Le brief du 19 avril 2019

Publié dans Internet

21

Facebook avait finalement enregistré en clair des millions de mots de passe Instagram

Facebook avait finalement enregistré en clair des millions de mots de passe Instagram

En mars, le réseau social reconnaissait avoir stocké en clair des mots de passe de « centaines de millions d'utilisateurs ». Dans le lot, se trouvaient aussi des « dizaines de milliers d'utilisateurs Instagram ». Il y en avait finalement bien plus.

Dans une mise à jour discrète du billet de blog du 21 mars repérée par TechCrunch, le réseau social explique avoir trouvé d'autres mots de passe Instagram stockés en clair. De dizaines de milliers, on passe désormais à « des millions d'utilisateurs » touchés.

Facebook affirme de nouveau que ces mots de passe n'ont pas été utilisés à des fins malveillantes. Les utilisateurs concernés seront informés.

21

Tiens, en parlant de ça :

#Flock a sa propre vision de l’inclusion

Retour à l’envoyeur

13:39 Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

On est déjà à la V2 de Next ?

11:55 21
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Me voilà à poil sur Internet

17:18 Next 16

#Flock a sa propre vision de l’inclusion

Flock 15
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

21
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 16
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 13
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 10
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 4

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 14

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub
Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 11
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 34
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 51
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 10

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion
livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 12
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 38
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 7
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 151

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter
next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

21

Commentaires (21)


Haken Trigger Abonné
Il y a 5 ans

Bien évidemment que personne ne les a exploités. C’est bien connu, si on n’a aucune trace de vol, c’est qu’il n’y en a pas eu !

(hé oh on est vendredi hein j’ai le droit)


crocodudule
Il y a 5 ans

On sait depuis toujours qu’ils font absolument n’importe quoi avec nos données pour leur seul bénéfice.

En revanche, je pensais, candide que je suis, que s’agissant d’une mine d’or pour eux, ces données étaient ultras sécurisées par des moyens colossaux sur le plan humain que matériel (et logiciel).

En fait même pas… <img data-src=" />


Toorist
Il y a 5 ans

Je comprends toujours pas qu’en 2019 on en soit encore aux mots de passe en clair…
Qu’il y ai encore des gens qui fassent juste un petit md5 sans rien de plus, c’est de l’amateurisme et c’est grave. Mais en clair, c’est juste hallucinant… Surtout dans une boite aussi tournée “tech” que Facebook …


WereWindle
Il y a 5 ans


Facebook affirme de nouveau que ces mots de passe n’ont pas été utilisés à des fins malveillantes.

c’est pas la question… ils avaient aucun motif légitime de les avoir en clair pour commencer <img data-src=" />


Noathym
Il y a 5 ans

Je crois avoir entendu que c’était pas le stockage des mots de passe principal, mais une fonction de debug qui loggait les connexions. Un jour où le champ mdp a changé de nom, ça n’a pas été mis à jour dans le debug et les mdp n’ont plus été exclus des logs. Ou un truc du genre.

Utilisez un gestionnaire, et un mdp unique par site.


espritordu
Il y a 5 ans






Toorist a écrit :

Je comprends toujours pas qu’en 2019 on en soit encore aux mots de passe en clair…
Qu’il y ai encore des gens qui fassent juste un petit md5 sans rien de plus, c’est de l’amateurisme et c’est grave. Mais en clair, c’est juste hallucinant… Surtout dans une boite aussi tournée “tech” que Facebook …





Noathym a écrit :

Je crois avoir entendu que c’était pas le stockage des mots de passe principal, mais une fonction de debug qui loggait les connexions. Un jour où le champ mdp a changé de nom, ça n’a pas été mis à jour dans le debug et les mdp n’ont plus été exclus des logs. Ou un truc du genre.

Utilisez un gestionnaire, et un mdp unique par site.



La tuile bien piégeuse que tu as loupé avant de faire ton commit…Que le premier dev qui n’a jamais fait une connerie comme ça jette à Facebook la première pierre.

Je n’irais pas non plus jeter de caillasse à la gueule de la com vu comment ils sont attendus au tournant à chaque erreur. Je comprends pourquoi ils sont systématiquement dans l’euphémisation et le damage control quelque soit la gravité des failles.

Donc oui, utilisez un gestionnaire de mot de passe, ne comptez pas que sur autrui pour assurer votre sécurité car autrui est tout aussi faillible que vous…et un peu de tolérance que diable !



