Savoir si la faille de sécurité Facebook vous a touché, Réactions à la publication du 14/10/2018 |
Bienvenue invité ( Connexion | Inscription )
Savoir si la faille de sécurité Facebook vous a touché, Réactions à la publication du 14/10/2018 |
14 Oct 2018, 07:05
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 345 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Fin septembre, Facebook a annoncé qu'une faille de sécurité a touché 50 millions de ses utilisateurs.
La société a dévoilé plus d'informations sur cette faille qui en fait était l'exploitation de plusieurs failles moins graves et qui a permis aux pirates de récupérer les jetons de connexion d'utilisateurs et ainsi d'accéder à leur compte comme s'ils en avaient le couple identifiant et mot de passe. Facebook a mis en ligne une page d'explication destinée aux utilisateurs. Si vous êtes déjà connecté au site, il suffit d'aller sur cette page et de la défiler en bas. Vous saurez alors si votre compte fait partie de ceux piratés. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
14 Oct 2018, 09:46
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 720 Inscrit : 16 Dec 2004 Lieu : neuilly plaisance Membre no 28 949 |
Pas très sympa de ne donner que des explications en Anglais .....
-------------------- * Mac Pro 2009 bi processeur flashé 5.1 Cinema Display 30 pouces 20 giga de ram sous 10.14
* Cinema Display 30 pouces * Samsung UE55D * Hp Officejet 6600 * Hp Laserjet P1102 * Hp Color Laserjet Pro M252DW * Macbook Pro Fin 2011 sous High Sierra * I Phone 4S blanc 64 go * Xiaomi Mi 11 5G 256go * PC de secours dans boitier Cooler Master Wave Master (je cherche l'aquagate watercooling) |
|
|
14 Oct 2018, 10:21
Message
#3
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
Citation Your privacy is incredibly important to us -------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
14 Oct 2018, 10:50
Message
#4
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 266 Inscrit : 5 Jan 2013 Lieu : New York Membre no 181 722 |
Su tu utilises FB, cette question en se pose même pas. La sécurité est déjà le moindre de tes soucis.
|
|
|
14 Oct 2018, 12:19
Message
#5
|
|
Adepte de Macbidouille Groupe : Membres Messages : 223 Inscrit : 16 Jan 2014 Lieu : Belfort Membre no 188 887 |
Fin septembre, Facebook a annoncé qu'une faille de sécurité a touché 50 millions de ses utilisateurs. La société a dévoilé plus d'informations sur cette faille qui en fait était l'exploitation de plusieurs failles moins graves et qui a permis aux pirates de récupérer les jetons de connexions d'utilisateurs et ainsi d'accéder à leur compte comme s'ils en avaient le couple identifiant et mot de passe. Facebook a mis en ligne une page d'explication destinée aux utilisateurs. Si vous êtes déjà connecté au site, il suffit d'aller sur cette page et de la défiler en bas. Vous saurez alors si votre compte fait partie de ceux piratés. Lien vers le billet original Bonjour Lionel Et si on n'a pas de compte FB ? Je me suis inscrit au service municipal de transport public de ma ville (appelons le "Onvoustransporte"), qui assure transport public de voyageurs, location de vélos et de voitures. Après mon inscription, j'ai eu la surprise de recevoir un mail de FB m'informant que mon inscription auprès de Onvoustransporte a bien été enregistrée Y aurait-il pas comme un os dans le boudin ? Ce message a été modifié par Oncle Sophocle - 14 Oct 2018, 12:25. |
|
|
14 Oct 2018, 12:49
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 383 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Avec cette façon de procéder, Facebook a franchi un cran, comme Apple d'ailleurs avec ses 1 To de données en Australie et Google +: on ne communique plus sur les failles au moment où on les comble, on ne prévient pas les personnes et/ou société touchées, les utilisateurs n'ont qu'à se débrouiller pour se tenir au courant. Opaque.
Ça a été un beau glissando très mélodieux de tous les grands acteurs depuis 2 ou 3ans mais là ça devient général, outre qu'ils ne réussissent pas à protéger nos données, que petit à petit on veut nous faire croire que c'est presque normal que celles-ci soient piratées par d'autres, on ne nous informe même plus dès que la chose est connue en interne. Je l'ai appris cette semaine, non en allant sur mon compte Facebook, mais sur d'autres sites... Dans les cas de Google+ et Facebook la faille vient de leurs développeurs. Là ils ajoutent l'irresponsabilité à l'incompétence. Je recommande de mettre de moins en moins d'informations personnelles dans les "médias sociaux", non seulement à cause de l'usage qui en est fait contre nous, mais aussi car ils sont tout simplement incapables! -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
14 Oct 2018, 13:14
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 169 Inscrit : 12 Jul 2011 Membre no 168 767 |
Moi, plus que les réseaux sociaux, ce sont les employés qui balancent tout leurs agendas sur des "clouds" avec les heures, les titres, les invités, les notes, etc. et toutes les autres infos sensibles de leurs entreprises.
Quand on parle de ça en interne, la seule réponse c'est : "tu as autre chose à suggérer ?", sous-entendu qui fasse la même chose et qui ne nous coute rien ... Les mêmes qui évidemment font un caca nerveux quand quelqu'un a oublié de prévenir qu'il fallait préparer un badge pour un technicien qui fait l'entretien et qu'on "by-pass" les procédures pour que le gars ne doive pas revenir un autre jour. Ce message a été modifié par Sethy - 14 Oct 2018, 13:15. -------------------- MacBook Air 2014 - core i3 - 8 GB - 128 GB - Maverick iPad mini 1- 64 GB - iOS 7 Hack X99 - 970 GTX 2015 - Gigabyte X99-UD4 - i7 5830K - Yosemite - Unibeast Lien DS-918+ - Syno Primary - DS-412+ - Syno Back-up |
|
|
14 Oct 2018, 21:56
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 383 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
... Les mêmes qui évidemment font un caca nerveux quand quelqu'un a oublié de prévenir qu'il fallait préparer un badge pour un technicien qui fait l'entretien et qu'on "by-pass" les procédures pour que le gars ne doive pas revenir un autre jour. Ah la fameuse sécurité physique, qui témoigne d'une vision de sécurité "bonbon", parce que de nos jours quasiment seuls les acteurs gouvernementaux vont jusque là (je regrette l'âge d'or de Kevin Mitnick) et que surtout quand on est correctement sécurisé tous les contenus et les communications des ordinateurs sont chiffrées fortement, bloquant beaucoup d'attaques physiques (on a que des portables d'ailleurs, donc faut oublier les keyloggers physiques), se limitant à enregistrer des réunions alors que l'essentiel des communications se font via le Cloud. Le Cloud, encore lui, et ses services sujets à des attaques en profondeur. Pas uniquement pour notre architecture serveur, mais toute notre stratégie, nos échanges, les détails, les clients... Pas besoin de se compliquer à passer des sécurités, quand à un moment ou un autre tout ce qu'on échange, qu'on partage, sur lequel on travaille sera probablement hacké par un jeune très talentueux à des milliers de kilomètre de distance! Quand Slack va se faire hacker, ça va faire très mal, et c'est pas "si" mais "quand"... Ce message a été modifié par iAPX - 14 Oct 2018, 21:58. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
15 Oct 2018, 05:50
Message
#9
|
|
Macbidouilleur de Nancy Groupe : Membres Messages : 3 096 Inscrit : 28 Oct 2002 Lieu : Nancy Membre no 4 381 |
Je ne me sens pas concerné, n'ayant pas de compte facebook !
Compte ou pas ne serions nous pas de toute façon en insécurité partout ? Quand ce n'est pas Facebook, c'est Google, puis Intel, pois Microssoft, puis Apple, puis un autre et encore un autre... qui a une (voir plusieurs) faille de sécurité ! Alors sommes nous réellement en sécurité ? Ce message a été modifié par VSD - 15 Oct 2018, 09:38. |
|
|
15 Oct 2018, 07:59
Message
#10
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 912 Inscrit : 2 Aug 2011 Lieu : Saint Hippolyte-du-Fort Membre no 169 375 |
Avec cette façon de procéder, Facebook a franchi un cran, comme Apple d'ailleurs avec ses 1 To de données en Australie et Google +: on ne communique plus sur les failles au moment où on les comble, on ne prévient pas les personnes et/ou société touchées, les utilisateurs n'ont qu'à se débrouiller pour se tenir au courant. Opaque. Ça a été un beau glissando très mélodieux de tous les grands acteurs depuis 2 ou 3ans mais là ça devient général, outre qu'ils ne réussissent pas à protéger nos données, que petit à petit on veut nous faire croire que c'est presque normal que celles-ci soient piratées par d'autres, on ne nous informe même plus dès que la chose est connue en interne. Je l'ai appris cette semaine, non en allant sur mon compte Facebook, mais sur d'autres sites... Dans les cas de Google+ et Facebook la faille vient de leurs développeurs. Là ils ajoutent l'irresponsabilité à l'incompétence. Je recommande de mettre de moins en moins d'informations personnelles dans les "médias sociaux", non seulement à cause de l'usage qui en est fait contre nous, mais aussi car ils sont tout simplement incapables! +1 Il serait grand temps que le législateur cadre tout ce petit monde. -------------------- |
|
|
15 Oct 2018, 10:43
Message
#11
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 602 Inscrit : 29 Mar 2005 Lieu : Bourgogne du Sud Membre no 36 186 |
il suffit d'aller sur cette page et de la défiler en bas. Vous saurez alors si votre compte fait partie de ceux piratés. Lien vers le billet original Foutaises. Ils m'informent que mon compte n'a pas été piraté. Or, il l'a bien été : je ne pouvais plus me connecter, mon mot de passe avait été modifié et sans la double identification, j'étais cuit et je perdais mon compte. A peu près simultanément, mon site web -renseigné sur ma page FB- a aussi été hacké et j'ai du le mettre hors ligne en attendant de trouver une solution avec l'hébergeur (1and1). Merci FB ! Et d'après moi, ce n'est qu'un début. Chers utilisateurs, attendez-vous à bien des déboires... Ce message a été modifié par tedeka - 15 Oct 2018, 10:45. -------------------- PC Z790 ASUS ROG Strix, Core i9 14900K 6GHz, 32 Go DDR5 6600MHz SSD MVMe M.2, 4To + 2To+1To & SSD 8To ASUS ROG Strix GeForce RTX 4080 OC (Énaaauurme !) |
|
|
15 Oct 2018, 11:03
Message
#12
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 187 Inscrit : 15 Nov 2005 Membre no 49 996 |
Foutaises. Ils m'informent que mon compte n'a pas été piraté. Or, il l'a bien été : je ne pouvais plus me connecter, mon mot de passe avait été modifié et sans la double identification, j'étais cuit et je perdais mon compte. A peu près simultanément, mon site web -renseigné sur ma page FB- a aussi été hacké et j'ai du le mettre hors ligne en attendant de trouver une solution avec l'hébergeur (1and1). Merci FB ! Et d'après moi, ce n'est qu'un début. Chers utilisateurs, attendez-vous à bien des déboires... L'indication piraté ou non concerne uniquement la faille de sécurité découverte en septembre. Pas les comptes éventuellement piratés par un autre moyen. Et vu que ton mot de passe a été changé, c'est que celui qui a piraté le compte avait ton mot de passe, ce qui n'a donc probablement rien à voir avec une faille de sécurité côté FB (à moins qu'il y ait une faille qui permette de changer le mot de passe sans connaître l'ancien mot de passe... mais là encore, ce n'est pas la faille dont on parle ici)... Idem pour le piratage de ton site dans la foulé, je vois pas en quoi FB pourrait être responsable de ça...
-------------------- |
|
|
15 Oct 2018, 11:13
Message
#13
|
|
Adepte de Macbidouille Groupe : Membres Messages : 223 Inscrit : 16 Jan 2014 Lieu : Belfort Membre no 188 887 |
Je ne me sens pas concerné, n'ayant pas de compte facebook ! Compte ou pas ne serions nous pas de toute façon en insécurité partout ? Quand ce n'est pas Facebook, c'est Google, puis Intel, pois Microssoft, puis Apple, puis un autre et encore un autre... qui a une (voir plusieurs) faille de sécurité ! Alors sommes nous réellement en sécurité ? Pas besoin de compte FB, il suffit d'avor communiqué ses données à un service qui a lui-même un compte FB : je l'explique dans mon post d'hier 13h19. Ce message a été modifié par Oncle Sophocle - 15 Oct 2018, 11:13. |
|
|
15 Oct 2018, 12:58
Message
#14
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 602 Inscrit : 29 Mar 2005 Lieu : Bourgogne du Sud Membre no 36 186 |
Foutaises. Ils m'informent que mon compte n'a pas été piraté. Or, il l'a bien été : je ne pouvais plus me connecter, mon mot de passe avait été modifié et sans la double identification, j'étais cuit et je perdais mon compte. A peu près simultanément, mon site web -renseigné sur ma page FB- a aussi été hacké et j'ai du le mettre hors ligne en attendant de trouver une solution avec l'hébergeur (1and1). Merci FB ! Et d'après moi, ce n'est qu'un début. Chers utilisateurs, attendez-vous à bien des déboires... L'indication piraté ou non concerne uniquement la faille de sécurité découverte en septembre. Pas les comptes éventuellement piratés par un autre moyen. Et vu que ton mot de passe a été changé, c'est que celui qui a piraté le compte avait ton mot de passe, Génial de tirer des conclusions comme ça sans savoir ce qui s'est passé. Enfin soit... Et bien non, ce mot de passe était connu de moi seul et "very strong" comme on dit en bon français. En fait, un individu a réussi à se connecter à 3 reprises en l'espace de quelques heures à mon compte FB. Le mot de passe a bien-entendu été modifié à 3 reprises. Ensuite, j'ai constaté qu'il était impossible de me reconnecter et une alerte était à chaque fois envoyée à mon adresse mail pour me dire que mon mot de passe avait été modifié. J'ai donc du le réinitialiser, et pour que cela cesse, j'ai du changer les adresses mail de référence de mon compte et les "détruire" puisque le pirate semblait y avoir accès. Je suppose qu'il a pu avoir accès à des informations privées de mon compte FB, comme les adresses mail de référence, et ainsi, pouvoir modifier le mot de passe. Si je ne l'avais pas sécurisé par le système de double identification, je n'aurais pas pu le réinitialiser, et je perdais mon compte. FB essaye seulement de rassurer quelques gogos qui s'imaginent que seul l'utilisateur peut être tenu responsable du piratage de son compte. -------------------- PC Z790 ASUS ROG Strix, Core i9 14900K 6GHz, 32 Go DDR5 6600MHz SSD MVMe M.2, 4To + 2To+1To & SSD 8To ASUS ROG Strix GeForce RTX 4080 OC (Énaaauurme !) |
|
|
15 Oct 2018, 13:38
Message
#15
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 187 Inscrit : 15 Nov 2005 Membre no 49 996 |
Foutaises. Ils m'informent que mon compte n'a pas été piraté. Or, il l'a bien été : je ne pouvais plus me connecter, mon mot de passe avait été modifié et sans la double identification, j'étais cuit et je perdais mon compte. A peu près simultanément, mon site web -renseigné sur ma page FB- a aussi été hacké et j'ai du le mettre hors ligne en attendant de trouver une solution avec l'hébergeur (1and1). Merci FB ! Et d'après moi, ce n'est qu'un début. Chers utilisateurs, attendez-vous à bien des déboires... L'indication piraté ou non concerne uniquement la faille de sécurité découverte en septembre. Pas les comptes éventuellement piratés par un autre moyen. Et vu que ton mot de passe a été changé, c'est que celui qui a piraté le compte avait ton mot de passe, J'ai donc du le réinitialiser, et pour que cela cesse, j'ai du changer les adresses mail de référence de mon compte et les "détruire" puisque le pirate semblait y avoir accès. Je suppose qu'il a pu avoir accès à des informations privées de mon compte FB, comme les adresses mail de référence, et ainsi, pouvoir modifier le mot de passe. Donc si en plus le pirate avait aussi accès à tes mails, en plus de ton compte FB et de ton site web, c'est bien que ça n'a strictement rien à voir avec la faille dont on parle ici (qui est une faille ayant permis de réutiliser des token d'accès, rien à voir avec les mots de passe), qui ne concerne que l'accès au compte Facebook, sans possibilité de changer le mot de passe, et sans donner l'accès à d'autres services totalement indépendants de Facebook...Le plus probable est en fait ici que le premier compte piraté soit ton compte mail, et à partir de là, c'est effectivement relativement facile de pirater les autres comptes, sans que la responsabilité des opérateurs de ces comptes ne soit engagée. -------------------- |
|
|
15 Oct 2018, 14:17
Message
#16
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 484 Inscrit : 21 Apr 2006 Membre no 59 799 |
Bonjour Lionel Et si on n'a pas de compte FB ? Je me suis inscrit au service municipal de transport public de ma ville (appelons le "Onvoustransporte"), qui assure transport public de voyageurs, location de vélos et de voitures. Après mon inscription, j'ai eu la surprise de recevoir un mail de FB m'informant que mon inscription auprès de Onvoustransporte a bien été enregistrée Y aurait-il pas comme un os dans le boudin ? Il y a surtout un os dans le service municipal de transport public de ta ville s'il t'a créé un compte FB à l'insu de ton plein gré ! Leur as-tu demandé des comptes ? Ce message a été modifié par marc_os - 15 Oct 2018, 14:17. -------------------- ----------------- --JE-------SUIS-- --AHMED-CHARLIE-- --CLARISSA-YOAV-- ----------------- |
|
|
15 Oct 2018, 14:22
Message
#17
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 602 Inscrit : 29 Mar 2005 Lieu : Bourgogne du Sud Membre no 36 186 |
Le plus probable est en fait ici que le premier compte piraté soit ton compte mail, et à partir de là, c'est effectivement relativement facile de pirater les autres comptes, sans que la responsabilité des opérateurs de ces comptes ne soit engagée. Honnêtement, je ne sais vraiment comment cela a pu être possible, ni par où cela a commencé. Ce qui m'a surpris, c'est la simultanéité des événements. Je ne comprends pas non plus comment mes comptes mail (2 en l’occurrence ici) ont pu être piratés, puisque le mot de passe était bien sécurisé. L'un était rattaché à Orange, un vieux compte Wanadoo en fait, et l'autre à mon nom de domaine et me servait aussi à me connecter à FB. Bon, l'orage semble passé, mais j'aimerais comprendre pour pouvoir me prémunir de ce type d'agression, et de perte de temps. -------------------- PC Z790 ASUS ROG Strix, Core i9 14900K 6GHz, 32 Go DDR5 6600MHz SSD MVMe M.2, 4To + 2To+1To & SSD 8To ASUS ROG Strix GeForce RTX 4080 OC (Énaaauurme !) |
|
|
15 Oct 2018, 14:35
Message
#18
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 187 Inscrit : 15 Nov 2005 Membre no 49 996 |
Je ne comprends pas non plus comment mes comptes mail (2 en l’occurrence ici) ont pu être piratés, puisque le mot de passe était bien sécurisé. Ça peut venir par exemple d'un keylogger sur ton ordinateur, ou n'importe quel autre ordinateur que tu aurais utilisé pour te connecter à tes comptes mail. Ou un malware qui aurait récupéré la conf d'un client mail configuré pour ces comptes (j'ai connu un malware qui était spécialisé dans la récupération du fichier de configuration de WinSCP, pour l'accès à du stockage distant en SCP/SFTP/FTP, donc doit bien y en avoir aussi qui ciblent les confs des clients mail).Si tes comptes étaient utilisés en POP/SMTP/IMAP et non dans les versions "S" de ces protocoles, on peut également imaginer une récupération du mot de passe par écoute du réseau, notamment si tu avais un routeur vulnérable ou si tu t'es connecté à un réseau tiers (Wi-Fi public, hôtel, McDo, etc...). Possible également avec les protocoles S, mais plus compliqué à mettre en œuvre. Il peut également y avoir une faille chez le fournisseur de mail, ou encore un phishing qui aurait échappé à ta vigilance en te connectant au webmail. Enfin, il y a aussi la possibilité que les données aient été récupérées sur du matériel que tu aurais revendu en oubliant de tout effacer, ou encore par un dépanneur malhonnête si tu as déjà laissé ton ordinateur en réparation quelque part... Si tes deux comptes mail ont été piratés alors qu'ils avaient chacun leur propre mot de passe et qu'ils étaient totalement indépendants (ie tu n'avais pas par exemple compte A configuré en secours de compte B, ce qui permet de réinitialiser ou récupérer le mot de passe de B en ayant simplement accès à A), le plus probable pour moi c'est un malware (keylogger ou récupération des confs) sur un des postes que tu as utilisé pour consulter tes mails. Le fait que tu n'ai pas perdu l'accès à ces comptes (donc que leur mot de passe n'a pas été changé) tend aussi à confirmer cette hypothèse, même dans le cas de compte liés, car les procédures de récupération via l'adresse de secours ne permettent en général pas de récupérer le mot de passe existant (un service qui te renvoi ton mot de passe existant quand tu demandes une récupération, c'est un service extrêmement mal sécurisé, puisque ça implique que les mots de passe y sont stockés en clair ou avec un chiffrement réversible, alors que le strict minimum en matière de sécurité c'est d'appliquer un hash irréversible sur les mots de passe !), elles obligent à en créer un nouveau. -------------------- |
|
|
15 Oct 2018, 19:49
Message
#19
|
|
Macbidouilleur de Nancy Groupe : Membres Messages : 3 096 Inscrit : 28 Oct 2002 Lieu : Nancy Membre no 4 381 |
Je ne me sens pas concerné, n'ayant pas de compte facebook ! Compte ou pas ne serions nous pas de toute façon en insécurité partout ? Quand ce n'est pas Facebook, c'est Google, puis Intel, pois Microssoft, puis Apple, puis un autre et encore un autre... qui a une (voir plusieurs) faille de sécurité ! Alors sommes nous réellement en sécurité ? Pas besoin de compte FB, il suffit d'avor communiqué ses données à un service qui a lui-même un compte FB : je l'explique dans mon post d'hier 13h19. Je reste néanmoins sceptique... qu'un organisme quel qu'il soit t'ouvre un compte facebook parce que tu as été chez l'un ou l'autre en ayant rempli un formulaire... C'est comme le droit à l'image, sans autorisation tu les attaques ! |
|
|
15 Oct 2018, 22:11
Message
#20
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 278 Inscrit : 19 Dec 2006 Membre no 76 071 |
|
|
|
Nous sommes le : 25th April 2024 - 13:05 |