eBay invite ses utilisateurs à changer leur mot de passe, Réactions à la publication du 21/05/2014

[Lionel]

Après bien d'autres sociétés eBay a annoncé avoir été la victime d'une cyberattaque massive ayant conduit à un vol de données.
La société invite donc tous ses utilisateurs à modifier au plus tôt leur mot de passe de connexion afin d'éviter tout piratage de leur compte.

Pour en revenir à l'attaque, il semble que les pirates aient réussi à récupérer identifiants et mots de passe d'employés de la société et qu'ils les aient utilisé pour accéder à des serveurs contenant les bases de données des utilisateurs de leurs services contenant nom, adresse mail, adresse postale, identifiant et mot de passe chiffré.
Les données bancaires n'auraient pas été atteintes par cette attaque.

Il y a hélas fort à parier que ces mots de passe aient été récupérés via des malwares ou via une autre cyberattaque ayant porté sur d'autres bases de données de sociétés comme il y en a tant eu ces derniers mois.

[MàJ] Ebay commence enfin à avertir ses clients en français qu'ils doivent changer de mot de passe (merci manu). Attention, d'ici à ce qu'un malin lance un phishing identique il ne s'écoulera pas longtemps !
Lien vers le billet original

[Arkezone]

Adobe, eBay... je ne sais qui encore.
Quel merveilleux monde que le monde numérique...
Et on est en train de nous bassiner partout avec le Cloud par-ci, le Cloud par-là... toute notre vie se doit d'être numérisée et confié à des tiers.
Non merci.
Le tout numérique ne passera pas par moi.

Une communauté se lèvera-t-elle, un jour, contre ce monde qui se construit sous nos yeux et qui ne promet rien de bon au final ?

[Kilt]

Oufti, j'ai l'impression de devoir changer mes mots de passe tous les quinze jours en ce moment... Par contre, je remarque que ce sont les médias qui font circuler l'info de ce piratage de données. J'ai beau me balader sur mon compte ou dans ma boite mail, je ne vois aucune annonce m'invitant à changer Ce n'est pas très sérieux de la part d'ebay de ne pas mettre un bandeau ou autre sur le site pour prévenir ses utilisateurs...

[Joël Pierre]

Ce n'est pas très sérieux de la part d'ebay de ne pas mettre un bandeau ou autre sur le site pour prévenir ses utilisateurs...

Ce qui n’est pas sérieux, c’est qu’on soit encore obligé d’utiliser des identifiants et mots de passe. Il faudrait que les géants du numérique trouvent quelque chose de plus fiable (empreinte digitale).

[SartMatt]

Ce qui n’est pas sérieux, c’est qu’on soit encore obligé d’utiliser des identifiants et mots de passe. Il faudrait que les géants du numérique trouvent quelque chose de plus fiable (empreinte digitale).

Baser l'authentification pour un service distant sur l'empreinte digitale, c'est pas franchement une bonne idée...

Parce que ton authentification, elle va se transmettre via un réseau, et pourra potentiellement être interceptée... Et si ce qui est intercepté est exploitable pour s'identifier à ta place, c'est mort pour toi : contrairement à un mot de passe, tu ne peux pas changer ton empreinte digitale !

Le mot de passe est loin d'être un moyen d'authentification obsolète, c'est au contraire un très bon compromis, pour peu qu'on éduque un minimum les utilisateurs sur la façon de choisir leur mot de passe. Et pour tout ce qui est un peu sensible, l'idéal est de le compléter par un système d'authentification à deux facteurs. Ça renforce grandement la sécurité, et ça permet toujours de changer le mot de passe au cas où...

[Joël Pierre]

Baser l'authentification pour un service distant sur l'empreinte digitale, c'est pas franchement une bonne idée...

Parce que ton authentification, elle va se transmettre via un réseau, et pourra potentiellement être interceptée...

Le mot de passe est loin d'être un moyen d'authentification obsolète, c'est au contraire un très bon compromis, pour peu qu'on éduque un minimum les utilisateurs sur la façon de choisir leur mot de passe.

L’authentification de l’empreinte digitale se ferait toujours localement. Ce ne sont pas les données de l’empreinte digitale qui seraient envoyée. Uniquement sa reconnaissance positive.

Ce n’est pas les utilisateurs qu’il faut éduquer à la sécurité informatique, mais les responsables informatiques qui se font régulièrement piratés leurs bases de données.

[SartMatt]

L’authentification de l’empreinte digitale se ferait toujours localement. Ce ne sont pas les données de l’empreinte digitale qui seraient envoyée. Uniquement sa reconnaissance positive.

Le problème reste le même, les données locales peuvent être interceptées localement par un malware. Ou tout bêtement par un attaquant "physique" qui viendrait collecter tes empreintes à un endroit où tu les a laissées... Il y a eu plus d'une démo en ce sens à la sortie de Touch ID (où l'empreinte n'est effectivement que traitée localement, et dans un espace censé être à l'abri des malwares).