Spidard
Il y a 5 ans


Facebook affirme de nouveau que ces mots de passe n’ont pas été utilisés à des fins malveillantes
Quelle crédibilité donner à ces propos quand

Dans le lot, se trouvaient aussi des « dizaines de milliers d’utilisateurs Instagram ».{…}De dizaines de milliers, on passe désormais à « des millions d’utilisateurs » touchés.

<img data-src=" />
Ils n’ont pas la moindre idée de la façon dont leurs salariés ont peu utiliser ces données. Crédibilité de l’affirmation zéro.


WereWindle
Il y a 5 ans






Spidard a écrit :

Quelle crédibilité donner à ces propos quand (…)

<img data-src=" />


ça dépend de leur définition de malveillante. Après tout, ils ne pompent les données perso que pour “améliorer l’expérience des utilisateurs” <img data-src=" />



cyp Abonné
Il y a 5 ans

https://dayssincelastfacebookscandal.com/ est pas trop mal pour ce rendre compte de l’ampleur et&nbsp; de la fréquence des problèmes :-/


bad10
Il y a 5 ans

Je fais du dev, en presta dans une grosse boite, sur une de leur appli utilisée par leurs commerciaux.

Les mdp ont toujours été en clair malgré notre consternation et protestations. Les commerciaux se plaignaient que c’était trop compliqué de cliquer sur un lien pour générer un nouveau mdp en cas d’oubli et que c’était plus facile de nous appeler pour le récupérer <img data-src=" />


Kevsler
Il y a 5 ans






bad10 a écrit :

Les mdp ont toujours été en clair malgré notre consternation et protestations. Les commerciaux se plaignaient que c’était trop compliqué de cliquer sur un lien pour générer un nouveau mdp en cas d’oubli et que c’était plus facile de nous appeler pour le récupérer <img data-src=" />



Le classique. On a les même chez moi… Quand ils nous appellent on leur dire de cliquer sur le lien. On a moins d’appels… bizarrement.



Toorist
Il y a 5 ans






espritordu a écrit :

La tuile bien piégeuse que tu as loupé avant de faire ton commit…Que le premier dev qui n’a jamais fait une connerie comme ça jette à Facebook la première pierre.


Il y a une différence entre faire/créer/laisser une faille dans son code et mettre des mots de passes en clair quand même !
Jamais au grand jamais ca n’est arrivé dans un de mes projets, même en dev.. C’est juste totalement impensable



espritordu a écrit :

Donc oui, utilisez un gestionnaire de mot de passe, ne comptez pas que sur autrui pour assurer votre sécurité car autrui est tout aussi faillible que vous…et un peu de tolérance que diable !


Ne pas laisser autrui être le seul responsable de sa sécurité et donc recommander d’utiliser un gestionnaire de mot de passe, c’est assez contradictoire non ? ^^



Raikiwi Abonné
Il y a 5 ans

Franchement les gars, les mots de passe en clair à moins d’être encore en apprentissage, c’est l’hérésie pour tout développeur qui se respecte…

&nbsp;C’est la première règle de sécurité qu’on apprend dès qu’on touche au stockage.
La plupart des gens utilisent le même mot de passe pour toutes leurs appli.&nbsp;

Pour avoir été dans le cas cité plus haut avec un site collaborateur que ma boite à payer (au prix fort) et dont les dev ont laissé tout les passe en clair, je peux vous assurer que seulement à la lecture des mdp on en apprend pas mal sur les gens…

Pour moi c’est inadmissible à notre époque&nbsp;&nbsp;<img data-src=" />&nbsp;


127.0.0.1
Il y a 5 ans






espritordu a écrit :

La tuile bien piégeuse que tu as loupé avant de faire ton commit…Que le premier dev qui n’a jamais fait une connerie comme ça jette à Facebook la première pierre.






  • Cybersecurity Threat and Risk Assessment

  • Regulatory requirements

  • Risk control

  • V&V

    4 étapes (parmi d’autres) qui auraient dû empêcher la “connerie” du développeur de se retrouver en production.

    Du moins c’est comme cela dans les industries “réglementées” qui produisent du logiciel. . P-e qu’il est temps de réglementer le logiciel des géants du web, tout comme on réglemente le logiciel dans le médical ou le militaire.



