IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Des hackers volent plus de 30 millions de mots de passe sur le site de RockYou

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 991
    Points
    75 991
    Par défaut Des hackers volent plus de 30 millions de mots de passe sur le site de RockYou
    Des hackers volent plus de 30 millions de mots de passe sur le site de RockYou, où les informations étaient stockées en clair

    Plusieurs hackers, dont un connu sous le pseudo "igigi", ont réussi à pénétrer dans la base de données du site de RockYou. Le site appartient à la firme du même nom, qui est le plus gros fournisseur d'applications pour les réseaux sociaux.

    Les pirates ont eu la surprise de constater que sur les serveurs auxquels ils avaient désormais accès, les informations relatives aux comptes des clients (y compris les mots de passe) étaient stockés... en clair !

    Leur prise n'est pas négligeable car elle porte tout de même sur plus de 30 millions de comptes : 32 603 388 précisément.

    Aussi incroyable que cela puisse paraître, les mots de passe étaient conservés dans un fichier texte non codé, accompagnés des identifiants leur correspondants (les adresses mails avec lesquelles les personnes s'étaient enregistrées sur le site).

    Nul doute que de telles combinaisons login/password sont valables sur d'autres endroits de la toile, particulièrement sur les sites de réseaux sociaux, car la majorité des internautes utilise un seul et unique mot de passe pour protèger tous ses comptes virtuels.

    L'attaque fut conduite par injection SQL au début du mois. Quand l'équipe technique de RockYou découvrit la faille , le 4 décembre, elle décida de fermer temporairement le site avant d'annoncer plus tard dans un communiqué que "le problème était résolu".

    L'entreprise s'est ensuite refusée à tout commentaire.

    Les hackers ayant réalisé l'exploit menacent de divulguer en public les informations relatives à ces millions de comptes, si la firme "ment à ses consommateurs".

    Il est vivement recommandé à toute personne s'étant inscrite sur le site de RockYou, ou possédant un compte sur l'une de ses applications, de changer rapidement de mot de passe. Leurs comptes pourraient en effet être infiltrés par les pirates, et servir ensuite à ces derniers pour voler d'autres informations.

    Les données volées dans le cas présent n'étaient ni financières, ni trop sensibles (pas de vol de numéro de sécurité sociale, par exemple) ce qui pousse à croire que le geste ne fut pas motivé par des visées mercantiles, mais plutôt par une envie de pointer des doigts les dysfonctionnements des réseaux sociaux.

    Cet incident rappelle une fois de plus la grande dangerosité des injections SQL pour les sites internet des grandes entreprises, qui y restent trop souvent vulnérables. Cette menace arrive en tête de celles rencontrées sur Internet depuis plusieurs années.

    Source : Le blog du hacker igigi

    De quelle manière protègez-vous vos différents comptes sur Internet ? Utilisez-vous un mot de passe différent pour chaque site ?

  2. #2
    Membre éclairé
    Homme Profil pro
    NoOb
    Inscrit en
    mai 2007
    Messages
    554
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : NoOb

    Informations forums :
    Inscription : mai 2007
    Messages : 554
    Points : 849
    Points
    849
    Par défaut
    Apparemment ils en sont pas a leur coup d'essai :p.

    Ça leur fera une leçon quand même... stocker les mdp en clair...

    Personnellement j'ai un mot de passe diffèrent pour chaque site, par exemple dans mon mdp dvp y a dvp .

  3. #3
    Membre confirmé Avatar de Inazo
    Profil pro
    Gérant - société de développement web
    Inscrit en
    avril 2007
    Messages
    417
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Gérant - société de développement web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 417
    Points : 617
    Points
    617
    Par défaut
    Bonjour à tous,

    C'est toujours aussi stupéfiant de voir ça. Mais c'est triste il y a deux semaine j'ai vu un MCD arrivé comme ça le mec avait prévu un champ INT 10 pour les mots de passe.

    Et la question : "Tu les hash comment tes MDP ? Tu as un code crypto perso pour faire tous rentrer en INT 10 ?"

    Réponse : "Crypter pour quoi faire ?"

    Véridique et affolant.

