Suite à une fuite de données chez Cloudflare, un CDN utilisé notamment par Next INpact, nous conseillons à nos lecteurs de changer leur mot de passe. Une procédure que vous allez devoir suivre pour de nombreux sites.
Comme évoqué dans un article consacré au sujet, Cloudflare a rencontré un bug qui a mené à une fuite de données. Ce service proposant de nombreux outils, comme un CDN ou une protection anti-DDoS, protège pas moins de 5,5 millions de domaines, dont celui de Next INpact.
Parmi les données récoltées, on retrouve des mots de passe, cookies et jetons d'authentification. N'importe quel site utilisant Cloudflare peut être concerné par cette fuite. Bien qu'elle concerne une portion assez limitée des requêtes (0,00003 %), il est conseillé de procéder à quelques mesures préventives :
- Rendez-vous sur https://compte.nextinpact.com
- Tapez votre ancien mot de passe
- Tapez et confirmez votre nouveau mot de passe
- Validez
- Déconnectez-vous
- Connectez-vous avec le nouveau mot de passe
Vous devez faire de même avec les sites ou ce mot de passe était utilisé, si jamais vous n'en utilisiez pas un spécifique à Next INpact. Vous devez aussi faire de même avec tous les sites et services qui utilisent Cloudflare, ce qui concerne par exemple certains gestionnaires de mots de passe.
Bien entendu, nous ne pouvons que vous recommander d'utiliser des mots de passe différents et un gestionnaire de mot de passe afin de renforcer votre sécurité dans des cas comme celui-ci.
Commentaires (71)
#1
j’ai lu un peu leur blog en diagonal, mais je vois pas trop comment le mdp aurait put être leaké étant donné que c’est en https et que les clef ssl n’ont pas leak.
Théoriquement c’est safe non ? ( un peu plus de détail sur la faille peu être intéressant )
#2
Je n’ai aucun login et/ou mdp employé deux fois, même isolément… J’ai pas trop l’intention de changer du coup, si ça foire c’est qu’il y a un souci plus gros que prévu.
#3
Le changement est-il nécessaire aussi pour la presse libre? Vu que le changement de celui de NXI ne l’affecte pas.
Le site mouline, j’ai galérer pour me connecté." />
#4
Non, le site n’est pas derrière CF (sinon on l’aurait précisé)
#5
Merci." />
#6
Merci pour l’info, je l’ai fait par sécurité, même si le risque est faible. On sait jamais.
En même temps après tous les articles sur la sécurité/crypto/gestionnaire de MDP, ça serait un comple pour vous de pas vous en soucier lol.
#7
Changé, on sait jamais." />
#8
Hmmm je suis en HTTPS la, si cela n’a pas fuité à ce niveau, c’est assez safe ?
Edit > Cela ne semble toucher que les flux HTTP, pas HTTPS donc, si l’on est full HTTPS sur NXi, on ne risque à priori rien du tout.
#9
A partir d’une requête POST par exemple
#10
Jamais trop prudent.
MDP changé
#11
https ça change rien, cloudflare est un mitm dans ce cas, ils voient passer les flux en clair, et donc ont pu leaker votre mot de passe.
#12
@PCI vous êtes transparents sur le sujet et c’est plutôt cool…
Mais comment savoir si l’un des sites qu’on consulte au quotidien utilise CF histoire d’y changer le MDP ?
Merci !
Edit : J’ai bien vu le site qui permet de savoir si CF est utilisé ou non, mais vu ma liste de site, ça va faire une soirée sympa à lister tous mes sites inscrits sur LastPass… ça va être fun… !
#13
pour ma part j’ai aussi changé le MDP sur plex.tv
#14
#15
Bon, rien de catastrophique, xhamster n’est pas touché…
" />
#16
#17
Les avocats spécialisés dans le divorce s’en frotteraient les mains pourtant… " />
#18
Quelle preuve on a que NXI n’est pas sous contrôle de hackers, et que cette news n’est pas un fake destiné à sniffer nos anciens+nouveaux passwords ?
Après tout, les hackers ont très bien pu récupérer les password des admins.
