Version imprimable du sujet

Écrit par : Lionel 2 Mar 2012, 05:53

Hier nos amis d'http://www.igeneration.fr/itunes/itunes-nouvelle-vague-de-piratage-de-comptes-80652 sont revenus sur un phénomène qui touche régulièrement nombre d'utilisateurs d'iTunes, le piratage de leur compte.
La conséquence est toujours la même. Après avoir trouvé identifiant et mot de passe de l'utilisateur, les pirates utilisent le compte pour acheter des applications ou faire des achats in-App. 


La grande question est de savoir comment les pirates récupèrent ces mots de passe. Longtemps il a été question dans certains médias d'une faille de sécurité chez Apple, mais les choses semblent peu probables étant donné que ces vagues de piratage n'ont jamais été d'une très grande ampleur.
Nous présumons en revanche que ces piratages sont liés à d'autres vols de fichiers clients que ce soit chez Sony l'an dernier ou tout récemment chez Steam en passant par d'autres moins visibles ou non déclarés par des sociétés. Or, souvent les internautes utilisent le même mot de passe pour de nombreux services quand ce ne sont pas tous les services en ligne. Les pirates peuvent donc tester ces identifiants et mot de passe sur de nombreux sites, et sur des millions de fiches volées ils finissent toujours par trouver des comptes valides et utilisables.
Il semble donc important de conseiller aux internautes de penser à avoir des mots de passe uniques pour chaque service, surtout lorsque l'identifiant se résume à leur adresse mail. Cela devrait être systématique, même si vous les utilisez pour des services parfois mineurs et sans valeur commerciale. C'est forcément moins pratique que d'avoir toujours le même, mais c'est le prix à payer pour être aussi tranquille que possible.
Par Lionel

Écrit par : Jean-Pierre 2 Mar 2012, 06:31

A quand des système de authenticator exemple Blizzard on tape son mot de passe et un code de sécurité qui et donner par le Smartphone.

Écrit par : hellomorld 2 Mar 2012, 06:51

Je connais une personne, que j'ai dépanné quelque fois, qui n'utilise qu'à minima son mac (un poil d'email - adresse gmail) et un poil de net, c'est tout.
Elle m'a fait part d'un courrier Apple lui signifiant qu'un achat d'iPhoto avait été effectué depuis un autre ordinateur avec son compte.

Le mot de passe de son compte Apple est peu différent de celui de son compte gmail (une lettre en majuscule et un chiffre en plus). C'est un mot du dico.

Si piratage il y a vraiment eu, je pense que c'est du côté de gmail.

Je leui ai donc conseillé de changer son mot de passe et d'envoyer une réclamation auprès d'Apple : http://www.apple.com/fr/support/mac/app-store/contact.html?form=account&topic=Mac%20App%20Store%20Account%20and%20Billing

Écrit par : brewenn2 2 Mar 2012, 07:07

Ne révons pas si le piratage était du fait d'une intrusion sur les serveurs des services, Apple ne communiquerait pas sauf acculée à la cata car c'est l'avenir de tout son éco système qui est en jeu et de la confiance des clients.

En clair c'est plus positif pour l'image de "matraquer" que les problèmes sont dus à des imprudences de certains clients._

Écrit par : Xdave 2 Mar 2012, 07:44

Mais bien sûr!
Troll du matin, chagrin

Écrit par : grogeek 2 Mar 2012, 08:10

que pensez des sites qui utilisent le login de facebook......
vu qu'il y en a de plus en plus, c'est l'eldorado pour le piratage de comptes...

Écrit par : Lionel 2 Mar 2012, 08:14

Une société américaine qui se serait fait voler des données et ne le déclarerait pas risquerait des amendes devenues colossales. Même Apple ne peut se permettre ce genre de chose sachant que tout employé acceptant de couvrir ce problème pourrait se retrouver avec le FBI devant sa porte un matin.

Écrit par : m4k-hurrican 2 Mar 2012, 08:23

Moi je pense qu'il ne s'agit pas de comptes piratés par récupération de données sur un serveur ou d'un fichier, mais plus probablement d'une opération classique de récupération sur le client.
La grande plaie aujourd'hui c'est les keyloggers. Archi-démocratisés, mal nettoyés par les solutions de sécurité antivirus classiques, on les trouve sur pas mal de machines. Et là le compte est "piraté" dès qu'on rentre ses identifiants sur un site, puisque c'est la machine du client qui va enregistrer la frappe clavier, et l'envoyer à un site récolteur, qui en fera usage directement ou revendra l'information.

