n’a pas accès au masterpwd il ne va pas pouvoir utiliser les adresses mail.







Si tu as codé un site permettant une injection SQL , rien ne dit qu’une autre faille donnant accès au fameux password ne s’y trouve pas <img data-src=" /> Autant y penser dès le départ.



C’est un mauvais exemple. Je parlais d’hérésie pour protéger les mots de passe, pas les emails. Le mot de passe étant LA donnée sensible par excellence (avec les données bancaires). Pour les adresses email, pourquoi pas.



Et puis, tu peut avoir blindé ton site, tu n’a pas toujours la main sur la configuration du serveur web qui peut mettre à mal le bousin <img data-src=" />



Le 22/07/2013 à 11h 13







sepas a écrit :



Les plupart des utilisateurs utilise le même mot de passe partout. Oui, je sais, tout le monde conseille d’utiliser des mots de passes différents mais quand tu es inscrit sur 50 sites, il faut retenir 50 mots de passes.

Les moyens mnémoniques peuvent aider mais ça reste compliqué pour une grande partie de la population (qui ne met même pas de mot de passe sur leurs téléphones)







Des outils de gestion de mdp existent !



Le 22/07/2013 à 11h 24







indyiv a écrit :



merci pour ces precisions!



du coup j’ai bcp de mal a comprendre!

si un cryptage “sérieux” ne coute pas plus cher; pourquoi les sites pro (et qui ont dans leur équipe au moins une personne qui connait le sujet) ne l’utilisiement pas?







Parce que un CHIFFREMENT des mots de passe implique qu’il existe une clé de déchiffrement. Si il n’est pas possible de la récupérer (ce dont je doute fort) il est toujours possible de la bruteforcer, ou de la trouver.



Burn2 Abonné
Le 22/07/2013 à 11h 25







nucl3arsnake a écrit :



Beaucoup trop en tout cas à mon utilisation.

Mais j’avais pas le .2 encore, peut-être corrigé mais genre VirtualBox c’était atroce xD.





Jamais eu de soucis avec virtualbox sous OpenSuse, ni de soucis avec les lib 32 de mon côté. <img data-src=" />



Le 22/07/2013 à 11h 27







Burn2 a écrit :



Jamais eu de soucis avec virtualbox sous OpenSuse, ni de soucis avec les lib 32 de mon côté. <img data-src=" />





Et avec Skype? Steam ? Pidgin ? SublimText ?



Le 22/07/2013 à 11h 33







Mihashi a écrit :



C’est le forum anglais/américain (http://ubuntuforums.org ) pas le français (http://forum.ubuntu-fr.org ).





<img data-src=" />



Burn2 Abonné
Le 22/07/2013 à 11h 34







nucl3arsnake a écrit :



Et avec Skype? Steam ? Pidgin ? SublimText ?







Skype je n’utilisais pas, pidgin ça marchait, sublimtext je n’utilisais pas, steam je viens juste de m’y mettre, et forcément c’est pas sur mon serveur home donc pas sur le poste OpenSuse (mais sur ma xubuntu).



Donc visiblement pas représentatif.

Cela dit skype je sais que certains avaient aussi des soucis sous Ubuntu.



(en parlant de steam c’est assez grisant de pouvoir enfin jouer à des jeux sous linux en natif! <img data-src=" /> )



Le 22/07/2013 à 11h 35







v1nce a écrit :



mouais. Pas évident. Tu peux récupérer le contenu par SQL injection sans avoir forcément accès à l’appli.

Si tu stockes adressemail XOR (md5(rowid + masterpwd)) et que l’attaquant n’a pas accès au masterpwd il ne va pas pouvoir utiliser les adresses mail.







Si ton appli est vulnérable à une SQLi, je pense que la sécurité des adresses mails est le dernier de tes soucis :)



Le 22/07/2013 à 11h 40







Burn2 a écrit :



EN l’occurrence rien ici ne dit que l’os est en faute.

C’est plus vbuling qui est en faute au niveau faille. ;)







Et c’est quoi Vbuling, c’est pas open source?



Burn2 Abonné
Le 22/07/2013 à 11h 50







after_burner a écrit :



Et c’est quoi Vbuling, c’est pas open source?