    Cordialement,

  4. #4
    Membre éprouvé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2006
    Messages
    519
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2006
    Messages : 519
    Points : 1 052
    Points
    1 052
    Par défaut
    Pour éviter les injections SQL, il suffirait de ne pas utiliser de requêtes SQL créées à la volées. En Erlang avec Mnesia, par exemple, la base de donnée est interrogée directement en Erlang.

  5. #5
    Membre expérimenté
    Profil pro
    Inscrit en
    juillet 2005
    Messages
    662
    Détails du profil
    Informations personnelles :
    Localisation : Réunion

    Informations forums :
    Inscription : juillet 2005
    Messages : 662
    Points : 1 518
    Points
    1 518
    Par défaut
    je comprend pas comment certains peuvent encore se faire avoir avec les failles de type injections SQL...

    ils avaient pas l'option "magic quotes" ?

  6. #6
    Membre expérimenté Avatar de shkyo
    Homme Profil pro
    Développeur Robotique - Administrateur systèmes
    Inscrit en
    juin 2003
    Messages
    841
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Développeur Robotique - Administrateur systèmes

    Informations forums :
    Inscription : juin 2003
    Messages : 841
    Points : 1 450
    Points
    1 450
    Par défaut
    Encore une confirmation affligeante que le facteur sécurité le plus critique reste le facteur humain !!!
    Qui a une fâcheuse tendance à vouloir faire au plus simple histoire de ne pas s'embêter... (et je reste polis !)
    L'homme sage apprend de ses erreurs, l'homme plus sage apprend des erreurs des autres. - Confucius -

    Ma (petite...) chaine Youtube : https://www.youtube.com/channel/UCy-...P2tH5UwOtLaYKw
    Si vous avez quelques minutes, passez donc voir mon site http://www.photospicsandco.fr/
    Envie de tee-shirts (et goodies!) originaux et sympa ? Visitez mon site... http://www.zazzle.com/shkyo30

  7. #7
    Membre confirmé
    Avatar de chemanel
    Homme Profil pro
    Inscrit en
    janvier 2005
    Messages
    173
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2005
    Messages : 173
    Points : 457
    Points
    457
    Par défaut
    Citation Envoyé par bombseb Voir le message
    je comprend pas comment certains peuvent encore se faire avoir avec les failles de type injections SQL...

    ils avaient pas l'option "magic quotes" ?
    ça c'était l'injection du bon vieux temps

    LoL, a mon avis, maintenant, il y a moyen de faire vraiment plus compliquer, on pourrait par exemple, dans un environnement .NET essayer de modifier le ViewState, pour que les objets qui se mettront a jour avec des "fausses" données puisse provoqué l'injection...

  8. #8
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par bombseb Voir le message
    je comprend pas comment certains peuvent encore se faire avoir avec les failles de type injections SQL...
    Le plus incompréhensible c'est le stockage en clair des mots de passe

    Combien de fois j'ai reçu des emails de confirmation / rappel avec mon mot de passe en clair dans le mail...


  9. #9
    Membre éprouvé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2006
    Messages
    519
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2006
    Messages : 519
    Points : 1 052
    Points
    1 052
    Par défaut
    Citation Envoyé par frinux Voir le message
    Le plus incompréhensible c'est le stockage en clair des mots de passe

    Combien de fois j'ai reçu des emails de confirmation / rappel avec mon mot de passe en clair dans le mail...

    D'ailleurs, dans la plupart des cas, il est impossible d'avoir sur le site en question un mot de passe qui n'a jamais été envoyé par e-mail, car il est réenvoyé sitôt changé

  10. #10
    Membre éprouvé
    Profil pro
    Inscrit en
    mars 2005
    Messages
    1 064
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : Belgique

    Informations forums :
    Inscription : mars 2005
    Messages : 1 064
    Points : 1 050
    Points
    1 050
    Par défaut
    Béh oui mais faut dire aussi qu'on le dit assez peu. Beaucoup de développeurs croient encore que l'utilisation des fonctions encrypt() et decrypt() de Mysql est suffisante pour avoir des mots de passes "sécurisés". Mais bien entendu pour un pirate qui a un accès total à la machine, base de données et code inclut c'est de la rigolade.

