L'Équipe.fr attaqué : noms, prénoms, pseudos et mots de passe dans la nature

L’Équipe.fr attaqué : noms, prénoms, pseudos et mots de passe dans la nature

Vous utilisez le même mot de passe plusieurs fois ? Dommage...

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

09/07/2014 3 minutes
22

L'Équipe.fr attaqué : noms, prénoms, pseudos et mots de passe dans la nature

Le site de l'Équipe (lequipe.fr) a été victime d'une cyberattaque ayant entrainé la fuite de données personnelles avec les noms, prénoms, pseudos, mais aussi les mots de passe de certains de ses membres. Le site leur demande donc de changer leur mot de passe au plus vite. Contacté par téléphone, l'Équipe nous confirme la situation, mais ne souhaite pas nous donner de plus amples informations pour le moment.

Lequipe.fr

 

Il ne se passe pas une semaine ou presque sans que la sécurité d'un ou plusieurs sites soit mise à mal. Dernier exemple en date : lequipe.fr. Dans un email envoyé à certains clients, le site indique avoir été la cible d'une cyberattaque qui a débouché sur le vol de données personnelles, ce qui n'est pas sans rappeler le cas de Domino's Pizza :

 

« Nous avons récemment découvert que notre réseau informatique avait été la cible d'une cyberattaque se traduisant par un accès non autorisé à une partie de la base de données de nos membres. Dès que nous avons été informés du problème, nous avons appliqué les correctifs nécessaires et pris toutes les mesures afin de protéger vos données. 

Vos données bancaires ne sont pas concernées par cette attaque, mais cet accès illégitime a potentiellement entraîné la récupération d'un nombre limité de données vous concernant : nom, prénom, pseudo et mot de passe. Afin de vous permettre de toujours bénéficier d'une expérience fiable et sécurisée, nous vous invitons à modifier votre mot de passe par mesure de sécurité. [...] Si vous utilisez un mot de passe identique sur d'autres sites, nous vous conseillons également de modifier votre mot de passe sur ces sites.  »

 

Le message est clair : des données telles que noms, prénoms, pseudos et mots de passe sont dans la nature. Nous ne savons par contre pas si ces derniers étaient ou non stockés en clair. Encore une fois, nous avons un bel exemple du fait qu'il ne faut pas utiliser le même mot de passe sur plusieurs services. Même si ce n'est pas toujours facile, c'est une habitude qu'il serait bon de prendre au plus vite.

 

Contacté par téléphone, l'Équipe nous confirme avoir été victime d'une cyberattaque et avoir envoyé des emails à certains de ses membres. Néanmoins, notre interlocuteur ne pourra pas nous donner de plus amples informations pour le moment. Dans tous les cas, la prudence est de mise et le changement de mot de passe recommandé. Attention également à d'éventuelles attaques par phishing.

22

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (22)


On me dit dans l’oreillette que cette attaque vient d’un hacker brésilien qui n’a pas supporté le viol en réunion de la seleçao <img data-src=" />


sans aller aussi loin j’ai eu la meme idee <img data-src=" /><img data-src=" /><img data-src=" />








sum0 a écrit :



On me dit dans l’oreillette que cette attaque vient d’un hacker brésilien qui n’a pas supporté le viol en réunion de la seleçao <img data-src=" />





en réunion ET en bande organisée. c’est vachement important dans le cadre du maintien frauduleux dans un système automatisé de données. <img data-src=" />









sum0 a écrit :



On me dit dans l’oreillette que cette attaque vient d’un hacker brésilien qui n’a pas supporté le viol en réunion de la seleçao <img data-src=" />





Sont cons ces brésiliens, z’auraient du attaquer DasEkip.de



Les mots de passe ne sont pas enregistré en clair.

Ca serai bien qu’ils disent sous quelle forment ils les stockent.

Parce que ça ne peu pas être réutilisé normalement.



Il faut pas déconner n’importe quel idiot qui gère une base de donnée chiffre les mots de passe plus ou moins bien:

http://www.crazyws.fr/tutos/securiser-un-mot-de-passe-en-base-de-donnees-BEKIC.h…



Donc ça serait intéressant de savoir qu’est-ce qui a été volé … et d’arrêter de crier au vol de mot de passe parce qu’ils ne peuvent pas l’utiliser pour se connecter ailleurs.


Le fichier : Kévin, Kévin, Kévin, … <img data-src=" />


bon l’équipe attaqué ce n’est pas trop grave : ce ne sont que les identifiants d’amateurs de foot qui sont dans la nature …


@raysar

si le salt est volé, il suffit de bruteforcer pour retrouver le pass

avec une bécane de salon à 5k€ tu peux faire des miracles aujourd’hui (4 ATI et 1To de ssd)



sachant que, même si les adminsys ne sont pas tous mauvais (bien que des tas de sites stockent encore les passwd en clair …), les users le sont presque tous



avec 123456, password (ou un équivalent français) et les dates depuis 1950, tu trouve 50 - 75% des pass …


Chhhute à l’arrière du webmaster ! <img data-src=" />








LordZurp a écrit :



@raysar

si le salt est volé, il suffit de bruteforcer pour retrouver le pass

avec une bécane de salon à 5k€ tu peux faire des miracles aujourd’hui (4 ATI et 1To de ssd)



sachant que, même si les adminsys ne sont pas tous mauvais (bien que des tas de sites stockent encore les passwd en clair …), les users le sont presque tous



avec 123456, password (ou un équivalent français) et les dates depuis 1950, tu trouve 50 - 75% des pass …





Qui te dit qu’ils ont salé la route?

(mi-<img data-src=" /> mais c’est pas clairement indiqué)



une attaque bien préparée, AMHA, comprend un compte créé pour l’occasion avec un passwd connu, pour avoir un sample de test ;)



(et c’était en réponse à raysar qui mettait en avant des (bonnes) techniques de salt)


@LordZurp, quand on est un programmeur avec un peu d’amour-propre, on utilise un salt unique par compte, on ne réutilise pas le même salt partout ce qui est quasi pareil que pas de salt du tout.



Enfin c’est en espérant que les pass soient chiffrés et salés car leur communiqué est flou en employant le mot “potentiellement”.


A la lecture du communiqué pour moi c’est clair : mot de passe dans la nature + incitation a changer les pass d’autres services pour lesquelles ont aurait le même pass = ils stockaient en clair. Je serai tenter de penser que s’il en avait été autrement ils n’auraient pas hésité à le mentionner (genre “mots de passes chiffrés” et une petite phrase qui dit qu’on ne peut rien faire avec les mots de passe récupérés mais que par sécurité il est néanmoins conseillé…“.



Je pense qu’en France pas mal de gros sites nés assez tôt genre dans les années 2000 ont des bases avec des pass en clair, parce que mettre à jour ce genre de données dans un gros site c’est pas évident (pour peu qu’il y ait des services liés, des logins via des api, des appli smartphone maintenant…) et que les process de création de compte + identification ne soient pas centralisés, c’est un changement lourd.


Je ne comprends pas ce que cela coûte au développeur de tout chiffres dans un gros système de cryptage style SHA-512 avec la technique de grain de sable…








Folgore a écrit :



Je ne comprends pas ce que cela coûte au développeur de tout chiffres dans un gros système de cryptage style SHA-512 avec la technique de grain de sable…





Mmmh on pourra dire que c’est chipoter sur les termes mais enfin bon:

le hash/hachage n’est pas du “chiffrage”

et la technique grain de sel/de salage c’est pas un “grain de sable”

mais bon c’est les vacances d’été la plage de sable, le soleil, tout ça tout ça…



Sinon j’allais dire “à peu près” pareil j’comprends pas qu’on puisse encore se faire powned une base de données utilisateurs avec les pass et pourquoi seulement une partie!?



‘pi Lequipe.fr c’est quand même pas le petit site web ils ont combien de visiteurs uniques par jours et d’utilisateurs enregistré !!?! <img data-src=" />



Comme d’hab : pourquoi, putain de bordel de merde <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> les mots de passe sont-ils stockés, et non pas des hash ? ça devrait être la taule et la savonette sous la douche directe pour l’administrateur système.



Et puisque faut toujours que ça suive ce schéma pour que ça rentre dans le crâne : une loi interdisant purement et simplement le stockage des mots de passe et des très grosses amendes à la clef.



ya des baffes qui se perdent.




Encore une fois, nous avons un bel exemple du fait qu’il ne faut pas utiliser le même mot de passe sur plusieurs services. Même si ce n’est pas toujours facile, c’est une habitude qu’il serait bon de prendre au plus vite.



Moi généralement je n’utilise pas non plus le même nom et prénom, sur ce genre de trucs. C’est vrai quoi, quel intérêt de donner ses vrais noms et prénoms sur un site qui va ensuite t’identifier avec un pseudonyme ?









sum0 a écrit :



On me dit dans l’oreillette que cette attaque vient d’un hacker brésilien qui n’a pas supporté le viol en réunion de la seleçao <img data-src=" />





On me dit dans l’oreillette que les victimes de viol (en réunion ou non) trouvent cette comparaison très amusante.









yoda222 a écrit :



On me dit dans l’oreillette que les victimes de viol (en réunion ou non) trouvent cette comparaison très amusante.







On me dit dans l’oreillette que les gens sans oreilles ont trouvé ta remarque très drôle aussi.





Dès que nous avons été informés du problème, nous avons appliqué les correctifs nécessaires et pris toutes les mesures afin de protéger vos données.





Et pourquoi ne pas appliquer ces correctifs avant d’être hacké ? <img data-src=" />








Resman a écrit :



@LordZurp, quand on est un programmeur avec un peu d’amour-propre, on utilise un salt unique par compte, on ne réutilise pas le même salt partout ce qui est quasi pareil que pas de salt du tout.



Enfin c’est en espérant que les pass soient chiffrés et salés car leur communiqué est flou en employant le mot “potentiellement”.







Et avec encore plus d’amour propre, on ne stocke pas le mot-de-passe mais un hash…





Le message est clair

Ouais, surement autant que les mots de passe <img data-src=" />





Jean_Peuplus a écrit :



On me dit dans l’oreillette que les gens sans oreilles ont trouvé ta remarque très drôle aussi.



<img data-src=" />



ça fait longtemps que je sais que le sport est dangereux, autant se réfugier ailleurs ;)