Écrit par : Cappuccino 2 Mar 2012, 08:51

Je pense plutôt à une faille soit dans les cartes iTunes ou des numéros volés de ces cartes soit dans le système de compte/paiement car il y a eu des exemples de gens ayant eu des achats in app d'applications alors qu'ils n'avaient pas ces dites applications sur leur iBidules (des applications de Sega).

Un même mot de passe c'est possible sinon ou simplement un phishing ou un key logger. La force brute est impossible car Apple a une protection forte là dessus.
Apple devrait faire comme Google ou Facebook en indiquant quand une nouvelle machine vient sur le compte ou fait des achats en indiquant aussi l'IP ou carrément une option pour interdire les IP ne venant pas du pays de l'acheteur.

Si c'était le cas, vu les centaines de milliers de comptes, on aurait beaucoup plus de gens piratés même de petites sommes.

S'il y a une faille, elle concerne quelque chose de particulier, soit les cartes iTunes, soit des comptes qui ont quelque chose de spécial, sans quoi on aurait des piratages bien plus massifs.

Là c'est curieux car c'est souvent des achats in app ou des apps asiatiques. Je ne comprends d'ailleurs pas ce que ça rapporte aux pirates car l'argent va à Sega et Apple.

Écrit par : jujuhtst 2 Mar 2012, 08:54

Et particulièrement vrai lorsque l'on utilise l'ordinateur d'un tiers. On ne sait pas ce qui a été installé sur la machine, la qualité du Wifi (si utilisation de ce type de connexion) ... Il faut absolument éviter les cyber café, à moins d'utiliser les systèmes à token, comme : Blizzard Authenticator, Google Authenticator ... Facebook propose aussi un système de login "sécurisé".

Écrit par : Cappuccino 2 Mar 2012, 08:55

Tout à fait.
Les réseaux WIFI publics permettent aussi le piratage des comptes de certains sites.

Écrit par : diablo 2 Mar 2012, 09:38

@ capuccino

Tu pourrais préciser quels types de réseaux wifi publics sont concernés? Personnellement je suis obligé d'utiliser assez souvent les hotspots sfr et cette question me turlupine depuis un moment déjà. comment est-ce possible? ça n'est pas sécurisé ou moins que lorsqu'on utilise le wifi vers sa box? On peut intercepter la communication de l'usager vers l'hotspot? Comment dans ce cas s'en prémunir? Changer les mots de passe assez souvent? J'utilise déjà des mots de passe alambiqués (avec 1password), j'espérais être à l'abri de ce genre d'ennuis.

PS: j'ai lu quelque part que certains petits malins se faisaient passer pour des hotspots wifi pour voler les identifiants de connection à votre fournisseur d'accès. A votre avis mythe ou réalité? Il n'y aurait dans ce cas pas de moyen de vérifier l'authenticité de l'hotspot?

Écrit par : g4hd 2 Mar 2012, 09:43

Certains sites, je n'ai pas d'exemples précis sous la main, retournent un mail d'ouverture de compte avec les infos en clair de login et de password.
Cela me surprend toujours !
Autre chose : utiliser un mot de passe créé spécialement pour chaque site ?
Comment peut-on s'en souvenir ?
Je veux parler d'une suite de lettres et chiffres absolument incompréhensible, pas un mot du dictionnaire !

Y a-t-il un utilitaire lui-même protégé pour stocker ça ?

Écrit par : Lionel 2 Mar 2012, 09:43

Les Hotspot SFR ne sont pas réellement publics mais liés à une authentification client et ensuite chiffrés donc pas de problème contrairement à se connecter au Macdo. Quand j'utilise un Wi-Fi ouvert, non chiffré, je lance un VPN avant de bosser.

Écrit par : diablo 2 Mar 2012, 09:53

Merci Lionel me voilà rassuré
Si je comprends bien, dans le cas d'un mcdo par exemple, le vpn permet de sécuriser ta connexion: la transmission est alors cryptée?

Écrit par : g4hd 2 Mar 2012, 09:59

Totalement ignare, je n'ai jamais réussi à décrypter ce sujet... Peux-tu indiquer "un lien pour les nuls" à propos de VPN.

Écrit par : tenets 2 Mar 2012, 10:24

Impossible de protéger ses comptes avec Orange :

chaque mois je reçois des emails pour me prévenir de l'émission d'une facture, chaque fois
je retrouve en clair : mon N° de tel, mon N° de compte client, et mon mot de passe.