    La seule solution un tant soit peu respectueuse des utilisateurs est de mettre en place un système ou même le gars qui a développé le programme et qui administre la machine serait totalement incapable de retrouver ce mot de passe (au fond, qu'est-ce qui nous dit que ce n'est pas une personne mal intentionnée comme une autre?). Avec une bonne fonction md5 et un peu d'astuce c'est très facile à faire, mais allez expliquer au client que "non non, il est impossible de retrouver les mots de passe, c'est même fait exprès".

  11. #11
    Membre éprouvé Avatar de s4mk1ng
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juillet 2008
    Messages
    535
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2008
    Messages : 535
    Points : 1 271
    Points
    1 271
    Par défaut
    Bon bah ça va pas me faire pleurer ils l'ont bien cherché...
    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn

  12. #12
    Expert éminent sénior
    Avatar de Skyounet
    Homme Profil pro
    Software Engineer
    Inscrit en
    mars 2005
    Messages
    6 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Software Engineer
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2005
    Messages : 6 380
    Points : 13 309
    Points
    13 309
    Par défaut
    Citation Envoyé par chemanel Voir le message
    a mon avis, maintenant, il y a moyen de faire vraiment plus compliquer, on pourrait par exemple, dans un environnement .NET essayer de modifier le ViewState, pour que les objets qui se mettront a jour avec des "fausses" données puisse provoqué l'injection...
    Oui mais là l'injection sera traitée au niveau ADO.NET, et si le codeur a bien fait son travail (utilisation de DbParameter par exemple) y'aura pas de problème (sauf problème dans le framework mais y'en a pas à ce niveau à ma connaissance).

    Mais oui je pense qu'il existe maintenant des techniques plus sophistiquées.
    Introduction à Silverlight 4 (new) ; Localisation d'une application Silverlight (new) ;
    Mon espace perso[/B]

    La connaissance s’acquiert par l’expérience, tout le reste n’est que de l’information. Albert Einstein[/SIZE]

  13. #13
    Membre confirmé
    Avatar de chemanel
    Homme Profil pro
    Inscrit en
    janvier 2005
    Messages
    173
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2005
    Messages : 173
    Points : 457
    Points
    457
    Par défaut
    Citation Envoyé par Skyounet Voir le message
    Oui mais là l'injection sera traitée au niveau ADO.NET, et si le codeur a bien fait son travail (utilisation de DbParameter par exemple) y'aura pas de problème (sauf problème dans le framework mais y'en a pas à ce niveau à ma connaissance).

    Mais oui je pense qu'il existe maintenant des techniques plus sophistiquées.

    Oui j'suis d'accord avec toi, ici c'était un exemple rapide, mais t'as tout a fait raison en disant "si le codeur a bien fait son travail" ... C'est ça le vrai problème, ici dans la news, c'est le même problème, les mot de passe + emails traités en clair dans un fichier texte... C'est clairement un problème de développement !

  14. #14
    Membre émérite
    Profil pro
    Inscrit en
    mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France

    Informations forums :
    Inscription : mars 2005
    Messages : 1 683
    Points : 2 699
    Points
    2 699
    Par défaut
    Qu'est ce que ça peut m'énerver tout ces sites (et pas forcément des site "amateurs") qui conservent les mots de passe en claire.

    J'en connais un (orienté linux en plus), qui tous les mois m'envoie par email mon user et mot de passe, super!!!!
    dam's

Discussions similaires

  1. Réponses: 11
    Dernier message: 29/06/2011, 14h59
  2. Réponses: 0
    Dernier message: 22/06/2011, 22h38
  3. Faire apparaître des points noirs lorsque l'utilisateur entre son mot de passe
    Par Marc22 dans le forum Balisage (X)HTML et validation W3C
    Réponses: 2
    Dernier message: 26/05/2010, 18h36
  4. mémorisation des mots de passe sur l'écran d'accueil
    Par MmoulinexX dans le forum Windows XP
    Réponses: 7
    Dernier message: 11/04/2008, 17h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo