Je viens de recevoir un chantage par courriel (menace
d'envoyer une vidéo compromettante si je n'envoie pas
800 $ en bitcoins).
Je sais qu'une telle vidéo n'existe pas, aussi je ne crains
rien de ce côté là, mais le problème est que pour me faire
peur le maître chanteur m'a écrit à l'adresse avec laquelle
je me suis abonné à /Pour la Science/, et ce en me donnant
le mot de passe que j'avais choisi pour ce compte.
J'utilise une adresse unique et un mot de passe unique pour
chaque site marchand, ce qui fait que je n'ai aucun doute
sur le fait que c'est *ce* compte en particulier qui a été
piraté.
[réponse sur fr.comp.securite, copie cachée à Julien Arlandis] Le 09/10/2018 05:44, Yliur a écrit :
Il semblerait que parfois les listes soient publiées, peut-être revendues (?). La personne qui tente de te faire chanter n'est pas forcément le pirate à l'origine de l'accès au site, ça peut être un spammeur quelconque qui a acheté la liste si je comprends bien. Le service qui se trouve derrière celui de Mozilla fournit quelques infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les sections FAQ et Paste notamment.
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse. <cit. https://haveibeenpwned.com/ (avec mon adresse sans « +news ») > NemoWeb logo NemoWeb: In September 2016, almost 21GB of data from the French website used for "standardised and decentralized means of exchange for publishing newsgroup articles" NemoWeb was leaked from what appears to have been an unprotected Mongo DB. The data consisted of a large volume of emails sent to the service and included almost 3.5M unique addresses, albeit many of them auto-generated. Multiple attempts were made to contact the operators of NemoWeb but no response was received. Compromised data: Email addresses, Names </cit.>
Ah, tiens, la mienne aussi a fuité de chez Nemo... Bon, pas bien grave, c'est une adresse faite pour.
Le 09/10/2018 à 23:43, Olivier Miakinen a écrit :
[réponse sur fr.comp.securite, copie cachée à Julien Arlandis]
Le 09/10/2018 05:44, Yliur a écrit :
Il semblerait que parfois les listes soient publiées, peut-être
revendues (?). La personne qui tente de te faire chanter n'est pas
forcément le pirate à l'origine de l'accès au site, ça peut être un
spammeur quelconque qui a acheté la liste si je comprends bien.
Le service qui se trouve derrière celui de Mozilla fournit quelques
infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les
sections FAQ et Paste notamment.
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche
mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont
jamais eu de réponse du responsable du site... du coup, je mets Julien
en copie de ma réponse.
<cit. https://haveibeenpwned.com/ (avec mon adresse sans « +news ») >
NemoWeb logo
NemoWeb: In September 2016, almost 21GB of data from the French website
used for "standardised and decentralized means of exchange for
publishing newsgroup articles" NemoWeb was leaked from what appears to
have been an unprotected Mongo DB. The data consisted of a large volume
of emails sent to the service and included almost 3.5M unique addresses,
albeit many of them auto-generated. Multiple attempts were made to
contact the operators of NemoWeb but no response was received.
Compromised data: Email addresses, Names
</cit.>
Ah, tiens, la mienne aussi a fuité de chez Nemo... Bon, pas bien grave,
c'est une adresse faite pour.
[réponse sur fr.comp.securite, copie cachée à Julien Arlandis] Le 09/10/2018 05:44, Yliur a écrit :
Il semblerait que parfois les listes soient publiées, peut-être revendues (?). La personne qui tente de te faire chanter n'est pas forcément le pirate à l'origine de l'accès au site, ça peut être un spammeur quelconque qui a acheté la liste si je comprends bien. Le service qui se trouve derrière celui de Mozilla fournit quelques infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les sections FAQ et Paste notamment.
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse. <cit. https://haveibeenpwned.com/ (avec mon adresse sans « +news ») > NemoWeb logo NemoWeb: In September 2016, almost 21GB of data from the French website used for "standardised and decentralized means of exchange for publishing newsgroup articles" NemoWeb was leaked from what appears to have been an unprotected Mongo DB. The data consisted of a large volume of emails sent to the service and included almost 3.5M unique addresses, albeit many of them auto-generated. Multiple attempts were made to contact the operators of NemoWeb but no response was received. Compromised data: Email addresses, Names </cit.>
Ah, tiens, la mienne aussi a fuité de chez Nemo... Bon, pas bien grave, c'est une adresse faite pour.
pehache
Le 10/10/2018 à 13:35, pehache a écrit :
Le 09/10/2018 à 23:43, Olivier Miakinen a écrit :
[réponse sur fr.comp.securite, copie cachée à Julien Arlandis] Le 09/10/2018 05:44, Yliur a écrit :
Il semblerait que parfois les listes soient publiées, peut-être revendues (?). La personne qui tente de te faire chanter n'est pas forcément le pirate à l'origine de l'accès au site, ça peut être un spammeur quelconque qui a acheté la liste si je comprends bien. Le service qui se trouve derrière celui de Mozilla fournit quelques infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les sections FAQ et Paste notamment.
