Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Faille de sécurité sur Les Numériques : modifiez vos mots de passe

Des cookies qui manquent de sel
Internet 1 min
Faille de sécurité sur Les Numériques : modifiez vos mots de passe
Crédits : LeoWolfert/iStock

La semaine dernière, nos confrères de Les Numériques ont été victimes d'une cyberattaque ayant entrainé la fuite de logins et de cookies de session. Ces derniers contiennent une empreinte du mot de passe associé au compte, il est donc conseillé d'en changer.

Le site Les Numériques a été victime d'un pirate qui a exploité une faille XSS sur certaines pages du site afin d'exécuter du code JavaScript. Mathias Lallement, directeur technique, explique en effet qu'un « attaquant l'a utilisée pour collecter login+cookie de session, sur certains commentaires d'articles du site, depuis le 25/10 à 17h41 [...] Nous avons été prévenus jeudi soir et avons pu trouver et corriger cette faille entre vendredi et lundi ». 

Il ajoute que « la faille permettait d'être connecté à la place du membre, donc d'accéder à l'édition de son profil sur le site, de connaître l'adresse email associée au compte et de changer les informations liées au compte, comme le mot de passe ». Plus problématique, le cookie de session contient une empreinte (hash) du mot de passe du compte, mais qui n'est pas salé. Il est donc bien plus facile de retrouver le mot de passe original, notamment via des Rainbow tables par exemple.

Les Numériques failles XSS

Quoi qu'il en soit, la procédure est toujours la même en pareille situation : changer de mot de passe sur le site, mais aussi sur n'importe quel autre service où il aurait été utilisé. On ne rappellera en effet jamais assez que réutiliser le même mot de passe n'est pas une bonne idée. Nos confrères précisent enfin que « les attaquants n'ont pas eu accès à nos serveurs ni à la base de données du site », sans plus de précisions sur l'origine de l'attaque ou sur le nombre de comptes impactés. Bien évidemment, ils indiquent qu'une plainte va être déposée.

61 commentaires
Avatar de Altair31 Abonné
Avatar de Altair31Altair31- 03/11/15 à 13:00:15

Comme quoi, il faut toujours saler avant de hasher !

Avatar de Tornado_OLO INpactien
Avatar de Tornado_OLOTornado_OLO- 03/11/15 à 13:03:48

Pas cool de bosser le week-end sur ce genre de galère :craint:

Avatar de js2082 INpactien
Avatar de js2082js2082- 03/11/15 à 13:04:23

Bientôt le même problème pour NxI?

:stress:

Avatar de zitrams INpactien
Avatar de zitramszitrams- 03/11/15 à 13:05:05

Altair31 a écrit :

Comme quoi, il faut toujours saler avant de hasher !

Mais si le cookie n'est pas assez salé, il faut s'en prendre au serveur.

Avatar de kade Abonné
Avatar de kadekade- 03/11/15 à 13:10:28

C'est un cauchemar en cuisine mixé avec qui est le meilleur pâtissier.

Avatar de Master Of Bandwidth Abonné
Avatar de Master Of BandwidthMaster Of Bandwidth- 03/11/15 à 13:11:12

zitrams a écrit :

Mais si le cookie n'est pas assez salé, il faut s'en prendre au serveur.

Ah ah :)

Avatar de kade Abonné
Avatar de kadekade- 03/11/15 à 13:14:01

Tornado_OLO a écrit :

Pas cool de bosser le week-end sur ce genre de galère :craint:

Pas cool de développer à la rache :craint:

Avatar de serik INpactien
Avatar de serikserik- 03/11/15 à 13:16:34

Et la faille Php exploité sur 000webhost.com (=hostinger en France), personne n'en parle?

Avatar de maestro321 INpactien
Avatar de maestro321maestro321- 03/11/15 à 13:33:19

Mauvaise gestion des cookies par les devs.
Bonne pratique : un cookie n'est pas fait pour stoker des données mais uniquement un identifiant unique crypté (lisible uniquement par le serveur). De cet identifiant, on récupère ensuite les infos associées coté serveur.
De cette manière, un seul cookie est nécessaire (on y associe autant d'info qu'on veut coté serveur), celui-ci est le plus léger possible, et n'y a plus de risque de fuite d'infos (quand bien même quelqu’un arriverait à décrypter le cookie il ne récupèrerais qu'un identifiant inexploitable en tant que tel..)

Édité par maestro321 le 03/11/2015 à 13:33
Avatar de snoopy1492 INpactien
Avatar de snoopy1492snoopy1492- 03/11/15 à 13:40:24

:cartonrouge:Et en attendant pas un seul message sur leur propre page d'accueil :cartonrouge:

Il n'est plus possible de commenter cette actualité.
Page 1 / 7