#paranoiaaaa aaa aaaa
#19
Perso, sur les sites comme next-inpact où la seule chose d’intéressant que je renseigne est mon e-mail spé spam, j’utilise un mdp perso que je sais qu’il a fuité depuis des années mais que osef, parce que j’ai rien à perdre.
Par contre, les comptes où j’ai ma CB de renseigné et/ou les comptes de jeux, j’ai un e-mail et des mdp bien plus velus et différents ^^.
Mais pouce vert pour la transparence ;)
#20
Bah non il blague pas " /> il faut changer tous les mdp des sites utilisant cloudflare
#21
Et c’est là où tu es content d’avoir KeePass (ou autre gestionnaire) avec mots de passe générés aléatoirement, pour ne pas avoir à se creuser la cervelle pour trouver des nouveaux mots de passe !
#22
Le code c’est le code ? Ça va, ils se sont pas trop cassé le bonnet pour la trouver celle là… " />
#23
Suite à une fuite de données chez Cloudflare, un CDN utilisé notamment par Next INpact, nous conseillons à nos lecteurs…
Suite à, mais c’est horripilant, mais c’est insupportable !
=> Cloudflare, un CDN utilisé notamment par Next INpact, ayant été piraté, nous conseillons à nos lecteurs…
=> En raison d’une fuite de données chez Cloudflare, un CDN utilisé notamment par Next INpact, nous conseillons à nos lecteurs…
=> Parce qu’une fuite de données a été détectée chez Cloudflare, un CDN utilisé notamment par Next INpact, nous conseillons à nos lecteurs…
Et pourquoi pas “une fuite de données chez Cloudflare génère nos conseils de changements de mots de passe” ?
Halte au langage formaté ! Halte à l’appauvrissement du vocabulaire ! Halte à l’appauvrissement de la pensée ! Halte à la décadence !
#24
https://blog.agilebits.com/2017/02/23/three-layers-of-encryption-keeps-you-safe-when-ssltls-fails/
Visiblement 1pasword avait prévu le coup.
#25
Et voilà qu’Heret tique…
#26
D’ailleurs, on peut espérer que NXI, dans ses excellentes pratiques, procède bien à un hachage côté navigateur avant de faire transiter le mot de passe (au moment de l’identification) n’est-ce pas ? Https ou pas https.
#27
#28
#29
2 sites connus concernés :
- voyageforum.com
#30
" />
#31
J’ai a priori réussi à faire 2 fois la même erreur lors du changement de mot de passe.
J’ai dû passer par une réinitialisation pour mettre celui que je voulais mettre…
#32
https://github.com/pirate/sites-using-cloudflare
Ca a pas été déjà donné par ici ?
#33
#34
#35
Le changement de mot de passe, c’est maintenant !
AAAAAARRGH ! UN COMPLOT HOLLANDISTE !
" />" />" />" />" />
#36
Arf, je me demandais bien où j’avais pu trouver ce lien … " />
#37
Mdp changé, au cas où.
Ah, quel bonheur les trucs centralisés …
Un prestataire qui a un soucis, des dizaines de sites potentiellement touchés.
Bon, je vais faire le tour des services que j’utilise, histoire de …
#38
Bof, l’intérêt est super limité non? Compromission du hash => compromission du compte, et compromission du serveur, compromission du mot de passe en clair, vu que c’est lui que sert le js qui va générer le hash. Je dis pas que l’intérêt est nul, c’est toujours une couche supplémentaire, mais bon, full https + pas de stockage en clair, c’est suffisant pour un site qui n’est pas une cible de haute valeur à priori.
#39
#40
Fait
Mais c’est une honte ! je proteste !
Bientot dans Le Monde “NXI oblige ses lecteurs à changer leur mot de passe” " />
#41
Fait :)
#42
Le changement des mots de passe par précaution, à la suite de fuites, commence à devenir une occupation un peu trop récurente à mon goût. Je vais finir par bazarder tous les comptes qui n’offrent pas de double authentification.
#43
Et hop, le MDP changé après 2 ans ! " />
" />
#44
Au passage, on doit contacter qui quand on se voit attribuer un nouveau compte (oui, j’ai fait l’erreur de changer mon mot de passe avec “Mot de passe oublié”) ?
#45
Là on est clairement en minitel 2.0 " />
#46
Merci pour la transparence et l’information NXI ! Changements faits, longue vie à vous :)
#47
+1.
Ca commence a devenir sacrément lourd … :/
#48
Ça fait longtemps que je me dis que je dois changer mon mdp nxi parce qu’il est trop simple (et je le fais pas pour cause de flemme), là c’est une bonne occasion de me décider.
#49
“Comme même”
COMME
MÊME…
COMME MÊME…
" />
#50
Yep, c’est un même qui a la vie dure. :-/
#51
C’est pas pour être méchant mais ça me semble relever de la faute de la part de l’équipe technique de NXi…
Faire transiter les données confidentielles par un tiers qui possède les clés de décryptage SSL c’est du grand n’importe quoi !
Un CDN c’est fait pour servir du contenu statique ! Point final ! A partir du moment où l’on commence à avoir des données sensibles qui transitent en clair chez un prestataire et que ce prestataire est assez gros ça devient un point de vulnérabilité critique du réseau.
Alors on pourrait taper sur cloudflare et ses fonctionnalités (pourries) qui vont au-delà du CDN pour promettre le beurre, l’argent du beurre et la crémière en prime (j’ai souvenir d’une conversation il y a peu sur nxi ou un brillant béotien me soutenait qu’il suffisait de mettre un site derrière cloudflare pour le sécuriser, le tout basé sur le white paper de cloudflare…), mais je tape bien plus sur les sites qui font le choix d’utiliser ces implémentations !
Jusqu’à il y a peu toute la partie login / account de nxi était sur azure, pourquoi avoir changé ??!!
Merci de rendre vos visiteurs et abonnés vulnérables….
#52
CF, azure ou tamère ca ne change rien au problème de base: l’envoi en clair du mdp par POST.
Il est temps que le W3C ratifie l’un des nombreux RFC qui propose du challenge-response sur HTTP, et que le browser s’occupe de la partie hash/crypto du mdp lors de l’envoi.
#53
Merci pour l’info, c’est fait aussi.
#54
#55
#56
ah c’est le seul truc qui t’as heurté ? l’absence de reconnaissance d’un homme face aux efforts d’un de ses congénères " />
#57
#58
#59
#60
#61
Ca serait peut être bien d’avoir aussi une case “Supprimer le mot de passe” pour avoir une connexion uniquement via OpenID/twitter/facebook/google ?
https://www.youtube.com/watch?v=8ZtInClXe1Q
#62
ashleymadison.com ??? encore ???
#63
Si on a modifié le mode d’accès pour passer par LPL avant le 22/09/2016, normalement il n’y a pas de problème. Juste ?
#64
#65
joli " />
#66
“Merde, quand même !!” " />
#67
changé, merci
#68
Il y a quand même un point qui me chiffone. J’ai changé mon mot de passe depuis mon téléphone, j’ai donc du saisir le nouveau mot de passe dessus. Depuis je n’ai pas eu l’impression de l’avoir saisi sur le pc alors que j’y suis connecté sans problème ?!
#69
Il faut se déconnecter/reconnecter pour invalider les coockies. Enfin, c’est ce que j’avais compris et je le laisse écrit tel quel.
Mais ça ne marche pas !
En écrivant cela, je me suis rappelé que j’avai utilisé mon PC portable ce WE sur NXI sans changer le mot de passe alors que je m’étais bien déconnecté sur mon PC fixe.
Si les choses étaient bien faites, le seul changement de mot de passe devrait invalider les sessions en cours et forcer la demande de mot de passe, sinon, si notre mot de passe est déjà utilisé, on ne peut plus rien faire !
#70
MDP changé
#71
La liste et l’outil ne donnet pas les mêmes résultats, exemple :
phpbb.com est sur la liste et l’outil indique
“Phew, the website does not use cloudflare!”
Bref, la pagaille.
De toutes façons, plus on regroupera de choses sur Internet, plus on sera vulnérables. Mais on continue…