Abonnez-vous Connexion

Abonnez-vous

Nous suivre

À propos

1,82 million de comptes utilisateurs du forum d’Ubuntu dans la nature

Admin / Admin a encore frappé

Damien Labourot

Publié dansInternet

22/07/2013

Durant le weekend, le forum américain d'Ubuntu a subi une attaque en règle ainsi qu'un défaçage. 1,82 million de comptes utilisateurs sont potentiellement touchés et dans la nature. Canonical se veut néanmoins rassurant en expliquant que les mots de passe ne sont pas stockés en clairs sur les serveurs.

Une faille de sécurité semble avoir été exploitée sur les serveurs du forum d'Ubuntu durant le week-end. En effet, le site a été victime d'un défaçage ce samedi, ce qui a poussé les administrateurs de Canonical à le fermer ou tout du moins à le mettre en statut de maintenance.

Suite à une première analyse, il semblerait que 1,82 million de comptes utilisateurs (nom d'utilisateur, adresse mail et mot de passe) aient été exposés et se retrouvent dans la nature. Canonical se veut rassurant en expliquant que les mots de passe ne sont pas stockés en clair sur les serveurs, mais qu'ils sont hashés avec une pincée de sel. Une méthode utilisée par défaut sur les serveurs de vBulletin qu'exploite la société.

L'auteur revendiqué du méfait, connu sous le nom de @Sputn1k_, n'a semble-t-il pas encore publié d'une manière ou d'une autre le contenu de son larcin. Mais il serait très étonnant qu'au moins une partie de celui-ci ne se retrouve rapidement sur la Toile. Car, habituellement, c'est comme cela qu'est validée l'attaque.

En attendant, si vous vous êtes enregistrés sur les forums d'Ubuntu et que vous utilisez ce même mot de passe sur d'autres services, nous ne saurions que vous conseiller d'en changer rapidement.

Écrit par Damien Labourot

Tiens, en parlant de ça :

Cartes graphiques : 30 ans d’évolution des GPU

Ha… la bonne époque d’un CF de 4870 X2 !

18:10 12

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Preprint not PR-print

17:31 5

Linux : le composant systemd se dote d’un écran bleu de la mort

LoL Micro$oft

16:33 25

Sommaire de l'article

Introduction

Cartes graphiques : 30 ans d’évolution des GPU

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Linux : le composant systemd se dote d’un écran bleu de la mort

Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

Surveillance des notifications : un sénateur américain demande la fin du secret

En ligne, les promos foireuses restent d’actualité

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Le poing Dev – Round 7

102

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

Trois consoles portables en quelques semaines

Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (136)

Cara62

Le 22/07/2013 à 07h05

Ah tiens un hacker frustré qui utilise Windows ? " />

Mr.Nox Abonné

Le 22/07/2013 à 07h10

Entre Apple et Ubuntu, ce fut un bon week-end pour les hackers !

klemix

Le 22/07/2013 à 07h13

J’avais perdu mon mot de passe , s’il pouvait me le redonner ?

FREDOM1989 Abonné

Le 22/07/2013 à 07h16

Mr.Nox a écrit :

Entre Apple et Ubuntu, ce fut un bon week-end pour les hackers !

C’est peut-être MS qui est derrière….

Super le sous titre en tout cas. Au moins les MDP ne sont pas stocké en claire par comme chez Sony " />

bilbonsacquet Abonné

Le 22/07/2013 à 07h18

Mr.Nox a écrit :

Entre Apple et Ubuntu, ce fut un bon week-end pour les hackers !

Et “Tango” également :
http://www.igen.fr/app-store/le-service-de-chat-tango-pirate-par-la-syrian-electronic-army-107180

L3 G33K

Le 22/07/2013 à 07h18

Ca concerne le forum de quel pays?

OnlineCreation Abonné

Le 22/07/2013 à 07h20

Pour être original, c’est une annonce originale !
http://www.pcinpact.com/breve/81297-ubuntu-se-preparerait-il-a-annonce-son-edge-…

Anonyme

Le 22/07/2013 à 07h20

Vous êtes banni(e) de ce forum. L’administrateur ou le modérateur qui vous a banni envoie le message suivant :

Hors sujet total à répétition

Bon ça va, mon compte là-bas était bien protégé.

atem18

Le 22/07/2013 à 07h21

lincruste a écrit :

Bon ça va, mon compte là-bas était bien protégé.

Ce sont les forums internationaux qui ont été attaqués, pas la communauté française.

indyiv

Le 22/07/2013 à 07h23

Comprend pas … si les mdp ne sont pas stockés en clair; où est le risque?

Naunaud

Le 22/07/2013 à 07h24

Je suis content d’avoir changé mon mdp il y a quelques mois. Vive 1Password.

nucl3arsnake

Le 22/07/2013 à 07h25

indyiv a écrit :

Comprend pas … si les mdp ne sont pas stockés en clair; où est le risque?

peux tjs tenter de les peter =)

Naunaud

Le 22/07/2013 à 07h26

indyiv a écrit :

Comprend pas … si les mdp ne sont pas stockés en clair; où est le risque?

Rainbow table, toussa.
Le hashing en md5, c’est pas super dur à “cracker”.
Surtout, que les hackers ont surement eu accès au “salt” des hash, vu la porte ouverte.

v1nce

Le 22/07/2013 à 07h28

Ca y est les pub a la con viennent de frapper sur PCi. Elles s’agrandissent au survol et pas au click (eg CitroHaine)

Anonyme

Le 22/07/2013 à 07h28

atem18 a écrit :

Ce sont les forums internationaux qui ont été attaqués, pas la communauté française.

Ha merde faut que j’aille me faire ban là-bas aussi alors. Merci, j’y fonce.

trshbn

Le 22/07/2013 à 07h29

ils sont hashés avec une pincée de sel

" />
Rhooo c’est pas bien, tout le monde ne va pas comprendre " />

Mihashi Abonné

Le 22/07/2013 à 07h32

TBirdTheYuri a écrit :

Ca concerne le forum de quel pays?

C’est le forum anglais/américain (http://ubuntuforums.org ) pas le français (http://forum.ubuntu-fr.org ).

neves

Le 22/07/2013 à 07h33

Naunaud a écrit :

Rainbow table, toussa.
Le hashing en md5, c’est pas super dur à “cracker”.
Surtout, que les hackers ont surement eu accès au “salt” des hash, vu la porte ouverte.

C’est du vBulletin, le salt est différent pour chaque compte, l’utilisation de rainbow table n’est pas possible ici.

Jed08

Le 22/07/2013 à 07h38

Canonical se veut néanmoins rassurant en expliquant que les mots de passe ne sont pas stockés en clairs sur les serveurs.

Oui enfin des hash de mots de passe ca se casse. Il faut pas croire que parce que on a utilisé du md5 dessus que ca y est c’est la fête !

miles_t

Le 22/07/2013 à 07h38

indyiv, le chiffrage utilisé par la plupart des sites ne tient pas la route face à la puissance disponible avec un simple PC de 2013 et une carte graphique à 200€.

S’ils indiquent cryptage+salage, ça veut dire qu’ils n’ont rien compris à la sécurité et n’utilisent pas un moyen de chiffrement efficace comme bcrypt (sinon ils sauraient que cryptage+salage n’offre pas plus de sécurité depuis très longtemps) - en quelques heures, le pirate, même sans connaissances particulières, aura décrypté la plupart des mots de passe associés aux comptes récupérés. Disons que, comme beaucoup de sites (PCInpact y compris je pense, vu qu’à chaque fois qu’on a un article dessus l’équipe évite soigneusement d’en parler), ils ont dix ans de retard par rapport aux mesures (pourtant simples) qu’il faudrait adopter.

Autrement dit, à moins de tomber sur un site qui prend ça au sérieux, et qui au lieu d’annoncer hashage+salage annonce un chiffrement adaptatif, tu peux assumer que tout mot de passe que tu laisses sur un site est stocké en clair, parce que hashage+salage, c’est ce à quoi ça équivaut depuis des années.

atem18

Le 22/07/2013 à 07h43

lincruste a écrit :

Ha merde faut que j’aille me faire ban là-bas aussi alors. Merci, j’y fonce.

Tu va avoir du mal étant donné que le forum est toujours en maintenance. ^^

maximeK Abonné

Le 22/07/2013 à 07h44

Moi ce qui me fait chier c’est les millions d’émail qui ce ballade dans la nature. Car le nerf de la guerre des pirates c’est bel et bien ça ( les emails pour spamer ),après les mots de passe ils s’ent foutent un peu je pense.

djshotam

Le 22/07/2013 à 07h45

Tiens tiens… comme c’est étrange, ça arrive au moment ou ubuntu doit parler de son edge. Etrange… etrange… " />

nucl3arsnake

Le 22/07/2013 à 07h45

atem18 a écrit :

Tu va avoir du mal étant donné que le forum est toujours en maintenance. ^^

Justement, easy.

genre “punaise A croire que vos serveurs tournais sous Ubuntu Server pour être si long a revenir et si peu sécurisé”

" />

maximeK a écrit :

Moi ce qui me fait chier c’est les millions d’émail qui ce ballade dans la nature. Car le nerf de la guerre des pirates c’est bel et bien ça ( les emails pour spamer ),après les mots de passe ils s’ent foutent un peu je pense.

