cerhu > comp.* > comp.securite

Olivier Miakinen (08/10/2018, 13h05)
Bonjour,

Je viens de recevoir un chantage par courriel (menace
d'envoyer une vidéo compromettante si je n'envoie pas
800 $ en bitcoins).

Je sais qu'une telle vidéo n'existe pas, aussi je ne crains
rien de ce côté là, mais le problème est que pour me faire
peur le maître chanteur m'a écrit à l'adresse avec laquelle
je me suis abonné à /Pour la Science/, et ce en me donnant
le mot de passe que j'avais choisi pour ce compte.

J'utilise une adresse unique et un mot de passe unique pour
chaque site marchand, ce qui fait que je n'ai aucun doute
sur le fait que c'est *ce* compte en particulier qui a été
piraté.
Nicolas George (08/10/2018, 13h16)
Olivier Miakinen , dans le message <ppfdlu$1f5h$1>,
a écrit :
> J'utilise une adresse unique et un mot de passe unique pour
> chaque site marchand, ce qui fait que je n'ai aucun doute
> sur le fait que c'est *ce* compte en particulier qui a été
> piraté.


Tu as une idée de comment ça a pu arriver ? Parce que sinon, c'est
probablement le site lui-même qui a fuité, donc il faudrait le leur
signaler.
Olivier Miakinen (08/10/2018, 13h20)
Le 08/10/2018 13:16, Nicolas George a écrit :
>> J'utilise une adresse unique et un mot de passe unique pour
>> chaque site marchand, ce qui fait que je n'ai aucun doute
>> sur le fait que c'est *ce* compte en particulier qui a été
>> piraté.

> Tu as une idée de comment ça a pu arriver ? Parce que sinon, c'est
> probablement le site lui-même qui a fuité, donc il faudrait le leur
> signaler.


Je pense en effet que c'est le site qui a fuité, d'autant que
je me suis abonné pour plusieurs années de suite il y a longtemps
et que je ne me suis jamais reconnecté depuis.

Je leur ai déjà écrit pour le leur signaler.
JKB (08/10/2018, 17h31)
Le Mon, 8 Oct 2018 13:20:47 +0200,
Olivier Miakinen <om+news> écrivait :
> Le 08/10/2018 13:16, Nicolas George a écrit :
> Je pense en effet que c'est le site qui a fuité, d'autant que
> je me suis abonné pour plusieurs années de suite il y a longtemps
> et que je ne me suis jamais reconnecté depuis.
> Je leur ai déjà écrit pour le leur signaler.


800$ ? Pas cher, on m'en a demandé bien plus (5000$). Je ne suis pas
abonné à "pour la science", je n'ai jamais su qui avait été percé.

Ce qui m'étonne, là dedans, c'est que mon mot de passe ait été en
clair et non chiffré. Il y a encore des sites, aujourd'hui, qui
stockent des mots de passe en clair pour les rappeler à madame
Michu...

JKB
Nicolas George (08/10/2018, 17h44)
JKB , dans le message <slrnprmu39.9g6.jkb>, a
écrit :
> Ce qui m'étonne, là dedans, c'est que mon mot de passe ait été en
> clair et non chiffré. Il y a encore des sites, aujourd'hui, qui
> stockent des mots de passe en clair pour les rappeler à madame
> Michu...


À moins d'utiliser de la crypto asymétrique, ce qui est nettement plus
compliqué en pratique, le mot de passe doit forcément soit être envoyé
en clair au site (protégé par TLS, mais en clair dans le canal chiffré),
soit être stocké en clair en clair dans les données du site.

Donc soit le site stocke ses mots de passe hachés, et dans ce cas, un
pirate actif peut les récupérer en clair en écoutant les connexions,
soit le site utilise un système de haché côté client, mais dans ce cas
il doit stocker les mots de passe en clair.

Le plus probable ici est l'incompétence, mais la nécessité de stocker
les mots de passe en clair n'est pas inexistante.
Yliur (08/10/2018, 19h36)
Le 08 Oct 2018 15:44:44 GMT
Nicolas George <nicolas$george> a écrit :

> soit le site utilise un système de haché côté client, mais dans ce cas
> il doit stocker les mots de passe en clair.


Quel est l'intérêt de cette pratique ?
Yliur (08/10/2018, 19h43)
Le Mon, 8 Oct 2018 13:05:34 +0200
Olivier Miakinen <om+news> a écrit :

[..]
> chaque site marchand, ce qui fait que je n'ai aucun doute
> sur le fait que c'est *ce* compte en particulier qui a été
> piraté.


J'ai eu le même message, mais je ne suis pas abonné à Pour la science.
Le mot de passe ressemble à ce que j'aurais pu utiliser, mais je ne me
souviens pas pour quel site. Sans doute un auquel je n'ai pas accédé
depuis longtemps, donc pas possible de leur faire remonter l'info...