J'ai demandé que cela cesse (plusieurs fois) : en vain.
j'ai demandé à signal spam (CNIL) d'intervenir, sans résultat.

Ô range ô désespoir ...

Lionel : "Quand j'utilise un Wi-Fi ouvert, non chiffré, je lance un VPN avant de bosser."

Merci de donner une piste (adresse ?) pour trouver comment procéder.

Écrit par : london_lipstick 2 Mar 2012, 10:27

Pour les VPN, j'utilise le service de SecurityKiss. Ca fonctionne bien et c'est relativement abordable (je paye 5,9 euros par mois). Tout est facile à configurer et la liste des serveurs disponibles est assez fournie.

Il y a d'autres sites qui proposent le même service, mais je ne les connais pas.

Écrit par : DKC 2 Mar 2012, 11:02

Bonjour, je tiens à apporter ma pierre à l'édifice car j'ai justement été piraté ce WE et je pense que c'est dans la même "vague" que tous les piratages remontés hier sur igeneration.

J'ai eu de nombreux achats inapp sur l'application -KingdomConquest- (que je n'ai jamais utilisé ou téléchargé) d'un montant d'environ 39€ réparti sur 3 factures.

Suite à ma réclamation de remboursement, Apple a suspendu mon compte (j'attends qu'ils me le réactivent) et m'a annoncé avoir recrédité mon compte de 26€ (une facture n'as pas encore été remboursé et j'attends leur retour pour savoir pourquoi)

Par contre, je ne suis pas en phase avec l'explication donnée dans l'article. En effet, le mot de passe que j'utilisais était unique pour mon compte apple store, je ne l'utilisais sur aucun de mes autres comptes (mail/forum etc)
De plus, il était (à mon sens) assez complexe, puis qu'il était composée de 8 caractères, 6 lettres dont 1 majuscule. les lettres étaient aléatoires et ne composaient pas un mot, il y avait 2 chiffres dans les 8 caractères.

Je doute donc, qu'un dictionnaire ai pu etre utilisé, ou que mon mot de passe ai pu faire parti d'un listing de mots de passes raccrochés à mon adresse mail.
J'ai également vérifié mon historique de mail au cas où mon adresse ai pu etre piratée et le mot de passe récupéré via mail, mais apple ne permet pas la récupération de MDP par mail et mon mot de passe n’apparaît dans aucun des mails de mon historique.

Donc je ne sais pas d'où provient la faille, et j'aurai bien aimé la corrigée de suite, mais en tout cas l'explication du meme mot de passe utilisé partout ne tient pas pour mon cas personnel.

Écrit par : g4hd 2 Mar 2012, 11:13

Est-ce que tu tapes ton mot de passe à chaque fois ? ou bien il serait automatiquement généré quand tu te connectes ?
… puisque cette option est possible pour l'accès au compte.

Écrit par : SartMatt 2 Mar 2012, 11:50

Sur un hot spot ouvert (ni WEP, ni WPA), toutes les communications qui ne sont pas chiffrées au niveau applicatif transitent en clair et sont lisibles par n'importe qui.
Il est donc indispensable pour sécuriser de passer par des applications chiffrées. Pour le web, ça veut dire utiliser les versions HTTPS des sites (quand elles existent...) ou passer par un VPN ou un proxy chiffré.

Sur un hot sport chiffré (WEP ou WPA), c'est un peu mieux, puisque les communications sont chiffrées en bas niveau. Mais elles restent lisibles pour tous ceux qui ont la clé... Par exemple, si tu es dans un hôtel qui a un réseau Wi-Fi WPA, tous les clients de l'hôtel peuvent éventuellement intercepter ton trafic.

Il doit effectivement y avoir des petits malins qui ont fait ça.
Pour s'assurer l'authenticité du hot spot, il faut :
- saisir soi même l'adresse de la page d'authentification en HTTPS (très important le S),
- s'assurer que le certificat HTTPS est bien valide (normalement le navigateur gueule un peu s'il est invalide).


J'ai de gros gros doutes sur ce chiffrement dont tu parles...
Les hot-spot Wi-Fi de SFR n'ont ni WEP, ni WPA, donc il n'y a aucun chiffrement bas niveau de la communication entre le poste client et le hot-spot.
Tout ce qui est fait avec des logiciels ne chiffrant pas leurs communications est donc à priori non chiffré entre la box et l'ordinateur, et donc interceptable par n'importe qui.

Écrit par : GStepper 2 Mar 2012, 12:03

@ SartMatt

Il me semble que le traffic vers iTunes Store est à minima chiffré par SSL non ?

Écrit par : yponomeute 2 Mar 2012, 12:37

Ce qui est super avec des services tel que gmail c'est que les gens conservent tous leurs emails en ligne. Si jamais on se fait pirater son compte gmail dans ce cas, le pirate a accès à tous vos mails, les confirmations d'inscriptions sur les comptes clients divers avec les login (et parfois même le mot de passe). Ensuite il est très simple de redemander un nouveau mot de passe par exemple et de le récupérer dans gmail.

C'est fantastique le stockage online, ça facilite la vie de tout le monde, surtout celle des gens malhonnêtes.

Écrit par : DKC 2 Mar 2012, 13:36

C'est à dire ? je le tape à chaque fois que je veux télécharger une nouvelle appli ou une MAJ sur mon iPhone mais sinon je n'avais pas de raison de le saisir.

Écrit par : JYF 2 Mar 2012, 14:22

Bien vu. Je n'ai jamais compris les gens qui stockent tout leur courrier indéfiniment sur des services en ligne, genre Gmail ou IMAP. Pour ma part, j'ai paramétré ma messagerie de façon à ne laisser que les deux dernières semaines en ligne ; le reste est au chaud sur le Mac, en local.

Écrit par : Youri777 2 Mar 2012, 14:24

Facebook fonctionne avec un système de jetons. L'utilisateur s'identifie directement auprès de facebook en précisant les droits qu'il laisse au site ou à l'application et celle-ci reçoit un jeton pour les utliser. Les sites/applications n'ont jamais accès aux log/pass.

Écrit par : SartMatt 2 Mar 2012, 15:14

Perso, je laisse tout en ligne, parce que ça me permet d'y accéder ensuite depuis n'importe quel poste, et pas seulement de chez moi, tout en bénéficiant de fonctions de recherche bien plus efficaces et d'une sauvegarde en ligne de tout mes mails, les protégeant ainsi en cas de problème grave chez moi...

Pour la sécurité, en plus d'avoir un mot de passe spécifique à ma boîte Gmail, long et pas dans le dictionnaire, j'utilise Google Authenticator, ce qui fait que même avec le mot de passe, il n'est pas possible de se connecter.

Et en prime, quand je me connecte à Gmail depuis un PC public, j'utilise 2-3 petites ruses qui permettent de tromper la plupart des keyloggers (copier-coller, drag and drop, changement de focus...).

Mes mails sont donc sans doute autant à l'abri sur les serveurs de Gmail qu'ils le sont en local sur mon PC... Peut-être même plus.

Écrit par : diniou 2 Mar 2012, 17:00

Ce n'est pas vrai. Une communication WPA dispose d'une clef de chiffrement symétrique unique entre le client client et la borne. Tu ne peux pas comparer ça à un "HUB" wifi.

Écrit par : villeroy 2 Mar 2012, 17:19

J'ai voulu avoir un mot de passe différent pour Apple Id, Icloud, App Stor et Itunes, ça a été le bor..l ..... messages de Mail et de Ical sur le Mac et l'Iphone !!!!

J'ai donc contacté la hotline Apple par mail, après 2 mails de précisions de mon problème mon mot de passe a été re-initialisé par la hotline !!!!

Je devais donc en changer dès réception du mail, mais quel était le nouveau mot de passe de la hotline ???

J'ai attendu 8 heures pour pouvoir changer de mot de passe, trop d'opérations avaient été faite sur mon compte !!!!

Étranges opérations !! Pas vraiment la sécurité !!

La hotline m'a offert 3 crédits Itunes pour le désagrément.

Quand à avoir des mots de passe différents ..... ce n'est visiblement pas toujours possible. Je n'utilise pas mes messageries hotmail et gmail pour ce genre de compte.

Écrit par : iRed 2 Mar 2012, 17:20

Tu as un doc là dessus? j'étais pas au courant

Écrit par : SartMatt 2 Mar 2012, 17:41

Hum... T'es sûr de ça ? J'ai jamais entendu parler de ça pendant mes cours de réseau (qui datent un peu déjà, mais il me semble qu'on avait abordé le WPA).

Ça voudrait aussi dire que chaque paire d'appareils sur un même réseau Wi-Fi à sa propre clé, pour qu'ils puissent communiquer entre eux (parce que quand deux appareils sur un réseau Wi-Fi communiquent ensemble, c'est une communication directe il me semble, ça passe pas par la borne, ce qui serait un gaspillage de ressource radio).

Écrit par : Youri777 2 Mar 2012, 20:27

Donc d'après toi un hackeur s'amuse à hacker gmail pour récupérer le pass crypté, à lancer une attaque dessus de type dictionnaire ou brute force afin de l'avoir en clair et tester toutes les variantes sur les serveurs d'Apple?
Soit je n'ai pas compris soit cela n'a aucun sens.



Oui en vpn tout est crypté. Mais le vpn est entre 2 points, pas disponible n'importe où.



+1. Pour le mail, accessible partout et c'est Google qui gère les problèmes de sauvegarde et de sécurité.




Je confirme pour la clé de chiffrement unique en WPA, ce qui n'était pas le cas en WEP.
Le wifi fonctionne sur 2 modes en infrastructure ou en Ah-hoc. En infrastructure toutes les communications passent par le point d'accès et même en PSK où tout le monde partage la même passphrase, la clé de chiffrement de la connection est différente pour chaque client (impossible de sniffer le traffic).

Écrit par : kifkif 2 Mar 2012, 23:13

Ma pierre :
Le mot de passe d'iTunes était sensiblement différent de gmail ou autre. Il a été piraté. Après changement, rebelote. Et encore une autre fois. Maintenant j'ai un MDP compliqué, plus de soucis.
À chaque fois, le piratage venait d'Asie, donc ce n'est pas ma connex wifi qui est en cause. Les pirates ont des outils qui permettent de casser les MDP simples. Faut pas aller chercher plus loin. Il faut mettre plusieurs majuscules et plusieurs chiffres pour être tranquille…

Écrit par : SartMatt 3 Mar 2012, 10:37

Si c'est ça, il y a bien un problème au niveau d'Apple.
Protéger un service en ligne contre le brute force ou les attaques par dictionnaire sur les mots de passe trop simple, c'est pas bien compliqué : suffit d'insérer un temps d'attente dans la vérification du mot de passe et de doubler ce temps d'attente à chaque essai. Avec un temps d'attente initial de 10ms, totalement invisible pour l'utilisateur normal, on arrive déjà à 10s d'attente au bout de 10 essais infructueux et près de 3h au bout de 20 essais. Dans ces conditions impossible de faire un brute force ou une attaque par dictionnaire (même en limitant le temps d'attente à un maximum de 10s, pour pas trop impacter l'utilisateur lorsqu'un pirate s'est attaqué à son compte, on peut déjà plus faire de brute force).

Écrit par : hellomorld 3 Mar 2012, 11:07

La personne en question a très très peu de contacts email, fait rarement des recherches sur le net, jamais d'achat en ligne. Son compte gmail est configuré dans Mail.
Elle n'a indiqué sa carte bleue dans son compte Apple que parce qu'Apple force les gens à le faire.

Bref, ce qu'elle utilise le plus c'est ses emails et c'est pourtant dix fois rien vis à vis d'une utilisation "normale". C'est d'ailleurs troublant qu'elle ait pu être victime d'un hack vu sa présence très réduite sur le net.
Mon hypothèse est tiré par les cheveux, c'est vrai mais j'ai déjà eu le cas de plusieurs personnes qui se sont fait hacker leur compte gmail.

Écrit par : jujuhtst 3 Mar 2012, 11:45

Attention aussi aux "questions secrètes" dont les réponses, à l'heure du web, n'ont plus rien de secrètes ...

Écrit par : VSD 3 Mar 2012, 15:55

Le mieux est de ne pas ouvrir de compte , ainsi pas de mot de passe , point de "piratage" point de vol , et si tu veux quelque chose tu vas aux commerce comme avant !

Écrit par : toubaigne 4 Mar 2012, 14:03

La solution à propos d'un piratage sur iTunes existe il suffit après achat d'enlever sa carte bancaire comme mode de paiement , une simple case à cocher. Je me demande d'ailleurs pourquoi cette option n'est pas généralisée voire obligatoire sur tous les sites marchands .

Écrit par : Hustleman 5 Mar 2012, 05:13

Je vais regarder... Je l'ai pas vu. Mais il faut mettre un autre moyen de paiement alors...? Genre Paypal ou autre??

Écrit par : flood78 5 Mar 2012, 05:53

Là aussi, la réponse n'a pas besoin d'être la "vraie" réponse... elle peut être une combinaison de la vraie réponse suivie d'un code...

Écrit par : Lionel 5 Mar 2012, 06:09

Parce que l'achat compulsif est important pour eux.