IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Adode confirme une attaque de son site Connectusers.com


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Adode confirme une attaque de son site Connectusers.com
    Adode confirme une attaque de son site Connectusers.com
    ayant entrainé une fuite de 150 000 fichiers sur les utilisateurs

    Adode a confirmé que la base de données de son forum Connectusers.com a été compromise, exposant les mots de passe des utilisateurs.

    Cette réaction fait suite à la publication par un hacker du pseudo de « Virus HimA » sur le site Pastebin des informations sur les utilisateurs du forum.

    Ce hacker a déclaré qu’il avait à sa disposition près de 150 000 fichiers contenant des informations personnelles sur les clients, le personnel et les partenaires de l’éditeur.

    Pour appuyer ses propos, celui-ci a publié les fichiers contenant les adresses mails, identifiants et autres données sur plus de 230 personnes.

    Suite à cela, Adobe a suspendu périodiquement le forum. Les investigations sont en cours afin d’identifier les causes de cette fuite de données. Des travaux sont également en cours pour rétablir le service. Il semblerait que l’attaque a été effectuée par injection SQL.

    Les mots de passe des utilisateurs avaient été cryptés en utilisant l’algorithme de hachage MD5. Cependant, ce moyen de sécurisation peut être brisé en utilisant des outils adaptés pour craquer les mots de passe et une puissance de calcul importante.

    De ce fait, Adobe est en train de procéder à la réinitialisation des mots de passe des comptes compromis. Les personnes auxquelles appartiennent ces comptes recevront des instructions pour configurer un nouveau mot de passe lorsque le service sera restauré.

    Le forum Connectusers.com concerne le service Adobe Connect, utilisé pour les conférences en ligne. Cette attaque s'ajoute à une autre dévoilée en septembre dernier, ayant entraîné la signature des programmes malveillants avec des certificats de l'éditeur.

    Le pirate n’a fait aucun commentaire sur ses motivations et promet de diffuser de nouveaux documents concernant plutôt Yahoo, cette fois.



    Source : Adobe, Le message de Virus HimA


    Et vous ?

    Qu'en pensez-vous ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Futur Membre du Club
    Inscrit en
    Mars 2005
    Messages
    11
    Détails du profil
    Informations forums :
    Inscription : Mars 2005
    Messages : 11
    Points : 9
    Points
    9
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message

    Le pirate n’a fait aucun commentaire sur ses motivations et promet de diffuser de nouveaux documents concernant plutôt Yahoo, cette fois.
    Citation Envoyé par ViruS_HimA
    0x02 = Why?
    Adobe is a very big company but they don't really take care of them security issues, When someone report vulnerability to them, It take 5-7 days for the notification that they've received your report!!
    It even takes 3-4 months to patch the vulnerabilities!
    such big companies should really respond very fast and fix the security issues as fast as they can.
    "Don't be like Microsoft,Yahoo security teams!! but be like Google security team" Qouted from Hima.

  3. #3
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Les mots de passe des utilisateurs avaient été cryptés en utilisant l’algorithme de hachage MD5. Cependant, ce moyen de sécurisation peut être brisé en utilisant des outils adaptés pour craquer les mots de passe et une puissance de calcul importante.
    Je suis étonné qu'ils utilisent encore le MD5 alors que le SHA2 (et bientôt le sha3) sont bien plus sûr.

    Mais même si le MD5 n'est plus considéré comme sûr, il me semblait qu'on avait pas encore réussit à le craquer.
    Est-ce qu'on peut vraiment retrouver un mot de passe même avec une très grande puissance de calcul en un temps "acceptable" (moins d'un an) à moins d'utiliser des rainbow tables ?

  4. #4
    Membre actif Avatar de Livegen
    Homme Profil pro
    Ingénieur logiciel embarqué Franco-allemand
    Inscrit en
    Avril 2008
    Messages
    83
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Allemagne

    Informations professionnelles :
    Activité : Ingénieur logiciel embarqué Franco-allemand
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2008
    Messages : 83
    Points : 255
    Points
    255
    Par défaut
    Pour information, le MD5 est loin d etre sur. En effet, on sait décrypter les chaines MD5 et ceux depuis un peu prés 2004 si je me souviens bien. De nos jours, le MD5 est surtout utilisé pour vérifier la signature des fichiers téléchargés sur internet ....

    A titre d exemple des sites comme http://www.md5decrypt.org/ sont présent sur internet afin de décrypté des mots de passe MD5 simple.

    Essayez avec la chaine suivante par exemple :

    fcc970bf84d094d84877ac65b05222eb

  5. #5
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 386
    Points
    9 386
    Par défaut
    Citation Envoyé par Livegen Voir le message
    Pour information, le MD5 est loin d etre sur. En effet, on sait décrypter les chaines MD5 et ceux depuis un peu prés 2004 si je me souviens bien. De nos jours, le MD5 est surtout utilisé pour vérifier la signature des fichiers téléchargés sur internet ....

    A titre d exemple des sites comme http://www.md5decrypt.org/ sont présent sur internet afin de décrypté des mots de passe MD5 simple.

    Essayez avec la chaine suivante par exemple :

    fcc970bf84d094d84877ac65b05222eb
    Ce n'est pas du décryptage, c'est un site exploitant plusieurs rainbow tables.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  6. #6
    Membre régulier
    Profil pro
    Inscrit en
    Novembre 2008
    Messages
    53
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2008
    Messages : 53
    Points : 71
    Points
    71
    Par défaut
    Il ne s'agit pas de Adode mais de Adobe.
    Merci de rectifier.

