IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Le site de TF1 victime d'un piratage


Sujet :

Sécurité

  1. #21
    Membre régulier
    Profil pro
    Inscrit en
    Décembre 2010
    Messages
    33
    Détails du profil
    Informations personnelles :
    Âge : 32
    Localisation : France

    Informations forums :
    Inscription : Décembre 2010
    Messages : 33
    Points : 73
    Points
    73
    Par défaut
    Citation Envoyé par marsupial Voir le message
    Les hackers publient afin de mettre du poids dans leur demande : sécuriser le service. Peut-être ont-ils déjà fait parvenir cette requête à TF1 qui n'a pas voulu en tenir compte ? Souvent il est insuffisant de dire vous avez une faille. Il est parfois nécessaire de prouver par une démonstration de force.

    Pour l'utilisation frauduleuse, je reste convaincu qu'il y en aura, mais, de n'importe quelle manière, les grands comptes devraient prendre conscience grâce à ce hack de la nécessité de sécuriser. Rapidement.
    Je comprends bien que les entités concernées fassent de temps à autre la sourde oreille si la menace ne leur paraît pas bien grande, mais les hackers ont fourni des screens mentionnant une partie desdites données, n'est-ce pas suffisant ? Si tu veux ce qui me gêne dans le processus c'est pas tant l'acte de force, c'est surtout impliquer d'honnêtes gens qui n'ont rien demandé malgré eux.

  2. #22
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    Citation Envoyé par Vyrob Voir le message
    Je comprends bien que les entités concernées fassent de temps à autre la sourde oreille si la menace ne leur paraît pas bien grande, mais les hackers ont fourni des screens mentionnant une partie desdites données, n'est-ce pas suffisant ? Si tu veux ce qui me gêne dans le processus c'est pas tant l'acte de force, c'est surtout impliquer d'honnêtes gens qui n'ont rien demandé malgré eux.
    Pour ce genre de hacker, la motivation première est vénale.
    Tout ce qu'il y a autour, c'est pour se donner bonne conscience et aussi par fierté en exaltant leurs "exploits" et en dénigrant leurs victimes.

    C'est un peu la version numérique du caïd de cité qui non content d'avoir cassé la gueule à un quidam pour lui voler son portefeuille prend le temps de le piétiner et de l'insulter pour se gargariser de sa supériorité physique par l'humiliation de sa victime.

  3. #23
    Modérateur
    Avatar de BakSh0
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2014
    Messages
    276
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2014
    Messages : 276
    Points : 1 271
    Points
    1 271
    Par défaut
    Citation Envoyé par kolodz Voir le message
    Oui, mais ça permet de renvoyer le mot de passe de madame Michu quand elle l'oublie celui-ci...


    EDIT : You feed the troll !!!
    Alors oui comme dit précédemment un petit lien de réinitialisation de mot de passe est préférable, cependant on peux toujours mixer les deux en créant un cryptage 'maison' ce qui donnerai en base un mot de passe illisible mais coté dév ont aurait ce qu'il faut pour décrypter le mot de passe et l'envoyer à madame michu si jamais le cahier des charges précise qu'il serait trop compliqué pour madame michu de faire une réinitialisation de mot de passe et qui abandonnerai l'idée de continuer à utiliser son compte faute de 'facilité' (oui, oui c'est possible il faut se confronter au niveau technique de sa cible, aller au plus simple, et rappeler a madame michu que son mot de passe est : 'poisson' ou 'michu' est plus simple que de lui faire taper un captcha, ou lui faire cliquer sur un lien pour réinitialiser le truc etc..).

    Quoi qu'il en soit le mot de passe n'a pas à circuler en clair, hachage ou cryptage il faut faire quelque chose en cas d'intrusion dans la BDD.

    Et j'en profite pour ajouter que TF1 n'est pas le seul 'gros' site à détenir des mots de passe en clair
    BakSh0, Modérateur .Net & Web

    Affichez la colorisation syntaxique dans votre code en ajoutant dans votre balise : [CODE=xxx] en remplaçant xxx par le nom du langage.


