Chantage / compte Pour la Science

Le
Olivier Miakinen
Bonjour,

Je viens de recevoir un chantage par courriel (menace
d'envoyer une vidéo compromettante si je n'envoie pas
800 $ en bitcoins).

Je sais qu'une telle vidéo n'existe pas, aussi je ne crains
rien de ce côté là, mais le problème est que pour me faire
peur le maître chanteur m'a écrit à l'adresse avec laquelle
je me suis abonné à /Pour la Science/, et ce en me donnant
le mot de passe que j'avais choisi pour ce compte.

J'utilise une adresse unique et un mot de passe unique pour
chaque site marchand, ce qui fait que je n'ai aucun doute
sur le fait que c'est *ce* compte en particulier qui a été
piraté.

--
Olivier Miakinen
  • Partager ce contenu :
Vos réponses Page 1 / 4
Trier par : date / pertinence
Nicolas George
Le #26491717
Olivier Miakinen , dans le message a écrit :
J'utilise une adresse unique et un mot de passe unique pour
chaque site marchand, ce qui fait que je n'ai aucun doute
sur le fait que c'est *ce* compte en particulier qui a été
piraté.

Tu as une idée de comment ça a pu arriver ? Parce que sinon, c'est
probablement le site lui-même qui a fuité, donc il faudrait le leur
signaler.
Olivier Miakinen
Le #26491720
Le 08/10/2018 13:16, Nicolas George a écrit :
J'utilise une adresse unique et un mot de passe unique pour
chaque site marchand, ce qui fait que je n'ai aucun doute
sur le fait que c'est *ce* compte en particulier qui a été
piraté.

Tu as une idée de comment ça a pu arriver ? Parce que sinon, c'est
probablement le site lui-même qui a fuité, donc il faudrait le leur
signaler.

Je pense en effet que c'est le site qui a fuité, d'autant que
je me suis abonné pour plusieurs années de suite il y a longtemps
et que je ne me suis jamais reconnecté depuis.
Je leur ai déjà écrit pour le leur signaler.
--
Olivier Miakinen
JKB
Le #26491763
Le Mon, 8 Oct 2018 13:20:47 +0200,
Olivier Miakinen
Le 08/10/2018 13:16, Nicolas George a écrit :
J'utilise une adresse unique et un mot de passe unique pour
chaque site marchand, ce qui fait que je n'ai aucun doute
sur le fait que c'est *ce* compte en particulier qui a été
piraté.

Tu as une idée de comment ça a pu arriver ? Parce que sinon, c'est
probablement le site lui-même qui a fuité, donc il faudrait le leur
signaler.

Je pense en effet que c'est le site qui a fuité, d'autant que
je me suis abonné pour plusieurs années de suite il y a longtemps
et que je ne me suis jamais reconnecté depuis.
Je leur ai déjà écrit pour le leur signaler.

800$ ? Pas cher, on m'en a demandé bien plus (5000$). Je ne suis pas
abonné à "pour la science", je n'ai jamais su qui avait été percé.
Ce qui m'étonne, là dedans, c'est que mon mot de passe ait été en
clair et non chiffré. Il y a encore des sites, aujourd'hui, qui
stockent des mots de passe en clair pour les rappeler à madame
Michu...
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Nicolas George
Le #26491765
JKB , dans le message écrit :
Ce qui m'étonne, là dedans, c'est que mon mot de passe ait été en
clair et non chiffré. Il y a encore des sites, aujourd'hui, qui
stockent des mots de passe en clair pour les rappeler à madame
Michu...

À moins d'utiliser de la crypto asymétrique, ce qui est nettement plus
compliqué en pratique, le mot de passe doit forcément soit être envoyé
en clair au site (protégé par TLS, mais en clair dans le canal chiffré),
soit être stocké en clair en clair dans les données du site.
Donc soit le site stocke ses mots de passe hachés, et dans ce cas, un
pirate actif peut les récupérer en clair en écoutant les connexions,
soit le site utilise un système de haché côté client, mais dans ce cas
il doit stocker les mots de passe en clair.
Le plus probable ici est l'incompétence, mais la nécessité de stocker
les mots de passe en clair n'est pas inexistante.
Yliur
Le #26491787
Le 08 Oct 2018 15:44:44 GMT
Nicolas George
soit le site utilise un système de haché côté client, mais dans ce cas
il doit stocker les mots de passe en clair.

Quel est l'intérêt de cette pratique ?
Yliur
Le #26491786
Le Mon, 8 Oct 2018 13:05:34 +0200
Olivier Miakinen
Bonjour,
Je viens de recevoir un chantage par courriel (menace
d'envoyer une vidéo compromettante si je n'envoie pas
800 $ en bitcoins).
Je sais qu'une telle vidéo n'existe pas, aussi je ne crains
rien de ce côté là, mais le problème est que pour me faire
peur le maître chanteur m'a écrit à l'adresse avec laquelle
je me suis abonné à /Pour la Science/, et ce en me donnant
le mot de passe que j'avais choisi pour ce compte.
J'utilise une adresse unique et un mot de passe unique pour
chaque site marchand, ce qui fait que je n'ai aucun doute
sur le fait que c'est *ce* compte en particulier qui a été
piraté.