C’est vbulletin et non c’est propriétaire:



Licence Propriétaire









Mais bon des failles sur des forums openSource ça doit aussi bien exister…



Le 22/07/2013 à 11h 59







Burn2 a écrit :



C’est vbulletin et non c’est propriétaire:









Mais bon des failles sur des forums openSource ça doit aussi bien exister…







Ah j’ai manqué l’info, en effet c’est pas pour ça que les failles n’existent pas dans l’open source. <img data-src=" />



Le 22/07/2013 à 12h 19







Para-doxe a écrit :



OOOhhhhhh, pauvre choux. Tout le monde il est méchant avec les défenseurs du gentil billoux. Tu veux une coquille d’oeuf pour mettre sur ta tête?







Non, je te la laisse, c’est de toi (entre autre) que je parlais. Quand tu viens troller sur les news Microsoft ou Apple, je pense que c’est bien toi qui fait ton Caliméro.

Mais là, curieusement, rien. Mauvaise foi, quand tu nous tiens…



Le 22/07/2013 à 12h 38

Et moi qui n’arrête pas d’entendre qu’Ubuntu a une sécurité optimale comparé à d’autres…on m’aurait menti.



Le site d’Apple réservé aux développeurs a été piraté également et j’en suis sur qu’il est hébergé sur un serveur Linux. Après Linux ne fait pas tout, il faut voir le développement du site mais bon, on parle ici d’un site d’Apple réservé aux développeurs, j’imagine que le site n’a pas été déveloper avec les pieds


Burn2 Abonné
Le 22/07/2013 à 12h 45







befa508 a écrit :



Et moi qui n’arrête pas d’entendre qu’Ubuntu a une sécurité optimale comparé à d’autres…on m’aurait menti.



Le site d’Apple réservé aux développeurs a été piraté également et j’en suis sur qu’il est hébergé sur un serveur Linux. Après Linux ne fait pas tout, il faut voir le développement du site mais bon, on parle ici d’un site d’Apple réservé aux développeurs, j’imagine que le site n’a pas été déveloper avec les pieds





<img data-src=" />

La moindre des choses quand on veut troller de manière efficace c’est de lire ce qui a été dit avant…



Le 22/07/2013 à 12h 52







Burn2 a écrit :



Bah non la différence est énorme…

Que seules les données du produit en cause soient compromises, ça n’a vraiment strictement rien de comparable à obtenir un accès root/admin de toute la machine.



Maintenant encore une fois oui ,des failles de ce style doivent et/ou ont existé à moment donné sous linux aussi, via des produits tiers que sont “java/flash”.



La grosse différence c’est aussi et surtout que dans les communautés libristes, on gueule justement sur ça, contre tous ces modules proprios qui sont obligatoires pour surfer sur internet et dont il n’existe aucune alternative, donc aucun contrôle donc ouverture aux failles et dépendances de l’éditeur.







Les conséquences sont aussi graves car comme je le disais, la plupart des utilisateurs a le même mot de passe partout.



Quand je parle de raison identiques, je parle de la cause d’un produit tiers dans les 2 cas.

Donc, oui une faille sur un composant Active X d’IE peut (c’est de plus en plus rare) te donner un contrôle total de la machine mais la cause n’est pas IE.

Là, c’est une faille sur un composant qui te donne accès à une base de milliers d’utilisateurs et potentiellement leurs mots de passes.

Avec ça, plus besoin d’un accès complet au serveur, le hacker a tout ce qu’il veut



Le 22/07/2013 à 13h 17







nucl3arsnake a écrit :



Viperr pour ne cité que lui.







En effet, même si je t’avouerais que je n’ai pas trop regardé.



Le 22/07/2013 à 13h 24







nucl3arsnake a écrit :



Et avec Skype? Steam ? Pidgin ? SublimText ?







J’utilise Skype et Sublimetext et aucun soucis de mon côté.



Le 22/07/2013 à 13h 59







nucl3arsnake a écrit :



Viperr pour ne citer que lui.







Viperr c’est pas justement une fedora avec un thème et quelques programmes installés par défaut ? Je ne connais pas, jamais utilisé, mais c’est la description qu’on m’en a fait.



Le 22/07/2013 à 14h 01







NeVeS a écrit :



Viperr c’est pas justement une fedora avec un thème et quelques programmes installés par défaut ? Je ne connais pas, jamais utilisé, mais c’est la description qu’on m’en a fait.