J'ai reçu récemment d'autres messages du même type ("vidéo
compromettante" et demande de rançon bitcoin) mais sans le mot de
passe : il se peut que ce soit simplement une méthode en vogue en ce
moment ? Ou bien un perfectionnement de la même par les mêmes
personnes peut-être. Certains étaient traduits automatiquement en
français.

Au passage j'ai voulu essayer le service fourni par Mozilla
depuis peu (déterminer si une adresse électronique est concernée par
une fuite connue) mais ça n'a pas fonctionné : le service de
recherche derrière ne doit pas avoir la fuite concernée dans sa liste...
Olivier Miakinen (08/10/2018, 21h10)
Le 08/10/2018 17:44, Nicolas George a écrit :
> À moins d'utiliser de la crypto asymétrique, ce qui est nettement plus
> compliqué en pratique, le mot de passe doit forcément soit être envoyé
> en clair au site (protégé par TLS, mais en clair dans le canal chiffré),
> soit être stocké en clair dans les données du site.


Il est forcément envoyé en clair à la création du compte -- du moins
dans le sens d'« en clair » que tu précises, c'est-à-dire protégé par
TLS. Cette protection me semble suffisante en pratique, du moins elle
me semble plus sûre que de conserver le mot de passe en clair dans les
données du site. Sur le site, il me semble qu'il serait préférable de
stocker un hash.

> Donc soit le site stocke ses mots de passe hachés, et dans ce cas, un
> pirate actif peut les récupérer en clair en écoutant les connexions,
> soit le site utilise un système de haché côté client, mais dans ce cas
> il doit stocker les mots de passe en clair.


Si un pirate actif écoute les connexions, il doit quand même arriver
à déchiffrer le flux https pour avoir les mots de passe... auquel cas
il peut aussi bien récupérer les numéros de carte bancaire, non ?

> Le plus probable ici est l'incompétence, mais la nécessité de stocker
> les mots de passe en clair n'est pas inexistante.


Il est possible que tu aies raison, mais je n'ai pas encore compris
pourquoi.
Olivier Miakinen (08/10/2018, 21h32)
Le 08/10/2018 19:44, Yliur a écrit :
> J'ai eu le même message, mais je ne suis pas abonné à Pour la science.
> Le mot de passe ressemble à ce que j'aurais pu utiliser, mais je ne me
> souviens pas pour quel site. Sans doute un auquel je n'ai pas accédé
> depuis longtemps, donc pas possible de leur faire remonter l'info...


D'où l'intérêt de prendre une adresse différente à chaque fois... et
de noter quelque part l'adresse et le mot de passe utilisés !

> J'ai reçu récemment d'autres messages du même type ("vidéo
> compromettante" et demande de rançon bitcoin) mais sans le mot de
> passe : il se peut que ce soit simplement une méthode en vogue en ce
> moment ? Ou bien un perfectionnement de la même par les mêmes
> personnes peut-être. Certains étaient traduits automatiquement en
> français.


Je venais tout juste de recevoir un message un peu similaire, dont
j'ai d'ailleurs parlé sur fr.usenet.abus.d et fr.rec.humour. Mais
cet autre message était plus générique et son auteur n'avait pas eu
besoin de pirater un site pour cela.

Ici, il y a forcément eu piratage. Par ailleurs, j'ai reçu cet
après midi un message strictement identique à celui d'hier, au titre
près, et provenant d'une autre adresse IP.

À tout hasard j'ai signalé les deux adresses ici :
[..]
[..]

Je ne sais pas si ça veut dire quelque chose, mais ces deux adresses
ont été signalées pour la première fois le même jour (le 2/12/2017).

> Au passage j'ai voulu essayer le service fourni par Mozilla
> depuis peu (déterminer si une adresse électronique est concernée par
> une fuite connue) mais ça n'a pas fonctionné : le service de
> recherche derrière ne doit pas avoir la fuite concernée dans sa liste...


Je n'en ai pas entendu parler. Tu as un lien explicatif ?
Yliur (08/10/2018, 22h22)
Le Mon, 8 Oct 2018 21:32:14 +0200
Olivier Miakinen <om+news> a écrit :

> > Au passage j'ai voulu essayer le service fourni par Mozilla
> > depuis peu (déterminer si une adresse électronique est concernée par
> > une fuite connue) mais ça n'a pas fonctionné : le service de
> > recherche derrière ne doit pas avoir la fuite concernée dans sa
> > liste...

> Je n'en ai pas entendu parler. Tu as un lien explicatif ?