  7. #7
    Membre régulier
    Profil pro
    Inscrit en
    Mars 2003
    Messages
    138
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2003
    Messages : 138
    Points : 120
    Points
    120
    Par défaut
    Le plus efficace pour stoker les mots de passe crypté, c'est d’utiliser PBKDF2 avec un salage différent pour chaque utilisateur, et au moins 4096 itérations comme pour WPA2 (IOS 4 utilise 10000 itérations). Bien sur, il faut générer un hash d'au moins 256 bits (voir 512).

    Même le FBI n'arrive pas à casser ce genre de hash : http://sid.rstack.org/blog/index.php...epreuve-du-fbi

    Cet algorithme calcul un hash (par exemple SHA1) qu'il calcul le nombre de fois indiqué, ce qui fait qu'au lieux de mettre 1 milliseconde pour calculer le hash (comme pour les sha1, sha256 ou sha512), il va mettre disons 50 millisecondes pour calculer le hash, ce qui fait que pour tester les hash, cela prend plus de temps.

    Le salage doit être généré aléatoirement, et n'a pas besoin d'être caché, il peut être en claire dans la base pour chaque utilisateur. De même, le nombre d’itération peut être dans la base en claire.

    Au fur et à mesure que la puissance des PC augmentera, il faudra augmenter le nombre d’itération.

    Bien entendu, même avec l'algorithme le plus sécurisé, un mot de passe comme password peut rendre le système très facile à casser.

  8. #8
    Membre régulier
    Profil pro
    Inscrit en
    Mars 2003
    Messages
    138
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2003
    Messages : 138
    Points : 120
    Points
    120
    Par défaut
    Les conseils de OWASP pour le stockage des mots de passe :
    https://www.owasp.org/index.php/Pass...ge_Cheat_Sheet

  9. #9
    Membre habitué
    Profil pro
    Inscrit en
    Novembre 2003
    Messages
    74
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2003
    Messages : 74
    Points : 137
    Points
    137
    Par défaut
    Pour le site MD5 Decrypt essayez ça : 9346fb8c113af78a652d4d8438899238

    Comment passer de 32 caractères à un chapitre complet d'un de mes livres favoris????
    Je suis sur le cul.

  10. #10
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Citation Envoyé par jnspunk Voir le message
    Pour le site MD5 Decrypt essayez ça : 9346fb8c113af78a652d4d8438899238

    Comment passer de 32 caractères à un chapitre complet d'un de mes livres favoris????
    Je suis sur le cul.
    C'est juste que le site a enregistré que ce hash correspondait à ce chapitre de livre.
    Mais ce hash correspond à une infinité d'autres textes si on ne fixe pas une taille pour le texte hashé.
    De plus, si la taille du texte est supérieur à la taille du hash, il y aura forcément des collisions.
    Dans ce cas là, le hash sert plus à vérifier l'intégrité du texte qu'à le protéger.

  11. #11
    Membre habitué
    Profil pro
    Inscrit en
    Novembre 2003
    Messages
    74
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2003
    Messages : 74
    Points : 137
    Points
    137
    Par défaut
    Merci pour l'explication!
    Donc si j'avais écrit le hash avant, le site aurait été incapable de le "décrypter" (ce n'est pas du décryptage du coup)

  12. #12
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Citation Envoyé par jnspunk Voir le message
    Merci pour l'explication!
    Donc si j'avais écrit le hash avant, le site aurait été incapable de le "décrypter" (ce n'est pas du décryptage du coup)
    Pour qu'il y ai cryptage/décryptage, il faut avoir une bijection entre les textes cryptés et les textes décryptés.

    C'est à dire que pour chaque texte décryptés possible, il doit y avoir un et un seul texte crypté possible et que pour chaque texte cryptés il ne doit y avoir qu'un et un seul texte décrypté.

    Or pour un texte de 2 000 octets, on aura 256^2 000 possibilités.
    Si on prend une clé de 32 octets, on aura 256^32 possibilités.

    De plus le but de hasher un mot de passe est justement de ne pas pouvoir retrouver le mot de passe d'origine, on ne peut pas "décrypter" un hash à moins d'utiliser la force brute avec des rainbow tables et d'avoir un hash plus grand que les données d'origine.
    Par exemple pour les mots de passes, on peut avoir un hash sur 512 octets pour un mot de passer sur 30 octets maximum.

  13. #13
    Membre habitué
    Homme Profil pro
    Consultant informatique
    Inscrit en
    Juin 2007
    Messages
    72
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : Industrie

    Informations forums :
    Inscription : Juin 2007
    Messages : 72
    Points : 135
    Points
    135
    Par défaut
    J'ai testé un truc sur ce site. J'ai mis un hash qu'il n'a pas trouvé. Puis j'ai mis la phrase à hasher, récupéré le hash qui était le même qu'auparavant, et là, il ma bien donné la réponse. Autrement dit, si quelqu'un met son mot de passe pour récupérer son hash, après ça n'importe qui utilisant son hash aura son mot de passe. A utiliser avec précaution...

    Et....je passe au sha2 salé, poivré avec une pointe de cardamome.... :p

Discussions similaires

  1. Bannir une IP de son site web
    Par InstinctNoir dans le forum Apache
    Réponses: 4
    Dernier message: 27/04/2015, 18h47
  2. [MySQL] Réaliser une recherche pour son site
    Par Ludock dans le forum PHP & Base de données
    Réponses: 5
    Dernier message: 01/03/2015, 08h42
  3. Creer une application pour son site web
    Par Albat_r dans le forum Android
    Réponses: 4
    Dernier message: 02/07/2014, 15h47
  4. Comment savoir l'origine d'une visite sur son site?
    Par Marc22 dans le forum Général Conception Web
    Réponses: 4
    Dernier message: 10/03/2011, 15h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo