Deux millions de comptes piratés, dont plus de la moitié de Facebook

Les mots de passe ont déjà été réinitialisés

Deux millions : c’est le nombre de comptes dérobés depuis plusieurs services en ligne tels que Facebook et Yahoo!. Les pirates ont mené leur opération grâce à un malware dont la mission était de récupérer les identifiants enregistrés dans l’ordinateur ou en écoutant les frappes au clavier.

navigateurs piratage securite pwn2own

Deux millions de mots de passe dérobés

La société Trustwave a publié un communiqué dans lequel elle explique une importante découverte. C’est ainsi que les identifiants de deux millions de comptes environ ont été dérobés par des pirates. Ces comptes recouvrent divers services :

1 580 000 identifiants de sites
320 000 identifiants de services email
41 000 identifiants de comptes FTP
3 000 identifiants d’accès du bureau à distance
3 000 identifiants de shells sécurisés

Pour obtenir ces informations, les pirates ont eu recours à un malware nommé Ponny. Ce dernier était chargé de récupérer les précieux identifiants via deux méthodes : soit en surveillant la frappe au clavier, soit en les récupérant directement dans le disque dur.

Il n’est pas précisé cependant la manière exacte dont le malware aurait pu être installé sur ces machines, en profitant de failles de sécurité sur des sites par exemple, couplées à d’autres failles sur les ordinateurs des internautes. Trustwave indique cependant que le navigateur a probablement joué un rôle déterminant dans le processus d'attaque.

Plus de la moitié des comptes compromis viennent de Facebook

Les identifiants proviennent à 57 % de Facebook, ce qui donne 1 140 000 de comptes compromis environ. Pour le reste, plus de 10 % proviennent de Yahoo!, presque 10 % de Google, presque 4 % de Twitter et environ 1,5 % de LinkedIn. Trustwave fait remarquer toutefois que la présence des sites vk.com et odnoklassniki.ru, des réseaux sociaux russes, pourrait renseigner sur l’origine des attaques.

Le malware Pony peut être commandé à distance par un composant nommé Pony Botnet Controller. C’est par ce biais que les machines infectées ont reçu l’ordre d’envoyer les informations dérobées à un serveur. Abby Ross, porte-parole de Trustwave, a indiqué à Mashable que le malware « était configuré de telle manière que la majorité des identifiants étaient envoyés à un serveur situé aux Pays-Bas. Ce serveur n’affiche pas la provenance des données et nous ne pouvons donc pas dire combien d’utilisateurs ont été affectés dans chaque pays. Cependant, nous pouvons confirmer que les attaquants ont ciblé des utilisateurs dans le monde entier, y compris aux États-Unis, en Allemagne, à Singapour, en Thaïlande et ailleurs ».

Les utilisateurs prévenus et les mots de passe réinitialisés

Selon Trustwave, les informations volées ne se seraient pas retrouvées en ligne de manière publique. Ce n’est qu’en analysant le code source qu’ils ont pu récupérer des clés qui ont par la suite été utilisées pour accéder au serveur C&C (Command and control). Par ailleurs, toutes les sociétés concernées ont été averties et ont précisé faire le nécessaire. Dans le cas de Facebook, la plus concernée par le problème, un porte-parole a bien confirmé que des emails étaient actuellement envoyés aux utilisateurs touchés par le vol d’informations et que les mots de passe étaient automatiquement remis à zéro.

Enfin, le bulletin de sécurité de Trustwave rappelle un élément qui revient systématiquement quand on parle de sécurité des mots de passe : trop d’entre eux sont encore faibles. Ainsi, presque 16 000 mots de passe étaient de la forme « 123456 ». On rappellera une fois de plus que quelques conseils élémentaires doivent être suivis pour concevoir un mot de passe efficace, surtout quand il s’agit d’accès à des services stockant de très nombreuses informations personnelles : utiliser des minuscules, des majuscules, des chiffres et au moins un caractère de ponctuation.

Commentaires (72)

FunnyD

Le 05/12/2013 à 17h 06

" /> 123456 le mot de passe pourri!!!

Au moins, perso avec 123456AZERTY, personne ne pourra passer " />

Azinya

Le 05/12/2013 à 17h 11

En même temps, c’est bien de dire que les mots de passe sont faibles, mais il faudrait peut-être proposé un autre solution d’authentification au choix … => Clé/Certif, IP, …

Quand on voit que certains sites bancaires n’utilisent pas encore (ou pas sur toutes les URL’s) la confirmation par téléphone …

Dans tous les cas, il ne passe probablement pas à travers Linux + Keepass ce keylogger :)

psn00ps

Le 05/12/2013 à 17h 14

FunnyD a écrit :

" /> 123456 le mot de passe pourri!!!

Au moins, perso avec 123456AZERTY, personne ne pourra passer " />

Même si les mots de passe sont pourris, c’est un keylogger.

Les articles ne disent pas comment il est rentré. Faille PEBKAC ?

jinbeman

Le 05/12/2013 à 17h 16

On sait quels sont les OS / versions impactés ?

Wikus

Le 05/12/2013 à 17h 19

Azinya a écrit :

Quand on voit que certains sites bancaires n’utilisent pas encore (ou pas sur toutes les URL’s) la confirmation par téléphone …

ça m’a joué un tour récemment : le code que je devais recevoir a mis tellement de temps à arriver que j’ai pas pu faire mon achat, car la session pour payer était limitée en temps. C’est super de recevoir 8 SMS à la suite contenant des codes expirés, une heure plus tard. " />

/mylife-is-great

patos Abonné

Le 05/12/2013 à 17h 30

psn00ps a écrit :

Même si les mots de passe sont pourris, c’est un keylogger.

Les articles ne disent pas comment il est rentré. Faille PEBKAC ?

J’pense que ça doit être la révision OKECEMIGNON de la faille PEBKAC ^^

Aurell

Le 05/12/2013 à 17h 37

Azinya a écrit :

En même temps, c’est bien de dire que les mots de passe sont faibles, mais il faudrait peut-être proposé un autre solution d’authentification au choix … => Clé/Certif, IP, …

psn00ps a écrit :

Même si les mots de passe sont pourris, c’est un keylogger.

Les articles ne disent pas comment il est rentré. Faille PEBKAC ?

Il y a des solutions… Des softs comme Dashlane par exemple (y’en a d’autres mais c’est lui que j”utilise). Mots de passes forts, bien gardés au chaud, et comme le plugin (FF Chrome ou IE) les saisi automatiquement sur les sites, les keylogger n’y peuvent rien…

Cherokee

Le 05/12/2013 à 17h 39

avec norton 360, osef je suis protégé" />

panicstation

Le 05/12/2013 à 17h 46

Contre les keyloggers, il y a ceci

Groumfy

Le 05/12/2013 à 18h 05

#10

malware inspiré de Full Metal Panic Fumoffu ? :-)

fumoffu

Le 05/12/2013 à 18h 27

#11

FrenchPig a écrit :

ça m’a joué un tour récemment : le code que je devais recevoir a mis tellement de temps à arriver que j’ai pas pu faire mon achat, car la session pour payer était limitée en temps. C’est super de recevoir 8 SMS à la suite contenant des codes expirés, une heure plus tard. " />

/mylife-is-great

tristement classique chez certaines banques.

Xaelias

Le 05/12/2013 à 18h 52

#12

FunnyD a écrit :

" /> 123456 le mot de passe pourri!!!

Au moins, perso avec 123456AZERTY, personne ne pourra passer " />

Pas contre une attaque par dictionnaire ^^

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 05/12/2013 à 19h 02

#13

Xaelias a écrit :

Pas contre une attaque par dictionnaire ^^

Faut mettre “123456sexto” c’est pas encore dans les dictionnaires " />

GrosPinPin

Le 05/12/2013 à 19h 19

#14

Azinya a écrit :

En même temps, c’est bien de dire que les mots de passe sont faibles, mais il faudrait peut-être proposé un autre solution d’authentification au choix … => Clé/Certif, IP, …

Quand on voit que certains sites bancaires n’utilisent pas encore (ou pas sur toutes les URL’s) la confirmation par téléphone …

Dans tous les cas, il ne passe probablement pas à travers Linux + Keepass ce keylogger :)

Bah si on avait pas fait marche arrière sur la carte d’identité électronique qui devait être basé sur les mêmes principes de sécurité que les puces des cartes bancaires qui sont à l’heure actuelle le seul système inviolable…

OlivierJ Abonné

Le 05/12/2013 à 19h 33

#15

Azinya a écrit :

Dans tous les cas, il ne passe probablement pas à travers Linux + Keepass ce keylogger :)

" /> L’avantage d’être sous Linux depuis des années c’est de voir toujours et encore passer des histoires de virus, vers et autres malware/trojan sous Windows pendant qu’on est peinard.

Le 05/12/2013 à 19h 37

#16

GrosPinPin a écrit :

Bah si on avait pas fait marche arrière sur la carte d’identité électronique qui devait être basé sur les mêmes principes de sécurité que les puces des cartes bancaires qui sont à l’heure actuelle le seul système inviolable…

Inviolable ? Ça reste à voir… Et puis un lecteur de carte pour s’authentifier sur FB, Amazon, Google, etc avec sa carte d’identité ? Génial… Ça fait envie…

baldodo

Le 05/12/2013 à 20h 07

#17

Azinya a écrit :

Quand on voit que certains sites bancaires n’utilisent pas encore (ou pas sur toutes les URL’s) la confirmation par téléphone …

c’est pénible les vérif par téléphone portable, ça oblige à en avoir un déjà. S’ils veulent faire un truc carré qu’ils me filent un token usb ou un lecteur de carte à puce

autant c’est débile d’ “”“authentifier”“”* un client par un bête numéro de carte, autant le double code par SMS c’est lourd, surtout si tu es dans une zone où ça capte mal (et oui l’internet marche très bien en filaire dans ses coins là)

* : et encore j’aurais du mettre encore plus de guillemets

choukky Abonné

Le 05/12/2013 à 20h 24

#18

OlivierJ a écrit :

" /> L’avantage d’être sous Linux depuis des années c’est de voir toujours et encore passer des histoires de virus, vers et autres malware/trojan sous Windows pendant qu’on est peinard.

" />" />

Carisious

Le 05/12/2013 à 20h 25

#19

psn00ps a écrit :

Même si les mots de passe sont pourris, c’est un keylogger.

+1

On rappellera une fois de plus que quelques conseils élémentaires doivent être suivis pour concevoir un mot de passe efficace, surtout quand il s’agit d’accès à des services stockant de très nombreuses informations personnelles : utiliser des minuscules, des majuscules, des chiffres et au moins un caractère de ponctuation

BS : il faut un minimum de variété, mais le plus important c’est la taille. Cela dit pour un site a priori bien sécurisé comme Facebook, du moment que le mot de passe est, disons, 1 parmi quelques millions seulement de combinaison, ça devrait le faire si on prend le pari qu’ils ne se feront pas pirater leur base de mots de passes chiffrés et qu’ils bloquent de manière assez agressive les tentatives de bruteforce. Evidemment, ça ne marche que si le mot de passe n’est pas utilisé ailleurs (et mon petit doigt me dit que ceux qui prennent des mdp faibles sont souvent du genre à prendre toujours le même…)

Jiyuu_Hashi

Le 05/12/2013 à 20h 33

#20

FunnyD a écrit :

" /> 123456 le mot de passe pourri!!!

Au moins, perso avec 123456AZERTY, personne ne pourra passer " />

J’ai mieux ^^;

&é”‘(-azerty

Même séquence de touches, mais plus facile à taper, surtout avec un seul doigt… et bourré comme un Breton coing ^^

barlav Abonné

Le 05/12/2013 à 20h 42

#21

Jiyuu_Hashi a écrit :

J’ai mieux ^^;

&é”‘(-azerty

Même séquence de touches, mais plus facile à taper, surtout avec un seul doigt… et bourré comme un Breton coing ^^

avec ta sequence, mieux vaut ne pas se retrouver avec un clavier UK, GB ou autre pour se logguer, sinon tu vas y passer ton mauvais quart d’heure de la journee.

Qruby

Le 05/12/2013 à 20h 52

#22

barlav a écrit :

avec ta sequence, mieux vaut ne pas se retrouver avec un clavier UK, GB ou autre pour se logguer, sinon tu vas y passer ton mauvais quart d’heure de la journee.

ça me rappelle une installation de 8.1 en Anglais, clavier UK, pour mon compte Microsoft j’ai du faire appel aux bonnes vieilles combinaisons de Alt+XXX " />

Le 05/12/2013 à 20h 58

#23

barlav a écrit :

avec ta sequence, mieux vaut ne pas se retrouver avec un clavier UK, GB ou autre pour se logguer, sinon tu vas y passer ton mauvais quart d’heure de la journee.

Apparemment, l’humour, chez toi, ça ne doit pas exister ^^;

Je répondais à FunnyD, sur son “123456AZERTY” (il se fait chier à avoir la touche Shift appuyée en plus de sa frappe).

Et au passage :

UK = United Kingdom / GB = Great Britain <== Même clavier ^^;

Je te propose plutôt de faire une référence à un clavier plus exotique comme l’un de ceux que j’utilise… le japonais ^^;

Le 05/12/2013 à 21h 09

#24

Jiyuu_Hashi a écrit :

Apparemment, l’humour, chez toi, ça ne doit pas exister ^^;

Je répondais à FunnyD, sur son “123456AZERTY” (il se fait chier à avoir la touche Shift appuyée en plus de sa frappe).

Et au passage :

UK = United Kingdom / GB = Great Britain <== Même clavier ^^;

Je te propose plutôt de faire une référence à un clavier plus exotique comme l’un de ceux que j’utilise… le japonais ^^;

ok, uk ou eu, apres y’a plein de variantes selon les regions/sous regions, j’ai ete etonne de la creativite sur ces points. En tout cas j’ai un uk au taf, c’est pas du qwerty pour les caracteres speciaux; j’ai aussi vu des claviers belges ou suisses, tu restes tjrs tres perturbe pour taper ton caractere sioux de ton mdp.

Bref, sisi l’humour me va des fois, je souligne juste que je ne met jamais de e accent dans un mot de passe; va pour tous les autres chars.

Désolé de t’avoir froisse, on est pas toujours habitue a changer de clavier en france profonde.

" />

Le 05/12/2013 à 21h 54

#25

barlav a écrit :

ok, uk ou eu, apres y’a plein de variantes selon les regions/sous regions, j’ai ete etonne de la creativite sur ces points.

Même pas besoin de tomber sur un clavier “de langue étrangère” (ce qui arrive assez rarement dans la vie de tous les jours pour le commun des mortels, avouons le). Un clavier Apple FR est déjà bien handicapant dès qu’on cherche un caractère un peu exotique (le pipe “|” par exemple, une plaie pour développeur ce clavier :)).

dam1605 Abonné

Le 05/12/2013 à 22h 07

#26

Azinya a écrit :

Quand on voit que certains sites bancaires n’utilisent pas encore (ou pas sur toutes les URL’s) la confirmation par téléphone …

La confirmation par téléphone (SMS en particulier)

n”est pas du tout une bonne idée.

Si on te pique ton téléphone, le mec peut tout faire…

Les sms (généralement utilisé pour envoyer des codes) ne sont par ailleurs pas du tout adaptés pour transporter des infos “sensibles”.

Avec les smartphones c’est de pire en pire, ce sont bien souvent des passoires qui vont probablement devenir une cible de choix pour les malwares en tout genre.

Le 05/12/2013 à 22h 14

#27

Aurell a écrit :

Même pas besoin de tomber sur un clavier “de langue étrangère” (ce qui arrive assez rarement dans la vie de tous les jours pour le commun des mortels, avouons le). Un clavier Apple FR est déjà bien handicapant dès qu’on cherche un caractère un peu exotique (le pipe “|” par exemple, une plaie pour développeur ce clavier :)).

Une fois que tu le connais, il n’est pas spécialement moins pratique qu’un clavier azerty basique (enfin à mon avis).

tic tac

Le 05/12/2013 à 22h 56

#28

3615 My life

Il y a 3 semaines, compte FF de ma chère et tendre (et très conne sur ce coup) amie piratée:

Elle reçoit un message privé d’un ami à elle (dont le compte a été piraté) lui indiquant “tu as vu la photo de toi qu’on a mit sur facebook !” suivit d’un lien …

Clickage sur le lien …

Arrivée sur un site lui redemandant de clicker sur une autorisation pour voir la photo et puis plus rien …

Gros freeze de la page …

Fermeture de la page et réouverture de FF …

Demande de relogging …

Re gros freeze total du PC …

Elle redémarre le PC qui lui semble bloqué …

Et paf, au redémarrage et réouverture de cession FF, ses mots de passe et login ne sont plus correct …

Moins de 12h après, une dizaine de ses amis FF lui demande par SMS à leur tour de quel photo elle parle …

Le 05/12/2013 à 22h 58

#29

Xaelias a écrit :

Une fois que tu le connais, il n’est pas spécialement moins pratique qu’un clavier azerty basique (enfin à mon avis).

Pour développer le clavier Apple Qwerty est quand même plus adapté (mais j’ai travaillé deux ans sur MacBook Pro Azerty, on fini par s’y faire effectivement…).

Vser Abonné

Le 05/12/2013 à 23h 04

#30

Par contre, sommes nous sûrs que les shells sécurisés dont il est question sont bien des shells windows? Après pour peu que le keylogger utilise une faille de chrome ou firefox, ce pourrait tout à fait être sur d’autres systèmes…

ok, uk ou eu, apres y’a plein de variantes selon les regions/sous regions, j’ai ete etonne de la creativite sur ces points. En tout cas j’ai un uk au taf, c’est pas du qwerty pour les caracteres speciaux; j’ai aussi vu des claviers belges ou suisses, tu restes tjrs tres perturbe pour taper ton caractere sioux de ton mdp.

Bref, sisi l’humour me va des fois, je souligne juste que je ne met jamais de e accent dans un mot de passe; va pour tous les autres chars.

Désolé de t’avoir froisse, on est pas toujours habitue a changer de clavier en france profonde.

T’as un jour jeté un coup d’oeil à un clavier bépo ? :-P

C’est celui que j’utilise et faut pas se louper en choisissant son mot de passe si on veut pas s’arracher les cheveux à chercher… (pour de vrai un caractère contenant trois points, pas trois points à la suite)

Le 05/12/2013 à 23h 08

#31

Aurell a écrit :

Pour développer le clavier Apple Qwerty est quand même plus adapté (mais j’ai travaillé deux ans sur MacBook Pro Azerty, on fini par s’y faire effectivement…).

" />

pour bosser avec un soft qui utilise le zoom avec ctrlZ shiftZ et Z a 50-80% du temps, le jour ou on m’a mis avec un qwertz suisse, après 3h et une tendinite, j’ai remappé un qwerty US dessus, et tant que je regarde pas le clavier je tape juste.

Ça dépend des usages, pour le taf un qwertz remappe soft en qwerty allait nickel, par contre des que tu tapes du texte tu pleures, pareil avec le soft mouse without borders, j’ai un PC natif azerty et un PC natif qwerty, ca passe pour les alphanumériques mais les chars spéciaux sont très mal mappés.

zefling Abonné

Le 05/12/2013 à 23h 13

#32

Jiyuu_Hashi a écrit :

Et au passage :

UK = United Kingdom / GB = Great Britain <== Même clavier ^^;

Je te propose plutôt de faire une référence à un clavier plus exotique comme l’un de ceux que j’utilise… le japonais ^^;

Tu sais, même sur un clavier FR-fr à la Windows, tu peux changer le mappage des touches… D’ailleurs j’ai jamais pu saquer celui de Window, il manque trop de caractères, et pour écrire en majuscule c’est ultra chiant. Heureusement que ça se change.

Bon, maintenant que je suis sous Ubuntu, ça va beaucoup mieux. " />

TiTan91

Le 05/12/2013 à 23h 27

#33

OMG, 1 140 000 millions de comptes ?

Ca fait environ 162 comptes par être humain sur Terre ! ^^

John Shaft Abonné

Le 05/12/2013 à 23h 51

#34

ActionFighter a écrit :

Faut mettre “123456sexto” c’est pas encore dans les dictionnaires " />

“123456texto pornographique” " />

" />

nirgal76

Le 05/12/2013 à 23h 58

#35

FrenchPig a écrit :

ça m’a joué un tour récemment : le code que je devais recevoir a mis tellement de temps à arriver que j’ai pas pu faire mon achat, car la session pour payer était limitée en temps. C’est super de recevoir 8 SMS à la suite contenant des codes expirés, une heure plus tard. " />

/mylife-is-great

1 heure plus tard ? mais t’es chez free ou quoi ? ;)

Le 06/12/2013 à 00h 05

#36

FrenchPig a écrit :

ça m’a joué un tour récemment : le code que je devais recevoir a mis tellement de temps à arriver que j’ai pas pu faire mon achat, car la session pour payer était limitée en temps. C’est super de recevoir 8 SMS à la suite contenant des codes expirés, une heure plus tard. " />

/mylife-is-great

De mon côté, j’ai un boitillé qui m’affiche un chiffre. Au moins, je n’ai pas besoin d’avoir de réseau.

ashlol Abonné

Le 06/12/2013 à 00h 37

#37

en même temps 16000 sur 2million ça fait moins de 1% c’est pas énorme.

Et puis comme dis c’est un key logguer alors le mdp peu être aussi compliqué qu’on veut ça ne change rien.

