M'identifier- France
- > Médecine
- > RENNES
- > Médecin généraliste
- > B. Boutillier
Ce membre peut peut-être vous remplacer professionnellement ?
Sur les forums : Bertrand B.
° Jeu. °
4
Juin 09
Important : hacking de remede.org
Publié le 04/06/09 13:50 - Modifié le 05/06/09 07:49A lire impérativement
Un utilisateur mal intentionné a trouvé une faille javascript qu'il a exploité pendant 3 jours sur le forum. Il a pu extraire automatiquement les mots de passe ENCODÉS des utilisateurs qui ont regardé les 3 sujets concernés. Ceci signifie qu'il n'a pas vos mots de passe en clair. Il existe toutefois un risque qu'il puisse retrouver ce mot de passe en y passant un peu de temps (franchement, je suis le premier à me demander pourquoi faire !). Je vous demande donc de changer vos mots de passe Contacts et Forums sans plus attendre. Si vous avez la mauvaise habitude d'utiliser un mot de passe unique sur le web, je vous encourage à le changer partout où il faudra, et, à ne pas renouveler cette erreur en diversifiant vos passwords ! N'oubliez pas aussi qu'en changer régulièrement est un gage de sécurité supérieur, car aucun site web ne peu assurer une sécurité à 100% de ce coté là. Voilà pour les grandes mesures de précaution, surement inutiles pour la majorité d'entre vous, mais mieux vaut les appliquer dans ce genre de situation.
Enfin, il est évident que nous allons immédiatement porter plainte contre cet utilisateur dont le scénario était (presque) parfait. Que l'intéressé sache quand même que s'il souhaite s'expliquer, il sait où me trouver ... à moins qu'il ne préfère définitivement une garde à vue dans commissariat du nord de la France ...
Liste des sujets concernés infectés :
- http://forums.remede.org/lille_henri_warembourg/sujet_51117.html
- http://forums.remede.org/externat_et_ecn/sujet_47566.html
- http://forums.remede.org/pcem1/sujet_51064.html
PS : Si vous êtes absolument certain de n'avoir vu aucun des 3 sujets, alors vous n'êtes probablement pas concerné.
MAJ : Nous savons maintenant qui est la personne qui a fait ça ... lisez le billet suivant
Enfin, il est évident que nous allons immédiatement porter plainte contre cet utilisateur dont le scénario était (presque) parfait. Que l'intéressé sache quand même que s'il souhaite s'expliquer, il sait où me trouver ... à moins qu'il ne préfère définitivement une garde à vue dans commissariat du nord de la France ...
Liste des sujets concernés infectés :
- http://forums.remede.org/lille_henri_warembourg/sujet_51117.html
- http://forums.remede.org/externat_et_ecn/sujet_47566.html
- http://forums.remede.org/pcem1/sujet_51064.html
PS : Si vous êtes absolument certain de n'avoir vu aucun des 3 sujets, alors vous n'êtes probablement pas concerné.
MAJ : Nous savons maintenant qui est la personne qui a fait ça ... lisez le billet suivant
Billet précédent :
Dernières nouvelles de remede.org : retour aux sources
Dernières nouvelles de remede.org : retour aux sources
Billet suivant :
Hacking : nous savons qui il est ....
Hacking : nous savons qui il est ....
6 commentaires
° Jeu. °
4
Juin 09
A 16:38 par Bertrand Boutillier
Oui décoder du md5 se fait (tout ou presque se fait en informatique), mais faut il encore y trouver une utilité. Pour casser un mot de passe admin, pourquoi pas ... mais bon ... quel utilité de casser le password d'un remédien ici ?
A 16:39 par Guillaume Daboul
Attention, décoder du MD5 à proprement parler, ça ne se fait pas.
Il existe des sites qui ont des bases de données de hash md5, et qui peuvent comparer, ça s'arrête là.
La deuxième possibilité, c'est de retrouver le mot de passe par attaque de type force brute combinée à une attaque type dictionnaire.
Mais là, en fonction de comment est codé le site (avec l'ajout de magic words par exemple), aucuns risques non plus.
Cela ne vous empêche pas de changer vos mots de passe comme l'a conseillé Bertrand, on est jamais trop prudent...
Il existe des sites qui ont des bases de données de hash md5, et qui peuvent comparer, ça s'arrête là.
La deuxième possibilité, c'est de retrouver le mot de passe par attaque de type force brute combinée à une attaque type dictionnaire.
Mais là, en fonction de comment est codé le site (avec l'ajout de magic words par exemple), aucuns risques non plus.
Cela ne vous empêche pas de changer vos mots de passe comme l'a conseillé Bertrand, on est jamais trop prudent...
A 16:46 par Elian Faraj
Dommage, mon deuxième jour d'inscription sur le site, et y'a déjà un problème capable d'affecter mon compte. :o)
Sinon, pour vulgariser ; avec le MD5, on peut en pratique pas faire MDP-Hashé => MDP-En-Clair.
Par contre, on peut faire MDP-En-Clair => MDP-Hashé. Donc si on dispose du MDP hashé et de pas mal de temps à perdre, on peut essayer plein de MDP en clair...
Mais c'est vrai que pour de "simples" remédiens, l'utilité est plus que limitée...
Changer de pass reste tout de même un bon conseil.
Sinon, pour vulgariser ; avec le MD5, on peut en pratique pas faire MDP-Hashé => MDP-En-Clair.
Par contre, on peut faire MDP-En-Clair => MDP-Hashé. Donc si on dispose du MDP hashé et de pas mal de temps à perdre, on peut essayer plein de MDP en clair...
Mais c'est vrai que pour de "simples" remédiens, l'utilité est plus que limitée...
Changer de pass reste tout de même un bon conseil.
A 18:33 par Bertrand Boutillier
Désolé Elian, mais en 12 ans, ce n'est que la seconde alerte. J'ai lancé la procédure pour déposer plainte. Et après être passé par l'OCCCTIC, j'attends des news du srpj de Rennes, un peu surchargé parait il, mais rien ne presse ...
A 21:54 par Elian Faraj
Je suis non-inscrit sur ReMede depuis plus de deux ans, et j'ai l'habitude qu'on tente de me piquer mes pass sur Internet, alors pas grave. ;p
Par contre, belle performance, de l'avoir grillé, parce qu'un exploit de faille Javascript, ça peut permettre de récolter pas mal d'infos pendant longtemps, en toute discrétion ! J'en ai déjà fait les frais.
En revanche, une plainte aboutira-t-elle réellement ? La police se préoccupe rarement de ce qui se passe sur le web. :/ Mais bon, si ça peut dissuader d'autres petits malins d'essayer de faire la même chose, c'est toujours ça de gagné. :)
Par contre, belle performance, de l'avoir grillé, parce qu'un exploit de faille Javascript, ça peut permettre de récolter pas mal d'infos pendant longtemps, en toute discrétion ! J'en ai déjà fait les frais.
En revanche, une plainte aboutira-t-elle réellement ? La police se préoccupe rarement de ce qui se passe sur le web. :/ Mais bon, si ça peut dissuader d'autres petits malins d'essayer de faire la même chose, c'est toujours ça de gagné. :)
° Sam. °
6
Juin 09
A 00:17 par Bertrand Boutillier
V'la qu'on va me reprocher de me soucier de la confidentialité des données que j'héberge !!! Il s'agit tout de même de couples login/password qui peuvent entrainer une usurpation d'identité, voir même l'accès à d'autres services s'il y a cassage du mdp et utilisation du même mdp ailleurs ...
Pour mon contact avec la police, j'avoue avoir été très surpris dans le bon sens : en deux coups de fil j'étais à l'OCLCTIC ou la lieutenant m'a décrit toute la procédure ... c'est assez rare en terme d'administration d'avoir une réponse aussi précise en qqs minutes, enfin d'après mes dernières expériences, en particulier en terme de résultats d'ECN par exemple :D
Pour mon contact avec la police, j'avoue avoir été très surpris dans le bon sens : en deux coups de fil j'étais à l'OCLCTIC ou la lieutenant m'a décrit toute la procédure ... c'est assez rare en terme d'administration d'avoir une réponse aussi précise en qqs minutes, enfin d'après mes dernières expériences, en particulier en terme de résultats d'ECN par exemple :D
Vous devez être inscrit et identifié pour poster un commentaire
Suivez-nous !