    N'oubliez pas de consulter les FAQs : .Net / Web et les cours et tutoriels .Net / Web

  4. #24
    Membre régulier
    Profil pro
    Inscrit en
    Décembre 2010
    Messages
    33
    Détails du profil
    Informations personnelles :
    Âge : 32
    Localisation : France

    Informations forums :
    Inscription : Décembre 2010
    Messages : 33
    Points : 73
    Points
    73
    Par défaut
    Citation Envoyé par Saverok Voir le message
    Pour ce genre de hacker, la motivation première est vénale.
    Tout ce qu'il y a autour, c'est pour se donner bonne conscience et aussi par fierté en exaltant leurs "exploits" et en dénigrant leurs victimes.

    C'est un peu la version numérique du caïd de cité qui non content d'avoir cassé la gueule à un quidam pour lui voler son portefeuille prend le temps de le piétiner et de l'insulter pour se gargariser de sa supériorité physique par l'humiliation de sa victime.
    Haha totalement d'accord avec toi ! xD

  5. #25
    Membre actif
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Octobre 2014
    Messages
    42
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Octobre 2014
    Messages : 42
    Points : 241
    Points
    241
    Par défaut
    Citation Envoyé par BakSh0 Voir le message
    Alors oui comme dit précédemment un petit lien de réinitialisation de mot de passe est préférable, cependant on peux toujours mixer les deux en créant un cryptage 'maison' ce qui donnerai en base un mot de passe illisible mais coté dév ont aurait ce qu'il faut pour décrypter le mot de passe et l'envoyer à madame michu si jamais le cahier des charges précise qu'il serait trop compliqué pour madame michu de faire une réinitialisation de mot de passe et qui abandonnerai l'idée de continuer à utiliser son compte faute de 'facilité' (oui, oui c'est possible il faut se confronter au niveau technique de sa cible, aller au plus simple, et rappeler a madame michu que son mot de passe est : 'poisson' ou 'michu' est plus simple que de lui faire taper un captcha, ou lui faire cliquer sur un lien pour réinitialiser le truc etc..).

    Quoi qu'il en soit le mot de passe n'a pas à circuler en clair, hachage ou cryptage il faut faire quelque chose en cas d'intrusion dans la BDD.
    C'est une TRES mauvaise idée, d'une part parce qu’un algorithme de cryptage "maison" a une probabilité immense d'être complètement foireux et d'autre part avec un cryptage symétrique (sérieux: type AES, blowfish, ...) il faut une clé pour crypter/décrypter les données, qui elle doit être renseignée ou stockée quelque part, si quelqu'un met la main dessus, il a toutes les données en clair. En outre, il faut rappeler que les protocoles d'email usuels ne sont pas sécurisés (du tout) et donc y envoyer des infomations sensibles n'est pas gage de sérieux.
    Le fonctionnement conseillé est d'utiliser un algo de hash éprouvé et resistant aux attaques (PBKDF2, bcrypt, scrypt, ...), avec un sel conséquent, aléatoire et unique pour chaque mot de passe. Donc vous ne possédez pas le mot de passe de Mme Michu et ni vous ni la personne qui vous aurait piraté ne serait en mesure de le retrouver. Si on vous demande un fonctionnement différent parceque Mme Michu veut récupérer son mot de passe, soit c'est que vous travaillez avec des irresponsables, soit il faut y mettre les moyens (envoie du mot de passe par colis sécurisé au domicile du client, justificatifs d'identité, ...).