Tu trouveras ça ici :
<https://blog.mozilla.org/press-fr/2018/09/25/lancement-de-firefox-monitor-se-proteger-apres-une-fuite-de-donnees/>
Olivier Miakinen (08/10/2018, 23h02)
Le 08/10/2018 22:22, Yliur a écrit :
> Tu trouveras ça ici :
> <https://blog.mozilla.org/press-fr/2018/09/25/lancement-de-firefox-monitor-se-proteger-apres-une-fuite-de-donnees/>


Je ne comprends pas bien comment ça pourrait être utile. J'ai ouvert un
compte sur un site à priori de confiance, en leur donnant une adresse
qu'ils sont les seuls à avoir, et un mot de passe qu'ils sont aussi les
seuls à avoir. Mettons qu'un pirate découvre mon compte et mon mot de
passe. Il ne va pas le crier sur les toits ! Ou alors juste à mon
adresse pour me faire chanter. Comment, dans ces conditions, Mozilla
pourrait être au courant ?
Yliur (09/10/2018, 05h42)
Le Mon, 8 Oct 2018 23:02:46 +0200
Olivier Miakinen <om+news> a écrit :

> Le 08/10/2018 22:22, Yliur a écrit :
> Je ne comprends pas bien comment ça pourrait être utile. J'ai ouvert
> un compte sur un site à priori de confiance, en leur donnant une
> adresse qu'ils sont les seuls à avoir, et un mot de passe qu'ils sont
> aussi les seuls à avoir. Mettons qu'un pirate découvre mon compte et
> mon mot de passe. Il ne va pas le crier sur les toits ! Ou alors
> juste à mon adresse pour me faire chanter. Comment, dans ces
> conditions, Mozilla pourrait être au courant ?


Il semblerait que parfois les listes soient publiées, peut-être
revendues (?). La personne qui tente de te faire chanter n'est pas
forcément le pirate à l'origine de l'accès au site, ça peut être un
spammeur quelconque qui a acheté la liste si je comprends bien.

Le service qui se trouve derrière celui de Mozilla fournit quelques
infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les
sections FAQ et Paste notamment.

Maintenant ça permet aussi de prendre l'adresse de quelqu'un et
de regarder si elle a fuité d'un site ou d'un autre, ce qui peut être
un peu personnel... Tu fais peut-être bien d'utiliser des adresses
variées, je vais réfléchir à la question :) .

Sur cette page, Mozilla indique qu'ils ne publient pas tout sur le
site par exemple, justement pour des raisons de confidentialité :
<https://blog.mozilla.org/firefox/firefox-monitor-take-control-of-your-data/>.
JKB (09/10/2018, 10h59)
Le Mon, 8 Oct 2018 19:37:17 +0200,
Yliur <yliur> écrivait :
> Le 08 Oct 2018 15:44:44 GMT
> Nicolas George <nicolas$george> a écrit :
>> soit le site utilise un système de haché côté client, mais dans ce cas
>> il doit stocker les mots de passe en clair.

> Quel est l'intérêt de cette pratique ?


Pouvoir renvoyer le mot de passe à Madame Michu ?

JKB
Jean-Pierre Kuypers (09/10/2018, 11h08)
In article (Dans l'article) <20181008193717.6fc78a43>, Yliur
<yliur> wrote (écrivait) :

> Le 08 Oct 2018 15:44:44 GMT
> Nicolas George <nicolas$george> a écrit :
> > soit le site utilise un système de haché côté client, mais dans ce cas
> > il doit stocker les mots de passe en clair.

> Quel est l'intérêt de cette pratique ?


La paresse du programmeur ?...

Ce n'est quand même pas la mer à boire de chiffrer les mots de passe
stockés et, ensuite, lorsque l'utilisateur fournit son mot de passe, de
chiffrer celui-là aussi pour comparer le résultat du chiffrement.
Olivier Miakinen (09/10/2018, 23h43)
[réponse sur fr.comp.securite, copie cachée à Julien Arlandis]

Le 09/10/2018 05:44, Yliur a écrit :
> Il semblerait que parfois les listes soient publiées, peut-être
> revendues (?). La personne qui tente de te faire chanter n'est pas
> forcément le pirate à l'origine de l'accès au site, ça peut être un
> spammeur quelconque qui a acheté la liste si je comprends bien.
> Le service qui se trouve derrière celui de Mozilla fournit quelques
> infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les
> sections FAQ et Paste notamment.


L'adresse dont je parlais n'est pas référencée sur ce site. En revanche
mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont
jamais eu de réponse du responsable du site... du coup, je mets Julien
en copie de ma réponse.

<cit. [..] (avec mon adresse sans « +news ») >
NemoWeb logo

NemoWeb: In September 2016, almost 21GB of data from the French website
used for "standardised and decentralized means of exchange for
publishing newsgroup articles" NemoWeb was leaked from what appears to
have been an unprotected Mongo DB. The data consisted of a large volume
of emails sent to the service and included almost 3.5M unique addresses,
albeit many of them auto-generated. Multiple attempts were made to
contact the operators of NemoWeb but no response was received.

Compromised data: Email addresses, Names
</cit.>

Discussions similaires
Quand la Science tente une incursion dans la Science-Fiction...

Chantage par Lille 3 pour me faire retirer un dossier

envoyer un message pour un compte exchange et compte email

un compte outlook pour plusieurs compte windows


Fuseau horaire GMT +2. Il est actuellement 22h01. | Privacy Policy