Un mot de passe couplé à un token à usage unique offrira le même niveau de sécurité, voir plus que l'empreinte seule (il faudrait aussi la coupler à un token à usage unique pour être vraiment efficace), tout en offrant bien plus de souplesse : partage de compte, changement d'identification, utilisation à partir de n'importe quel ordinateur, sans qu'un lecteur d'empreintes soit nécessaire et quelque soit l'état de tes mains (parce que en cas de blessure, t'as l'air con avec tous les trucs qui utilisent l'empreinte digitale comme identification...).

Ce n’est pas les utilisateurs qu’il faut éduquer à la sécurité informatique, mais les responsables informatiques qui se font régulièrement piratés leurs bases de données.

Tu crois vraiment que les responsables informatiques d'eBay ne sont pas éduqués à la sécurité ?
Des fuites de données, il y en aura toujours. Parce que l'homme est faillible, parce que le logiciel est faillible.

Ce qui est important, c'est l'éducation des utilisateurs pour limiter les dommages potentiels liés à ses fuites. Par exemple apprendre aux gens que c'est une très mauvaise idée d'utiliser le même mot de passe pour la boîte mail et un petit forum, surtout quand l'adresse mail est enregistrée dans le profil du forum... Ou encore qu'utiliser la date de naissance comme question secrète quand on met cette même date de naissance en accès public sur Facebook, c'est pas forcément très intelligent...

[r@net54]

Ce n'est pas très sérieux de la part d'ebay de ne pas mettre un bandeau ou autre sur le site pour prévenir ses utilisateurs...

Ce qui n’est pas sérieux, c’est qu’on soit encore obligé d’utiliser des identifiants et mots de passe. Il faudrait que les géants du numérique trouvent quelque chose de plus fiable (empreinte digitale).

Un système a mot de passe est ce qu'il y a de plus efficace, du moment que c'est bien realise et que l'utilisateur est informe…
La biometrie est non seulement inefficace mais dangereuse, surtout a distance.

les attaques reportées c'est deux dernières années sont la conséquence de négligences gravissimes dans la conception, dans la réalisation, dans l'exploitation et dans l'utilisation.
Si on reprend le cas de Sony, exemple de négligence sur toute la chaine, si ils avaient utilise les empreintes digitales, aujourd'hui ce sont des millions des de fichiers d'empreintes qui se baladeraient dans la nature. En fonction de la réalisation, cela voudrait dire que les clients ne pourrait plus jamais utiliser leurs empreintes pour quoi que ce soit, a commencer pour les cartes d'identités ou passeports….

Pour l'histoire du sérieux de l'annonce, les sociétés qui ont été touche préviennent leurs utilisateurs par email, ce qui est une bonne chose.

Apres, effectivement, changer régulièrement ses mots de passe et en avoir un spécifiques pour chaque compte est une précaution de base.
Sinon ce dont parle la news semble plus relever du social engineering que de l'attaque virale simple. eBay en générale est un système bien realise et efficace. Apres c'est une question de formation des employés, mais dans la majorité des cas lorsqu'une attaque réussi c'est qu'il y a eu une négligence a un niveau!

[LiliG]

Ebay c'est déjà embêtant, mais derrière, il y a Paypal, non? Ou alors les services sont-ils bien cloisonnés?

[SartMatt]

Ebay c'est déjà embêtant, mais derrière, il y a Paypal, non? Ou alors les services sont-ils bien cloisonnés?

Les identifiants sont indépendants, il faut créer un compte sur chacun des services.

Par contre, comme toujours, doit y avoir un bon paquet de gens qui utilisent le même login et le même mot de passe pour les deux comptes...

[scoub_rosnoen]

Internet permet de rapprocher tout le monde... les meilleurs comme les pires surtout les pires...

[Laurent17lr]

Moi ce que je remarque en lisant l'article original c'est cette phrase:"L'attaque, qui a eu lieu entre la fin février et le début mars" et que nous sommes le 21 mai, date à laquelle nous sommes prévenu

Ce message a été modifié par Laurent17lr - 21 May 2014, 21:10.

[SartMatt]

Moi ce que je remarque en lisant l'article original c'est cette phrase:"L'attaque, qui a eu lieu entre la fin février et le début mars" et que nous sommes le 21 mai, date à laquelle nous sommes prévenu

C'est pas parce que l'attaque à eu lieu fin février/début mars que eBay est au courant depuis cette date...
Une attaque bien faite laisse très peu de traces et peut donc passer inaperçu pendant un moment...

[Pom2Ter]

oh oh je vais aller faire tout de suite avant que je me fasse voler mon compte ou que quelqu'un commande des trucs avec ma carte qui est linkée au compte paypal associé
Ya plus rien de sécuritaire maintenant en 2014 sur internet

[Laurent17lr]

Moi ce que je remarque en lisant l'article original c'est cette phrase:"L'attaque, qui a eu lieu entre la fin février et le début mars" et que nous sommes le 21 mai, date à laquelle nous sommes prévenu

C'est pas parce que l'attaque à eu lieu fin février/début mars que eBay est au courant depuis cette date...
Une attaque bien faite laisse très peu de traces et peut donc passer inaperçu pendant un moment...

je dis pas ça, je dis seulement que depuis le temps, pas mal de choses on pu avoir été faites avec les données volées sans que personne n'en sache rien. Ce qui démontre bien la que les protections misent en oeuvre sont pas assez fiables voir inefficaces.