  6. #26
    Modérateur
    Avatar de BakSh0
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2014
    Messages
    276
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2014
    Messages : 276
    Points : 1 271
    Points
    1 271
    Par défaut
    Citation Envoyé par MintWater Voir le message
    C'est une TRES mauvaise idée, d'une part parce qu’un algorithme de cryptage "maison" a une probabilité immense d'être complètement foireux et d'autre part avec un cryptage symétrique (sérieux: type AES, blowfish, ...) il faut une clé pour crypter/décrypter les données, qui elle doit être renseignée ou stockée quelque part, si quelqu'un met la main dessus, il a toutes les données en clair. En outre, il faut rappeler que les protocoles d'email usuels ne sont pas sécurisés (du tout) et donc y envoyer des infomations sensibles n'est pas gage de sérieux.
    Le fonctionnement conseillé est d'utiliser un algo de hash éprouvé et resistant aux attaques (PBKDF2, bcrypt, scrypt, ...), avec un sel conséquent, aléatoire et unique pour chaque mot de passe. Donc vous ne possédez pas le mot de passe de Mme Michu et ni vous ni la personne qui vous aurait piraté ne serait en mesure de le retrouver. Si on vous demande un fonctionnement différent parceque Mme Michu veut récupérer son mot de passe, soit c'est que vous travaillez avec des irresponsables, soit il faut y mettre les moyens (envoie du mot de passe par colis sécurisé au domicile du client, justificatifs d'identité, ...).
    Oui et non, réfléchissons deux secondes, c'est une demande client et malgré vos bon conseils les conseilleurs ne sont pas les payeurs, et le client est roi, j'ai déjà eu à faire en tant que consultant à des clients très têtu, s'il veux absolument que madame michu récupère son mdp original vous n'allez pas taper le client jusqu’à ce qu'il change d'avis. N'allez pas me dire que vous n'acceptez pas le projet dans ce cas là, car hors conscience professionnel il faut vivre et un gros projet malgré les demandes clients ça ne se refuse pas. Il faut donc dans ce cas (et dans ce cas uniquement si vous pouvez faire changer le client d'avis oui vous proposerez votre solution qui me semble bonne), trouver une solution qui restreindrai la possibilité de fuite d'informations.

    Premier cas : vous accéder à la BDD de la société par le biais d'une injection sql par exemple, vous pouvez à ce moment lire des données auquel vous n'êtes pas censé avoir accès (liste des membres, email, mot de passe), c'est un peu le cas de TF1, mais vous n'avez pas le code de décryptage adapté, qu'allez vous en faire ? Rien, vous n'êtes pas la NSA, et il peux avoir une infinité de possibilité pour décrypter le tout. Contrairement aux mdp totalement en clairs et complétement irresponsable. Au final, vous avez respecté le cahier des charges et vous avez éviter le problème que rencontre TF1 (et d'autres sites, c'est fréquent).

    Autre cas : vous accéder via une faille à un accès sur le serveur (même en simple lecture pas forcément root) vous pouvez donc retrouver l’algorithme de cryptage et avoir l'accès à la BDD (déjà avec plus ou moins de temps, le temps de trouver tout ça, vous serez surement repéré et éjecté du serveur par l'admin système, s'il fait bien son travail il sera alerté d'une connexion distante d'une ip étrangère, on parle d'un gros site donc une permanence d'admin qui scrute l'activité du serveur 24/24, de plus j'imagine tout de même que le code du site n'est pas un simple /var/www/ici-le-mot-de-passe-bdd.php et /var/www/ici-l-algorythme-de-cryptage.php à la racine du site), c'est tout de même beaucoup plus rare qu'un simple accès à une BDD mais j’accorde qu'il est faisable d'y arriver, en tout cas ce n'est pas le cas de la méthode utilisé ici, en tant que client, TF1 n'aurait pas eu de problème avec cette solution.

    Alors oui rien n'est sécurisé, cela prendra plus ou moins de temps, rien est sécure, malgrè ce qui est déjà éprouvé en terme de sécurité, et avec des password aussi simple que ceux de madame michu 60/70% des password de l'extraction des données de la base seront craqués +- rapidement (en imaginant que le pirate ai accès a l algorithme ou au hash + accès BDD). On pourrait donner une politique de complexité de mot de passe, genre une maj une min et un caractère spécial obligatoire, mais vu que les mots de passes ne sont pas renvoyé pour madame michu, elle devra composer un mot de passe aussi complexe et différent à chaque fois ? Trop compliqué le client à loupé sa cible, il est en baisse de fréquentation et vous assassine.

    Donc l'idée de : la sécurité avant tout je la comprend en théorie, mais en pratique cela peux être bien différent.

    soit il faut y mettre les moyens (envoie du mot de passe par colis sécurisé au domicile du client, justificatifs d'identité, ...)
    CQFD, on loupe encore la cible visé on parle de site tout public : TF1, impossible de mettre ce système en place, personne ne reviendrai sur le site s'il devait attendre un courrier sécurisé, on ne parle de pas de banque en ligne, les moyens sont mis en œuvre selon les finances du client mais aussi la cible visé !!! On ne tue pas une mouche avec un bazooka (bah pourtant aucune chance de la louper !!) on risque d'y laisser sa peau et d'avoir une rentabilité nulle et même négative !!! Il faut des solutions adaptés.
    BakSh0, Modérateur .Net & Web

    Affichez la colorisation syntaxique dans votre code en ajoutant dans votre balise : [CODE=xxx] en remplaçant xxx par le nom du langage.