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse. <cit. https://haveibeenpwned.com/ (avec mon adresse sans « +news ») > NemoWeb logo NemoWeb: In September 2016, almost 21GB of data from the French website used for "standardised and decentralized means of exchange for publishing newsgroup articles" NemoWeb was leaked from what appears to have been an unprotected Mongo DB. The data consisted of a large volume of emails sent to the service and included almost 3.5M unique addresses, albeit many of them auto-generated. Multiple attempts were made to contact the operators of NemoWeb but no response was received. Compromised data: Email addresses, Names </cit.>
Ah, tiens, la mienne aussi a fuité de chez Nemo... Bon, pas bien grave, c'est une adresse faite pour.
Zut, je vois que j'en ai une autre qui a fuité de eux, et celle-là c'est plus gênant... Mais je ne comprends pas à la base comment elle a pu se retrouver chez Nemo, à priori je ne me suis jamais inscrit avec chez eux...
Le 10/10/2018 à 13:35, pehache a écrit :
Le 09/10/2018 à 23:43, Olivier Miakinen a écrit :
[réponse sur fr.comp.securite, copie cachée à Julien Arlandis]
Le 09/10/2018 05:44, Yliur a écrit :
Il semblerait que parfois les listes soient publiées, peut-être
revendues (?). La personne qui tente de te faire chanter n'est pas
forcément le pirate à l'origine de l'accès au site, ça peut être un
spammeur quelconque qui a acheté la liste si je comprends bien.
Le service qui se trouve derrière celui de Mozilla fournit quelques
infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les
sections FAQ et Paste notamment.
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche
mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont
jamais eu de réponse du responsable du site... du coup, je mets Julien
en copie de ma réponse.
<cit. https://haveibeenpwned.com/ (avec mon adresse sans « +news ») >
NemoWeb logo
NemoWeb: In September 2016, almost 21GB of data from the French website
used for "standardised and decentralized means of exchange for
publishing newsgroup articles" NemoWeb was leaked from what appears to
have been an unprotected Mongo DB. The data consisted of a large volume
of emails sent to the service and included almost 3.5M unique addresses,
albeit many of them auto-generated. Multiple attempts were made to
contact the operators of NemoWeb but no response was received.
Compromised data: Email addresses, Names
</cit.>
Ah, tiens, la mienne aussi a fuité de chez Nemo... Bon, pas bien grave,
c'est une adresse faite pour.
Zut, je vois que j'en ai une autre qui a fuité de eux, et celle-là c'est
plus gênant... Mais je ne comprends pas à la base comment elle a pu se
retrouver chez Nemo, à priori je ne me suis jamais inscrit avec chez
eux...
[réponse sur fr.comp.securite, copie cachée à Julien Arlandis] Le 09/10/2018 05:44, Yliur a écrit :
Il semblerait que parfois les listes soient publiées, peut-être revendues (?). La personne qui tente de te faire chanter n'est pas forcément le pirate à l'origine de l'accès au site, ça peut être un spammeur quelconque qui a acheté la liste si je comprends bien. Le service qui se trouve derrière celui de Mozilla fournit quelques infos : <https://haveibeenpwned.com/> : dans le menu About en haut, les sections FAQ et Paste notamment.
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse. <cit. https://haveibeenpwned.com/ (avec mon adresse sans « +news ») > NemoWeb logo NemoWeb: In September 2016, almost 21GB of data from the French website used for "standardised and decentralized means of exchange for publishing newsgroup articles" NemoWeb was leaked from what appears to have been an unprotected Mongo DB. The data consisted of a large volume of emails sent to the service and included almost 3.5M unique addresses, albeit many of them auto-generated. Multiple attempts were made to contact the operators of NemoWeb but no response was received. Compromised data: Email addresses, Names </cit.>
Ah, tiens, la mienne aussi a fuité de chez Nemo... Bon, pas bien grave, c'est une adresse faite pour.
Zut, je vois que j'en ai une autre qui a fuité de eux, et celle-là c'est plus gênant... Mais je ne comprends pas à la base comment elle a pu se retrouver chez Nemo, à priori je ne me suis jamais inscrit avec chez eux...
Olivier Miakinen
Le 10/10/2018 13:43, pehache a écrit :
Ah, tiens, la mienne aussi a fuité de chez Nemo... Bon, pas bien grave, c'est une adresse faite pour.
