Je viens de recevoir un chantage par courriel (menace
d'envoyer une vidéo compromettante si je n'envoie pas
800 $ en bitcoins).
Je sais qu'une telle vidéo n'existe pas, aussi je ne crains
rien de ce côté là, mais le problème est que pour me faire
peur le maître chanteur m'a écrit à l'adresse avec laquelle
je me suis abonné à /Pour la Science/, et ce en me donnant
le mot de passe que j'avais choisi pour ce compte.
J'utilise une adresse unique et un mot de passe unique pour
chaque site marchand, ce qui fait que je n'ai aucun doute
sur le fait que c'est *ce* compte en particulier qui a été
piraté.
Le Mon, 8 Oct 2018 23:02:46 +0200 Olivier Miakinen <om+ a écrit :
Le 08/10/2018 22:22, Yliur a écrit :
> Au passage j'ai voulu essayer le service fourni par Mozilla > depuis peu (déterminer si une adresse électronique est concernée > par une fuite connue) mais ça n'a pas fonctionné : le service de > recherche derrière ne doit pas avoir la fuite concernée dans sa > liste... Je n'en ai pas entendu parler. Tu as un lien explicatif ?
Tu trouveras ça ici : <https://blog.mozilla.org/press-fr/2018/09/25/lancement-de-firefox-monitor-se-proteger-apres-une-fuite-de-donnees/>
Je ne comprends pas bien comment ça pourrait être utile. J'ai ouvert un compte sur un site à priori de confiance, en leur donnant une adresse qu'ils sont les seuls à avoir, et un mot de passe qu'ils sont aussi les seuls à avoir. Mettons qu'un pirate découvre mon compte et mon mot de passe. Il ne va pas le crier sur les toits ! Ou alors juste à mon adresse pour me faire chanter. Comment, dans ces conditions, Mozilla pourrait être au courant ?
Il semblerait que parfois les listes soient publiées, peut-être revendues (?). La personne qui tente de te faire chanter n'est pas forcément le pirate à l'origine de l'accès au site, ça peut être un spammeur quelconque qui a acheté la liste si je comprends bien. Le service qui se trouve derrière celui de Mozilla fournit quelques infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les sections FAQ et Paste notamment. Maintenant ça permet aussi de prendre l'adresse de quelqu'un et de regarder si elle a fuité d'un site ou d'un autre, ce qui peut être un peu personnel... Tu fais peut-être bien d'utiliser des adresses variées, je vais réfléchir à la question :) . Sur cette page, Mozilla indique qu'ils ne publient pas tout sur le site par exemple, justement pour des raisons de confidentialité : <https://blog.mozilla.org/firefox/firefox-monitor-take-control-of-your-data/>.
Le Mon, 8 Oct 2018 23:02:46 +0200
Olivier Miakinen <om+news@miakinen.net> a écrit :
Le 08/10/2018 22:22, Yliur a écrit :
>
>> > Au passage j'ai voulu essayer le service fourni par Mozilla
>> > depuis peu (déterminer si une adresse électronique est concernée
>> > par une fuite connue) mais ça n'a pas fonctionné : le service de
>> > recherche derrière ne doit pas avoir la fuite concernée dans sa
>> > liste...
>>
>> Je n'en ai pas entendu parler. Tu as un lien explicatif ?
>
> Tu trouveras ça ici :
> <https://blog.mozilla.org/press-fr/2018/09/25/lancement-de-firefox-monitor-se-proteger-apres-une-fuite-de-donnees/>
Je ne comprends pas bien comment ça pourrait être utile. J'ai ouvert
un compte sur un site à priori de confiance, en leur donnant une
adresse qu'ils sont les seuls à avoir, et un mot de passe qu'ils sont
aussi les seuls à avoir. Mettons qu'un pirate découvre mon compte et
mon mot de passe. Il ne va pas le crier sur les toits ! Ou alors
juste à mon adresse pour me faire chanter. Comment, dans ces
conditions, Mozilla pourrait être au courant ?