Pour le brouilleur de frappe au clavier je ne vois pas trop comment ça marche, les message windows doivent être toujours disponible vu que c’est une api de base de windows enfin bref

perso j’utilise keepass

Le 06/12/2013 à 01h 46

#38

tic tac a écrit :

3615 My life

Il y a 3 semaines, compte FF de ma chère et tendre (et très conne sur ce coup) amie piratée:

Elle reçoit un message privé d’un ami à elle (dont le compte a été piraté) lui indiquant “tu as vu la photo de toi qu’on a mit sur facebook !” suivit d’un lien …

En français le lien/page, ou c’est un spam kevin du dimanche ?

Le 06/12/2013 à 02h 10

#39

TiTan91 a écrit :

OMG, 1 140 000 millions de comptes ?

Ca fait environ 162 comptes par être humain sur Terre ! ^^

Y’a une virgule.

phos

Le 06/12/2013 à 02h 21

#40

/rant

J’en profite pour gueuler contre Linkedin qui ne propose pas d’option pour cacher son adresse email à ses contacts. Je m’en suis rendu compte quand j’ai commencé à recevoir du spam sur une adresse qui était relativement préservée.

Quand je leur ai envoyé un email à ce sujet ils m’ont dit en gros “tu n’as qu’à avoir confiance en tes contacts”.

Le 06/12/2013 à 05h 16

#41

les pirates ont eu recours à un malware nommé Ponny.

En exclu pour PCI, j’ai d’ailleurs les photos du malware! Attention, à pas ouvrir au boulot! " />

Jarodd Abonné

Le 06/12/2013 à 06h 14

#42

Encore des 123456 ? Bien fait pour leur gueule. On devrait leur interdire de récupérer leur compte, ça leur ferait les pieds " />

Constance Abonné

Le 06/12/2013 à 07h 22

#43

un malware nommé Ponny

/me imagine les pirates en train de chanter : “My little Ponny, my little Ponny”… " />

anonyme_0ac6b61e9a466f33ca6a3c0efa663c05

Le 06/12/2013 à 07h 49

#44

16 000 mots de passe étaient de la forme « 123456 » -> Pour combien de comptes FB bidon ? Ce chiffre est donc largement acceptable !

XtofChezLesTeutons

Le 06/12/2013 à 08h 23

#45

FrenchPig a écrit :

ça m’a joué un tour récemment : le code que je devais recevoir a mis tellement de temps à arriver que j’ai pas pu faire mon achat, car la session pour payer était limitée en temps. C’est super de recevoir 8 SMS à la suite contenant des codes expirés, une heure plus tard. " />

/mylife-is-great

C’est la faute a SFR

Le 06/12/2013 à 08h 27

#46

Jiyuu_Hashi a écrit :

J’ai mieux ^^;

&é”‘(-azerty

Même séquence de touches, mais plus facile à taper, surtout avec un seul doigt… et bourré comme un Breton coing ^^

Oui mais je fais comment pour le donner à mes amis? " />

jaguar_fr Abonné

Le 06/12/2013 à 09h 06

#47

Jarodd a écrit :

Encore des 123456 ? Bien fait pour leur gueule. On devrait leur interdire de récupérer leur compte, ça leur ferait les pieds " />

“UndeuxtrOisquatre56!” c’est mieux? " />

Le 06/12/2013 à 09h 18

#48

John Shaft a écrit :

“123456texto pornographique” " />

" />

C’est ce que j’avais mis au début, mais pas sur que “texto” et “pornographique” ne soient pas dans les dicos " />

NonMais

Le 06/12/2013 à 10h 16

#49

TiTan91 a écrit :

OMG, 1 140 000 millions de comptes ?

Ca fait environ 162 comptes par être humain sur Terre ! ^^

?

Le 06/12/2013 à 10h 18

#50

zefling a écrit :

De mon côté, j’ai un boitillé qui m’affiche un chiffre. Au moins, je n’ai pas besoin d’avoir de réseau.

Et ton boitier, il boitille?

" />

Le 06/12/2013 à 10h 26

#51

NonMais a écrit :

Et ton boitier, il boitille?

" />

Oups, correction ortho raté. Puis comme je suis un peu dyslexique j’ai pas dû voir. " />

Narween Abonné

Le 06/12/2013 à 10h 34

#52

Comment crée son password et pourquoi en image et en anglais..

http://xkcd.com/936/

XalG

Le 06/12/2013 à 12h 14

#53

GrosPinPin a écrit :

Bah si on avait pas fait marche arrière sur la carte d’identité électronique qui devait être basé sur les mêmes principes de sécurité que les puces des cartes bancaires qui sont à l’heure actuelle le seul système inviolable…

Mouais, c’est juste certifié EAL 5+ une carte bancaire (de même pour les cartes ID. C’est pas tout à fait inviolable. Si au moins les cartes bancaire utilisaient des courbes elliptiques Bp512/Nist521, ce serait plus classe " />

Narween a écrit :

Comment crée son password et pourquoi en image et en anglais..

http://xkcd.com/936/

Tiens je l’avais jamais vu ce strip, aujourd’hui.

Le 06/12/2013 à 12h 21

#54

zefling a écrit :

De mon côté, j’ai un boitillé qui m’affiche un chiffre. Au moins, je n’ai pas besoin d’avoir de réseau.

Me concernant c’est création d’une carte virtuelle obligatoire pour mes achats sur le net, et pour les virements c’est le SMS

Zerdligham

Le 06/12/2013 à 14h 57

#55

Narween a écrit :

Comment crée son password et pourquoi en image et en anglais..

http://xkcd.com/936/

Il serait intéressant de regarder dans ce million de mots de passe, combien de fois apparait “correct horse battery staple”

Le 06/12/2013 à 21h 18

#56

NonMais a écrit :

?

J’ai envoyé une notification d’erreur, ça a été corrigé ;)

enfin pas totalement, ils ont juste retire le “millions”, et “1 140 000 de comptes” c’est pas très français

Anonyme

Le 07/12/2013 à 01h 31

#57

OlivierJ a écrit :

" /> L’avantage d’être sous Linux depuis des années c’est de voir toujours et encore passer des histoires de virus, vers et autres malware/trojan sous Windows pendant qu’on est peinard.

L’avantage d’être sous Linux, c’est comme d’aller en vacances sur une plage bretonne en septembre : tu es tout seul comme un con, à te cailler le cul en plus, mais au moins tu te fais pas chier avec les nuisances de la surpopulation estivale certes " />

Bon après, de là à vivre ça tous les ans depuis des années, c’est tout un concept hein… " />

Le 07/12/2013 à 01h 36

#58

Plymouth a écrit :

L’avantage d’être sous Linux, c’est comme d’aller en vacances sur une plage bretonne en septembre : tu es tout seul comme un con à te cailler le cul, mais au moins tu te fais pas chier avec les nuisances de la surpopulation estivale " />

Ça pourrait être vaguement vrai et faire sourire en 2003 à la rigueur, mais en 2013, bof…

Le 07/12/2013 à 10h 21

#59

OlivierJ a écrit :

Ça pourrait être vaguement vrai et faire sourire en 2003 à la rigueur, mais en 2013, bof…

balaye devant ta porte mon pauvre ami avant de dire aux autres qu’ils ont un discours d’un autre âge : Windows qui bouffe des malwares tout seul à la pelle à chaque petit déjeuner, Ça pouvait être vaguement vrai et faire sourire en 2003 à la rigueur, mais en 2013, bof…

Le 07/12/2013 à 10h 44

#60

Plymouth a écrit :

balaye devant ta porte mon pauvre ami avant de dire aux autres qu’ils ont un discours d’un autre âge : Windows qui bouffe des malwares tout seul à la pelle à chaque petit déjeuner, Ça pouvait être vaguement vrai et faire sourire en 2003 à la rigueur, mais en 2013, bof…

Il parlait de la plage bretonne non?" />

saf04

Le 07/12/2013 à 11h 31

#61

Plymouth a écrit :

balaye devant ta porte mon pauvre ami avant de dire aux autres qu’ils ont un discours d’un autre âge : Windows qui bouffe des malwares tout seul à la pelle à chaque petit déjeuner, Ça pouvait être vaguement vrai et faire sourire en 2003 à la rigueur, mais en 2013, bof…

que Windows se bouffe des virus a la pelle, c’est un probleme autre, et cela n’empeche pas que:

-en 2003 les utilisateurs de la pomme disaient “chez nous pas de virus” tout en ayant des machines remplies de trous et de trucs pas tres recommandables.

(depuis ils ont revu leur position)

-en 2013 les utilisateurs du libre disent toujours “chez nous pas de virus” tout en ayant des machines remplies de trous et de trucs pas tres recommandables.

(j’espere qu’ils vont revoir leur position)

RaoulC

Le 07/12/2013 à 14h 34

#62

Il me semble que c’est Pony Botnet, avec un seul N " />

Et sinon je trouve cela hallucinant. " />

En général, quand je découvre un botnet, au maximum dedans ya 500 bots.

(et ensuite, et bien, le botnet ne survit pas une fois l’hébergeur prévenu " />)

La , une seule instance avec des millions de passwords c’est juste

Je doute fortement que cela soit un kevin qui ai utilisé Pony (disponible pour qui cherche comme le rappelle si bien l’article) où alors, il est doué et ce n’est pas vraiment un kevin du coup..

Même en inondant le p2p et les sites de ddl de ce truc , pour atteindre ce chiffre

Il faut du temps..(estimation au doigt mouillé)

Ca sent l’utilisation d’exploit kits

Le 07/12/2013 à 14h 38

#63

saf04 a écrit :

que Windows se bouffe des virus a la pelle, c’est un probleme autre, et cela n’empeche pas que:

-en 2003 les utilisateurs de la pomme disaient “chez nous pas de virus” tout en ayant des machines remplies de trous et de trucs pas tres recommandables.

(depuis ils ont revu leur position)

-en 2013 les utilisateurs du libre disent toujours “chez nous pas de virus” tout en ayant des machines remplies de trous et de trucs pas tres recommandables.

(j’espere qu’ils vont revoir leur position)

Ouep, et sous Linux, suffit que le virus

exploite une faille

demande le mdp root a la mère michu, qui le donne. c’est beau

Cela étant, des trucs par recommandables sous linux " />

Je veut dire, l’utilisateur lambda il ne sort pas des dépôts officiels.

Et le power user ben, après, il doit savoir ce qu’il fait non?

Le 07/12/2013 à 18h 03

#64

Plymouth a écrit :

balaye devant ta porte mon pauvre ami avant de dire aux autres qu’ils ont un discours d’un autre âge : Windows qui bouffe des malwares tout seul à la pelle à chaque petit déjeuner, Ça pouvait être vaguement vrai et faire sourire en 2003 à la rigueur, mais en 2013, bof…

Oh non, c’est une réalité, il n’y a qu’à lire PC Inpact et toutes les histoires de machines compromises, les botnet, et j’en passe. Drôle d’aveuglement.

Le 07/12/2013 à 18h 05

#65

saf04 a écrit :

en 2013 les utilisateurs du libre disent toujours “chez nous pas de virus” tout en ayant des machines remplies de trous et de trucs pas tres recommandables.

Tu penses à quoi concrètement ?

Le 10/12/2013 à 13h 01

#66

OlivierJ a écrit :

Oh non, c’est une réalité, il n’y a qu’à lire PC Inpact et toutes les histoires de machines compromises, les botnet, et j’en passe. Drôle d’aveuglement.

La réalité c’est qu’il y a encore 30% du parc mondial qui mouline avec XP, sorti en 2001 je le rappelle, après évidemment quand on voit des discours comme le tien et aussi d’autres qui veulent faire croire au tout venant que d’être à jour sert à rien d’une façon ou d’une autre, faut pas s’étonner hein " />

Mme Michu aujourd’hui tu lui fais acheter un hybride sous Windows RT avec Office offert, c’est le meilleur système qu’elle puisse avoir et qui couvrira 99.9% de ses besoins, sans être ni dans le trop compliqué comme avec une Ubuntu, ou le trop limité comme avec un iPad, et elle sera au tout aussi sécurisée, même si elle fait exprès d’aller chercher les emmerdes " />

Le 10/12/2013 à 13h 47

#67

Plymouth a écrit :

quand on voit des discours comme le tien et aussi d’autres qui veulent faire croire au tout venant que d’être à jour sert à rien d’une façon ou d’une autre, faut pas s’étonner hein " />

" />

J’aimerais bien savoir où et quand j’aurais dit ça. Et “faudrait pas s’étonner” de quoi au juste ?

Plymouth a écrit :

Mme Michu aujourd’hui tu lui fais acheter un hybride sous Windows RT avec Office offert, c’est le meilleur système qu’elle puisse avoir et qui couvrira 99.9% de ses besoins, sans être ni dans le trop compliqué comme avec une Ubuntu, ou le trop limité comme avec un iPad, et elle sera au tout aussi sécurisée, même si elle fait exprès d’aller chercher les emmerdes " />

C’est ton opinion mais pas la mienne. Perso c’est soit du Mac soit du Linux (j’ai équipé ma mère et mon amie comptable avec les 2). Pour les 2, Ubuntu n’est pas plus compliqué que Windows.

Le 10/12/2013 à 21h 02

#68

barlav a écrit :

ok, uk ou eu, apres y’a plein de variantes selon les regions/sous regions, j’ai ete etonne de la creativite sur ces points. En tout cas j’ai un uk au taf, c’est pas du qwerty pour les caracteres speciaux; j’ai aussi vu des claviers belges ou suisses, tu restes tjrs tres perturbe pour taper ton caractere sioux de ton mdp.

Bref, sisi l’humour me va des fois, je souligne juste que je ne met jamais de e accent dans un mot de passe; va pour tous les autres chars.

Désolé de t’avoir froisse, on est pas toujours habitue a changer de clavier en france profonde.

" />

Dans ton message initial, tu parlais de UK et de GB, d’où ma remarque ^^;

C’est la même chose les deux ^^;

Après, entre UK et EU (d’ailleurs, ça existe un clavier EU ? Vrai question, vu le bordel que c’est rien qu’entre les langues FR/EN/SP/IT/…), c’est sûr que ce n’estv pas la joie.

Après, si on prend les particularités régionales… ^^;

Et tu ne m’as pas froissé, c’était juste une remarque à ta première réponse ^^;

Anecdote au passage, sur les caractères spéciaux.

Au boulot, bien que ce ne soit pas obligatoire, il est conseillé, via un message, d’utiliser ce type de caractères…

Pas une bonne idée, de la part de notre S.I. ^^;

Comme un certain nombre d’applications métier sont liées à notre mot de passe de connexion, gain de temps… en principe. Sauf qu’ils ont codé la protection avec les pieds pour certaines, et qu’elles n’acceptent pas les caractères spéciaux ^^;

Bilan, faut tout racheter modifier le mot de passe de connexion… sans les foutus caractères spéciaux ^^

Je fais, en plus de mon boulot normal, office de boîte à lettres entre les utilisateurs et le service informatique au boulot, j’y ai le droit à chaque fois qu’il y a un nouvel arrivant.

zefling a écrit :

Tu sais, même sur un clavier FR-fr à la Windows, tu peux changer le mappage des touches… D’ailleurs j’ai jamais pu saquer celui de Window, il manque trop de caractères, et pour écrire en majuscule c’est ultra chiant. Heureusement que ça se change.

Bon, maintenant que je suis sous Ubuntu, ça va beaucoup mieux. " />

Tu sais, le clavier FR-fr, c’est du soft, pas du hard ^^;

Je n’ai jamais vu un clavier Ubuntu ^^; (j’ai vu par contre un clavier Xandros, et franchement, c’est du pareil au même ^^).

FunnyD a écrit :

Oui mais je fais comment pour le donner à mes amis? " />

Toi, t’es pas un vrai breton ^^; Ou tes amis ^^;

Un verre, une bouteille, une caisse… un 38 tonnes. C’est pas difficile de le donner ton mot de passe, après ça ^^;

Le 10/12/2013 à 21h 59

#69

Jiyuu_Hashi a écrit :

Tu sais, le clavier FR-fr, c’est du soft, pas du hard ^^;

Je n’ai jamais vu un clavier Ubuntu ^^; (j’ai vu par contre un clavier Xandros, et franchement, c’est du pareil au même ^^).

Il n’en reste que c’est des clavier Windows FR-fr. La touche « Windows » en atteste. Je suis sous Kubuntu est j’ai pas de touche Ubuntu ou KDE. " />

Après c’est sur que le mappage lui c’est du soft, et heureusement. Pour moi ce n’est pas exactement pareil : la « clavier latin 9 obsolète » possède 2× plus de composes, avec tous les caractères de la langue française comme « œ » ou « É ».

Le 11/12/2013 à 19h 23

#70

OlivierJ a écrit :

C’est ton opinion mais pas la mienne. Perso c’est soit du Mac soit du Linux (j’ai équipé ma mère et mon amie comptable avec les 2). Pour les 2, Ubuntu n’est pas plus compliqué que Windows.

sauf que ton opinion n’est représentative que d’une fraction infiniment faible de la population, la mienne par contre est plus que largement partagée, c’est toute la différence " />

Puis de toute façon Windows RT est mille fois plus simple à utiliser qu’Ubuntu, tu peux toujours baver que t’es pas d’acc avec ça et que tu as réussi à installer une Ubuntu à ta mom avec 3 raccourcis sur le bureau pour pas qu’elle gueule de trop, ça ne changera rien à l’évidence…

Le 11/12/2013 à 21h 13

#71

zefling a écrit :

Il n’en reste que c’est des clavier Windows FR-fr. La touche « Windows » en atteste. Je suis sous Kubuntu est j’ai pas de touche Ubuntu ou KDE. " />

Après c’est sur que le mappage lui c’est du soft, et heureusement. Pour moi ce n’est pas exactement pareil : la « clavier latin 9 obsolète » possède 2× plus de composes, avec tous les caractères de la langue française comme « œ » ou « É ».

Avec l’Eee-PC (le tout premier, que je n’ai plus, car offert à ma nièce), la touche “Windows” était personnalisée (me rappelle plus le logo par contre).

De tout façon, aucun clavier ne sera réellement compatible avec les besoins de chacun.

Moi, j’ai besoin d’un clavier français plus poussé (comme ton latin 9), intégrant en plus des fonctions asiatiques (japonais, pour être précis), ainsi que l’IPA.

Autant te dire que ce n’est pas facile ^^;

Le 11/12/2013 à 21h 31

#72

Jiyuu_Hashi a écrit :

Avec l’Eee-PC (le tout premier, que je n’ai plus, car offert à ma nièce), la touche

Sur le mien, la touche reste la touche reste la touche Windows. Pourtant c’est bien un Eee-Pc Ubuntu.

La différence pour le clavier Windows, il est gravé les touche du mapping pas défaut de Windows, il n’y a pas de touche caché. C’est un clavier Fr Mac, c’est la mapping par défaut du système. J’ai trouvé un clavier « Ubuntu » tout à l’heure… c’est le mapping Windows (même la touche Windows y est, un comble).

Deux millions de comptes piratés, dont plus de la moitié de Facebook

Les mots de passe ont déjà été réinitialisés

Deux millions de mots de passe dérobés

Plus de la moitié des comptes compromis viennent de Facebook

Les utilisateurs prévenus et les mots de passe réinitialisés

Tiens, en parlant de ça :

Le fichier des empreintes digitales sera interconnecté avec huit autres fichiers

FAED y verse

Le ciblage publicitaire ne peut pas utiliser des données personnelles récupérées ailleurs

Schrems vs Meta, encore et encore

Windows 11 ajoute des publicités dans le menu Démarrer, comment les supprimer

Rogntudjuuu !

Sommaire de l'article

Introduction

Deux millions de mots de passe dérobés

Plus de la moitié des comptes compromis viennent de Facebook

Les utilisateurs prévenus et les mots de passe réinitialisés

Le fichier des empreintes digitales sera interconnecté avec huit autres fichiers

Le ciblage publicitaire ne peut pas utiliser des données personnelles récupérées ailleurs

Windows 11 ajoute des publicités dans le menu Démarrer, comment les supprimer

Reddit : cas d’école de la pollution par les contenus générés par IA ?

Transhumanisme, long-termisme… comment les courants « TESCREAL » influent sur le développement de l’IA

Qualcomm dévoile son Snapdragon X Plus et trois variantes du modèle Elite

Transhumanisme, long-termisme… des idéologies aux racines eugénistes ?

Corrigée depuis deux ans, une faille Windows activement exploitée par des pirates russes

La CNIL fait le bilan de son année 2023, cinquième année après RGPD

#LeBrief : TikTok suspend sa version Lite, Ariane 6 debout, enquête sur Pegasus, l’Europe et la violence numérique aux femmes

Terrorgram, la fabrique de terroristes d’extrême-droite, à coups de mèmes et de shitposts

Fiabilité des disques durs HAMR de 30 To et plus : Seagate donne des chiffres

[Màj] Le Congrès des États-Unis vote la loi obligeant ByteDance à vendre TikTok

#LeBrief : Fedora 40, anniversaire Hubble, vidéosurveillance algorithmique à Cannes, Voyager 1, Android 15 bêta 1.1

Sur GitHub et GitLab, des commentaires détournés pour stocker des malwares

[FAQ] Notre antisèche sur l’informatique quantique

L’Université d’Oxford ferme le Future of Humanity Institute dirigé par Nick Bostrom

#LeBrief : Apple rachète le français Datakalab (IA), propagande de la Russie, fin de partie pour Roccat, Proton Mail vs dark web

Europol milite pour un chiffrement de bout en bout « flexible »

Inclusion dans la tech : critiqué, le CEO de Qovery menace une internaute de poursuites

L’extension des prestataires américains devant collaborer avec la NSA fait polémique

#LeBrief : fuite chez Speedy, Rust pour Thunderbird, Saint Exupéry et PhiFire AI pour le satellite Φsat-2

Des institutions internationales s’engagent pour l’ouverture des données sur la recherche

Commentaires (72)