CryoGen Abonné
Il y a 5 ans

Si c’est dans un log de connexion (avec tous les champs f’un formulaire, entête etc.) pour le debug, tu as surement la possibilité d’avoir le champ password en clair du coup. A moins de faire le hash coté client.
Ils n’ont pas forcément stocké dans une base de donnée un champ “email_en_clair_miam_miam” hein…

Ca reste une erreur, je suis bien d’accord, mais ce genre d’erreur peut aller vite, et n’a rien à voir avec l’authentification ou le “vrai” stockage du mot de passe.


Toorist
Il y a 5 ans

On est d’accord, mais la news parle d’avoir “stocké” le mot de passe en clair, c’est pas juste une “utilisation” de la saisie là :p


espritordu
Il y a 5 ans






Toorist a écrit :

Il y a une différence entre faire/créer/laisser une faille dans son code et mettre des mots de passes en clair quand même !
Jamais au grand jamais ca n’est arrivé dans un de mes projets, même en dev.. C’est juste totalement impensable



Évidemment que c’est impensable si c’est intentionnel ou si les mots de passe sont stockés en clair !
Mais là d’après ce que rapporte Noathym c’est une fonction de debug qui n’a pas été corrigée.



Toorist a écrit :

Ne pas laisser autrui être le seul responsable de sa sécurité et donc recommander d’utiliser un gestionnaire de mot de passe, c’est assez contradictoire non ? ^^



Là je ne pige pas. Si tu utilises un gestionnaire tu peux attribuer un mot de passe unique à chaque tiers et ainsi ne pas compter sur ce tiers pour qu’il ne révèle pas le mot de passe que tu utilises sur plusieurs comptes. En quoi est-ce contradictoire à moins d’avoir un gestionnaire de mot de passe propriétaire et stocké en ligne type Dashlane ?



ProFesseur Onizuka
Il y a 5 ans






Toorist a écrit :

Surtout dans une boite aussi tournée “tech” que Facebook …



A moins que ce ne soit une boite plutôt tournée “pub”, le mdp en clair pouvant aider à trouver une faiblesse pour manipuler leurs utilisateurs <img data-src=" />



Toorist
Il y a 5 ans






espritordu a écrit :

Là je ne pige pas. Si tu utilises un gestionnaire tu peux attribuer un mot de passe unique à chaque tiers et ainsi ne pas compter sur ce tiers pour qu’il ne révèle pas le mot de passe que tu utilises sur plusieurs comptes. En quoi est-ce contradictoire à moins d’avoir un gestionnaire de mot de passe propriétaire et stocké en ligne type Dashlane ?


A partir du moment ou tu recommandes d’utiliser un intermédiaire (quel qu’il soit) pour t’aider à gérer tes mots de passes (que dans la plupart des cas tu ne connais du coup même plus), tu ne peux pas dire qu’il ne faut faire confiance qu’a soit même pour ses mots de passes.

Si tu considères qu’aucun tier n’est digne de confiance et qu’il ne faut se fier qu’a soit même pour ses mots de passe, bah il faut juste apprendre ses mots de passe par coeur.



SebGF Abonné
Il y a 5 ans

Ou utiliser un gestionnaire hors ligne.

Perso mon keepass sur mon Nextcloud privé remplie parfaitement son office.


espritordu
Il y a 5 ans

Je n’ai pas écrit qu’aucun tiers n’est digne de confiance et qu’il ne faut se fier qu’à soi-même.
J’ai écrit que tout le monde est faillible, y compris soi-même.
Qu’il ne faut donc pas se reposer seulement sur autrui…mais par extension pas plus qu’à seulement soi-même !

Demain je peux tout à fait accomplir l’exploit de formater le dd de mon pc sur lequel se trouve mon fichier Keepass, paumer la clé USB sur laquelle se trouve sa duplication automatique et cramer les dd en raid de mon nas sur lequel se trouve une copie manuelle mensuelle !
Je serais alors bien content que les applis que j’utilise me permettent de changer mon mot de passe.

Ce n’est pas tellement une question de savoir s’il faut faire ou pas confiance à tel ou tel. À priori la plupart d’entre-nous à part une petite minorité de sociopathes font du mieux qu’ils peuvent pour être fiables et dignes de confiance, donc soyons à priori confiants… mais vigilants ! Car cette confiance à priori doit tenir compte du fait que le développement est parfois une chose si complexe pour nos petites capacités intellectuelles qu’il en devient une source de chaos.