Il semblerait que parfois les listes soient publiées, peut-être
revendues (?). La personne qui tente de te faire chanter n'est pas
forcément le pirate à l'origine de l'accès au site, ça peut être un
spammeur quelconque qui a acheté la liste si je comprends bien.
Le service qui se trouve derrière celui de Mozilla fournit quelques
infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les
sections FAQ et Paste notamment.
Maintenant ça permet aussi de prendre l'adresse de quelqu'un et
de regarder si elle a fuité d'un site ou d'un autre, ce qui peut être
un peu personnel... Tu fais peut-être bien d'utiliser des adresses
variées, je vais réfléchir à la question :) .
Sur cette page, Mozilla indique qu'ils ne publient pas tout sur le
site par exemple, justement pour des raisons de confidentialité :
<https://blog.mozilla.org/firefox/firefox-monitor-take-control-of-your-data/>.
Le Mon, 8 Oct 2018 23:02:46 +0200 Olivier Miakinen <om+ a écrit :
Le 08/10/2018 22:22, Yliur a écrit :
> Au passage j'ai voulu essayer le service fourni par Mozilla > depuis peu (déterminer si une adresse électronique est concernée > par une fuite connue) mais ça n'a pas fonctionné : le service de > recherche derrière ne doit pas avoir la fuite concernée dans sa > liste... Je n'en ai pas entendu parler. Tu as un lien explicatif ?
Tu trouveras ça ici : <https://blog.mozilla.org/press-fr/2018/09/25/lancement-de-firefox-monitor-se-proteger-apres-une-fuite-de-donnees/>
Je ne comprends pas bien comment ça pourrait être utile. J'ai ouvert un compte sur un site à priori de confiance, en leur donnant une adresse qu'ils sont les seuls à avoir, et un mot de passe qu'ils sont aussi les seuls à avoir. Mettons qu'un pirate découvre mon compte et mon mot de passe. Il ne va pas le crier sur les toits ! Ou alors juste à mon adresse pour me faire chanter. Comment, dans ces conditions, Mozilla pourrait être au courant ?
Il semblerait que parfois les listes soient publiées, peut-être revendues (?). La personne qui tente de te faire chanter n'est pas forcément le pirate à l'origine de l'accès au site, ça peut être un spammeur quelconque qui a acheté la liste si je comprends bien. Le service qui se trouve derrière celui de Mozilla fournit quelques infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les sections FAQ et Paste notamment. Maintenant ça permet aussi de prendre l'adresse de quelqu'un et de regarder si elle a fuité d'un site ou d'un autre, ce qui peut être un peu personnel... Tu fais peut-être bien d'utiliser des adresses variées, je vais réfléchir à la question :) . Sur cette page, Mozilla indique qu'ils ne publient pas tout sur le site par exemple, justement pour des raisons de confidentialité : <https://blog.mozilla.org/firefox/firefox-monitor-take-control-of-your-data/>.
JKB
Le Mon, 8 Oct 2018 19:37:17 +0200, Yliur écrivait :
Le 08 Oct 2018 15:44:44 GMT Nicolas George <nicolas$ a écrit :
soit le site utilise un système de haché côté client, mais dans ce cas il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
Pouvoir renvoyer le mot de passe à Madame Michu ? JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Le Mon, 8 Oct 2018 19:37:17 +0200,
Yliur <yliur@free.fr> écrivait :
Le 08 Oct 2018 15:44:44 GMT
Nicolas George <nicolas$george@salle-s.org> a écrit :
soit le site utilise un système de haché côté client, mais dans ce cas
il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
Pouvoir renvoyer le mot de passe à Madame Michu ?