Fedora, Openbox, script post-installation



Le 22/07/2013 à 14h 03







sepas a écrit :



Non, je te la laisse, c’est de toi (entre autre) que je parlais. Quand tu viens troller sur les news Microsoft ou Apple, je pense que c’est bien toi qui fait ton Caliméro.

Mais là, curieusement, rien. Mauvaise foi, quand tu nous tiens…







Ah, maintenant tu nous donne dans le “c’est celui qui dit qui est!”. C’est mignon.



Le 22/07/2013 à 14h 14







Cara62 a écrit :



Ah tiens un hacker frustré qui utilise Windows ? <img data-src=" />







Excellent ++++



Le 22/07/2013 à 15h 40







Para-doxe a écrit :



Ah, maintenant tu nous donne dans le “c’est celui qui dit qui est!”. C’est mignon.







Je ne suis pas un lapin de 6 semaines. Si tu penses m’énerver avec tes remarques débiles, tu te fourres le doigt dans l’œil.

Je peux comprendre que quand on s’aperçoit que son argumentaire favori sur la sécurité tombe, on n’a plus rien à dire.

Calme toi, rien de grave, tu continueras à troller de toutes façons, ça ne changera pas ta vie.



Le 22/07/2013 à 15h 42







sepas a écrit :



Les conséquences sont aussi graves car comme je le disais, la plupart des utilisateurs a le même mot de passe partout.





Les conséquences ne permettent pas de déterminer les responsabilités.

Le bug ssl de debian aurait été tout aussi grave si ce n’était pas un packager qui avait provoqué la faille en modifier le code.

Donc, on a 2 situations où les conséquences sont identiques, mais où, dans un cas, on peut critiquer Debian, et dans l’autre, non.



Quand je parle de raison identiques, je parle de la cause d’un produit tiers dans les 2 cas.



De nouveau, ça ne permet pas de déterminer les responsabilités.

Si je choisis d’installer un logiciel tiers connu pour être une passoire sur une machine à risque, j’ai une plus grande responsabilité dans les problèmes qui surviennent que l’auteur du logiciel tiers. Si par contre le logiciel est réputé fiable mais que le développeur ajoute une grossière erreur lors de la nouvelle version, c’est plutôt le développeur du logiciel qui est à blâmer.





Donc, oui une faille sur un composant Active X d’IE peut (c’est de plus en plus rare) te donner un contrôle total de la machine mais la cause n’est pas IE.

Là, c’est une faille sur un composant qui te donne accès à une base de milliers d’utilisateurs et potentiellement leurs mots de passes.

Avec ça, plus besoin d’un accès complet au serveur, le hacker a tout ce qu’il veut



Dans le cas d’Active X, le reproche était que Active X n’était pas conçu de manière suffisamment isolée (ou plutôt: permettait de faire trop de chose par rapport au besoin), ce qui est de la responsabilité des créateurs d’Active X. Dans le cas de l’article, le système, lui, est totalement hors de cause: même avec un système hyper-sécurisé, l’accès à la BDD est nécessaire pour le logiciel tiers.



Le 22/07/2013 à 16h 05

Impossible de faire de maj d’ubuntu cet aprem, et j’ai eu beau expliquer que ce n’était pas à cause du système d’exploitation, ça n’a pas convaincu <img data-src=" />

Heureusement j’ai pu compter sur microsoft pour rattraper le coup, leur site s’est mis à bugguer, impossible d’avoir une licence <img data-src=" />


Le 22/07/2013 à 16h 08







sepas a écrit :



Je ne suis pas un lapin de 6 semaines. Si tu penses m’énerver avec tes remarques débiles, tu te fourres le doigt dans l’œil.







C’est rigolo de voir quelqu’un considérer de l’opposition comme un affront, on est sur qu’il répondra à tout les coup. <img data-src=" />







sepas a écrit :



Je peux comprendre que quand on s’aperçoit que son argumentaire favori sur la sécurité tombe, on n’a plus rien à dire.







Tu rêverais de réduire au silence les gens pensant différemment, tu considère l’opposition comme un affront. Et j’imagine que pour toi, les extrémistes ce sont les autres.







sepas a écrit :



Calme toi, rien de grave, tu continueras à troller de toutes façons, ça ne changera pas ta vie.







Mais oui, un logiciel proprio à une faille et ça prouve que le libre n’est pas sécurisé. <img data-src=" />



HOOO, magie, comme mon avis général est différent du tient c’est obligatoirement du troll. <img data-src=" /> <img data-src=" />



J’ai trouvé de quoi me divertir aujourd’hui. \o/



Jarodd Abonné
Le 22/07/2013 à 16h 15



En attendant, si vous vous êtes enregistrés sur les forums d’Ubuntu et que vous utilisez ce même mot de passe sur d’autres services, nous ne saurions que vous conseiller d’en changer rapidement.





Ben oui mais le forum est par terre, qu’on te dit <img data-src=" />



Ou alors s’il y a un lien, merci de le mettre dans l’actu !


Le 22/07/2013 à 16h 26







Jarodd a écrit :



Ben oui mais le forum est par terre, qu’on te dit <img data-src=" />



Ou alors s’il y a un lien, merci de le mettre dans l’actu !







Je pense que le message est: “si vous utilisez ce même mot de passe sur un autre service (boite mail, autre forum, …), allez sur ce service et changez votre mot de passe”.



kaito_kid Abonné
Le 22/07/2013 à 16h 30

Bah, vu que mon mdp en était un généré aléatoirement par Keepass et que c’était une adresse mail poubelle, donc ça va perso, je risque pas grand chose <img data-src=" />


Le 22/07/2013 à 17h 16

certes mais c’est pas comme si 1.8 M de personne poster tout les jours sur leurs forum (pis c’est que “un forum” si j’ose dire :x).


Le 22/07/2013 à 17h 58

Je n’ai pas lu toutes les pages, mais est ce que les comptes Ubuntu One sont touchés ou ce sont juste les forums ?


Le 22/07/2013 à 20h 19







Para-doxe a écrit :



C’est rigolo de voir quelqu’un considérer de l’opposition comme un affront, on est sur qu’il répondra à tout les coup. <img data-src=" />





Non, j’aime l’opposition constructive, elle fait avancer. Par contre, tes trolls sont à ton niveau, c’est du vide







Para-doxe a écrit :



Tu rêverais de réduire au silence les gens pensant différemment, tu considère l’opposition comme un affront. Et j’imagine que pour toi, les extrémistes ce sont les autres.





Voir point 1







Para-doxe a écrit :



Mais oui, un logiciel proprio à une faille et ça prouve que le libre n’est pas sécurisé. <img data-src=" />





Ah, tu pars dans un délire. Relis toi, tu n’arrives pas à faire une phrase avec un sens







Para-doxe a écrit :



HOOO, magie, comme mon avis général est différent du tient c’est obligatoirement du troll. <img data-src=" /> <img data-src=" />



J’ai trouvé de quoi me divertir aujourd’hui. \o/







Voir point 1



Pas la peine de continuer, ça n’avancera à rien mais je te fais confiance pour venir cracher ton venin à la moindre news sur MS ou Apple



Le 22/07/2013 à 20h 39







sepas a écrit :



Non, j’aime l’opposition constructive, elle fait avancer. Par contre, tes trolls sont à ton niveau, c’est du vide







Encore une affirmation gratuite que je trolle. On sent tout l’argumentaire constructif là.







sepas a écrit :



Voir point 1







Il n’y a pas grand chose à voir dans une affirmation gratuite.







sepas a écrit :



Ah, tu pars dans un délire. Relis toi, tu n’arrives pas à faire une phrase avec un sens







Cette phrase à du sens. Elle met en avant la faiblesse de ton discours. Que tu ne l’aime pas ne la dénue pas de tout sens.







sepas a écrit :



Voir point 1







Il n’y a toujours pas grand chose à voir dans une affirmation gratuite.







sepas a écrit :



Pas la peine de continuer, ça n’avancera à rien mais je te fais confiance pour venir cracher ton venin à la moindre news sur MS ou Apple







Et encore une affirmation gratuite. J’ai dut gagner à la loterie pour avoir le droit à tant d’amusement. <img data-src=" />



Le 23/07/2013 à 08h 32

La cyber War commence à se voir <img data-src=" />