Chantage / compte Pour la Science
Le
Olivier Miakinen

Bonjour,
Je viens de recevoir un chantage par courriel (menace
d'envoyer une vidéo compromettante si je n'envoie pas
800 $ en bitcoins).
Je sais qu'une telle vidéo n'existe pas, aussi je ne crains
rien de ce côté là, mais le problème est que pour me faire
peur le maître chanteur m'a écrit à l'adresse avec laquelle
je me suis abonné à /Pour la Science/, et ce en me donnant
le mot de passe que j'avais choisi pour ce compte.
J'utilise une adresse unique et un mot de passe unique pour
chaque site marchand, ce qui fait que je n'ai aucun doute
sur le fait que c'est *ce* compte en particulier qui a été
piraté.
--
Olivier Miakinen
Je viens de recevoir un chantage par courriel (menace
d'envoyer une vidéo compromettante si je n'envoie pas
800 $ en bitcoins).
Je sais qu'une telle vidéo n'existe pas, aussi je ne crains
rien de ce côté là, mais le problème est que pour me faire
peur le maître chanteur m'a écrit à l'adresse avec laquelle
je me suis abonné à /Pour la Science/, et ce en me donnant
le mot de passe que j'avais choisi pour ce compte.
J'utilise une adresse unique et un mot de passe unique pour
chaque site marchand, ce qui fait que je n'ai aucun doute
sur le fait que c'est *ce* compte en particulier qui a été
piraté.
--
Olivier Miakinen
Tu as une idée de comment ça a pu arriver ? Parce que sinon, c'est
probablement le site lui-même qui a fuité, donc il faudrait le leur
signaler.
Je pense en effet que c'est le site qui a fuité, d'autant que
je me suis abonné pour plusieurs années de suite il y a longtemps
et que je ne me suis jamais reconnecté depuis.
Je leur ai déjà écrit pour le leur signaler.
--
Olivier Miakinen
Olivier Miakinen
800$ ? Pas cher, on m'en a demandé bien plus (5000$). Je ne suis pas
abonné à "pour la science", je n'ai jamais su qui avait été percé.
Ce qui m'étonne, là dedans, c'est que mon mot de passe ait été en
clair et non chiffré. Il y a encore des sites, aujourd'hui, qui
stockent des mots de passe en clair pour les rappeler à madame
Michu...
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
À moins d'utiliser de la crypto asymétrique, ce qui est nettement plus
compliqué en pratique, le mot de passe doit forcément soit être envoyé
en clair au site (protégé par TLS, mais en clair dans le canal chiffré),
soit être stocké en clair en clair dans les données du site.
Donc soit le site stocke ses mots de passe hachés, et dans ce cas, un
pirate actif peut les récupérer en clair en écoutant les connexions,
soit le site utilise un système de haché côté client, mais dans ce cas
il doit stocker les mots de passe en clair.
Le plus probable ici est l'incompétence, mais la nécessité de stocker
les mots de passe en clair n'est pas inexistante.
Nicolas George
Quel est l'intérêt de cette pratique ?
Olivier Miakinen
J'ai eu le même message, mais je ne suis pas abonné à Pour la science.
Le mot de passe ressemble à ce que j'aurais pu utiliser, mais je ne me
souviens pas pour quel site. Sans doute un auquel je n'ai pas accédé
depuis longtemps, donc pas possible de leur faire remonter l'info...
J'ai reçu récemment d'autres messages du même type ("vidéo
compromettante" et demande de rançon bitcoin) mais sans le mot de
passe : il se peut que ce soit simplement une méthode en vogue en ce
moment ? Ou bien un perfectionnement de la même par les mêmes
personnes peut-être. Certains étaient traduits automatiquement en
français.
Au passage j'ai voulu essayer le service fourni par Mozilla
depuis peu (déterminer si une adresse électronique est concernée par
une fuite connue) mais ça n'a pas fonctionné : le service de
recherche derrière ne doit pas avoir la fuite concernée dans sa liste...
Il est forcément envoyé en clair à la création du compte -- du moins
dans le sens d'« en clair » que tu précises, c'est-à-dire protégé par
TLS. Cette protection me semble suffisante en pratique, du moins elle
me semble plus sûre que de conserver le mot de passe en clair dans les
données du site. Sur le site, il me semble qu'il serait préférable de
stocker un hash.
Si un pirate actif écoute les connexions, il doit quand même arriver
à déchiffrer le flux https pour avoir les mots de passe... auquel cas
il peut aussi bien récupérer les numéros de carte bancaire, non ?
Il est possible que tu aies raison, mais je n'ai pas encore compris
pourquoi.
--
Olivier Miakinen
D'où l'intérêt de prendre une adresse différente à chaque fois... et
de noter quelque part l'adresse et le mot de passe utilisés !
Je venais tout juste de recevoir un message un peu similaire, dont
j'ai d'ailleurs parlé sur fr.usenet.abus.d et fr.rec.humour. Mais
cet autre message était plus générique et son auteur n'avait pas eu
besoin de pirater un site pour cela.
Ici, il y a forcément eu piratage. Par ailleurs, j'ai reçu cet
après midi un message strictement identique à celui d'hier, au titre
près, et provenant d'une autre adresse IP.
À tout hasard j'ai signalé les deux adresses ici :
https://www.abuseipdb.com/check/187.189.241.56
https://www.abuseipdb.com/check/85.221.236.74
Je ne sais pas si ça veut dire quelque chose, mais ces deux adresses
ont été signalées pour la première fois le même jour (le 2/12/2017).
Je n'en ai pas entendu parler. Tu as un lien explicatif ?
--
Olivier Miakinen
Olivier Miakinen
Tu trouveras ça ici :
Je ne comprends pas bien comment ça pourrait être utile. J'ai ouvert un
compte sur un site à priori de confiance, en leur donnant une adresse
qu'ils sont les seuls à avoir, et un mot de passe qu'ils sont aussi les
seuls à avoir. Mettons qu'un pirate découvre mon compte et mon mot de
passe. Il ne va pas le crier sur les toits ! Ou alors juste à mon
adresse pour me faire chanter. Comment, dans ces conditions, Mozilla
pourrait être au courant ?
--
Olivier Miakinen