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Le Mon, 8 Oct 2018 19:37:17 +0200, Yliur écrivait :
Le 08 Oct 2018 15:44:44 GMT Nicolas George <nicolas$ a écrit :
soit le site utilise un système de haché côté client, mais dans ce cas il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
Pouvoir renvoyer le mot de passe à Madame Michu ? JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Jean-Pierre Kuypers
In article (Dans l'article) , Yliur wrote (écrivait) :
Le 08 Oct 2018 15:44:44 GMT Nicolas George <nicolas$ a écrit :
soit le site utilise un système de haché côté client, mais dans ce cas il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
La paresse du programmeur ?... Ce n'est quand même pas la mer à boire de chiffrer les mots de passe stockés et, ensuite, lorsque l'utilisateur fournit son mot de passe, de chiffrer celui-là aussi pour comparer le résultat du chiffrement. -- Jean-Pierre Kuypers Veuillez passer les phrases dans leur con- texte avant de stocker sciemment.
In article (Dans l'article) <20181008193717.6fc78a43@free.fr>, Yliur
<yliur@free.fr> wrote (écrivait) :
Le 08 Oct 2018 15:44:44 GMT
Nicolas George <nicolas$george@salle-s.org> a écrit :
> soit le site utilise un système de haché côté client, mais dans ce cas
> il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
La paresse du programmeur ?...
Ce n'est quand même pas la mer à boire de chiffrer les mots de passe
stockés et, ensuite, lorsque l'utilisateur fournit son mot de passe, de
chiffrer celui-là aussi pour comparer le résultat du chiffrement.
--
Jean-Pierre Kuypers
Veuillez passer les phrases dans leur con-
texte avant de stocker sciemment.
In article (Dans l'article) , Yliur wrote (écrivait) :
Le 08 Oct 2018 15:44:44 GMT Nicolas George <nicolas$ a écrit :
soit le site utilise un système de haché côté client, mais dans ce cas il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
La paresse du programmeur ?... Ce n'est quand même pas la mer à boire de chiffrer les mots de passe stockés et, ensuite, lorsque l'utilisateur fournit son mot de passe, de chiffrer celui-là aussi pour comparer le résultat du chiffrement. -- Jean-Pierre Kuypers Veuillez passer les phrases dans leur con- texte avant de stocker sciemment.
Olivier Miakinen
[réponse sur fr.comp.securite, copie cachée à Julien Arlandis] Le 09/10/2018 05:44, Yliur a écrit :
Il semblerait que parfois les listes soient publiées, peut-être revendues (?). La personne qui tente de te faire chanter n'est pas forcément le pirate à l'origine de l'accès au site, ça peut être un spammeur quelconque qui a acheté la liste si je comprends bien. Le service qui se trouve derrière celui de Mozilla fournit quelques infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les sections FAQ et Paste notamment.
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse. <cit. https://haveibeenpwned.com/ (avec mon adresse sans « +news ») > NemoWeb logo NemoWeb: In September 2016, almost 21GB of data from the French website used for "standardised and decentralized means of exchange for publishing newsgroup articles" NemoWeb was leaked from what appears to have been an unprotected Mongo DB. The data consisted of a large volume of emails sent to the service and included almost 3.5M unique addresses, albeit many of them auto-generated. Multiple attempts were made to contact the operators of NemoWeb but no response was received. Compromised data: Email addresses, Names </cit.> -- Olivier Miakinen
[réponse sur fr.comp.securite, copie cachée à Julien Arlandis]
Le 09/10/2018 05:44, Yliur a écrit :
Il semblerait que parfois les listes soient publiées, peut-être
revendues (?). La personne qui tente de te faire chanter n'est pas
forcément le pirate à l'origine de l'accès au site, ça peut être un
spammeur quelconque qui a acheté la liste si je comprends bien.
Le service qui se trouve derrière celui de Mozilla fournit quelques
infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les
sections FAQ et Paste notamment.
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche
mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont
jamais eu de réponse du responsable du site... du coup, je mets Julien
en copie de ma réponse.
<cit. https://haveibeenpwned.com/ (avec mon adresse sans « +news ») >
NemoWeb logo
NemoWeb: In September 2016, almost 21GB of data from the French website
used for "standardised and decentralized means of exchange for
publishing newsgroup articles" NemoWeb was leaked from what appears to
have been an unprotected Mongo DB. The data consisted of a large volume
of emails sent to the service and included almost 3.5M unique addresses,
albeit many of them auto-generated. Multiple attempts were made to
contact the operators of NemoWeb but no response was received.
