L'Équipe.fr victime d'un acte malveillant

Le par  |  10 commentaire(s)
l-equipe

Il est conseillé aux utilisateurs de L'Équipe.fr de changer leur mot de passe. Le site a été la victime d'un acte qualifié de malveillant.

Dans un email adressé à ses abonnés, le site L'Équipe.fr du quotidien sportif indique avoir été la victime d'un acte malveillant et leur conseille de procéder à une réinitialisation de leur mot de passe par mesure de précaution.

" Nous avons immédiatement pris toutes les mesures nécessaires pour mettre fin à cette atteinte et protéger vos données personnelles ", écrit L'Équipe. " La protection de vos données personnelles est l'une de nos préoccupations majeures. "

L'information communiquée auprès des abonnés n'entre pas dans les détails. Notamment, il n'est pas précisé si des données personnelles ont été exfiltrées. Selon Le Monde, une intrusion informatique avait été détectée la semaine dernière.

Comme les données bancaires sont stockées chez un tiers, elles ne sont pas concernées par la potentielle fuite de données. Le problème toucherait par contre les identifiants des comptes, sachant que les mots de passe étaient bien évidemment chiffrés.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2036057
"sachant que les mots de passe étaient bien évidemment chiffrés"

Chiffrés ou hashés ?

Cela m'étonne, chiffrer un mot de passe donne la possibilité de le déchiffrer (si on récupère la clé ) ou décrypter (si on casse le chiffrement).
Dans l'absolu, ca voudrait dire que l'admin du site (qui dispose forcément de la clé de chiffrement) pourrait voir les mots de passe en clair (ce qui est inadmissible).

Généralement, les sites web hashent le mdp, gardent le hash en base, puis, quand l'utilisateur entre un mot de passe, il est hashé et le hash et comparé à celui présent en base afin de donner l'accès ou non.
Comme ça, personne ne voit le mot de passe en clair, l'opération de hashage, contrairement au chiffrement, n'étant pas réversible.

Le #2036060
site à la con = mot de passe à la con
Le #2036062
quel est le rapport avec Dashlane ?
Le #2036064
rborn a écrit :

quel est le rapport avec Dashlane ?


Ils alertent sur les failles de sécurité sur twitter (#DashlaneSecurityAlert) en plus d'être un gestionnaire de mot de passe.
Le #2036065
rborn a écrit :

quel est le rapport avec Dashlane ?


Dashlane préviens dans l'app les utilisateurs qui ont stocker leurs pass dans Dashlane (site de L'équipe)

Avec le hash, ils savent que ce pass est utilisé sur X sites différents donc que tu dois changer pour ta sécurité.
Le #2036069
Dans tous les cas, je recommande les utilisateurs d'utiliser... Dashlane.
La sécurité n'a pas de prix
Le #2036074


C'est un coup d'Adiddas pour pusher la pub de ses futures pompes...
Le #2036099
Rymix a écrit :

rborn a écrit :

quel est le rapport avec Dashlane ?


Dashlane préviens dans l'app les utilisateurs qui ont stocker leurs pass dans Dashlane (site de L'équipe)

Avec le hash, ils savent que ce pass est utilisé sur X sites différents donc que tu dois changer pour ta sécurité.


Ils ont plus que le hash, ils on le mot de passe en clair ou chiffré autrement impossible de fonctionner. C'est ce qui me fait peur dans ces systèmes de coffre fort en ligne, si Dashlane est pété alors c'est tous les comptes qui sautent en même temps.
Le #2036101
FFFeu a écrit :

Rymix a écrit :

rborn a écrit :

quel est le rapport avec Dashlane ?


Dashlane préviens dans l'app les utilisateurs qui ont stocker leurs pass dans Dashlane (site de L'équipe)

Avec le hash, ils savent que ce pass est utilisé sur X sites différents donc que tu dois changer pour ta sécurité.


Ils ont plus que le hash, ils on le mot de passe en clair ou chiffré autrement impossible de fonctionner. C'est ce qui me fait peur dans ces systèmes de coffre fort en ligne, si Dashlane est pété alors c'est tous les comptes qui sautent en même temps.


Entièrement d'accord, si dashlane compare les hashs et qu'ils sont les mêmes, c'est:

- qu'il y a le même salage sur les différents sites, peu probable
- qu'il n'y en a pas, ce qui semble peu probable également
- que dashlane fait le hash lui même et qu'ils ont a un moment donné le mot de passe en clair
- que dashlane compare directement les mot de passe en clair

C'est clairement la 3ème ou la 4ème réponse la bonne, car il faut entrer le mot de passe dans sa forme claire dans un formulaire pour s’authentifier sur un site ?

De toute façon, il est logique qu'un gestionnaire de mdp ai le mot de passe en clair a un moment (tout comme le site l'a, mais ne le stocke pas, pour pouvoir faire des hash dessus), en soi ce n'est pas choquant, c'est le service qui veut ça, ce qui est choquant c'est que de tels services existent, quelqu'ils soient (dashlane, firefox, trousseau Gnome sous linux, ce que vous voulez, c'est la même)
Le #2036161
On avise les abonnés, mais les autres, on s'en fout. C'est sûr que mettre un message sur le site lui même ça fait désordre !

Pourtant les non abonnés l'ont peut être été et ont des données qui ont été compromises sur le site.
Suivre les commentaires
Poster un commentaire
Anonyme