Bof, doivent bien tenté les MdP sur certains site pour avoir plus d’info (type CB).

Ujoux

Le 22/07/2013 à 07h51

miles_t a écrit :

indyiv, le chiffrage utilisé par la plupart des sites ne tient pas la route face à la puissance disponible avec un simple PC de 2013 et une carte graphique à 200€.

S’ils indiquent cryptage+salage, ça veut dire qu’ils n’ont rien compris à la sécurité et n’utilisent pas un moyen de chiffrement efficace comme bcrypt (sinon ils sauraient que cryptage+salage n’offre pas plus de sécurité depuis très longtemps) - en quelques heures, le pirate, même sans connaissances particulières, aura décrypté la plupart des mots de passe associés aux comptes récupérés. Disons que, comme beaucoup de sites (PCInpact y compris je pense, vu qu’à chaque fois qu’on a un article dessus l’équipe évite soigneusement d’en parler), ils ont dix ans de retard par rapport aux mesures (pourtant simples) qu’il faudrait adopter.

Autrement dit, à moins de tomber sur un site qui prend ça au sérieux, et qui au lieu d’annoncer hashage+salage annonce un chiffrement adaptatif, tu peux assumer que tout mot de passe que tu laisses sur un site est stocké en clair, parce que hashage+salage, c’est ce à quoi ça équivaut depuis des années.

Alors pourquoi bcrypt sale aussi si ca équivaut à un mot de passe en clair ? …

atem18

Le 22/07/2013 à 07h54

nucl3arsnake a écrit :

Justement, easy.

genre “punaise A croire que vos serveurs tournais sous Ubuntu Server pour être si long a revenir et si peu sécurisé”

Hahaha. En même temps, si leurs serveurs tournaient sous de la CentOS ou du SUSE, il faudrait se poser des questions. Ceci étant, ne pas oublier qu’une Ubuntu Server n’est ni plus ni moins qu’une Debian + quelques trucs de Canonical.

sepas

Le 22/07/2013 à 07h55

FREDOM1989 a écrit :

C’est peut-être MS qui est derrière….

Super le sous titre en tout cas. Au moins les MDP ne sont pas stocké en claire par comme chez Sony " />

Quand MS se fait hacker, ce sont des gros nuls, et quand c’est linux, c’est MS qui hack.

J’espère que c’était de l’humour…

neves

Le 22/07/2013 à 07h57

miles_t a écrit :

….

Il ne faut au contraire SURTOUT PAS utiliser le chiffrement pour stocker un mot de passe. Chiffrement implique clé de (dé)chiffrement, stockée soit dans le code, soit dans la DB, mais clé nécessaire pour vérifier le mot de passe lorsque l’utilisateur le rentre. Et quand le hacker récupère cette clé, le mot de passe en clair apparaît sans bruteforce.

Il faut bien sûr utiliser un algorithme de hashage (plus évolué que md5), avec un grand nombre d’itérations et un salt différent par compte. Comme ce que font tous les softs un peu sérieux quoi.

Quant à la remarque sur PCI, le forum utilisé est IP.Board. Je crois que les comptes sont unifiés entre le forum et le site, donc c’est md5 salté.

nucl3arsnake

Le 22/07/2013 à 07h58

atem18 a écrit :

Hahaha. En même temps, si leurs serveurs tournaient sous de la CentOS ou du SUSE, il faudrait se poser des questions.

Je sais pas pourquoi mais une société X qui utilise un serveur sous OS Y je trouve ça plus sécurisant qu’utiliser le même OS que celui commercialisé …

atem18 a écrit :

Ceci étant, ne pas oublier qu’une Ubuntu Server n’est ni plus ni moins qu’une [b]Debian + quelques trucs de Canonical.

Debian > all =D

Alameda

Le 22/07/2013 à 08h03

miles_t a écrit :

Autrement dit, à moins de tomber sur un site qui prend ça au sérieux, et qui au lieu d’annoncer hashage+salage annonce un chiffrement adaptatif, tu peux assumer que tout mot de passe que tu laisses sur un site est stocké en clair, parce que hashage+salage, c’est ce à quoi ça équivaut depuis des années.

Ok les moyens pour sécuriser les comptes ne sont pas à la pointe de la technologie, mais finalement qu’est ce que ça change ? Quelqu’un veut vraiment rentrer dans un système, il le fait c’est pas le mot de passe stocké au 4 coins tu globes avec une clef dans le triangle des bermudes qui l’empêcheras d’y accéder. L’industrie culturelle (audio, vidéo et ludique) ne l’ont toujours pas compris, rajouter des tonnes de protection est inutile car il y a toujours plus force que soit dans le domaine. Et puis bon c’est un forum ce ne sont pas des coordonnées bancaires. Après tout est possible en matière de protection et le coût est une composante majeure lors des décisions.

tschaggatta

Le 22/07/2013 à 08h07

NeVeS a écrit :

Quant à la remarque sur PCI, le forum utilisé est IP.Board. Je crois que les comptes sont unifiés entre le forum et le site, donc c’est md5 salté.

Visiblement d’après l’intéressé c’est le chiffrement par défaut de vBulletin (md5(md5($pass).$salt)… Pas super mais déjà mieux que du clair à la sauce Sony, surtout que c’est un “forum”.

atem18

Le 22/07/2013 à 08h09

nucl3arsnake a écrit :

Je sais pas pourquoi mais une société X qui utilise un serveur sous OS Y je trouve ça plus sécurisant qu’utiliser le même OS que celui commercialisé …

Sans aucun doute niveau sécurité, mais commercialement parlant, ça ne fait pas très vendeur de dire que l’on utilise le produit d’une autre société que la notre.

nucl3arsnake a écrit :

Debian > all =D

Yep en serveur, mais j’ai néanmoins ma préférence pour SUSE niveau desktop, KDE oblige. " />

sepas

Le 22/07/2013 à 08h10

Alameda a écrit :

Ok les moyens pour sécuriser les comptes ne sont pas à la pointe de la technologie, mais finalement qu’est ce que ça change ? Quelqu’un veut vraiment rentrer dans un système, il le fait c’est pas le mot de passe stocké au 4 coins tu globes avec une clef dans le triangle des bermudes qui l’empêcheras d’y accéder. L’industrie culturelle (audio, vidéo et ludique) ne l’ont toujours pas compris, rajouter des tonnes de protection est inutile car il y a toujours plus force que soit dans le domaine. Et puis bon c’est un forum ce ne sont pas des coordonnées bancaires. Après tout est possible en matière de protection et le coût est une composante majeure lors des décisions.

Les plupart des utilisateurs utilise le même mot de passe partout. Oui, je sais, tout le monde conseille d’utiliser des mots de passes différents mais quand tu es inscrit sur 50 sites, il faut retenir 50 mots de passes.
Les moyens mnémoniques peuvent aider mais ça reste compliqué pour une grande partie de la population (qui ne met même pas de mot de passe sur leurs téléphones)

nucl3arsnake

Le 22/07/2013 à 08h11

atem18 a écrit :

Sans aucun doute niveau sécurité, mais commercialement parlant, ça ne fait pas très vendeur de dire que l’on utilise le produit d’une autre société que la notre.

Yep en serveur, mais j’ai néanmoins ma préférence pour SUSE niveau desktop, KDE oblige. " />

Tu peux mettre un KDE sous Debian, Opensuse j’ai du mal.
(surement à cause de l’omniprésence de yast)

neves

Le 22/07/2013 à 08h13

tschaggatta a écrit :

Visiblement d’après l’intéressé c’est le chiffrement par défaut de vBulletin (md5(md5($pass).$salt)… Pas super mais déjà mieux que du clair à la sauce Sony, surtout que c’est un “forum”.

Oui pour Ubuntu, c’est vBulletin. Là je parlais du forum de PCI, dans le message que tu cites (dans les 2 cas c’est du md5 salté de toute façon).

Quant à Sony, je ne crois pas qu’on ai jamais su comment étaient stockés les mots de passe. Ils ont dit que c’était hashé, dans un communiqué, mais pas plus d’infos que ça, si j’ai rien loupé. En tout cas ils disent que c’était pas du clair.

indyiv

Le 22/07/2013 à 08h15

miles_t a écrit :

Autrement dit, à moins de tomber sur un site qui prend ça au sérieux, et qui au lieu d’annoncer hashage+salage annonce un chiffrement adaptatif, tu peux assumer que tout mot de passe que tu laisses sur un site est stocké en clair, parce que hashage+salage, c’est ce à quoi ça équivaut depuis des années.

merci pour ces precisions!

du coup j’ai bcp de mal a comprendre!
si un cryptage “sérieux” ne coute pas plus cher; pourquoi les sites pro (et qui ont dans leur équipe au moins une personne qui connait le sujet) ne l’utilisiement pas?

after_burner

Le 22/07/2013 à 08h15

Ça arrive à tout le monde.

C’est ce que certains libriste devrait comprendre." />

Bylon

Le 22/07/2013 à 08h17

klemix a écrit :

J’avais perdu mon mot de passe , s’il pouvait me le redonner ?

Pas grave ça, tu demande à PRISM, ils ont tout ça bien stocké au chaud ! " />

statoon54

Le 22/07/2013 à 08h17

Alameda a écrit :

Et puis bon c’est un forum ce ne sont pas des coordonnées bancaires. Après tout est possible en matière de protection et le coût est une composante majeure lors des décisions.

Le problème c’est que beaucoup de gens associent le même mot de passe à leur boite mail par exemple . A partir de cet exemple, il est fort probable d’accéder aux mails perso, et donc a beaucoup d’informations d’ordre privé.

Des informations concernant l’attaque ?

Sinon bel exploit .

nucl3arsnake

Le 22/07/2013 à 08h18

indyiv a écrit :

merci pour ces precisions!

du coup j’ai bcp de mal a comprendre!
si un cryptage “sérieux” ne coute pas plus cher; pourquoi les sites pro (et qui ont dans leur équipe au moins une personne qui connait le sujet) ne l’utilisiement pas?

LE coup réel de mise en place (temps + formation + personnel), le temps d’accès au données auprès du serveur après, la maintenance derrière, et le problème de la clé cité plus haut.

Après faut adapté la sécurité au site, un forum n’est pas un site marchand ;)

tschaggatta

Le 22/07/2013 à 08h19

NeVeS a écrit :

Oui pour Ubuntu, c’est vBulletin. Là je parlais du forum de PCI, dans le message que tu cites (dans les 2 cas c’est du md5 salté de toute façon).

Quant à Sony, je ne crois pas qu’on ai jamais su comment étaient stockés les mots de passe. Ils ont dit que c’était hashé, dans un communiqué, mais pas plus d’infos que ça, si j’ai rien loupé. En tout cas ils disent que c’était pas du clair.

Oui tkt j’avais compris, c’était juste pour appuyer ton propos au sujet du forum d’ubuntu. Il me semblait que pour Sony, il y avait eu qql pb (dont un certain nb d’info en clair), mais bref ce n’est pas le sujet. De toute façon ce n’est pas la même criticité…

indyiv

Le 22/07/2013 à 08h20

sepas a écrit :

Les plupart des utilisateurs utilise le même mot de passe partout. Oui, je sais, tout le monde conseille d’utiliser des mots de passes différents mais quand tu es inscrit sur 50 sites, il faut retenir 50 mots de passes.

oui en même temps, il suffit de demander au navigateur de conserver les mdp …
(a moins qu’on adore le petit jeu qui consiste a saisir 50 mdp différents chaque fois qu’on se connecte a un site …)

jun

Le 22/07/2013 à 08h22

miles_t a écrit :

ils ont dix ans de retard par rapport aux mesures (pourtant simples) qu’il faudrait adopter.

Etant pas au fait de l’état de l’art dans le domaine, aurait tu des liens à recommander sur ces mesures simple qu’il faudrait adopter ?

NeVeS a écrit :

Il faut bien sûr utiliser un algorithme de hashage (plus évolué que md5), avec un grand nombre d’itérations et un salt différent par compte. Comme ce que font tous les softs un peu sérieux quoi.

Je suis pas un pro dans le domaine non plus, mais la question m’intéresse.

Qu’entends tu par “un grand nombre d’itérations” ? 10 ? 100 ? 10000 ? Plus ? Est ce nécessaire ? N’est pas des ressources serveur consommé inutilement à partir d’un certains nombre d’itération ?

Admettons que le hacker ait obtenu un accès root, il a donc accès à la base et au code (du moins pour une application en java ou en php, entre autre).

Pour le salt unique, soit il est stocké tel quel en base, et donc il est uniquement inutile, soit il est calculé à chaque login, en fonction d’élément propre à l’utilisateur, ou d’élément reproductible, donc on oublie l’instant T, l’id du thread, ou autre qu’on ne pourrait pas “re-deviner” plus tard ou sur une autre machine dans le cadre d’une appli en cluster. La sécurité du salt ne dépends donc que du secret qu’on peut avoir sur sa recette, et sur le secret du nombre et de la manière de hasher le pass, recette qui peut être facilement consultable dans le code.

Pire, dans le cadre d’une appli répandu largement et dont le code est accessible, genre les boards Invision ou phpBB, le hacker à juste besoin d’accèder à la base, la “recette” de hashage est publique, peut importe sa complexité.

neves

Le 22/07/2013 à 08h24

indyiv a écrit :

oui en même temps, il suffit de demander au navigateur de conserver les mdp …
(a moins qu’on adore le petit jeu qui consiste a saisir 50 mdp différents chaque fois qu’on se connecte a un site …)

Ce qui engendre de nouvelles problématiques :

Comment te connecter au site quand tu ne connais pas ton mot de passe, qu’il n’est que dans ton navigateur, et que toi tu n’es pas chez toi ?

Que se passe-t-il quand ton ordinateur (ou ton navigateur) est compromis par un malware ?

Il y a des solutions à ces problèmes (authentification unifié, master password, etc.), c’est juste pour montrer que rien n’est simple, et qu’il ne “suffit” pas de :)

tschaggatta

Le 22/07/2013 à 08h25

indyiv a écrit :

si un cryptage “sérieux” ne coute pas plus cher; pourquoi les sites pro (et qui ont dans leur équipe au moins une personne qui connait le sujet) ne l’utilisiement pas?

Juste comme ça on dit plus “chiffrement” (ou “chiffrage” mais pas très beau je trouve) que “cryptage” (qui vient de l’anglais). Et ensuite comme le dit @nucl3arsnake, c’est souvent un problème de formation (ou de la fainéantise) de la par des personne qui maintiennent le site/db, qu’un réel coût direct…
C’est svt bien dommage…

atem18

Le 22/07/2013 à 08h26

nucl3arsnake a écrit :

Tu peux mettre un KDE sous Debian, Opensuse j’ai du mal. (surement à cause de l’omniprésence de yast)

Certes, mais il m’avait semblé que l’équipe KDE de Debian était composée de quelques mainteneurs. De plus, la version de KDE n’est pas la dernière, donc ça pue un peu.

Pour YAST, il existe, mais tu peux t’en passer facilement, voir même le désinstaller si l’envie te chante.

nucl3arsnake

Le 22/07/2013 à 08h30

atem18 a écrit :

Certes, mais il m’avait semblé que l’équipe KDE de Debian était composée de quelques mainteneurs. De plus, la version de KDE n’est pas la dernière, donc ça pue un peu.

Pour YAST, il existe, mais tu peux t’en passer facilement, voir même le désinstaller si l’envie te chante.

Bha le soucis c’est “quelle ligne de commande remplace le aptitude update upgrade remove ^^”

tschaggatta

Le 22/07/2013 à 08h36

jun a écrit :

…

Je suis pas spécialiste, mais il est svt possible de choisir l’algorithme de hashage qui sont reconnus comme plus ou moins robustes, de plus comme toute configuration, il vaut mieux éviter de laisser celle par défaut, enfin dans le cas de protection de mots de passe, la sauce (certes récupérable) peut-être modifiée, avec l’ajout d’un salt2, des règles au niveau des caractères à choisir et le nombre. Tout cela amène une complexité qui permet de rendre la tâche plus difficile aux hackers (mais pas impossible). En sachant que de toute façon, il faut être relativement à jour (la le pb semble être un soucis de “module” non à jour, justement ce qui est une cause récurrente )…

neves

Le 22/07/2013 à 08h38

jun a écrit :

Je suis pas un pro dans le domaine non plus, mais la question m’intéresse.

Qu’entends tu par “un grand nombre d’itérations” ? 10 ? 100 ? 10000 ? Plus ? Est ce nécessaire ? N’est pas des ressources serveur consommé inutilement à partir d’un certains nombre d’itération ?

Faire 5000 itérations pour un login, ce n’est pas la mort comparé à la complexité que ça apporte pour casser le hash. Je ne peux pas te donner de nombre à utiliser, WordPress utilise 8192 itérations de phppass, Drupal 16384.

http://joncave.co.uk/2011/01/password-storage-in-drupal-and-wordpress/

jun a écrit :

Pour le salt unique, soit il est stocké tel quel en base, et donc il est uniquement inutile, soit il est calculé à chaque login, en fonction d’élément propre à l’utilisateur, ou d’élément reproductible, donc on oublie l’instant T, l’id du thread, ou autre qu’on ne pourrait pas “re-deviner” plus tard ou sur une autre machine dans le cadre d’une appli en cluster. La sécurité du salt ne dépends donc que du secret qu’on peut avoir sur sa recette, et sur le secret du nombre et de la manière de hasher le pass, recette qui peut être facilement consultable dans le code.

Le salt est là pour empêcher l’utilisation de rainbow table. On ne peut pas générer de rainbow table si le salt est différent pour chaque compte. Qu’il soit stocké et que le hacker y ait accès n’implique pas de problème à ce niveau là.

jun a écrit :

Pire, dans le cadre d’une appli répandu largement et dont le code est accessible, genre les boards Invision ou phpBB, le hacker à juste besoin d’accèder à la base, la “recette” de hashage est publique, peut importe sa complexité.

Si l’algo n’est pas faible, et que le mot de passe n’est pas ridicule ou contenu dans une dictionnaire, que l’algo soit connu n’ajoute aucun problème de sécurité. L’accès à la DB (dans les conditions énoncées précédemment) permet au hacker de lancer une attaque par bruteforce ou par dictionnaire, mais généralement pas plus. Ce n’est pas jackpot pour lui non plus, tous les mots de passe ne sont pas trouvables par ces méthodes, et ça peut être très long :)

indyiv

Le 22/07/2013 à 08h39

NeVeS a écrit :

Il y a des solutions à ces problèmes (authentification unifié, master password, etc.), c’est juste pour montrer que rien n’est simple, et qu’il ne “suffit” pas de :)

jamais pretendu que c’etait simple …
mais dans la vie de tous les jours, c’est quand même pour 99% des forums visité, bcp plus simple de choisir un mdp different bassé sur une phrase de chaque page d’un livre …
et de laisser le navigateur (unifié puisqu’il suffit d’utiliser un navigateur portable) retenir ces mdp!)

sepas

Le 22/07/2013 à 08h42

indyiv a écrit :

oui en même temps, il suffit de demander au navigateur de conserver les mdp …
(a moins qu’on adore le petit jeu qui consiste a saisir 50 mdp différents chaque fois qu’on se connecte a un site …)

Conserver le mot de passe dans le navigateur?

En terme de sécurité, je pense que c’est le pire

Ca veut dire que tu ne te connectes que de ta machine

Ca n’empêche pas qu’il faudra le rentrer de nouveau le jour où tu vides tes cookies ou si tu change de PC, donc tu dois les retenir (ou le noter sur un post-it :))

nucl3arsnake

Le 22/07/2013 à 08h45

indyiv a écrit :

jamais pretendu que c’etait simple …
mais dans la vie de tous les jours, c’est quand même pour 99% des forums visité, bcp plus simple de choisir un mdp different bassé sur une phrase de chaque page d’un livre …
et de laisser le navigateur (unifié puisqu’il suffit d’utiliser un navigateur portable) retenir ces mdp!)

Question de point de vue, qu’est-ce qui est le plus vulnérable, ton pc ou un serveur …

indyiv

Le 22/07/2013 à 08h48

sepas a écrit :

Ca n’empêche pas qu’il faudra le rentrer de nouveau le jour où tu vides tes cookies ou si tu change de PC, donc tu dois les retenir (ou le noter sur un post-it :))

perso j’utilise un navigateur portable
et mes mots de passe sont les premieres lettres de phrases d’un bouquin …
donc quand je vide les cookies rien de plus simple pour les retrouver …

sepas

Le 22/07/2013 à 08h52

il te faut donc 50 bouquins si tu as 50 sites…

FREDOM1989 Abonné

Le 22/07/2013 à 08h53

sepas a écrit :

Quand MS se fait hacker, ce sont des gros nuls, et quand c’est linux, c’est MS qui hack.

J’espère que c’était de l’humour…

Non je suis sérieux, MS a peur des 1% de part de marché d’Ubuntu alors ils ont attaqué les forum de la communauté. La prochaine étape sera de porter les virus qui touchent windows sous linux en passant par des hacker chinois.

" />

indyiv

Le 22/07/2013 à 08h55

sepas a écrit :

il te faut donc 50 bouquins si tu as 50 sites…

ce bouquin n’a pas qu’une page ;-)

sinon, ne pas garder en memoire les différents mdp sur le navigateur, ça suppose de les rentrer A CHAQUE FOIS ?!
inconcevable pour moi!

atem18

Le 22/07/2013 à 09h00

nucl3arsnake a écrit :

Bha le soucis c’est “quelle ligne de commande remplace le aptitude update upgrade remove ^^”

apt-get update –> zypper refresh ou zypper ref
apt-get upgrade –> zypper upgrade ou zypper up
apt-get remove –> zypper remove ou zypper rm

nucl3arsnake

Le 22/07/2013 à 09h02

atem18 a écrit :

apt-get update –> zypper ref
apt-get upgrade –> zypper dup
apt-get remove –> zypper remove

Une idée de pourquoi “ref” et “dup”?

atem18

Le 22/07/2013 à 09h05

nucl3arsnake a écrit :

Une idée de pourquoi “ref” et “dup”?

J’ai modifié mon message pour être plus explicite. ^^

sepas

Le 22/07/2013 à 09h12

indyiv a écrit :

ce bouquin n’a pas qu’une page ;-)

sinon, ne pas garder en memoire les différents mdp sur le navigateur, ça suppose de les rentrer A CHAQUE FOIS ?!
inconcevable pour moi!

Oui, d’ailleurs, les sites sécurisés ne permettent pas de les enregistrer.

Par exemple, les sites bancaires…

Certains entreprises essayent de faire des passeports qui fonctionnent très bien avec de la fédération d’identité.
Certains diront que c’est pire car si l’annuaire est cracké, tout est accessible.

Je suis assez d’accord sauf qu’il est alors plus facile de mettre un mot de passe très complexe et ce genre de structure peut-être plus facilement mise à jour avec les dernières normes de sécurité.
Il n’y a pas de solution miracle aujourd’hui mais certaines sont plus fiables que d’autres.

Aujourd’hui, par exemple, il est très facile de récupérer des milliers de mots de passes sans aucune connaissance en informatique, sans que personne ne puisse s’en rendre compte.
Pour moi, devoir choisir un mot de passe sur chaque site est trop dangereuse. La fédération serait déjà une avancée.

Tirr Mohma

Le 22/07/2013 à 09h13

Attention le problème de sécurité ne concerne pas Ubuntu ou linux, mais un problème de codage d’un l’un des modules du forum. " />

C’est toujours les appli tierces qui foutent la merde ^^

nucl3arsnake

Le 22/07/2013 à 09h15

atem18 a écrit :

J’ai modifié mon message pour être plus explicite. ^^

Et niveau librairies y’a enfin les 64 bits? Parce que j’avais pas mal de soucis avec le 64bits sous Opensuse avec la v12 (notamment il fallais des lib32 ….)

nucl3arsnake

Le 22/07/2013 à 09h17

FREDOM1989 a écrit :

Non je suis sérieux, MS a peur des 1% de part de marché d’Ubuntu alors ils ont attaqué les forum de la communauté. La prochaine étape sera de porter les virus qui touchent windows sous linux en passant par des hacker chinois.

" />

ou un bon vieux “virus.exe” a lancer avec Wine, le tout pour voir les photo de *insérer personnalité* nue.

sepas

Le 22/07/2013 à 09h17

Tirr Mohma a écrit :

Attention le problème de sécurité ne concerne pas Ubuntu ou linux, mais un problème de codage d’un l’un des modules du forum. " />

C’est toujours les appli tierces qui foutent la merde ^^

Quand on dit ça sur une faille sous Windows ou IE (avec des active X), ça n’empêche pas d’avoir des dizaines de trolls qui viennent nous dire que Windows est une passoire…

miles_t

Le 22/07/2013 à 09h18

NeVeS a écrit :

Il ne faut au contraire SURTOUT PAS utiliser le chiffrement pour stocker un mot de passe. Chiffrement implique clé de (dé)chiffrement, stockée soit dans le code, soit dans la DB, mais clé nécessaire pour vérifier le mot de passe lorsque l’utilisateur le rentre. Et quand le hacker récupère cette clé, le mot de passe en clair apparaît sans bruteforce.

Il faut bien sûr utiliser un algorithme de hashage (plus évolué que md5), avec un grand nombre d’itérations et un salt différent par compte. Comme ce que font tous les softs un peu sérieux quoi.

Quant à la remarque sur PCI, le forum utilisé est IP.Board. Je crois que les comptes sont unifiés entre le forum et le site, donc c’est md5 salté.

Merci d’avoir corrigé mon explication foireuse, faut que je fasse plus attention aux termes que j’emploie.

Pour les autres posts, en tant qu’utilisateur tout ce que ça veut dire, c’est que sur un site lambda comme PCInpact il vaut mieux assumer que votre mot de passe est à la portée de tout le monde (oui, vraiment, vu le nombre de site qu’on utilise il y en a au moins un qui a déjà été hacké, et les autres ça arrivera forcément un jour). Donc type de mot de passe (la manip que vous utilisez pour le créer) totalement différent du type que vous utilisez sur un site sérieux où vous seriez mal si quelqu’un d’autre avait accès à votre compte. Et si vous avez un site et voulez faire les choses bien, c’est pas compliqué, si le temps que prend un hashage permettrait d’en faire des millions à la seconde, c’est qu’il ne sert à rien, employez une fonction plus lente et/ou rajouter des itérations, jusqu’à ce que ça se mesure au moins en millisecondes.

razcrambl3r Abonné

Le 22/07/2013 à 09h19

v1nce a écrit :

Ca y est les pub a la con viennent de frapper sur PCi. Elles s’agrandissent au survol et pas au click (eg CitroHaine)

Perso je m’en fout, du temps que ça puisse faire vivre PCInpact ;)
Et pourtant je suis sur un netbook, et dans le genre ça fait ramer :P

atem18

Le 22/07/2013 à 09h20

nucl3arsnake a écrit :

Et niveau librairies y’a enfin les 64 bits? Parce que j’avais pas mal de soucis avec le 64bits sous Opensuse avec la v12 (notamment il fallais des lib32 ….)