[réponse sur fr.comp.securite, copie cachée à Julien Arlandis] Le 09/10/2018 05:44, Yliur a écrit :
Il semblerait que parfois les listes soient publiées, peut-être revendues (?). La personne qui tente de te faire chanter n'est pas forcément le pirate à l'origine de l'accès au site, ça peut être un spammeur quelconque qui a acheté la liste si je comprends bien. Le service qui se trouve derrière celui de Mozilla fournit quelques infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les sections FAQ et Paste notamment.
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse. <cit. https://haveibeenpwned.com/ (avec mon adresse sans « +news ») > NemoWeb logo NemoWeb: In September 2016, almost 21GB of data from the French website used for "standardised and decentralized means of exchange for publishing newsgroup articles" NemoWeb was leaked from what appears to have been an unprotected Mongo DB. The data consisted of a large volume of emails sent to the service and included almost 3.5M unique addresses, albeit many of them auto-generated. Multiple attempts were made to contact the operators of NemoWeb but no response was received. Compromised data: Email addresses, Names </cit.> -- Olivier Miakinen
Yliur
Le Tue, 9 Oct 2018 08:59:31 +0000 (UTC) JKB a écrit :
Le Mon, 8 Oct 2018 19:37:17 +0200, Yliur écrivait :
Le 08 Oct 2018 15:44:44 GMT Nicolas George <nicolas$ a écrit :
soit le site utilise un système de haché côté client, mais dans ce cas il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
Pouvoir renvoyer le mot de passe à Madame Michu ?
Mais dans ce cas pourquoi le hacher sur le client ?
Le Tue, 9 Oct 2018 08:59:31 +0000 (UTC)
JKB <jkb@koenigsberg.invalid> a écrit :
Le Mon, 8 Oct 2018 19:37:17 +0200,
Yliur <yliur@free.fr> écrivait :
> Le 08 Oct 2018 15:44:44 GMT
> Nicolas George <nicolas$george@salle-s.org> a écrit :
>
>> soit le site utilise un système de haché côté client, mais dans ce
>> cas il doit stocker les mots de passe en clair.
>
> Quel est l'intérêt de cette pratique ?
Pouvoir renvoyer le mot de passe à Madame Michu ?
Mais dans ce cas pourquoi le hacher sur le client ?
Le Tue, 9 Oct 2018 08:59:31 +0000 (UTC) JKB a écrit :
Le Mon, 8 Oct 2018 19:37:17 +0200, Yliur écrivait :
Le 08 Oct 2018 15:44:44 GMT Nicolas George <nicolas$ a écrit :
soit le site utilise un système de haché côté client, mais dans ce cas il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
Pouvoir renvoyer le mot de passe à Madame Michu ?
Mais dans ce cas pourquoi le hacher sur le client ?
yamo'
Salut, Olivier Miakinen a écrit le 09/10/2018 à 23:43 :
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse.
Si tu n'as pas de réponse, je peux te donner une autre de ses adresses mail. Merci pour la démarche. -- Stéphane
Salut,
Olivier Miakinen a écrit le 09/10/2018 à 23:43 :
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche
mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont
jamais eu de réponse du responsable du site... du coup, je mets Julien
en copie de ma réponse.
Si tu n'as pas de réponse, je peux te donner une autre de ses adresses mail.
Salut, Olivier Miakinen a écrit le 09/10/2018 à 23:43 :
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse.
Si tu n'as pas de réponse, je peux te donner une autre de ses adresses mail. Merci pour la démarche. -- Stéphane
Olivier Miakinen
Le 10/10/2018 11:39, yamo' a écrit :
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse.
Si tu n'as pas de réponse, je peux te donner une autre de ses adresses mail.
Je veux bien, parce que laposte.net me répond que son compte est bloqué.