Zut, je vois que j'en ai une autre qui a fuité de eux, et celle-là c'est plus gênant... Mais je ne comprends pas à la base comment elle a pu se retrouver chez Nemo, à priori je ne me suis jamais inscrit avec chez eux...
Si ça se trouve, c'est tout simplement que cette adresse était dans un article de news, qui a été relayé par Nemo comme par tous les serveurs de news ! Noter que sur https://haveibeenpwned.com/ ils disent que de Nemo ont fuité les adresses et les noms mais pas les mots de passe : ce serait cohérent avec cette hypothèse. Quoi qu'il en soit j'ai réussi à contacter Julien, je pense qu'il devrait les contacter eux-mêmes pour en savoir plus -- et pour faire retirer le signalement de Nemoweb si c'était inapproprié. -- Olivier Miakinen
Le 10/10/2018 13:43, pehache a écrit :
Ah, tiens, la mienne aussi a fuité de chez Nemo... Bon, pas bien grave,
c'est une adresse faite pour.
Zut, je vois que j'en ai une autre qui a fuité de eux, et celle-là c'est
plus gênant... Mais je ne comprends pas à la base comment elle a pu se
retrouver chez Nemo, à priori je ne me suis jamais inscrit avec chez
eux...
Si ça se trouve, c'est tout simplement que cette adresse était dans
un article de news, qui a été relayé par Nemo comme par tous les
serveurs de news ! Noter que sur https://haveibeenpwned.com/ ils
disent que de Nemo ont fuité les adresses et les noms mais pas les
mots de passe : ce serait cohérent avec cette hypothèse.
Quoi qu'il en soit j'ai réussi à contacter Julien, je pense qu'il
devrait les contacter eux-mêmes pour en savoir plus -- et pour faire
retirer le signalement de Nemoweb si c'était inapproprié.
Ah, tiens, la mienne aussi a fuité de chez Nemo... Bon, pas bien grave, c'est une adresse faite pour.
Zut, je vois que j'en ai une autre qui a fuité de eux, et celle-là c'est plus gênant... Mais je ne comprends pas à la base comment elle a pu se retrouver chez Nemo, à priori je ne me suis jamais inscrit avec chez eux...
Si ça se trouve, c'est tout simplement que cette adresse était dans un article de news, qui a été relayé par Nemo comme par tous les serveurs de news ! Noter que sur https://haveibeenpwned.com/ ils disent que de Nemo ont fuité les adresses et les noms mais pas les mots de passe : ce serait cohérent avec cette hypothèse. Quoi qu'il en soit j'ai réussi à contacter Julien, je pense qu'il devrait les contacter eux-mêmes pour en savoir plus -- et pour faire retirer le signalement de Nemoweb si c'était inapproprié. -- Olivier Miakinen
Nicolas George
Jean-Pierre Kuypers , dans le message <091020181108085903%, a écrit :
La paresse du programmeur ?... Ce n'est quand même pas la mer à boire de chiffrer les mots de passe stockés et, ensuite, lorsque l'utilisateur fournit son mot de passe, de chiffrer celui-là aussi pour comparer le résultat du chiffrement.
Dans ce cas, le mot de passe chiffré est le vrai mot de passe, et il est donc en clair des deux côtés.
Jean-Pierre Kuypers , dans le message
<091020181108085903%Kuypers@address.invalid>, a écrit :
La paresse du programmeur ?...
Ce n'est quand même pas la mer à boire de chiffrer les mots de passe
stockés et, ensuite, lorsque l'utilisateur fournit son mot de passe, de
chiffrer celui-là aussi pour comparer le résultat du chiffrement.
Dans ce cas, le mot de passe chiffré est le vrai mot de passe, et il est
donc en clair des deux côtés.
Jean-Pierre Kuypers , dans le message <091020181108085903%, a écrit :
La paresse du programmeur ?... Ce n'est quand même pas la mer à boire de chiffrer les mots de passe stockés et, ensuite, lorsque l'utilisateur fournit son mot de passe, de chiffrer celui-là aussi pour comparer le résultat du chiffrement.
Dans ce cas, le mot de passe chiffré est le vrai mot de passe, et il est donc en clair des deux côtés.
Jean-Pierre Kuypers
In article (Dans l'article) <5bbdf8b3$0$3756$, Nicolas George <nicolas$ wrote (écrivait) :
Dans ce cas, le mot de passe chiffré est le vrai mot de passe, et il est donc en clair des deux côtés.
Pas si simple ! Si on fournit le mot de passe chiffré, il se fait chiffrer et le résultat ne correspond pas à ce qui est enregistré. -- Jean-Pierre Kuypers Veuillez passer les phrases dans leur con- texte avant de chiffrer sciemment.
In article (Dans l'article) <5bbdf8b3$0$3756$426a74cc@news.free.fr>,
Nicolas George <nicolas$george@salle-s.org> wrote (écrivait) :
Dans ce cas, le mot de passe chiffré est le vrai mot de passe, et il est
donc en clair des deux côtés.
Pas si simple !
Si on fournit le mot de passe chiffré, il se fait chiffrer et le
résultat ne correspond pas à ce qui est enregistré.
--
Jean-Pierre Kuypers
Veuillez passer les phrases dans leur con-
texte avant de chiffrer sciemment.
In article (Dans l'article) <5bbdf8b3$0$3756$, Nicolas George <nicolas$ wrote (écrivait) :
Dans ce cas, le mot de passe chiffré est le vrai mot de passe, et il est donc en clair des deux côtés.
Pas si simple ! Si on fournit le mot de passe chiffré, il se fait chiffrer et le résultat ne correspond pas à ce qui est enregistré. -- Jean-Pierre Kuypers Veuillez passer les phrases dans leur con- texte avant de chiffrer sciemment.
pehache
Le 10/10/2018 à 13:56, Olivier Miakinen a écrit :
Le 10/10/2018 13:43, pehache a écrit :
Ah, tiens, la mienne aussi a fuité de chez Nemo... Bon, pas bien grave, c'est une adresse faite pour.
Zut, je vois que j'en ai une autre qui a fuité de eux, et celle-là c'est plus gênant... Mais je ne comprends pas à la base comment elle a pu se retrouver chez Nemo, à priori je ne me suis jamais inscrit avec chez eux...
Si ça se trouve, c'est tout simplement que cette adresse était dans un article de news, qui a été relayé par Nemo comme par tous les serveurs de news !
Euh, oui, tout simplement ! je suis con... Du coup je comprends pour l'autre adresse : j'ai posté une fois (une seule) un article de news sur google groups par erreur avec le compte lié à cette adresse. Du coup elle a été publiée. Du coup tout cela n'a pas grand chose à voir avec Nemo. Il y a peut-être eu une fuite chez eux, mais les infos récupérées sont publiques sur n'importe quel serveur de news de toutes façons.
Noter que sur https://haveibeenpwned.com/ ils disent que de Nemo ont fuité les adresses et les noms mais pas les mots de passe : ce serait cohérent avec cette hypothèse. Quoi qu'il en soit j'ai réussi à contacter Julien, je pense qu'il devrait les contacter eux-mêmes pour en savoir plus -- et pour faire retirer le signalement de Nemoweb si c'était inapproprié.
Le 10/10/2018 à 13:56, Olivier Miakinen a écrit :
Le 10/10/2018 13:43, pehache a écrit :
Ah, tiens, la mienne aussi a fuité de chez Nemo... Bon, pas bien grave,
c'est une adresse faite pour.
Zut, je vois que j'en ai une autre qui a fuité de eux, et celle-là c'est
plus gênant... Mais je ne comprends pas à la base comment elle a pu se
retrouver chez Nemo, à priori je ne me suis jamais inscrit avec chez
eux...
Si ça se trouve, c'est tout simplement que cette adresse était dans
un article de news, qui a été relayé par Nemo comme par tous les
serveurs de news !
Euh, oui, tout simplement ! je suis con...
Du coup je comprends pour l'autre adresse : j'ai posté une fois (une
seule) un article de news sur google groups par erreur avec le compte lié
à cette adresse. Du coup elle a été publiée.
Du coup tout cela n'a pas grand chose à voir avec Nemo. Il y a peut-être
eu une fuite chez eux, mais les infos récupérées sont publiques sur
n'importe quel serveur de news de toutes façons.
Noter que sur https://haveibeenpwned.com/ ils
disent que de Nemo ont fuité les adresses et les noms mais pas les
mots de passe : ce serait cohérent avec cette hypothèse.
Quoi qu'il en soit j'ai réussi à contacter Julien, je pense qu'il
devrait les contacter eux-mêmes pour en savoir plus -- et pour faire
retirer le signalement de Nemoweb si c'était inapproprié.
Ah, tiens, la mienne aussi a fuité de chez Nemo... Bon, pas bien grave, c'est une adresse faite pour.
Zut, je vois que j'en ai une autre qui a fuité de eux, et celle-là c'est plus gênant... Mais je ne comprends pas à la base comment elle a pu se retrouver chez Nemo, à priori je ne me suis jamais inscrit avec chez eux...
Si ça se trouve, c'est tout simplement que cette adresse était dans un article de news, qui a été relayé par Nemo comme par tous les serveurs de news !
Euh, oui, tout simplement ! je suis con... Du coup je comprends pour l'autre adresse : j'ai posté une fois (une seule) un article de news sur google groups par erreur avec le compte lié à cette adresse. Du coup elle a été publiée. Du coup tout cela n'a pas grand chose à voir avec Nemo. Il y a peut-être eu une fuite chez eux, mais les infos récupérées sont publiques sur n'importe quel serveur de news de toutes façons.
Noter que sur https://haveibeenpwned.com/ ils disent que de Nemo ont fuité les adresses et les noms mais pas les mots de passe : ce serait cohérent avec cette hypothèse. Quoi qu'il en soit j'ai réussi à contacter Julien, je pense qu'il devrait les contacter eux-mêmes pour en savoir plus -- et pour faire retirer le signalement de Nemoweb si c'était inapproprié.
Erwan David
Yliur écrivait :
Le Tue, 9 Oct 2018 08:59:31 +0000 (UTC) JKB a écrit :
Le Mon, 8 Oct 2018 19:37:17 +0200, Yliur écrivait :
Le 08 Oct 2018 15:44:44 GMT Nicolas George <nicolas$ a écrit :
soit le site utilise un système de haché côté client, mais dans ce cas il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
Pouvoir renvoyer le mot de passe à Madame Michu ?
Mais dans ce cas pourquoi le hacher sur le client ?
C'était utilisé avant la généralisation de TLS, et fonctionne sur un principe de challenge/réponse pour éviter un rejeu : le serveur envoie un challenge (en gros une chaine), le client renvoi un hachage de ce challenge composé avec le mot de passe, que le serveur calcule de son côté avant de comparer les hachages. Mais maintenant le standard est plutôt de protéger toute la connexion, ce qui protège aussi les données autres que le mot de passe. -- Les simplifications c'est trop compliqué
Yliur <yliur@free.fr> écrivait :
Le Tue, 9 Oct 2018 08:59:31 +0000 (UTC)
JKB <jkb@koenigsberg.invalid> a écrit :
Le Mon, 8 Oct 2018 19:37:17 +0200,
Yliur <yliur@free.fr> écrivait :
> Le 08 Oct 2018 15:44:44 GMT
> Nicolas George <nicolas$george@salle-s.org> a écrit :
>
>> soit le site utilise un système de haché côté client, mais dans ce
>> cas il doit stocker les mots de passe en clair.
>
> Quel est l'intérêt de cette pratique ?
Pouvoir renvoyer le mot de passe à Madame Michu ?
Mais dans ce cas pourquoi le hacher sur le client ?
C'était utilisé avant la généralisation de TLS, et fonctionne sur un
principe de challenge/réponse pour éviter un rejeu : le serveur envoie
un challenge (en gros une chaine), le client renvoi un hachage de ce
challenge composé avec le mot de passe, que le serveur calcule de son
côté avant de comparer les hachages.
Mais maintenant le standard est plutôt de protéger toute la connexion,
ce qui protège aussi les données autres que le mot de passe.
Le Tue, 9 Oct 2018 08:59:31 +0000 (UTC) JKB a écrit :
Le Mon, 8 Oct 2018 19:37:17 +0200, Yliur écrivait :
Le 08 Oct 2018 15:44:44 GMT Nicolas George <nicolas$ a écrit :
soit le site utilise un système de haché côté client, mais dans ce cas il doit stocker les mots de passe en clair.
Quel est l'intérêt de cette pratique ?
Pouvoir renvoyer le mot de passe à Madame Michu ?
Mais dans ce cas pourquoi le hacher sur le client ?
C'était utilisé avant la généralisation de TLS, et fonctionne sur un principe de challenge/réponse pour éviter un rejeu : le serveur envoie un challenge (en gros une chaine), le client renvoi un hachage de ce challenge composé avec le mot de passe, que le serveur calcule de son côté avant de comparer les hachages. Mais maintenant le standard est plutôt de protéger toute la connexion, ce qui protège aussi les données autres que le mot de passe. -- Les simplifications c'est trop compliqué
Yliur
Le Wed, 10 Oct 2018 21:55:51 +0200 Erwan David a écrit :
Yliur écrivait :
Le Tue, 9 Oct 2018 08:59:31 +0000 (UTC) JKB a écrit :
Le Mon, 8 Oct 2018 19:37:17 +0200, Yliur écrivait : > Le 08 Oct 2018 15:44:44 GMT > Nicolas George <nicolas$ a écrit : > >> soit le site utilise un système de haché côté client, mais dans >> ce cas il doit stocker les mots de passe en clair. > > Quel est l'intérêt de cette pratique ? Pouvoir renvoyer le mot de passe à Madame Michu ?
Mais dans ce cas pourquoi le hacher sur le client ?
C'était utilisé avant la généralisation de TLS, et fonctionne sur un principe de challenge/réponse pour éviter un rejeu : le serveur envoie un challenge (en gros une chaine), le client renvoi un hachage de ce challenge composé avec le mot de passe, que le serveur calcule de son côté avant de comparer les hachages. Mais maintenant le standard est plutôt de protéger toute la connexion, ce qui protège aussi les données autres que le mot de passe.
D'accord, merci.
Le Wed, 10 Oct 2018 21:55:51 +0200
Erwan David <erwan@rail.eu.org> a écrit :
Yliur <yliur@free.fr> écrivait :
> Le Tue, 9 Oct 2018 08:59:31 +0000 (UTC)
> JKB <jkb@koenigsberg.invalid> a écrit :
>
>> Le Mon, 8 Oct 2018 19:37:17 +0200,
>> Yliur <yliur@free.fr> écrivait :
>> > Le 08 Oct 2018 15:44:44 GMT
>> > Nicolas George <nicolas$george@salle-s.org> a écrit :
>> >
>> >> soit le site utilise un système de haché côté client, mais dans
>> >> ce cas il doit stocker les mots de passe en clair.
>> >
>> > Quel est l'intérêt de cette pratique ?
>>
>> Pouvoir renvoyer le mot de passe à Madame Michu ?
>
> Mais dans ce cas pourquoi le hacher sur le client ?
C'était utilisé avant la généralisation de TLS, et fonctionne sur un
principe de challenge/réponse pour éviter un rejeu : le serveur envoie
un challenge (en gros une chaine), le client renvoi un hachage de ce
challenge composé avec le mot de passe, que le serveur calcule de son
côté avant de comparer les hachages.
Mais maintenant le standard est plutôt de protéger toute la connexion,
ce qui protège aussi les données autres que le mot de passe.
Le Wed, 10 Oct 2018 21:55:51 +0200 Erwan David a écrit :
Yliur écrivait :
Le Tue, 9 Oct 2018 08:59:31 +0000 (UTC) JKB a écrit :
Le Mon, 8 Oct 2018 19:37:17 +0200, Yliur écrivait : > Le 08 Oct 2018 15:44:44 GMT > Nicolas George <nicolas$ a écrit : > >> soit le site utilise un système de haché côté client, mais dans >> ce cas il doit stocker les mots de passe en clair. > > Quel est l'intérêt de cette pratique ? Pouvoir renvoyer le mot de passe à Madame Michu ?
Mais dans ce cas pourquoi le hacher sur le client ?
C'était utilisé avant la généralisation de TLS, et fonctionne sur un principe de challenge/réponse pour éviter un rejeu : le serveur envoie un challenge (en gros une chaine), le client renvoi un hachage de ce challenge composé avec le mot de passe, que le serveur calcule de son côté avant de comparer les hachages. Mais maintenant le standard est plutôt de protéger toute la connexion, ce qui protège aussi les données autres que le mot de passe.
D'accord, merci.
Doug713705
Le 2018-10-08, Olivier Miakinen nous expliquait dans fr.comp.securite (<ppgbbv$1oi9$) :
Le 08/10/2018 19:44, Yliur a écrit :
J'ai eu le même message, mais je ne suis pas abonné à Pour la science. Le mot de passe ressemble à ce que j'aurais pu utiliser, mais je ne me souviens pas pour quel site. Sans doute un auquel je n'ai pas accédé depuis longtemps, donc pas possible de leur faire remonter l'info...
D'où l'intérêt de prendre une adresse différente à chaque fois... et de noter quelque part l'adresse et le mot de passe utilisés !
J'ai reçu récemment d'autres messages du même type ("vidéo compromettante" et demande de rançon bitcoin) mais sans le mot de passe : il se peut que ce soit simplement une méthode en vogue en ce moment ? Ou bien un perfectionnement de la même par les mêmes personnes peut-être. Certains étaient traduits automatiquement en français.
Je venais tout juste de recevoir un message un peu similaire, dont j'ai d'ailleurs parlé sur fr.usenet.abus.d et fr.rec.humour. Mais cet autre message était plus générique et son auteur n'avait pas eu besoin de pirater un site pour cela. Ici, il y a forcément eu piratage. Par ailleurs, j'ai reçu cet après midi un message strictement identique à celui d'hier, au titre près, et provenant d'une autre adresse IP. À tout hasard j'ai signalé les deux adresses ici : https://www.abuseipdb.com/check/187.189.241.56 https://www.abuseipdb.com/check/85.221.236.74 Je ne sais pas si ça veut dire quelque chose, mais ces deux adresses ont été signalées pour la première fois le même jour (le 2/12/2017).
Au passage j'ai voulu essayer le service fourni par Mozilla depuis peu (déterminer si une adresse électronique est concernée par une fuite connue) mais ça n'a pas fonctionné : le service de recherche derrière ne doit pas avoir la fuite concernée dans sa liste...
Je n'en ai pas entendu parler. Tu as un lien explicatif ?
Tu peux tester tes adresses mail et même tes mots de passe ici https://haveibeenpwned.com/ Le site fait une recherche dans une copie d'une base de données qui été rendue publique assez récemment (quelques mois) et qui contient un ensemble (genre 5 milliards) de couples mail/pass collectés au cours de plusieurs fuites. Les mails que vous avez reçus se basent très probablement sur les données de cette base. Dans le lot de victimes il y aura bien une partie pour payer. Les données de la base ont été accessibles un temps mais est aujourd'hui difficile à trouver. Ceux qui ont eu le temps d'en faire une copie ont trouvé un moyen de l'exploiter. -- Nous étions les danseurs d'un monde à l'agonie, En même temps que fantômes conscients d'êtremort-nés. Nous étions fossoyeurs d'un monde à l'agonie. -- H.F. Thiéfaine, Exil Sur planète fantôme
Le 2018-10-08, Olivier Miakinen nous expliquait dans
fr.comp.securite
(<ppgbbv$1oi9$1@cabale.usenet-fr.net>) :
Le 08/10/2018 19:44, Yliur a écrit :
J'ai eu le même message, mais je ne suis pas abonné à Pour la science.
Le mot de passe ressemble à ce que j'aurais pu utiliser, mais je ne me
souviens pas pour quel site. Sans doute un auquel je n'ai pas accédé
depuis longtemps, donc pas possible de leur faire remonter l'info...
D'où l'intérêt de prendre une adresse différente à chaque fois... et
de noter quelque part l'adresse et le mot de passe utilisés !
J'ai reçu récemment d'autres messages du même type ("vidéo
compromettante" et demande de rançon bitcoin) mais sans le mot de
passe : il se peut que ce soit simplement une méthode en vogue en ce
moment ? Ou bien un perfectionnement de la même par les mêmes
personnes peut-être. Certains étaient traduits automatiquement en
français.
Je venais tout juste de recevoir un message un peu similaire, dont
j'ai d'ailleurs parlé sur fr.usenet.abus.d et fr.rec.humour. Mais
cet autre message était plus générique et son auteur n'avait pas eu
besoin de pirater un site pour cela.
Ici, il y a forcément eu piratage. Par ailleurs, j'ai reçu cet
après midi un message strictement identique à celui d'hier, au titre
près, et provenant d'une autre adresse IP.
À tout hasard j'ai signalé les deux adresses ici :
https://www.abuseipdb.com/check/187.189.241.56
https://www.abuseipdb.com/check/85.221.236.74
Je ne sais pas si ça veut dire quelque chose, mais ces deux adresses
ont été signalées pour la première fois le même jour (le 2/12/2017).
Au passage j'ai voulu essayer le service fourni par Mozilla
depuis peu (déterminer si une adresse électronique est concernée par
une fuite connue) mais ça n'a pas fonctionné : le service de
recherche derrière ne doit pas avoir la fuite concernée dans sa liste...
Je n'en ai pas entendu parler. Tu as un lien explicatif ?
Tu peux tester tes adresses mail et même tes mots de passe ici
https://haveibeenpwned.com/
Le site fait une recherche dans une copie d'une base de données qui été
rendue publique assez récemment (quelques mois) et qui contient un ensemble
(genre 5 milliards) de couples mail/pass collectés au cours de plusieurs
fuites.
Les mails que vous avez reçus se basent très probablement sur les
données de cette base. Dans le lot de victimes il y aura bien une partie
pour payer.
Les données de la base ont été accessibles un temps mais est aujourd'hui
difficile à trouver.
Ceux qui ont eu le temps d'en faire une copie ont trouvé un moyen
de l'exploiter.
--
Nous étions les danseurs d'un monde à l'agonie,
En même temps que fantômes conscients d'êtremort-nés.
Nous étions fossoyeurs d'un monde à l'agonie.
-- H.F. Thiéfaine, Exil Sur planète fantôme
Le 2018-10-08, Olivier Miakinen nous expliquait dans fr.comp.securite (<ppgbbv$1oi9$) :
Le 08/10/2018 19:44, Yliur a écrit :
J'ai eu le même message, mais je ne suis pas abonné à Pour la science. Le mot de passe ressemble à ce que j'aurais pu utiliser, mais je ne me souviens pas pour quel site. Sans doute un auquel je n'ai pas accédé depuis longtemps, donc pas possible de leur faire remonter l'info...