    N'oubliez pas de consulter les FAQs : .Net / Web et les cours et tutoriels .Net / Web

  7. #27
    Membre actif
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Octobre 2014
    Messages
    42
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Octobre 2014
    Messages : 42
    Points : 241
    Points
    241
    Par défaut
    Je comprends bien votre position: le client est roi, on fait ce qu'il demande, sinon pas de contrat. C'est vrai que c'est un peu malheureux mais parfois on n'a pas le choix, même s'il n'y connait/comprend rien, alors ce n'est plus une relation client/fournisseur, mais de la soumission. Par analogie, allons voir un architecte (bâtiment) et faisons lui comprendre que les aérations "gaz" c'est moche et qu'il faut les enlever à tout prix, même de manière très têtue, je doute fort qu'une relation de travail puisse être possible ... (je sais c'est la loi et un peu extrême).
    Ensuite, je chipote, mais si Mme Michu a perdu son mot de passe (qu'elle a scotché sous son clavier), je ne pense pas qu'il soit trop difficile pour elle de cliquer sur "réinitialiser le mdp", avec un minimum d'ergonomie, et d'en ressaisir un autre (probablement le même en plus).
    Enfin, et c'est là que le fait de chiffrer les mdp avec une clé unique n'est pas conseillé : la majorité des actes de vandalisme/piraterie viennent de l'intérieure. (je vous passe les méthodes de ce genre: http://xkcd.com/538/ ... qui sont totalement inefficaces avec un hachage).

    Je vous assure, sécuriser correctement un accès à un site web, ça n'a rien de bien compliqué ni de contraignant pour un utilisateur (même de TF1), et malheureusement je connais fort bien l'état de ce qui est en place un peu partout aujourd'hui (sans jeter la pierre à personne).

    Apres je suis d'accord avec vous, TF1 n'as pas a être fort Knox, il faut raison garder et adapter ses exigences aux données à protéger. Sans oublier que la sécurité est une chaîne, et que, sans vouloir caricaturer, le maillon entre la chaise et le clavier vous donnera son mot de passe de bon cœur si vous lui demandez gentiment.

  8. #28
    Modérateur
    Avatar de kolodz
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2008
    Messages
    2 211
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Avril 2008
    Messages : 2 211
    Points : 8 316
    Points
    8 316
    Billets dans le blog
    52
    Par défaut
    Citation Envoyé par MintWater Voir le message
    Ensuite, je chipote, mais si Mme Michu a perdu son mot de passe (qu'elle a scotché sous son clavier), je ne pense pas qu'il soit trop difficile pour elle de cliquer sur "réinitialiser le mdp", avec un minimum d'ergonomie, et d'en ressaisir un autre (probablement le même en plus).
    Je pense que mon poste sur Mme Michu n'était pas assez clair. C'est un troll qui soulevant l'exemple typique de l'argumentaire foireux. La sécurité est un enjeu important et rien n'est plus lamentable que de ne pas respecté les standard établie dans son métier.

    Je suis dans votre camps, me tirez plus dessus !
    Sans oublier que la sécurité est une chaîne, et que, sans vouloir caricaturer, le maillon entre la chaise et le clavier vous donnera son mot de passe de bon cœur si vous lui demandez gentiment.
    Je vois mal le hacker demander au 2 millions de personnes présents dans cette base leur mot de passe un par un Ici, c'est TF1 (ou son prestataire) qui est le maillon faible dans 2 millions de chaine de sécurité !

    Cordialement,
    Patrick Kolodziejczyk.
    Si une réponse vous a été utile pensez à
    Si vous avez eu la réponse à votre question, marquez votre discussion
    Pensez aux FAQs et aux tutoriels et cours.

  9. #29
    Modérateur
    Avatar de BakSh0
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2014
    Messages
    276
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2014
    Messages : 276
    Points : 1 271
    Points
    1 271
    Par défaut
    Citation Envoyé par MintWater Voir le message
    Enfin, et c'est là que le fait de chiffrer les mdp avec une clé unique n'est pas conseillé : la majorité des actes de vandalisme/piraterie viennent de l'intérieure. (je vous passe les méthodes de ce genre: http://xkcd.com/538/ ... qui sont totalement inefficaces avec un hachage).