J'ai eu le même message, mais je ne suis pas abonné à Pour la science.
Le mot de passe ressemble à ce que j'aurais pu utiliser, mais je ne me
souviens pas pour quel site. Sans doute un auquel je n'ai pas accédé
depuis longtemps, donc pas possible de leur faire remonter l'info...
J'ai reçu récemment d'autres messages du même type ("vidéo
compromettante" et demande de rançon bitcoin) mais sans le mot de
passe : il se peut que ce soit simplement une méthode en vogue en ce
moment ? Ou bien un perfectionnement de la même par les mêmes
personnes peut-être. Certains étaient traduits automatiquement en
français.
Au passage j'ai voulu essayer le service fourni par Mozilla
depuis peu (déterminer si une adresse électronique est concernée par
une fuite connue) mais ça n'a pas fonctionné : le service de
recherche derrière ne doit pas avoir la fuite concernée dans sa liste...
Olivier Miakinen
Le #26491798
Le 08/10/2018 17:44, Nicolas George a écrit :
Ce qui m'étonne, là dedans, c'est que mon mot de passe ait été en
clair et non chiffré. Il y a encore des sites, aujourd'hui, qui
stockent des mots de passe en clair pour les rappeler à madame
Michu...

À moins d'utiliser de la crypto asymétrique, ce qui est nettement plus
compliqué en pratique, le mot de passe doit forcément soit être envoyé
en clair au site (protégé par TLS, mais en clair dans le canal chiffré),
soit être stocké en clair dans les données du site.

Il est forcément envoyé en clair à la création du compte -- du moins
dans le sens d'« en clair » que tu précises, c'est-à-dire protégé par
TLS. Cette protection me semble suffisante en pratique, du moins elle
me semble plus sûre que de conserver le mot de passe en clair dans les
données du site. Sur le site, il me semble qu'il serait préférable de
stocker un hash.
Donc soit le site stocke ses mots de passe hachés, et dans ce cas, un
pirate actif peut les récupérer en clair en écoutant les connexions,
soit le site utilise un système de haché côté client, mais dans ce cas
il doit stocker les mots de passe en clair.

Si un pirate actif écoute les connexions, il doit quand même arriver
à déchiffrer le flux https pour avoir les mots de passe... auquel cas
il peut aussi bien récupérer les numéros de carte bancaire, non ?
Le plus probable ici est l'incompétence, mais la nécessité de stocker
les mots de passe en clair n'est pas inexistante.

Il est possible que tu aies raison, mais je n'ai pas encore compris
pourquoi.
--
Olivier Miakinen
Olivier Miakinen
Le #26491815
Le 08/10/2018 19:44, Yliur a écrit :
J'ai eu le même message, mais je ne suis pas abonné à Pour la science.
Le mot de passe ressemble à ce que j'aurais pu utiliser, mais je ne me
souviens pas pour quel site. Sans doute un auquel je n'ai pas accédé
depuis longtemps, donc pas possible de leur faire remonter l'info...

D'où l'intérêt de prendre une adresse différente à chaque fois... et
de noter quelque part l'adresse et le mot de passe utilisés !
J'ai reçu récemment d'autres messages du même type ("vidéo
compromettante" et demande de rançon bitcoin) mais sans le mot de
passe : il se peut que ce soit simplement une méthode en vogue en ce
moment ? Ou bien un perfectionnement de la même par les mêmes
personnes peut-être. Certains étaient traduits automatiquement en
français.

Je venais tout juste de recevoir un message un peu similaire, dont
j'ai d'ailleurs parlé sur fr.usenet.abus.d et fr.rec.humour. Mais
cet autre message était plus générique et son auteur n'avait pas eu
besoin de pirater un site pour cela.
Ici, il y a forcément eu piratage. Par ailleurs, j'ai reçu cet
après midi un message strictement identique à celui d'hier, au titre
près, et provenant d'une autre adresse IP.
À tout hasard j'ai signalé les deux adresses ici :
https://www.abuseipdb.com/check/187.189.241.56
https://www.abuseipdb.com/check/85.221.236.74
Je ne sais pas si ça veut dire quelque chose, mais ces deux adresses
ont été signalées pour la première fois le même jour (le 2/12/2017).
Au passage j'ai voulu essayer le service fourni par Mozilla
depuis peu (déterminer si une adresse électronique est concernée par
une fuite connue) mais ça n'a pas fonctionné : le service de
recherche derrière ne doit pas avoir la fuite concernée dans sa liste...

Je n'en ai pas entendu parler. Tu as un lien explicatif ?
--
Olivier Miakinen
Yliur
Le #26491823
Le Mon, 8 Oct 2018 21:32:14 +0200
Olivier Miakinen
Au passage j'ai voulu essayer le service fourni par Mozilla
depuis peu (déterminer si une adresse électronique est concernée par
une fuite connue) mais ça n'a pas fonctionné : le service de
recherche derrière ne doit pas avoir la fuite concernée dans sa
liste...

Je n'en ai pas entendu parler. Tu as un lien explicatif ?

Tu trouveras ça ici :
Olivier Miakinen
Le #26491832
Le 08/10/2018 22:22, Yliur a écrit :
Au passage j'ai voulu essayer le service fourni par Mozilla
depuis peu (déterminer si une adresse électronique est concernée par
une fuite connue) mais ça n'a pas fonctionné : le service de
recherche derrière ne doit pas avoir la fuite concernée dans sa
liste...

Je n'en ai pas entendu parler. Tu as un lien explicatif ?

Tu trouveras ça ici :

Je ne comprends pas bien comment ça pourrait être utile. J'ai ouvert un
compte sur un site à priori de confiance, en leur donnant une adresse
qu'ils sont les seuls à avoir, et un mot de passe qu'ils sont aussi les
seuls à avoir. Mettons qu'un pirate découvre mon compte et mon mot de
passe. Il ne va pas le crier sur les toits ! Ou alors juste à mon
adresse pour me faire chanter. Comment, dans ces conditions, Mozilla
pourrait être au courant ?
--
Olivier Miakinen
Poster une réponse
Anonyme