D'où l'intérêt de prendre une adresse différente à chaque fois... et de noter quelque part l'adresse et le mot de passe utilisés !
J'ai reçu récemment d'autres messages du même type ("vidéo compromettante" et demande de rançon bitcoin) mais sans le mot de passe : il se peut que ce soit simplement une méthode en vogue en ce moment ? Ou bien un perfectionnement de la même par les mêmes personnes peut-être. Certains étaient traduits automatiquement en français.
Je venais tout juste de recevoir un message un peu similaire, dont j'ai d'ailleurs parlé sur fr.usenet.abus.d et fr.rec.humour. Mais cet autre message était plus générique et son auteur n'avait pas eu besoin de pirater un site pour cela. Ici, il y a forcément eu piratage. Par ailleurs, j'ai reçu cet après midi un message strictement identique à celui d'hier, au titre près, et provenant d'une autre adresse IP. À tout hasard j'ai signalé les deux adresses ici : https://www.abuseipdb.com/check/187.189.241.56 https://www.abuseipdb.com/check/85.221.236.74 Je ne sais pas si ça veut dire quelque chose, mais ces deux adresses ont été signalées pour la première fois le même jour (le 2/12/2017).
Au passage j'ai voulu essayer le service fourni par Mozilla depuis peu (déterminer si une adresse électronique est concernée par une fuite connue) mais ça n'a pas fonctionné : le service de recherche derrière ne doit pas avoir la fuite concernée dans sa liste...
Je n'en ai pas entendu parler. Tu as un lien explicatif ?
Tu peux tester tes adresses mail et même tes mots de passe ici https://haveibeenpwned.com/ Le site fait une recherche dans une copie d'une base de données qui été rendue publique assez récemment (quelques mois) et qui contient un ensemble (genre 5 milliards) de couples mail/pass collectés au cours de plusieurs fuites. Les mails que vous avez reçus se basent très probablement sur les données de cette base. Dans le lot de victimes il y aura bien une partie pour payer. Les données de la base ont été accessibles un temps mais est aujourd'hui difficile à trouver. Ceux qui ont eu le temps d'en faire une copie ont trouvé un moyen de l'exploiter. -- Nous étions les danseurs d'un monde à l'agonie, En même temps que fantômes conscients d'êtremort-nés. Nous étions fossoyeurs d'un monde à l'agonie. -- H.F. Thiéfaine, Exil Sur planète fantôme
Nicolas George
Jean-Pierre Kuypers , dans le message <101020181610207040%, a écrit :
Pas si simple ! Si on fournit le mot de passe chiffré, il se fait chiffrer et le résultat ne correspond pas à ce qui est enregistré.
Si on passe naïvement par l'interface, évidemment. Mais si on envoie soi-même les données, c'est le b-a-ba. Si le site attend pour authentifier une réponse de la forme haché(P×S) où P est le mot de passe, S un sel aléatoire et × une combinaison quelconque, alors le site a besoin de P en clair pour faire le même calcul de son côté. Si S est constant, alors le vrai mot de passe est haché(P×S), et P n'est qu'un moyen mnémotechnique pour le retenir.
Jean-Pierre Kuypers , dans le message
<101020181610207040%Kuypers@address.invalid>, a écrit :
Pas si simple !
Si on fournit le mot de passe chiffré, il se fait chiffrer et le
résultat ne correspond pas à ce qui est enregistré.
Si on passe naïvement par l'interface, évidemment. Mais si on envoie
soi-même les données, c'est le b-a-ba.
Si le site attend pour authentifier une réponse de la forme haché(P×S)
où P est le mot de passe, S un sel aléatoire et × une combinaison
quelconque, alors le site a besoin de P en clair pour faire le même
calcul de son côté.
Si S est constant, alors le vrai mot de passe est haché(P×S), et P n'est
qu'un moyen mnémotechnique pour le retenir.
Jean-Pierre Kuypers , dans le message <101020181610207040%, a écrit :
Pas si simple ! Si on fournit le mot de passe chiffré, il se fait chiffrer et le résultat ne correspond pas à ce qui est enregistré.
Si on passe naïvement par l'interface, évidemment. Mais si on envoie soi-même les données, c'est le b-a-ba. Si le site attend pour authentifier une réponse de la forme haché(P×S) où P est le mot de passe, S un sel aléatoire et × une combinaison quelconque, alors le site a besoin de P en clair pour faire le même calcul de son côté. Si S est constant, alors le vrai mot de passe est haché(P×S), et P n'est qu'un moyen mnémotechnique pour le retenir.