C’est possible qu’il y avait des problèmes, oui, m’en souvient peut-être. Enfin bref, plus aucun soucis de nos jours, la 12.3 roule niquel.

nucl3arsnake

Le 22/07/2013 à 09h22

atem18 a écrit :

C’est possible qu’il y avait des problèmes, oui, m’en souvient peut-être. Enfin bref, plus aucun soucis de nos jours, la 12.3 roule niquel.

je verrais a la prochaine version, on est a la milestone 3, bientot la release ^^

Burn2 Abonné

Le 22/07/2013 à 09h23

after_burner a écrit :

Ça arrive à tout le monde.

C’est ce que certains libriste devrait comprendre." />

EN l’occurrence rien ici ne dit que l’os est en faute.
C’est plus vbuling qui est en faute au niveau faille. ;)

Burn2 Abonné

Le 22/07/2013 à 09h26

nucl3arsnake a écrit :

Bha le soucis c’est “quelle ligne de commande remplace le aptitude update upgrade remove ^^”

zypper…

nucl3arsnake

Le 22/07/2013 à 09h27

Burn2 a écrit :

zypper…

On m’as répondu c’est bon ^^.

Y’a que Opensuse qui utilise “zypper” non?

atem18

Le 22/07/2013 à 09h28

nucl3arsnake a écrit :

je verrais a la prochaine version, on est a la milestone 3, bientot la release ^^

Oui pour la 13.1 . À priori, pas de grands changements, hormis le ré-encodage en Ruby de YAST. On verra si tout est prêt pour Novembre ! ^^

Burn2 Abonné

Le 22/07/2013 à 09h30

sepas a écrit :

Quand on dit ça sur une faille sous Windows ou IE (avec des active X), ça n’empêche pas d’avoir des dizaines de trolls qui viennent nous dire que Windows est une passoire…

La grosse différence, c’est que la faille du site, a compromis les données du sites en soit et rien d ‘autre.

La ou une faille active X arrive à compromètre assez souvent toute la machine…
N’y vois tu point une différence notable?

En l’occurence la faille en question doit être reproductible sur tous les os, puisque c’est une faille de l’appli et donc rien avoir avec l’os en soit.

Mais bon oui il est sûr que tous les os contiennent des failles, toute la question est de savoir al vitesse de correction de ces failles, et la facilité de déployer des correctifs et mettre à jour…

atem18

Le 22/07/2013 à 09h30

nucl3arsnake a écrit :

On m’as répondu c’est bon ^^.

Y’a que Opensuse qui utilise “zypper” non?

Yep, tout comme il n’y a que Fedora qui utilise YUM (Red hat et ses dérivés ne comptent pas puisque c’est la même base).

nucl3arsnake

Le 22/07/2013 à 09h32

atem18 a écrit :

Oui pour la 13.1 . À priori, pas de grands changements, hormis le ré-encodage en Ruby de YAST. On verra si tout est prêt pour Novembre ! ^^

Pour l’instant ça tient le planing ^^

atem18 a écrit :

Yep, tout comme il n’y a que Fedora qui utilise YUM (Red hat et ses dérivés ne comptent pas puisque c’est la même base).

J’ai vu plus de dérivé Debian/Red Hat que de dérivé Opensuse …

Ricard

Le 22/07/2013 à 09h33

Une faille de sécurité semble avoir été exploitée sur les serveurs du forum d’Ubuntu durant le week-end.

Ubuntu Server…." />

nucl3arsnake

Le 22/07/2013 à 09h33

Burn2 a écrit :

La grosse différence, c’est que la faille du site, a compromis les données du sites en soit et rien d ‘autre.

La ou une faille active X arrive à compromètre assez souvent toute la machine…
N’y vois tu point une différence notable?

En l’occurence la faille en question doit être reproductible sur tous les os, puisque c’est une faille de l’appli et donc rien avoir avec l’os en soit.

Mais bon oui il est sûr que tous les os contiennent des failles, toute la question est de savoir al vitesse de correction de ces failles, et la facilité de déployer des correctifs et mettre à jour…

ActiveX sur internet c’est mort non?

miles_t

Le 22/07/2013 à 09h34

jun a écrit :

Etant pas au fait de l’état de l’art dans le domaine, aurait tu des liens à recommander sur ces mesures simple qu’il faudrait adopter ?

http://arstechnica.com/security/2012/08/hacked-blizzard-passwords-not-hard-to-crack/
http://arstechnica.com/security/2012/08/passwords-under-assault/
http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

Burn2 Abonné

Le 22/07/2013 à 09h35

nucl3arsnake a écrit :

On m’as répondu c’est bon ^^.

Y’a que Opensuse qui utilise “zypper” non?

J’ai vu après oui. " />

Le seul truc qui m’a fait quitté openSuse, c’est la non présence de version LTS. :/

Sinon j’en était globalement satisfait, mais devoir mettre à jour tous les 6 mois c’était trop contraignant, j’ai encore un serveur home à la maison sous une openSuse et total il a 1 version de retard et bientôt 2 avec la sortie de la 13.1…

nucl3arsnake

Le 22/07/2013 à 09h37

Burn2 a écrit :

J’ai vu après oui. " />

Le seul truc qui m’a fait quitté openSuse, c’est la non présence de version LTS. :/

Sinon j’en était globalement satisfait, mais devoir mettre à jour tous les 6 mois c’était trop contraignant, j’ai encore un serveur home à la maison sous une openSuse et total il a 1 version de retard et bientôt 2 avec la sortie de la 13.1…

C’est pas 6mois justement, c’est 18mois.

Fedora c’est 6 mois.

Opensuse fait un peu “mixte” de LTS et “semi” rolling " />

Burn2 Abonné

Le 22/07/2013 à 09h40

nucl3arsnake a écrit :

C’est pas 6mois justement, c’est 18mois.

Fedora c’est 6 mois.

Opensuse fait un peu “mixte” de LTS et “semi” rolling " />

Heu plait-il ?
openSUSE 12.3: 13-03-2013
openSUSE 13.1: 13-11-2013
openSUSE 13.2: 09-07-2014

C’est 8 mois pas 6 mais ça reste short. (loin de 18 mois hein :o )

b801

Le 22/07/2013 à 09h40

C’est fou tout ce débat sur les mots de passe. Blablabla ils sont salés, blablabla il ne faut pas crypter, blablabla je suis un boulet. Le mec s’en branle de voler le mot de passe de geeks poilus qui doivent tous en utiliser un différent par sites.

1,82 millions de compte c’est surtout 1,82 millions d’adresses email qui pourront être exploitées, vendues. C’est bien pour Canonical de rassurer les utilisateurs pour leur mot de passe, mais l’adresse email est dans la nature, ce qui n’est pas tout le temps souhaitable. Prochaine étape, faire des stats sur les adresses emails et cibler les noobs auto-hébergés pour rooter leur serveur.

nucl3arsnake

Le 22/07/2013 à 09h41

Burn2 a écrit :

Heu plait-il ?
openSUSE 12.3: 13-03-2013
openSUSE 13.1: 13-11-2013
openSUSE 13.2: 09-07-2014

C’est 8 mois pas 6 mais ça reste short. (loin de 18 mois hein :o )

autant pour moi ^^”

v1nce

Le 22/07/2013 à 09h42

razcrambl3r a écrit :

Perso je m’en fout, du temps que ça puisse faire vivre PCInpact ;)
Et pourtant je suis sur un netbook, et dans le genre ça fait ramer :P

Moi non.La pub oui. Mais de manière raisonnable. Les placards qui masquent entièrement ta page ou les pubs qui viennent pourrir ta navigation quand tu les survoles, c’est non. Si ça venait à devenir une habitude pci sortira de la whitelist.

Burn2 Abonné

Le 22/07/2013 à 09h45

v1nce a écrit :

Moi non.La pub oui. Mais de manière raisonnable. Les placards qui masquent entièrement ta page ou les pubs qui viennent pourrir ta navigation quand tu les survoles, c’est non. Si ça venait à devenir une habitude pci sortira de la whitelist.

Sinon tu peux aussi payer un abonnement vu le prix franchement par ans ça vaut le coût…. ;)

sepas

Le 22/07/2013 à 09h46

Burn2 a écrit :

La grosse différence, c’est que la faille du site, a compromis les données du sites en soit et rien d ‘autre.

La ou une faille active X arrive à compromètre assez souvent toute la machine…
N’y vois tu point une différence notable?

En l’occurence la faille en question doit être reproductible sur tous les os, puisque c’est une faille de l’appli et donc rien avoir avec l’os en soit.

Mais bon oui il est sûr que tous les os contiennent des failles, toute la question est de savoir al vitesse de correction de ces failles, et la facilité de déployer des correctifs et mettre à jour…

La différence est au niveau des conséquences.
Sur le fond c’est le même problème : Faille d’un produit tiers et pas de l’OS

v1nce

Le 22/07/2013 à 09h47

b801 a écrit :

1,82 millions de compte c’est surtout 1,82 millions d’adresses email qui pourront être exploitées, vendues.

Encrypter les adresses mail dans une BDD ça se pratique ou pas ? (performance, robustesse, aspect pratique)

atem18

Le 22/07/2013 à 09h52

nucl3arsnake a écrit :

Pour l’instant ça tient le planing ^^

En effet, c’est parce qu’ils utilisent un outil qui traduit le code YCP en Ruby.

nucl3arsnake a écrit :

J’ai vu plus de dérivé Debian/Red Hat que de dérivé Opensuse …

Moi aussi, mais c’est à cause de la mauvaise réputation qu’à SUSE (à tord à mon goût). De plus, il y a la dose de dérivés Debian, car facilement maintenables dans le temps à cause du peu d’outils disponibles. Pour Red Hat, à part CentOS, Scientific Linux et Oracle Linux, il n’y en a pas vraiment.

RaoulC

Le 22/07/2013 à 09h54

sepas a écrit :

Conserver le mot de passe dans le navigateur?

En terme de sécurité, je pense que c’est le pire

Ca veut dire que tu ne te connectes que de ta machine

Ca n’empêche pas qu’il faudra le rentrer de nouveau le jour où tu vides tes cookies ou si tu change de PC, donc tu dois les retenir (ou le noter sur un post-it :))

" />

indyiv a écrit :

perso j’utilise un navigateur portable
et mes mots de passe sont les premieres lettres de phrases d’un bouquin …
donc quand je vide les cookies rien de plus simple pour les retrouver …

Le navigateur les logiciels portable c’est déjà mieux en terme de sécu, les malware s’attaquant en général aux emplacement PAR DEFAUT ou sont stockés les mots de passe sur l’ordinateur.

*On est pas à l’abri d’un malware qui parcourerais les disques pour trouver les logiciels portables " />

*Si la machine est carrément compromise (RAT?) alors là …." />

nucl3arsnake

Le 22/07/2013 à 09h54

atem18 a écrit :

En effet, c’est parce qu’ils utilisent un outil qui traduit le code YCP en Ruby.

Moi aussi, mais c’est à cause de la mauvaise réputation qu’à SUSE (à tord à mon goût). De plus, il y a la dose de dérivés Debian, car facilement maintenables dans le temps à cause du peu d’outils disponibles. Pour Red Hat, à part CentOS, Scientific Linux et Oracle Linux, il n’y en a pas vraiment.

Fedora et les dérivé de Fedora (même avec release de 6mois) …

Burn2 Abonné

Le 22/07/2013 à 09h56

sepas a écrit :

La différence est au niveau des conséquences.
Sur le fond c’est le même problème : Faille d’un produit tiers et pas de l’OS

Bah non la différence est énorme…
Que seules les données du produit en cause soient compromises, ça n’a vraiment strictement rien de comparable à obtenir un accès root/admin de toute la machine.

Maintenant encore une fois oui ,des failles de ce style doivent et/ou ont existé à moment donné sous linux aussi, via des produits tiers que sont “java/flash”.

La grosse différence c’est aussi et surtout que dans les communautés libristes, on gueule justement sur ça, contre tous ces modules proprios qui sont obligatoires pour surfer sur internet et dont il n’existe aucune alternative, donc aucun contrôle donc ouverture aux failles et dépendances de l’éditeur.

RaoulC

Le 22/07/2013 à 09h58

b801 a écrit :

C’est fou tout ce débat sur les mots de passe. Blablabla ils sont salés, blablabla il ne faut pas crypter, blablabla je suis un boulet. Le mec s’en branle de voler le mot de passe de geeks poilus qui doivent tous en utiliser un différent par sites.

1,82 millions de compte c’est surtout 1,82 millions d’adresses email qui pourront être exploitées, vendues. C’est bien pour Canonical de rassurer les utilisateurs pour leur mot de passe, mais l’adresse email est dans la nature, ce qui n’est pas tout le temps souhaitable. Prochaine étape, faire des stats sur les adresses emails et cibler les noobs auto-hébergés pour rooter leur serveur.

Oui, mais tu préfére avoir spam + truc plus graves grâces aux mdp ou juste spam parce que la sécurité des mp va ralentir / faire chier/ stopper le hacker?
“Le mec s’en branle”… Va savoir, si il a une motivation pécuniaire ben piquer des sous sur Paypal grace aux mdp c’est envisageable.

Tu me diras, tu as raison : sur un forum d’utilisateurs Linux je pense que les utilisateurs doivent un minimum suivre les recommandations en termes de mots de passes " />

atem18

Le 22/07/2013 à 10h02

nucl3arsnake a écrit :

Fedora et les dérivé de Fedora (même avec release de 6mois) …

Y’a pas vraiment de dérivé de Fedora. Juste les spins à la rigueur.

indyiv

Le 22/07/2013 à 10h04

RaoulC a écrit :

*On est pas à l’abri d’un malware qui parcourerais les disques pour trouver les logiciels portables " />

oui en même temps, le meilleur moyen de ne pas voir son PC etre attaqué … c’est de ne jamais se connecter
#captain_obvious

" />

b801

Le 22/07/2013 à 10h11

v1nce a écrit :

Encrypter les adresses mail dans une BDD ça se pratique ou pas ? (performance, robustesse, aspect pratique)

Non, pour la même raison qui a été donné pour les mots de passe, si c’est chiffré alors c’est déchiffrable. Avec la clé par exemple dans le code. D’un certain coté cela obligerait à pirater la base de données et le code source (ce qui semble avoir été le cas ici).

Donc ça ne serait donc pas robuste (car c’est juste plus difficile, pas impossible), et surement pas pratique…

RaoulC

Le 22/07/2013 à 10h13

indyiv a écrit :

oui en même temps, le meilleur moyen de ne pas voir son PC etre attaqué … c’est de ne jamais se connecter
#captain_obvious

" />

" />
Je dis ca par ce que quand on voit comment c’est facile à faire.
Je pense que cela risque d’arriver :p
J’ai ajouté cette remarque pour ne pas que les gens se croient trop en sécurité de cette manière ce n’est jamais bon." />

Winderly Abonné

Le 22/07/2013 à 10h19

nucl3arsnake a écrit :

Et niveau librairies y’a enfin les 64 bits? Parce que j’avais pas mal de soucis avec le 64bits sous Opensuse avec la v12 (notamment il fallais des lib32 ….)

Je suis sur la 12.2 et j’ai pas remarqué ces soucis.
Ça concerne beaucoup de programmes ou librairies ?

RaoulC

Le 22/07/2013 à 10h23

v1nce a écrit :

Encrypter les adresses mail dans une BDD ça se pratique ou pas ? (performance, robustesse, aspect pratique)

CHIFFRER " />

Et non ca ne se fait pas :) c’est une hérésie.
Parce que la clef de déchiffrement doit se trouver quelque part et si le hacker à accès à la BDD on peut raisonnablement penser qu’il a accès au reste de l’application (le site web par exemple) qui elle a la clef.

C’est un peut laisser la clef de sa baraque sous le pot de fleurs " />

Le hashage par définition est irréversible car ce n’est PAS UN CHIFFREMENT. Tu peut tenter de bruteforcer, c’est à dire tester toutes les combinaisons de caractères possibles jusqua trouver celle qui produit le même hash (on parle de collision) mais c’est long.

Le hash c’est un “consensat” : on fait des opérations mathématiques sur les données a hasher pour produire un hash supposé unique et irréversible.

Si ton hash c’est 1850 , que la clef c’est la somme des caractères de ton mdp, tu as quelques combinaisons a tester avant de trouver. mais il faut toute les tester.

Remplace “additions” par des opérations mathématiques “non bijectives” plus complexes et diverses et réalisées en boucles = ca rajoute du temps de calcul :p

C’est là qu’interviennent les rainbow table : des gigantesques base de correspondances hash = chaines de caractères, qu’il est beaucoup plus rapide et surtout moins couteux en temps de calcul de faire parcourir par son logiciel ou..ses yeux :)

jun

Le 22/07/2013 à 10h28

miles_t a écrit :

http://arstechnica.com/security/2012/08/hacked-blizzard-passwords-not-hard-to-crack/
http://arstechnica.com/security/2012/08/passwords-under-assault/
http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

Merci.

NeVeS a écrit :

et ça peut être très long :)

Rofl, ça me parait relatif. Vue le prix d’une instance sur Amazon AWS on peut très facilement se faire une jolie ferme pour cracker des pass =).

Para-doxe

Le 22/07/2013 à 10h45

sepas a écrit :

Quand on dit ça sur une faille sous Windows ou IE (avec des active X), ça n’empêche pas d’avoir des dizaines de trolls qui viennent nous dire que Windows est une passoire…

OOOhhhhhh, pauvre choux. Tout le monde il est méchant avec les défenseurs du gentil billoux. Tu veux une coquille d’oeuf pour mettre sur ta tête?

nucl3arsnake

Le 22/07/2013 à 10h58

atem18 a écrit :

Y’a pas vraiment de dérivé de Fedora. Juste les spins à la rigueur.

Viperr pour ne cité que lui.

nucl3arsnake

Le 22/07/2013 à 10h59

Winderly a écrit :

Je suis sur la 12.2 et j’ai pas remarqué ces soucis.
Ça concerne beaucoup de programmes ou librairies ?

Beaucoup trop en tout cas à mon utilisation.
Mais j’avais pas le .2 encore, peut-être corrigé mais genre VirtualBox c’était atroce xD.

v1nce

Le 22/07/2013 à 11h00

RaoulC a écrit :

on peut raisonnablement penser qu’il a accès au reste de l’application (le site web par exemple) qui elle a la clef.

mouais. Pas évident. Tu peux récupérer le contenu par SQL injection sans avoir forcément accès à l’appli.
Si tu stockes adressemail XOR (md5(rowid + masterpwd)) et que l’attaquant n’a pas accès au masterpwd il ne va pas pouvoir utiliser les adresses mail.

RaoulC

Le 22/07/2013 à 11h11

v1nce a écrit :

mouais. Pas évident. Tu peux récupérer le contenu par SQL injection sans avoir forcément accès à l’appli.
Si tu stockes adressemail XOR (md5(rowid + masterpwd)) et que l’attaquant n’a pas accès au masterpwd il ne va pas pouvoir utiliser les adresses mail.

Si tu as codé un site permettant une injection SQL , rien ne dit qu’une autre faille donnant accès au fameux password ne s’y trouve pas " /> Autant y penser dès le départ.

C’est un mauvais exemple. Je parlais d’hérésie pour protéger les mots de passe, pas les emails. Le mot de passe étant LA donnée sensible par excellence (avec les données bancaires). Pour les adresses email, pourquoi pas.

Et puis, tu peut avoir blindé ton site, tu n’a pas toujours la main sur la configuration du serveur web qui peut mettre à mal le bousin " />

Anonyme

Le 22/07/2013 à 11h13

sepas a écrit :

Les plupart des utilisateurs utilise le même mot de passe partout. Oui, je sais, tout le monde conseille d’utiliser des mots de passes différents mais quand tu es inscrit sur 50 sites, il faut retenir 50 mots de passes.
Les moyens mnémoniques peuvent aider mais ça reste compliqué pour une grande partie de la population (qui ne met même pas de mot de passe sur leurs téléphones)

Des outils de gestion de mdp existent !

Jed08

Le 22/07/2013 à 11h24

indyiv a écrit :

merci pour ces precisions!

du coup j’ai bcp de mal a comprendre!
si un cryptage “sérieux” ne coute pas plus cher; pourquoi les sites pro (et qui ont dans leur équipe au moins une personne qui connait le sujet) ne l’utilisiement pas?

Parce que un CHIFFREMENT des mots de passe implique qu’il existe une clé de déchiffrement. Si il n’est pas possible de la récupérer (ce dont je doute fort) il est toujours possible de la bruteforcer, ou de la trouver.

Burn2 Abonné

Le 22/07/2013 à 11h25

nucl3arsnake a écrit :

Beaucoup trop en tout cas à mon utilisation.
Mais j’avais pas le .2 encore, peut-être corrigé mais genre VirtualBox c’était atroce xD.

Jamais eu de soucis avec virtualbox sous OpenSuse, ni de soucis avec les lib 32 de mon côté. " />

nucl3arsnake

Le 22/07/2013 à 11h27

Burn2 a écrit :

Jamais eu de soucis avec virtualbox sous OpenSuse, ni de soucis avec les lib 32 de mon côté. " />

Et avec Skype? Steam ? Pidgin ? SublimText ?

L3 G33K

Le 22/07/2013 à 11h33

Mihashi a écrit :

C’est le forum anglais/américain (http://ubuntuforums.org ) pas le français (http://forum.ubuntu-fr.org ).

" />

Burn2 Abonné

Le 22/07/2013 à 11h34

nucl3arsnake a écrit :

Et avec Skype? Steam ? Pidgin ? SublimText ?

Skype je n’utilisais pas, pidgin ça marchait, sublimtext je n’utilisais pas, steam je viens juste de m’y mettre, et forcément c’est pas sur mon serveur home donc pas sur le poste OpenSuse (mais sur ma xubuntu).

Donc visiblement pas représentatif.
Cela dit skype je sais que certains avaient aussi des soucis sous Ubuntu.

(en parlant de steam c’est assez grisant de pouvoir enfin jouer à des jeux sous linux en natif! " /> )

Jed08

Le 22/07/2013 à 11h35

v1nce a écrit :

mouais. Pas évident. Tu peux récupérer le contenu par SQL injection sans avoir forcément accès à l’appli.
Si tu stockes adressemail XOR (md5(rowid + masterpwd)) et que l’attaquant n’a pas accès au masterpwd il ne va pas pouvoir utiliser les adresses mail.

Si ton appli est vulnérable à une SQLi, je pense que la sécurité des adresses mails est le dernier de tes soucis :)

after_burner

Le 22/07/2013 à 11h40

Burn2 a écrit :

EN l’occurrence rien ici ne dit que l’os est en faute.
C’est plus vbuling qui est en faute au niveau faille. ;)

Et c’est quoi Vbuling, c’est pas open source?

Burn2 Abonné

Le 22/07/2013 à 11h50

after_burner a écrit :

Et c’est quoi Vbuling, c’est pas open source?

C’est vbulletin et non c’est propriétaire:

Licence Propriétaire

…

Mais bon des failles sur des forums openSource ça doit aussi bien exister…

after_burner

Le 22/07/2013 à 11h59

Burn2 a écrit :

C’est vbulletin et non c’est propriétaire:

…

Mais bon des failles sur des forums openSource ça doit aussi bien exister…

Ah j’ai manqué l’info, en effet c’est pas pour ça que les failles n’existent pas dans l’open source. " />

sepas

Le 22/07/2013 à 12h19

Para-doxe a écrit :

OOOhhhhhh, pauvre choux. Tout le monde il est méchant avec les défenseurs du gentil billoux. Tu veux une coquille d’oeuf pour mettre sur ta tête?

Non, je te la laisse, c’est de toi (entre autre) que je parlais. Quand tu viens troller sur les news Microsoft ou Apple, je pense que c’est bien toi qui fait ton Caliméro.
Mais là, curieusement, rien. Mauvaise foi, quand tu nous tiens…

befa508

Le 22/07/2013 à 12h38

Et moi qui n’arrête pas d’entendre qu’Ubuntu a une sécurité optimale comparé à d’autres…on m’aurait menti.

Le site d’Apple réservé aux développeurs a été piraté également et j’en suis sur qu’il est hébergé sur un serveur Linux. Après Linux ne fait pas tout, il faut voir le développement du site mais bon, on parle ici d’un site d’Apple réservé aux développeurs, j’imagine que le site n’a pas été déveloper avec les pieds

Burn2 Abonné

Le 22/07/2013 à 12h45

befa508 a écrit :

Et moi qui n’arrête pas d’entendre qu’Ubuntu a une sécurité optimale comparé à d’autres…on m’aurait menti.

Le site d’Apple réservé aux développeurs a été piraté également et j’en suis sur qu’il est hébergé sur un serveur Linux. Après Linux ne fait pas tout, il faut voir le développement du site mais bon, on parle ici d’un site d’Apple réservé aux développeurs, j’imagine que le site n’a pas été déveloper avec les pieds

" />
La moindre des choses quand on veut troller de manière efficace c’est de lire ce qui a été dit avant…

sepas

Le 22/07/2013 à 12h52

Burn2 a écrit :

Bah non la différence est énorme…
Que seules les données du produit en cause soient compromises, ça n’a vraiment strictement rien de comparable à obtenir un accès root/admin de toute la machine.

Maintenant encore une fois oui ,des failles de ce style doivent et/ou ont existé à moment donné sous linux aussi, via des produits tiers que sont “java/flash”.

La grosse différence c’est aussi et surtout que dans les communautés libristes, on gueule justement sur ça, contre tous ces modules proprios qui sont obligatoires pour surfer sur internet et dont il n’existe aucune alternative, donc aucun contrôle donc ouverture aux failles et dépendances de l’éditeur.

Les conséquences sont aussi graves car comme je le disais, la plupart des utilisateurs a le même mot de passe partout.

Quand je parle de raison identiques, je parle de la cause d’un produit tiers dans les 2 cas.
Donc, oui une faille sur un composant Active X d’IE peut (c’est de plus en plus rare) te donner un contrôle total de la machine mais la cause n’est pas IE.
Là, c’est une faille sur un composant qui te donne accès à une base de milliers d’utilisateurs et potentiellement leurs mots de passes.
Avec ça, plus besoin d’un accès complet au serveur, le hacker a tout ce qu’il veut

atem18

Le 22/07/2013 à 13h17

nucl3arsnake a écrit :

Viperr pour ne cité que lui.

En effet, même si je t’avouerais que je n’ai pas trop regardé.

atem18

Le 22/07/2013 à 13h24

nucl3arsnake a écrit :

Et avec Skype? Steam ? Pidgin ? SublimText ?

J’utilise Skype et Sublimetext et aucun soucis de mon côté.

neves

Le 22/07/2013 à 13h59

nucl3arsnake a écrit :

Viperr pour ne citer que lui.

Viperr c’est pas justement une fedora avec un thème et quelques programmes installés par défaut ? Je ne connais pas, jamais utilisé, mais c’est la description qu’on m’en a fait.

nucl3arsnake

Le 22/07/2013 à 14h01

NeVeS a écrit :

Viperr c’est pas justement une fedora avec un thème et quelques programmes installés par défaut ? Je ne connais pas, jamais utilisé, mais c’est la description qu’on m’en a fait.

Fedora, Openbox, script post-installation

Para-doxe

Le 22/07/2013 à 14h03

sepas a écrit :

Non, je te la laisse, c’est de toi (entre autre) que je parlais. Quand tu viens troller sur les news Microsoft ou Apple, je pense que c’est bien toi qui fait ton Caliméro.
Mais là, curieusement, rien. Mauvaise foi, quand tu nous tiens…

Ah, maintenant tu nous donne dans le “c’est celui qui dit qui est!”. C’est mignon.

bertou

Le 22/07/2013 à 14h14

Cara62 a écrit :

Ah tiens un hacker frustré qui utilise Windows ? " />

Excellent ++++

sepas

Le 22/07/2013 à 15h40

Para-doxe a écrit :

Ah, maintenant tu nous donne dans le “c’est celui qui dit qui est!”. C’est mignon.

Je ne suis pas un lapin de 6 semaines. Si tu penses m’énerver avec tes remarques débiles, tu te fourres le doigt dans l’œil.
Je peux comprendre que quand on s’aperçoit que son argumentaire favori sur la sécurité tombe, on n’a plus rien à dire.
Calme toi, rien de grave, tu continueras à troller de toutes façons, ça ne changera pas ta vie.

j-c_32

Le 22/07/2013 à 15h42

sepas a écrit :

Les conséquences sont aussi graves car comme je le disais, la plupart des utilisateurs a le même mot de passe partout.

Les conséquences ne permettent pas de déterminer les responsabilités.
Le bug ssl de debian aurait été tout aussi grave si ce n’était pas un packager qui avait provoqué la faille en modifier le code.
Donc, on a 2 situations où les conséquences sont identiques, mais où, dans un cas, on peut critiquer Debian, et dans l’autre, non.

Quand je parle de raison identiques, je parle de la cause d’un produit tiers dans les 2 cas.

De nouveau, ça ne permet pas de déterminer les responsabilités.
Si je choisis d’installer un logiciel tiers connu pour être une passoire sur une machine à risque, j’ai une plus grande responsabilité dans les problèmes qui surviennent que l’auteur du logiciel tiers. Si par contre le logiciel est réputé fiable mais que le développeur ajoute une grossière erreur lors de la nouvelle version, c’est plutôt le développeur du logiciel qui est à blâmer.

Donc, oui une faille sur un composant Active X d’IE peut (c’est de plus en plus rare) te donner un contrôle total de la machine mais la cause n’est pas IE.
Là, c’est une faille sur un composant qui te donne accès à une base de milliers d’utilisateurs et potentiellement leurs mots de passes.
Avec ça, plus besoin d’un accès complet au serveur, le hacker a tout ce qu’il veut

Dans le cas d’Active X, le reproche était que Active X n’était pas conçu de manière suffisamment isolée (ou plutôt: permettait de faire trop de chose par rapport au besoin), ce qui est de la responsabilité des créateurs d’Active X. Dans le cas de l’article, le système, lui, est totalement hors de cause: même avec un système hyper-sécurisé, l’accès à la BDD est nécessaire pour le logiciel tiers.

Wiistiti

Le 22/07/2013 à 16h05

Impossible de faire de maj d’ubuntu cet aprem, et j’ai eu beau expliquer que ce n’était pas à cause du système d’exploitation, ça n’a pas convaincu " />
Heureusement j’ai pu compter sur microsoft pour rattraper le coup, leur site s’est mis à bugguer, impossible d’avoir une licence " />

Para-doxe

Le 22/07/2013 à 16h08

sepas a écrit :

Je ne suis pas un lapin de 6 semaines. Si tu penses m’énerver avec tes remarques débiles, tu te fourres le doigt dans l’œil.

C’est rigolo de voir quelqu’un considérer de l’opposition comme un affront, on est sur qu’il répondra à tout les coup. " />

sepas a écrit :

Je peux comprendre que quand on s’aperçoit que son argumentaire favori sur la sécurité tombe, on n’a plus rien à dire.

Tu rêverais de réduire au silence les gens pensant différemment, tu considère l’opposition comme un affront. Et j’imagine que pour toi, les extrémistes ce sont les autres.

sepas a écrit :

Calme toi, rien de grave, tu continueras à troller de toutes façons, ça ne changera pas ta vie.

Mais oui, un logiciel proprio à une faille et ça prouve que le libre n’est pas sécurisé. " />

HOOO, magie, comme mon avis général est différent du tient c’est obligatoirement du troll. " /> " />

J’ai trouvé de quoi me divertir aujourd’hui. \o/

Jarodd Abonné

Le 22/07/2013 à 16h15

En attendant, si vous vous êtes enregistrés sur les forums d’Ubuntu et que vous utilisez ce même mot de passe sur d’autres services, nous ne saurions que vous conseiller d’en changer rapidement.

Ben oui mais le forum est par terre, qu’on te dit " />

Ou alors s’il y a un lien, merci de le mettre dans l’actu !

j-c_32

Le 22/07/2013 à 16h26

Jarodd a écrit :

Ben oui mais le forum est par terre, qu’on te dit " />

Ou alors s’il y a un lien, merci de le mettre dans l’actu !

Je pense que le message est: “si vous utilisez ce même mot de passe sur un autre service (boite mail, autre forum, …), allez sur ce service et changez votre mot de passe”.

kaito_kid Abonné

Le 22/07/2013 à 16h30

Bah, vu que mon mdp en était un généré aléatoirement par Keepass et que c’était une adresse mail poubelle, donc ça va perso, je risque pas grand chose " />

Syltia

Le 22/07/2013 à 17h16

certes mais c’est pas comme si 1.8 M de personne poster tout les jours sur leurs forum (pis c’est que “un forum” si j’ose dire :x).

herbeapipe

Le 22/07/2013 à 17h58

Je n’ai pas lu toutes les pages, mais est ce que les comptes Ubuntu One sont touchés ou ce sont juste les forums ?

sepas

Le 22/07/2013 à 20h19

Para-doxe a écrit :

C’est rigolo de voir quelqu’un considérer de l’opposition comme un affront, on est sur qu’il répondra à tout les coup. " />

Non, j’aime l’opposition constructive, elle fait avancer. Par contre, tes trolls sont à ton niveau, c’est du vide

Para-doxe a écrit :

Tu rêverais de réduire au silence les gens pensant différemment, tu considère l’opposition comme un affront. Et j’imagine que pour toi, les extrémistes ce sont les autres.

Voir point 1

Para-doxe a écrit :

Mais oui, un logiciel proprio à une faille et ça prouve que le libre n’est pas sécurisé. " />

Ah, tu pars dans un délire. Relis toi, tu n’arrives pas à faire une phrase avec un sens

Para-doxe a écrit :

HOOO, magie, comme mon avis général est différent du tient c’est obligatoirement du troll. " /> " />

J’ai trouvé de quoi me divertir aujourd’hui. \o/

Voir point 1

Pas la peine de continuer, ça n’avancera à rien mais je te fais confiance pour venir cracher ton venin à la moindre news sur MS ou Apple

Para-doxe

Le 22/07/2013 à 20h39

sepas a écrit :

Non, j’aime l’opposition constructive, elle fait avancer. Par contre, tes trolls sont à ton niveau, c’est du vide

Encore une affirmation gratuite que je trolle. On sent tout l’argumentaire constructif là.

sepas a écrit :

Voir point 1

Il n’y a pas grand chose à voir dans une affirmation gratuite.

sepas a écrit :

Ah, tu pars dans un délire. Relis toi, tu n’arrives pas à faire une phrase avec un sens

Cette phrase à du sens. Elle met en avant la faiblesse de ton discours. Que tu ne l’aime pas ne la dénue pas de tout sens.

sepas a écrit :

Voir point 1

Il n’y a toujours pas grand chose à voir dans une affirmation gratuite.

sepas a écrit :

Pas la peine de continuer, ça n’avancera à rien mais je te fais confiance pour venir cracher ton venin à la moindre news sur MS ou Apple

Et encore une affirmation gratuite. J’ai dut gagner à la loterie pour avoir le droit à tant d’amusement. " />

2show7

Le 23/07/2013 à 08h32

La cyber War commence à se voir " />