    Je vous assure, sécuriser correctement un accès à un site web, ça n'a rien de bien compliqué ni de contraignant pour un utilisateur (même de TF1), et malheureusement je connais fort bien l'état de ce qui est en place un peu partout aujourd'hui (sans jeter la pierre à personne).
    Je suis bien d'accord
    BakSh0, Modérateur .Net & Web

    Affichez la colorisation syntaxique dans votre code en ajoutant dans votre balise : [CODE=xxx] en remplaçant xxx par le nom du langage.


    N'oubliez pas de consulter les FAQs : .Net / Web et les cours et tutoriels .Net / Web

  10. #30
    Membre averti
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2006
    Messages
    124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2006
    Messages : 124
    Points : 313
    Points
    313
    Par défaut
    Pour avoir bossé en tant que prestataire dans une banque pendant plusieurs années, je peux vous dire que les mots de passe apparaissait en clair dans les requêtes POST et parfois même GET, et à côté de ça on corrigeait des bugs parce qu'une image était en HTTP au lieu de HTTPS, rendant ainsi visible au client utilisant un message de leur navigateur concernant la sécurité (l'arbre qui cache la forêt), ce qui les dérangeaient c'était pas le fait qu'un lien ne soit pas en HTTPS mais plutôt que le navigateur avertissait l’utilisateur de la faille. Quant aux données présente en base, elles sont accessibles en claire, sauf les mots de passe mais il suffit de connaitre l'algo de cryptage pour retrouver le mot de passe, et oui vos données de comptes ... sont accessibles en claire, ce ne sont pas des données de test mais belle et bien vos données réelles, une vrai politique de robustesse coûte plus cher sur le court terme que de corriger après coup en analysant avec les vrais données pour comprendre où est le bug. Je ne parlerais même pas des risques de délit d'initié que de laissé ces données accessibles en clair (le cas est arrivé, interdiction d'en parler).

    C'est sûr ça coûte moins cher de faire du Web "amateur" que d'avoir une vrai politique de sécurité Informatique, voilà ce que se passe lorsque l'on laisse le privée (intérêt personnel) prendre le dessus sur l'état (intérêt commun)

    Je me rappel même avoir lu un article sur une faille struts qui avait été découverte et exploité par certains pays, un commentaire demandait pourquoi on en parlait pas plus c'était quand même une énorme faille, un autre commentaire disait que de toute façon struts n'était plus utilisé, et bien figuré vous que dans cette banque (ou j'ai travaillé) et bien struts est largement utilisé et dans ça version avec faille.

    Le prestataire informatique n'est qu'une excuse pour reporter la faute sur l'autre et ne pas accuser les vrais responsables qui sont les dit responsables justement, ils ont la responsabilité de mettre en place une équipe de contrôle du code diffusé sur leur site. On est pas expert en sortant de l'école, mais par l'expérience et l'apprentissage par autrui qui a de l'expérience, or les vieux on les virent car on imagine qu'un jeune sera plus adapter dans l'utilisation des nouvelles technologies, c'est faux ! La dites nouvelles technologie n'existent que parce que les anciennes existent et le retour d'expérience sur ces anciennes techno est pour moi importante.

    Comment un prestataire pourraient devenir expert sachant qu'il ne peux selon la loi rester plus de 3 ans sur une même mission, la prestation est là pour mettre de la flexibilité dans l'emploi, une façon de faire du 0 stock de ressources.

    Au final tout le monde y perd sauf ceux qui veulent faire de l'argent égoïstement sur le court terme, ce qui emmerde TF1 est plus le fait que ces données puisse être revendu par quelqu'un d'autres qu'eux, vos comptes et mot de passe ils s'en foutent.

Discussions similaires

  1. France : le site de l'UMP victime d'un piratage à l'ouverture des votes
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 23
    Dernier message: 05/12/2014, 14h18
  2. Tor annonce avoir été victime d'un piratage
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 7
    Dernier message: 01/08/2014, 23h38
  3. Réponses: 16
    Dernier message: 31/03/2011, 14h36
  4. Réponses: 9
    Dernier message: 30/08/2006, 01h42
  5. Réponses: 25
    Dernier message: 15/07/2006, 03h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo