Cyberattaque sur eBay  : vos données compromises, changez de mot de passe

Cyberattaque sur eBay : vos données compromises, changez de mot de passe

Bientôt une vente aux enchères de données personnelles ?

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

21/05/2014 3 minutes
81

Cyberattaque sur eBay  : vos données compromises, changez de mot de passe

eBay a été victime d'une cyberattaque qui a entraîné une brèche de sécurité sur sa base de données utilisateurs. Cette dernière comprend de nombreuses données personnelles comme les noms et les adresses, mais aussi les mots de passe chiffrés. La société recommande à tous ses utilisateurs de changer de mot de passe.

logo ebay

 

Décidément, les mauvaises nouvelles s'enchaînent dans le domaine de la sécurité informatique et après Orange qui a récemment subi sa seconde attaque en quelques mois, c'est au tour d'eBay de tomber sous les assauts des pirates. Ces derniers ont réussi à récupérer les identifiants et mots de passe d'un « petit nombre d'employés », ce qui leur a permis de pénétrer sur le réseau interne de la société. 

 

De là, ils ont pu accéder à une autre base de données comprenant des données personnelles d'utilisateurs d'eBay, et ce, entre fin février et le mois de mars. Il est question du nom, de l'adresse email, de l'adresse postale, du numéro de téléphone, de la date de naissance ainsi que du mot de passe chiffré. La société ne précise par contre pas le niveau de chiffrement, difficile donc d'en savoir plus.

 

eBay tient par contre à préciser que les données bancaires n'ont pas été compromises, étant donné qu'elles sont stockées séparément et de manière chiffrée. Mais là encore sans plus de détails sur la méthode utilisée. En tout état de cause, eBay ajoute qu'elle n'a « aucune indication d'une augmentation d'une activité frauduleuse des comptes. La société ajoute qu'elle n'a pas de preuve d'un accès non autorisé aux données personnelles ou financières des utilisateurs de PayPal. Les données de Paypal sont stockées séparément sur un réseau sécurisé, tandis que des informations bancaires de Paypal sont chiffrées ».

 

Quoi qu'il en soit, la prudence est de mise et il est plus que recommandé de changer votre mot de passe, ce qui est d'ailleurs aussi préconisé par eBay. En effet, interrogé par nos confrères de TechCrunch sur l'étendue des dégâts, un responsable de la société pense « qu'il peut y avoir un grand nombre de comptes concernés ». Elle demande donc « à tous les utilisateurs d'eBay de changer leurs mots de passe ».

 

Si vous avez utilisé le même mot de passe sur plusieurs services, ce qui n'est pas une bonne idée à la base, il faudra alors également les changer pour éviter tout risque. Un message allant dans ce sens sera d'ailleurs prochainement envoyé à tous ses utilisateurs.

81

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (81)


De plus en plus génial le Net.

A quand PayPal ?


Site d’amateurs ! J’espère qu’ils vont couler. Les sociétés qui ne prennent pas au sérieux la sécurité de leurs clients doivent fermer.








kade a écrit :



De plus en plus génial le Net.





Ouais c’était bien mieux avant. Tout fout le camp.



Les mots de passes sont chiffrés ? C’est mieux salé au petit oignon et finement hashé.


L’attaque a eu lieu il y a 2 mois et eBay prévient ses clients uniquement maintenant ? Ou ils viennent seulement de découvrir l’attaque ?




les mots de passe chiffrés



Pourquoi un site comme ebay stocke des mots de passe dans une DB ?? Je ne comprends vraiment pourquoi ils ont fait çà au lieu de stocker des hashes.


C’est très bien de parler à Techcrunch. Mais un e-mail à leurs inscrits, ça ne serait pas mieux pour les avertir ? <img data-src=" />


On nous espionne, on nous vol, wallah minitel 2.0 <img data-src=" />


Ça devient un peu relou là..








TZDZ a écrit :



Ouais c’était bien mieux avant. Tout fout le camp.





Surtout les données personnelles <img data-src=" />









Jarodd a écrit :



C’est très bien de parler à Techcrunch. Mais un e-mail à leurs inscrits, ça ne serait pas mieux pour les avertir ? <img data-src=" />







Ils ont annoncé qu’ils allaient envoyer un message à tout le monde, mais ils préviennent peut être en amont histoire que les utilisateurs ne croient pas simplement à une campagne phishing ;)









hadoken a écrit :



Pourquoi un site comme ebay stocke des mots de passe dans une DB ?? Je ne comprends vraiment pourquoi ils ont fait çà au lieu de stocker des hashes.







J’imagine que c’est ce qu’ils veulent dire quand ils disent “chiffré”

Mais encore une fois ce n’est pas suffisant … rien de mieux que le hashé + salé …



Pour “le bon coin”, ça va pas tarder, d’ici deux ou trois ans. Mais les données seront moins lucratives <img data-src=" />








tAran a écrit :



Ça devient un peu relou là..







Ouais c’est clair, même le commissaire Bialès est d’accord avec nous.









kade a écrit :



Surtout les données personnelles <img data-src=" />







<img data-src=" />



Et voilà j’ai l’air d’un con devant mon écran









atomusk a écrit :



J’imagine que c’est ce qu’ils veulent dire quand ils disent “chiffré”

Mais encore une fois ce n’est pas suffisant … rien de mieux que le hashé + salé …





Dans le communiqué c’est écrit “encrypted passwords”, ce qui n’a rien à voir avec un hash. Dans tous les cas WTF quoi, on ne stocke JAMAIS de passwords (chiffrés ou non) et on ne confond pas “password chiffré” avec “password hashé” dans un communiqué !



La sécurité prend cher ces derniers temps <img data-src=" />







Si vous avez utilisé le même mot de passe sur plusieurs services, ce qui n’est pas une bonne idée à la base, il faudra alors également les changer pour éviter tout risque.





Je plussoie. D’où l’idée de bien choisir ses mdp, comme exemple dans ce topic.








Crysalide a écrit :



L’attaque a eu lieu il y a 2 mois et eBay prévient ses clients uniquement maintenant ? Ou ils viennent seulement de découvrir l’attaque ?







Meme question <img data-src=" />









hadoken a écrit :



Dans le communiqué c’est écrit “encrypted passwords”, ce qui n’a rien à voir avec un hash. Dans tous les cas WTF quoi, on ne stocke JAMAIS de passwords (chiffrés ou non) et on ne confond pas “password chiffré” avec “password hashé” dans un communiqué !







Sauf si ton communiqué est destiné au grand public qui ne sait pas ce qu’est le “hashage”(boucherie, machette) mais connais le chiffrement (agent secret/ sécurité) <img data-src=" />



Dans tous les cas, un mot de passe “hashé” reste une sorte de “chiffrage” : il n’est pas reconnaissable par une personne le lisant. maintenant on est d’accord, pour des personnes qui connaissent les termes, c’est pas très serieux <img data-src=" />









Amnesiac a écrit :



Je plussoie. D’où l’idée de bien choisir ses mdp, comme exemple dans ce topic.







Pour ça que certains sites de banques font plus simple avec 4 chiffres !









atomusk a écrit :



Sauf si ton communiqué est destiné au grand public qui ne sait pas ce qu’est le “hashage”(boucherie, machette) mais connais le chiffrement (agent secret/ sécurité) <img data-src=" />



Dans tous les cas, un mot de passe “hashé” reste une sorte de “chiffrage” : il n’est pas reconnaissable par une personne le lisant. maintenant on est d’accord, pour des personnes qui connaissent les termes, c’est pas très serieux <img data-src=" />







J’écoute UVB-76 H24. Peut-être que je vais entendre parler de ma CB <img data-src=" />









atomusk a écrit :



Sauf si ton communiqué est destiné au grand public qui ne sait pas ce qu’est le “hashage”(boucherie, machette) mais connais le chiffrement (agent secret/ sécurité) <img data-src=" />



Dans tous les cas, un mot de passe “hashé” reste une sorte de “chiffrage” : il n’est pas reconnaissable par une personne le lisant. maintenant on est d’accord, pour des personnes qui connaissent les termes, c’est pas très serieux <img data-src=" />





Perso je saute au plafond en lisant leur truc !! Ils disent littéralement qu’ils stockaient des passwords chiffrés, donc qu’ils stockaient des passwords, ce qui est juste n’importe quoi niveau sécurité.

Et franchement ils devaient bien s’attendre à ce que des sites web un peu spécialisés relayent l’info, du coup franchement çà fait amateur c’est horrible <img data-src=" />









kade a écrit :



J’écoute UVB-76 H24. Peut-être que je vais entendre parler de ma CB <img data-src=" />







OMG cet avatar est encore là ! Non, je ne le commenterai plus, je te le promet !



Ok, je sors ! —–&gt; [ ]



Merde, sinon je vais devoir me connecter à mon compte eBay, juste pour changer mon MdP…



<img data-src=" />



<img data-src=" />









XalG a écrit :



Pour ça que certains sites de banques font plus simple avec 4 chiffres !





C’est ça <img data-src=" />

Et 9 fois sur 10, c’est une année de naissance <img data-src=" />D:









matroska a écrit :



OMG cet avatar est encore là ! Non, je ne le commenterai plus, je te le promet !



<img data-src=" />







<img data-src=" /> + <img data-src=" />



Je le garde tant qu’on en entend parler. Je pensais ce truc éphémère mais c’est une marque de fabrique de notre prés’ <img data-src=" />









kade a écrit :



<img data-src=" /> + <img data-src=" />



Je le garde tant qu’on en entend parler. Je pensais ce truc éphémère mais c’est une marque de fabrique de notre prés’ <img data-src=" />





Je sais pas si ils vont revenir en France légalement, le père a fait de faux papier pour avoir un passeport Croate ou je ne sais plus quel pays <img data-src=" />



Super Ebay ! Bien classe.

Au passage, j’apprécie particulièrement la simplicité avec laquelle on peut trouver comment changer le mot de passe (ça fait partie de la section “Coordonnées”, c’est d’une logique… <img data-src=" />).



Pour ceux qui voudraient aller au plus vite, un lien direct qui devrait normalement fonctionner :

https://signin.ebay.fr/ws/eBayISAPI.dll?ChangePasswordAndCreateHint&isForgot…



Enjoy! <img data-src=" />


Mots de passe eBay et Paypal changés.



Maintenant il va falloir que je n’oublies pas les nouveaux. ^^;


J’espère ne pas être toucher, je vais changer mon mdp.


Et la question secrète aussi elle est compromise ?








Citan666 a écrit :



Super Ebay ! Bien classe.

Au passage, j’apprécie particulièrement la simplicité avec laquelle on peut trouver comment changer le mot de passe (ça fait partie de la section “Coordonnées”, c’est d’une logique… <img data-src=" />).



Pour ceux qui voudraient aller au plus vite, un lien direct qui devrait normalement fonctionner :

https://signin.ebay.fr/ws/eBayISAPI.dll?ChangePasswordAndCreateHint&isForgot…



Enjoy! <img data-src=" />







Pas concerné par Ebay, mais je viens de le changer pour Paypal et là c’est un peu plus sérieux, ils redemandent même le numéro de CB complet.









atomusk a écrit :



Mais encore une fois ce n’est pas suffisant … rien de mieux que le hashé + salé …





Avec une bonne sauce et un peu de poivre, cuit saignant…



A l’époque du HTML5 avec stockage local, on devrait avoir le choix de pouvoir stocker ses infos personnelles uniquement dans le navigateur.

Bien sûr, les données ne navigueraient pas d’un poste à l’autre (ou alors on a activé la synchro,et je fais plus confiance à ebay pour la sécurité qu’à Mozilla en fait), mais pour un site comme ebay, même si on enchérit sur plusieur sposte,s on peut toujours finaliser un achat/vente sur un seul et même poste.


Il semblerait que les hackeurs aient visité eBay entre fin février et début mars. eBay demande aujourd’hui à ses utilisateurs de changer de mot de passe. Sa réaction est un peu tardive, non ?








Crysalide a écrit :



L’attaque a eu lieu il y a 2 mois et eBay prévient ses clients uniquement maintenant ? Ou ils viennent seulement de découvrir l’attaque ?







Ebay vous a-t-il prévenu?

Moi pas!



De plus, combien de sites vous ont informé sur le problème heatbleed?

Perso, aucuns! Ceci comprend banque, carte de crédit, FAI…



Bref, on ne communique pas sur les “problèmes”… question d’image…



Étonant, non?



A+

Debcool









Debcool a écrit :



Ebay vous a-t-il prévenu?

Moi pas!



De plus, combien de sites vous ont informé sur le problème heatbleed?

Perso, aucuns! Ceci comprend banque, carte de crédit, FAI…



Bref, on ne communique pas sur les “problèmes”… question d’image…



Étonant, non?



A+

Debcool







Les comptes des utilisateurs d’eBay sont susceptibles d’être hacké, et toi, tu trouves normal qu’eBay ne communique que deux mois après l’attaque, parce qu’elle doit soigner son image.<img data-src=" />



Ta réaction est effarante. Je te conseille même d’appeler eBay et de lui dire qu’il a tout ton soutien dans cette dure épreuve……<img data-src=" />









gathor a écrit :



Ils ont annoncé qu’ils allaient envoyer un message à tout le monde, mais ils préviennent peut être en amont histoire que les utilisateurs ne croient pas simplement à une campagne phishing ;)







C’est le moment de lancer les campagnes de fishing <img data-src=" />









Yzokras a écrit :



Site d’amateurs ! J’espère qu’ils vont couler. Les sociétés qui ne prennent pas au sérieux la sécurité de leurs clients doivent fermer.







Euh tu sais que la sécurité informatique n’est pas infaillible ? Oublie pas que c’est l’homme qui est à l’origine de tout ça….









kade a écrit :



<img data-src=" /> + <img data-src=" />



Je le garde tant qu’on en entend parler. Je pensais ce truc éphémère mais c’est une marque de fabrique de notre prés’ <img data-src=" />







Bah là l’affaire est revenue dans les médias récemment ! Ok, ok, j’arrête !



<img data-src=" />



<img data-src=" />









Citan666 a écrit :



Super Ebay ! Bien classe.

Au passage, j’apprécie particulièrement la simplicité avec laquelle on peut trouver comment changer le mot de passe (ça fait partie de la section “Coordonnées”, c’est d’une logique… <img data-src=" />).



Pour ceux qui voudraient aller au plus vite, un lien direct qui devrait normalement fonctionner :

https://signin.ebay.fr/ws/eBayISAPI.dll?ChangePasswordAndCreateHint&isForgot…



Enjoy! <img data-src=" />







Ah je ne suis pas le seul à avoir un peu lutté <img data-src=" />









hadoken a écrit :



Perso je saute au plafond en lisant leur truc !! Ils disent littéralement qu’ils stockaient des passwords chiffrés, donc qu’ils stockaient des passwords, ce qui est juste n’importe quoi niveau sécurité.

Et franchement ils devaient bien s’attendre à ce que des sites web un peu spécialisés relayent l’info, du coup franchement çà fait amateur c’est horrible <img data-src=" />







Je peux savoir comment tu fais pour comparer si tu n’as pas de base de comparaison ?

Evidemment que le user+password est stocké, il n’y a aucune autre solution possible.



Edit : à moins de faire 1+2=3 et stocker 3 (je fais simple, mais je me demande ci c’est possible et surtout fiable)









Citan666 a écrit :



Super Ebay ! Bien classe.

Au passage, j’apprécie particulièrement la simplicité avec laquelle on peut trouver comment changer le mot de passe (ça fait partie de la section “Coordonnées”, c’est d’une logique… <img data-src=" />).



Pour ceux qui voudraient aller au plus vite, un lien direct qui devrait normalement fonctionner :

https://signin.ebay.fr/ws/eBayISAPI.dll?ChangePasswordAndCreateHint&isForgot…



Enjoy! <img data-src=" />





Tu t’essaie au pishing ? <img data-src=" />









Aloyse57 a écrit :



Je peux savoir comment tu fais pour comparer si tu n’as pas de base de comparaison ?

Evidemment que le user+password est stocké, il n’y a aucune autre solution possible.







Je suppose qu’il est trop intelligent pour se faire embaucher à la NSA, et qu’il a des leçons à donner à toutes les sociétés comme OVH ou Google pour la question de la sécurité.



Sinon j’ai deja plus de compte Ebay depuis… 2012. J’en avais marre d’être pris comme une vache à lait en tant que vendeur.




je comprends pas : je viens de changer de mot de passe mais c’est toujours l’ancien mot de passe qui fonctionne








iosys a écrit :



Je suppose qu’il est trop intelligent pour se faire embaucher à la NSA, et qu’il a des leçons à donner à toutes les sociétés comme OVH ou Google pour la question de la sécurité.



Sinon j’ai deja plus de compte Ebay depuis… 2012. J’en avais marre d’être pris comme une vache à lait en tant que vendeur.







Allez soit sympa, partage tes connaissances. Je suis un con, certes, mais curieux.



Compte ebay fermé en 2009. Des escrocs sur les frais insoutenables <img data-src=" />


Jviens de remarquer que j’ai changé mon mot de passe paypal il y a 2 jours, et je viens de vérifier à l’instant mon mot de passe ebay… c’est le même. Trop content ça sera que la 15ème fois que je change de mot de passe paypal…








misterdupond a écrit :



Compte ebay fermé en 2009. Des escrocs sur les frais insoutenables <img data-src=" />





ebay c’est bien que pour acheter on peut faire de bonnes affaires, mais pour vendre là c’est abusé les frais qu’ils prennent



Si les pirates sont malins ils ont probablement aussi récupéré la base des question/réponses secrètes…donc au-delà de changer les mots de passe associés au compte email volé sur d’autres services, il serait sans doute bien de changer aussi la phrase secrète associée à cette même adresse email sur les autres services (et sur ebay bien sûr).

Have fun.








Yzokras a écrit :



Site d’amateurs ! J’espère qu’ils vont couler. Les sociétés qui ne prennent pas au sérieux la sécurité de leurs clients doivent fermer.





C’est impossible d’être complètement protégé contre toute attaque. Par contre, pour se protéger il faut par exemple éviter de stocker des données qui ne servent à rien (adresse, date de naissance…). Et en cela eBay et bien d’autres sont effectivement des pourris qui ne pensent qu’à se gorger de données (sans parler, pour certains, de carrément les numéros de CB), quels que soient les risques ainsi générés pour les utilisateurs…

Après, à chaque fois le focus est sur les mots de passe… Quand ceux-ci sont hachés et qu’en tant qu’utilisateur on prend des mots de passe solides et variés, c’est tout simplement même pas la peine de changer…



Bien si mon argent disparait tout seul je saurai pourquoi.

Je savais pas comment occuper mon temps libre (enfin c’est ce qu’ils doivent croire chez ebay). <img data-src=" />








Nerdebeu a écrit :



Pas concerné par Ebay, mais je viens de le changer pour Paypal et là c’est un peu plus sérieux, ils redemandent même le numéro de CB complet.



<img data-src=" />

Vérifie bien que tu étais le site de Paypal : pour ma part, ils ne m’ont rien demandé.









kwak-kwak a écrit :



<img data-src=" />

Vérifie bien que tu étais le site de Paypal : pour ma part, ils ne m’ont rien demandé.





Oups, ils demandent bien le numéro de CB lors du changement de mot de passe









atomusk a écrit :



Sauf si ton communiqué est destiné au grand public qui ne sait pas ce qu’est le “hashage”(boucherie, machette) mais connais le chiffrement (agent secret/ sécurité) <img data-src=" />



Dans tous les cas, un mot de passe “hashé” reste une sorte de “chiffrage” : il n’est pas reconnaissable par une personne le lisant. maintenant on est d’accord, pour des personnes qui connaissent les termes, c’est pas très serieux <img data-src=" />





Tant que PCI ne parle pas de “crypter” ou de “cryptage”<img data-src=" />









Twiz a écrit :



J’espère ne pas être toucher, je vais changer mon mdp.





Enlève ton masque Toucher je t’ai reconnu. <img data-src=" />

=========&gt; <img data-src=" />









bojack9512 a écrit :



Jviens de remarquer que j’ai changé mon mot de passe paypal il y a 2 jours, et je viens de vérifier à l’instant mon mot de passe ebay… c’est le même. Trop content ça sera que la 15ème fois que je change de mot de passe paypal…





Tu découvre la liaison entre Ebay et Paypal ? <img data-src=" />



Mais tout ça c’est lié :

-Ebay

-Michael Bay

-PayPal

-Transformers, qui apprennent le terrien sur le Web et retrouvent Sam par ses lunettes sur… Ebay. Boucle bouclée.

<img data-src=" /><img data-src=" />









Yzokras a écrit :



Site d’amateurs ! J’espère qu’ils vont couler. Les sociétés qui ne prennent pas au sérieux la sécurité de leurs clients doivent fermer.





Tu relèves le défi de faire mieux que les amateurs ? <img data-src=" />









Aloyse57 a écrit :



Je peux savoir comment tu fais pour comparer si tu n’as pas de base de comparaison ?

Evidemment que le user+password est stocké, il n’y a aucune autre solution possible.



Edit : à moins de faire 1+2=3 et stocker 3 (je fais simple, mais je me demande ci c’est possible et surtout fiable)









iosys a écrit :



Je suppose qu’il est trop intelligent pour se faire embaucher à la NSA, et qu’il a des leçons à donner à toutes les sociétés comme OVH ou Google pour la question de la sécurité.





N’importe quoi…

Soit vous le faites exprès soit vous n’y connaissez vraiment rien….





Bon allez je suis sympa je vous explique :



Solution 1 : on stocke des passwords chiffrés. C’est à dire que même sous une forme chiffrée, le mot de passe est présent en base de données et on utilise une fonction de chiffrage symétrique pour chiffrer/déchiffrer le mot de passe. Donc si on met la main sur cette fonction et la base de données, on récupère les mots de passe.



Solution 2 : on stocke des hashs de password. Allez vous cultiver un peu sur wikipédia, mais en 2 mots un hash est le résultat d’une opération effectuée sur le password, mais qui n’est pas symétrique. A la connexion d’un utilisateur on hashe le mot de passe et on compare avec le hash stocké en base. Si la base est compromise, seuls des hashs sont dans la nature, mais on ne peut pas retrouver les mots de passe car la fonction de hash est non symétrique. Les passwords ne sont jamais connus. Seule le résultat d’une opération mathématique sur le password est connu.







C’est bon la NSA peut m’embaucher ? <img data-src=" /> <img data-src=" />





N’importe qui sait çà, eBay les premiers (faut espérer…..), c’est juste leur communiqué qui est ridiculement formulé.<img data-src=" />



enfin tout depend de ta fonction de hashage hein…





parce que retrouver un mot de passe simplement hashé. c’est pas toujours si compliqué que ca.








Aloyse57 a écrit :



Je peux savoir comment tu fais pour comparer si tu n’as pas de base de comparaison ?

Evidemment que le user+password est stocké, il n’y a aucune autre solution possible.



Edit : à moins de faire 1+2=3 et stocker 3 (je fais simple, mais je me demande ci c’est possible et surtout fiable)







Pour completer ce qui a été dit juste avant et faire un chouilla moins condescendant (<img data-src=" />), en gros tu fais une fonction qui n’est pas “inversible”.



Par exemple : MD5 : un algo maitrisé, que tout le monde connais et dont on sait mathématiquement qu’il est impossible de retrouver le contenu hashé à partie de la clé de hash.

Donc si ton mot de passe est ‘test123”, le résultat est une clé (au pif, j’ai pas un soft md5 sous la main), ça donne “3AA15afDsdD31”.



Si on te donne ce “hash md5” impossible de retrouver le mot de passe associé

Maintenant si un utilisateur se log et renseigne le mdp test, tu n’as qu’à vérifier si functionMD5(test123) = “ 3AA15afDsdD31”. Si vrai, alors soit il a renseigné “test123” soit il a réussi à trouver l’autre mot de passe qui a pour hash md5 “3AA15afDsdD31” … traduction : bon courage <img data-src=" />







Maintenant ça reste TRES loin d’être parfait (d’où la GROSSE reco de EBAY de changer les mdp). Le défaut c’est qu’il est très facile de prendre les 1000 mdp les plus utilisés et un bon paquet de mots de dictionnaire et de faire un functionMD5(xxx) pour avoir un hash.

Donc maintenant si tu te fais un table contenant tous les hash des mdp les plus classiques et leur variation, le mec qui a trouvé le hash “3AA15afDsdD31” dans la base … connais maintenant ton password <img data-src=" />

Donc couplé à un mdp faible, le simple hash est juste inutile <img data-src=" />



La dessus la solution, c’est ce qu’on appelle le salage + hash. En gros, même principe, mais au moment où on crée ton compte, on génère une clé aléatoire (qu’on peut stocker à coté de ton mdp), et on fait une fonction functionHASH(“test”+clé de salage) = “lkf!eAZEza22”.



En gros on a “pollué” ton hash avec un clé aléatoire. Vu qu’il n’existe pas de rainbow table existante “avec ta clé de salage”, le hacker va devoir se créer une rainbow table par clé de salage … déjà LARGEMENT plus long à mettre en place et avec un retour sur investissement LARGEMENT plus réduit <img data-src=" />



Avec un mdp faible tu es toujours à risque … mais largement moins … <img data-src=" />



J’espère que j’ai été assez clair <img data-src=" />









psn00ps a écrit :



Tu découvre la liaison entre Ebay et Paypal ? <img data-src=" />



Mais tout ça c’est lié :

-Ebay

-Michael Bay

-PayPal

-Transformers, qui apprennent le terrien sur le Web et retrouvent Sam par ses lunettes sur… Ebay. Boucle bouclée.

<img data-src=" /><img data-src=" />







Non ce que je voulais dire c’est que je me souvenais plus de mon mot de passe ebay, et au final c’est comme par hasard le mot de passe que j’ai mis sur mon compte paypal il y a deux jours. Du coup j’ai du rechanger les mot de passes des deux sites au cas où.







atomusk a écrit :



Si vrai, alors soit il a renseigné “test123” soit il a réussi à trouver l’autre mot de passe qui a pour hash md5 “3AA15afDsdD31” … traduction : bon courage <img data-src=" />







J’imagine la gueule du mec qui a un mot de passe de 25 caractères complètement random qui se fait bruteforce en 2 minutes parce qu’il avait le même hash que “test123”.<img data-src=" />



“Si vous avez utilisé le même mot de passe sur plusieurs services, ce qui n’est pas une bonne idée à la base, il faudra alors également les changer pour éviter tout risque. Un message allant dans ce sens sera d’ailleurs prochainement envoyé à tous ses utilisateurs.”



… Tu as combien de mot de passe à retenir dans ce cas ?

Soyons réaliste.


Perso, pas réussi à trouver où change le mot de passe sur ebay <img data-src=" />



J’ai dû faire “j’ai oublié mon mot de passe” <img data-src=" />

J’en ai profité pour changer mon adresse de compte ,tiens.



Après, tout le monde a beau gueulé sur la sécu de ce genre de site mais , une maintenance de faille n’est pas si simple …








kwak-kwak a écrit :



<img data-src=" />

Vérifie bien que tu étais le site de Paypal : pour ma part, ils ne m’ont rien demandé.









Aucun doute, j’ai rentré l’url complète pour y aller <img data-src=" />



Et je n’ai jamais rien eu à voir avec Ebay de près ou de loin, de plus j’ai reçu le mail de confirmation de PayPal de changement de mdp me disant “si vous n’êtes pas à l’origine du changement contactez nous à tel numéro”. C’est toi qui devrais t’inquiéter <img data-src=" />









atomusk a écrit :



Pour completer ce qui a été dit juste avant et faire un chouilla moins condescendant (<img data-src=" />), en gros tu fais une fonction qui n’est pas “inversible”.



Par exemple : MD5 : un algo maitrisé, que tout le monde connais et dont on sait mathématiquement qu’il est impossible de retrouver le contenu hashé à partie de la clé de hash.

Donc si ton mot de passe est ‘test123”, le résultat est une clé (au pif, j’ai pas un soft md5 sous la main), ça donne “3AA15afDsdD31”.



Si on te donne ce “hash md5” impossible de retrouver le mot de passe associé

Maintenant si un utilisateur se log et renseigne le mdp test, tu n’as qu’à vérifier si functionMD5(test123) = “ 3AA15afDsdD31”. Si vrai, alors soit il a renseigné “test123” soit il a réussi à trouver l’autre mot de passe qui a pour hash md5 “3AA15afDsdD31” … traduction : bon courage <img data-src=" />







Maintenant ça reste TRES loin d’être parfait (d’où la GROSSE reco de EBAY de changer les mdp). Le défaut c’est qu’il est très facile de prendre les 1000 mdp les plus utilisés et un bon paquet de mots de dictionnaire et de faire un functionMD5(xxx) pour avoir un hash.

Donc maintenant si tu te fais un table contenant tous les hash des mdp les plus classiques et leur variation, le mec qui a trouvé le hash “3AA15afDsdD31” dans la base … connais maintenant ton password <img data-src=" />

Donc couplé à un mdp faible, le simple hash est juste inutile <img data-src=" />



La dessus la solution, c’est ce qu’on appelle le salage + hash. En gros, même principe, mais au moment où on crée ton compte, on génère une clé aléatoire (qu’on peut stocker à coté de ton mdp), et on fait une fonction functionHASH(“test”+clé de salage) = “lkf!eAZEza22”.



En gros on a “pollué” ton hash avec un clé aléatoire. Vu qu’il n’existe pas de rainbow table existante “avec ta clé de salage”, le hacker va devoir se créer une rainbow table par clé de salage … déjà LARGEMENT plus long à mettre en place et avec un retour sur investissement LARGEMENT plus réduit <img data-src=" />



Avec un mdp faible tu es toujours à risque … mais largement moins … <img data-src=" />



J’espère que j’ai été assez clair <img data-src=" />







Alors juste à titre informatif, il faut bannir l’utilisation du md5. A part si c’est pour contrôler l’intégrité d’un fichier dont la criticité est nulle éventuellement. Il est possible de trouver des collisions (même hash pour mdp différent) via un md5 très facilement avec les outils adaptés.





J’espère sincèrement qu’eBay n’utilisait pas du md5…









Nerdebeu a écrit :



Aucun doute, j’ai rentré l’url complète pour y aller <img data-src=" />





Si t’étais un vrai bonhomme tu taperais l’IP 172.227.63.44 (et tu la retiendrais en mémoire pour éviter que quelqu’un ne phishe ton post-it ). Es-tu un VRAI bonhomme ?









lincruste_2_la vengeance a écrit :



Si t’étais un vrai bonhomme tu taperais l’IP 172.227.63.44 (et tu la retiendrais en mémoire pour éviter que quelqu’un ne phishe ton post-it ). Es-tu un VRAI bonhomme ?







Le truc c’est que je n’utilise pas de post-it et ça, c’est une VRAI truc de VRAI bonhomme <img data-src=" />



Ça y est, compte paypal dont j’avais oublié le mot de passe clôturé.

À noter que l’opératrice que j’ai obtenue au téléphone était super sympa comparé à ce que j’ai quand j’appelle une hotline de FAI.








xillibit a écrit :



Tu t’essaie au pishing ? <img data-src=" />





C’est une blague moisie ou tu m’insultes vraiment ? J’hésite vu le smiley…





atomusk a écrit :



Un long post d’explications sur le principe du haschage.





Merci pour les explications. <img data-src=" />

Je comprends mieux le principe, en revanche ce que je ne saisis pas c’est pourquoi, si tu utilises un outil dont l’algorithme est connu, un agresseur ne peut tout de même pas reproduire l’opération ? Ou est-ce parce que tu peux paramétrer (“personnaliser”) la manière dont la fonction de hashage fait ces opérations côté base de données, ce qui implique qu’il faudrait connaître exactement ce paramétrage ?









Winderly a écrit :



Ça y est, compte paypal dont j’avais oublié le mot de passe clôturé.

À noter que l’opératrice que j’ai obtenue au téléphone était super sympa comparé à ce que j’ai quand j’appelle une hotline de FAI.





Fermer PayPal mais qu’utiliser à la place ?









ledufakademy a écrit :



“Si vous avez utilisé le même mot de passe sur plusieurs services, ce qui n’est pas une bonne idée à la base, il faudra alors également les changer pour éviter tout risque. Un message allant dans ce sens sera d’ailleurs prochainement envoyé à tous ses utilisateurs.”



… Tu as combien de mot de passe à retenir dans ce cas ?

Soyons réaliste.







Soyons réaliste, ici si c’est le cas, alors potentiellement des pirates ont ton nom, ton login classique et ton mot de passe … donc si tu utilises ce mot de passe sur d’autres services, change le sur les autres sites <img data-src=" />



Encore un coup de la NSA <img data-src=" />








Papa Panda a écrit :



Fermer PayPal mais qu’utiliser à la place ?





Paypal… <img data-src=" />

Le compte que j’ai fait cloturer est un vieux compte dont plus aucune information n’était valide en dehors de mon nom et prénom.

J’ai galéré pour retrouver à quelle adresse j’habitais.



Pour le compte que j’ai créé exprès pour Chris Huelsbeck samedi dernier, j’ai changé le mot de passe et supprimé ma carte bancaire.

Ça devrait suffire pour un moment c’est à dire jusqu’au prochain piratage.

Cette fois j’ai noté mon mot de passe quelque part et j’ai trouvé des réponses (aux questions de vérification) que je risque pas d’oublier.









Winderly a écrit :



Paypal… <img data-src=" />

Le compte que j’ai fait cloturer est un vieux compte dont plus aucune information n’était valide en dehors de mon nom et prénom.

J’ai galéré pour retrouver à quelle adresse j’habitais.



Pour le compte que j’ai créé exprès pour Chris Huelsbeck samedi dernier, j’ai changé le mot de passe et supprimé ma carte bancaire.

Ça devrait suffire pour un moment c’est à dire jusqu’au prochain piratage.

Cette fois j’ai noté mon mot de passe quelque part et j’ai trouvé des réponses (aux questions de vérification) que je risque pas d’oublier.





Ah oki ^^



Oui, moi je suis multi site / compte et login ,mail et mot de passe quasi tous diff

<img data-src=" />



Du coup,j’ai un livre (noir<img data-src=" />) à la maison avec tous ces infos <img data-src=" />



Celui qui me vole, le trouve (car un peu caché),il connait toute ma vie.

J’ai mis tout de même une validation sur les site data sensible sur un mail sécu dont faut pas perdre ni le passe nie le tél référence<img data-src=" /> .

Bon,j’ai pas écris en encre invisible encore <img data-src=" />









Papa Panda a écrit :





Du coup,j’ai un livre (noir<img data-src=" />) à la maison avec tous ces infos <img data-src=" />







C’est parce que j’utilise paypal une fois tous les 5 ans en moyenne que retenir le mot de passe relève de l’exploit authentique.









atomusk a écrit :



Soyons réaliste, ici si c’est le cas, alors potentiellement des pirates ont ton nom, ton login classique et ton mot de passe … donc si tu utilises ce mot de passe sur d’autres services, change le sur les autres sites <img data-src=" />





Si des pirates veulent te cibler : ils t’ouvriront, sans retenu.

C’est ainsi : il fut l’admettre, beaucoup d’expert qui ont travailler dans la sécurité te le diront. On travaille beaucoup plus sur les PRA maintenant, vois tu ce que cela veut dire ?



Imagines ton serveur nextinpact avant la divulgation de a faille openssl … on pouvait tous choper.



Avec la complexité des piles logiciels ont ne peut plus rien sécuriser efficacement.



allez n’en parlons plus m’a ton dit.










atomusk a écrit :



Soyons réaliste, ici si c’est le cas, alors potentiellement des pirates ont ton nom, ton login classique et ton mot de passe … donc si tu utilises ce mot de passe sur d’autres services, change le sur les autres sites <img data-src=" />







Non mais honnêtement j’ai environ 6 mot de passe différent dont 3 sont juste des déclinaisons et déjà je galère à me souvenir lequel va ou…



Si tu ajoute les sites ou j’ai le droit a 3 essais avant que ça se bloque(si si il y en..) c’est déjà limite ingérable.



Entre google, steam, skype, facebook, tweeter, viadeo, linkidin,next inpact,ebay, paypal, cdiscount, ldlc, sncf, amazon, youtube, yahoo,LoL, guild wars 2 , les services des impots, allociné, tripadvisor, ma messagerie perso, une dizaine de sites pro et 2-3 trackers pornos..



il me faudrait entre 40 et 60 mots de passe différents…et bien sur vu que j’y accès en plusieurs lieux, les stocker sur un bloc note n’est pas une solution.



Me reste les stocker dans le cloud et donc créer un autre mot de passe ultime : Le précieux ( Un anneau pour les gouverner tous..)



Ou les transporter sur moi dans un carnet ou sur mon téléphone…mais bon en 10 ans j’ai plus souvent perdu/volé mon téléphone ou mon manteau que je me suis fait pirater…









sket a écrit :



Non mais honnêtement j’ai environ 6 mot de passe différent dont 3 sont juste des déclinaisons et déjà je galère à me souvenir lequel va ou…



Si tu ajoute les sites ou j’ai le droit a 3 essais avant que ça se bloque(si si il y en..) c’est déjà limite ingérable.



Entre google, steam, skype, facebook, tweeter, viadeo, linkidin,next inpact,ebay, paypal, cdiscount, ldlc, sncf, amazon, youtube, yahoo,LoL, guild wars 2 , les services des impots, allociné, tripadvisor, ma messagerie perso, une dizaine de sites pro et 2-3 trackers pornos..



il me faudrait entre 40 et 60 mots de passe différents…et bien sur vu que j’y accès en plusieurs lieux, les stocker sur un bloc note n’est pas une solution.



Me reste les stocker dans le cloud et donc créer un autre mot de passe ultime : Le précieux ( Un anneau pour les gouverner tous..)



Ou les transporter sur moi dans un carnet ou sur mon téléphone…mais bon en 10 ans j’ai plus souvent perdu/volé mon téléphone ou mon manteau que je me suis fait pirater…







Et… Keepass, tu ne connais pas ? Un seul mot de passe qui gère l’ensemble de tes mdp…



http://keepass.info/





Pas dans le cloud, portable et open source.



Le risque est pour les personnes qui ont utilisé le même mot de passe pour Paypal et eBay par exemple.

Parce que Paypal, eux, ont vos informations bancaires.



parano comme beaucoup de personnes utilisent des mots de passe identiques ou très proches pour eBay/gmail/Paypal/etc (NXi aussi?<img data-src=" />), ca doit etre tres utile pour un espion de mettre la main sur un base de donnees eBay.



Tu sais que la personne a acheté une cocotte-minute, tu as sa messagerie, … et son adresse de livraison, youpi!

/parano