Merci pour la démarche.
C'est tout naturel. -- Olivier Miakinen
Le 10/10/2018 11:39, yamo' a écrit :
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche
mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont
jamais eu de réponse du responsable du site... du coup, je mets Julien
en copie de ma réponse.
Si tu n'as pas de réponse, je peux te donner une autre de ses adresses mail.
Je veux bien, parce que laposte.net me répond que son compte est bloqué.
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse.
Si tu n'as pas de réponse, je peux te donner une autre de ses adresses mail.
Je veux bien, parce que laposte.net me répond que son compte est bloqué.
Merci pour la démarche.
C'est tout naturel. -- Olivier Miakinen
Olivier Miakinen
Le 10/10/2018 11:57, Olivier Miakinen a écrit :
[Julien Arlandis]
Si tu n'as pas de réponse, je peux te donner une autre de ses adresses mail.
Je veux bien, parce que laposte.net me répond que son compte est bloqué.
Ah, en fait j'en ai une autre, chez gmail.com, qu'il a utilisée hier sur fr.sci.physique. -- Olivier Miakinen
Le 10/10/2018 11:57, Olivier Miakinen a écrit :
[Julien Arlandis]
Si tu n'as pas de réponse, je peux te donner une autre de ses adresses mail.
Je veux bien, parce que laposte.net me répond que son compte est bloqué.
Ah, en fait j'en ai une autre, chez gmail.com, qu'il a utilisée hier
sur fr.sci.physique.
Si tu n'as pas de réponse, je peux te donner une autre de ses adresses mail.
Je veux bien, parce que laposte.net me répond que son compte est bloqué.
Ah, en fait j'en ai une autre, chez gmail.com, qu'il a utilisée hier sur fr.sci.physique.
Il en a encore une autre plus fiable (je t'ai envoyé un mail). -- Stéphane
pehache
Le 09/10/2018 à 11:08, Jean-Pierre Kuypers a écrit :
In article (Dans l'article) , Yliur wrote (écrivait) :
Le 08 Oct 2018 15:44:44 GMT Nicolas George <nicolas$ a écrit :
soit le site utilise un système de haché côté client, mais dans ce
cas
il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
La paresse du programmeur ?... Ce n'est quand même pas la mer à boire de chiffrer les mots de passe stockés et, ensuite, lorsque l'utilisateur fournit son mot de passe, de chiffrer celui-là aussi pour comparer le résultat du chiffrement.
Il me semble aussi. D'ailleurs je pense que la plupart des sites procèdent ainsi.
Le 09/10/2018 à 11:08, Jean-Pierre Kuypers a écrit :
In article (Dans l'article) <20181008193717.6fc78a43@free.fr>, Yliur
<yliur@free.fr> wrote (écrivait) :
Le 08 Oct 2018 15:44:44 GMT
Nicolas George <nicolas$george@salle-s.org> a écrit :
> soit le site utilise un système de haché côté client, mais dans ce
cas
> il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
La paresse du programmeur ?...
Ce n'est quand même pas la mer à boire de chiffrer les mots de passe
stockés et, ensuite, lorsque l'utilisateur fournit son mot de passe, de
chiffrer celui-là aussi pour comparer le résultat du chiffrement.
Il me semble aussi. D'ailleurs je pense que la plupart des sites procèdent
ainsi.
Le 09/10/2018 à 11:08, Jean-Pierre Kuypers a écrit :
In article (Dans l'article) , Yliur wrote (écrivait) :
Le 08 Oct 2018 15:44:44 GMT Nicolas George <nicolas$ a écrit :
soit le site utilise un système de haché côté client, mais dans ce
cas
il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
La paresse du programmeur ?... Ce n'est quand même pas la mer à boire de chiffrer les mots de passe stockés et, ensuite, lorsque l'utilisateur fournit son mot de passe, de chiffrer celui-là aussi pour comparer le résultat du chiffrement.
Il me semble aussi. D'ailleurs je pense que la plupart des sites procèdent ainsi.