[pb05]

Pourtant eBay n'a pas envoyé des e-mails pour prevenir les gens. En tout cas moi je n'en ai pas reçu.

[Joël Pierre]

Pourtant eBay n'a pas envoyé des e-mails pour prévenir les gens. En tout cas moi je n'en ai pas reçu.

Parce que ça ne sert à rien. C’est trop tard. Les données volées ont été utilisées.

[FardocheX]

Moi non plus j'ai rien recu. Ca serait la moindre des choses d'avertir leurs clients si c'est vrai tout ca. En tk, c'est fait au cas ou.

[tdml]

non seulement on n'a rien reçu, mais effectivement on ne peut pas dire qu'e-bay fasse beaucoup de publicité. Rien sur leur site, même juste après une connexion à son compte !
soit c'est une fuite très bien cernée et les utilisateurs touchés ont été prévenus de manière plus directe, soit c'est vraiment scandaleux de la part d'e-bay.

[Joël Pierre]

Non seulement on n'a rien reçu, mais effectivement on ne peut pas dire qu'e-bay fasse beaucoup de publicité.

Belle publicité qu’il faudrait faire : Toutes les informations confidentielles (nom, prénom, adresse, téléphone, email) que vous nous avez confiées (et que vous ne pouvez pas changer) sont entre les mains de gens qui se sont empressés de les monnayer. Vous pouvez bien changer de mot de passe et d’identifiant, mais ça ne sert à rien.

[pb05]

Pourtant eBay n'a pas envoyé des e-mails pour prévenir les gens. En tout cas moi je n'en ai pas reçu.

Parce que ça ne sert à rien. C’est trop tard. Les données volées ont été utilisées.

eBay ne peut pas savoir ni quelles données ont été volées ni quelles de ces données ont été utilisées. J'ai essayé tout à l'heure de changer mon mot de passe et là eBay a affiché l'avertissement dont on parle ici. On m'a envoyé un lien de réinitialisation du mot de passe, qui a bien sûr marché comme prévu.

[Pom2Ter]

Pourtant eBay n'a pas envoyé des e-mails pour prevenir les gens. En tout cas moi je n'en ai pas reçu.

Pareil pour moi...

[Joël Pierre]

eBay ne peut pas savoir ni quelles données ont été volées ni quelles de ces données ont été utilisées. J'ai essayé tout à l'heure de changer mon mot de passe et là eBay a affiché l'avertissement dont on parle ici. On m'a envoyé un lien de réinitialisation du mot de passe, qui a bien sûr marché comme prévu.

Et alors ? Ça sert à quoi de changer le mot de passe ?

[SartMatt]

Et alors ? Ça sert à quoi de changer le mot de passe ?

D'abord, ça sert à empêcher que quelqu'un utilise ton compte eBay à ta place.

Ensuite, on ne sait pas ce qui a été volé. Sur un site de l'importance d'eBay, il est relativement probable que les logins/hash de mots de passe ne soient pas stockés dans la même base que les données du profil utilisateur, et peut-être même pas sur le même serveur.

Il est donc possible qu'à l'heure actuelle les pirates ne disposent que des logins et des hash de mots de passe, sans rien d'autre. En changeant le mot de passe avant que les pirates aient réussi à le trouver à partir du hash, l'utilisateur protège donc les données qui n'ont peut-être pas encore été volées.

[Joël Pierre]

Ensuite, on ne sait pas ce qui a été volé.

Ils ne communiquent toujours pas : http://pages.ebay.fr/la-securite-sur-ebay/...t-securite.html

[GIJoe]

Cherche la maison mère d'eBay France...

[r e m y]

L'info officielle d'eBay est sur cette page

http://www.ebayinc.com/in_the_news/story/e...hange-passwords

Par contre, comme vous, je n'ai reçu aucun email d'eBay pour me conseiller de changer de mot de passe (je l'ai fait dès hier quand j'ai reçu l'info des différends journaux ayant relayé la dépêche AFP)

[Joël Pierre]

L'info officielle d'eBay est sur cette page…

Mais manifestement fausse :

http://www.ebayinc.com/in_the_news/story/f...password-change

What steps are you taking to ensure customer data is safe moving forward?

We are asking all eBay customers to change their password the next time they log into their eBay account.

Do I need to take any specific action as a seller?

To protect buyers and sellers, we are asking all eBay customers to change their password the next time they log into their eBay account.

Baser l'authentification pour un service distant sur l'empreinte digitale, c'est pas franchement une bonne idée...

Chez PayPal, en tout cas, ça leur fait pas peur…

[SartMatt]

Chez PayPal, en tout cas, ça leur fait pas peur…

Ils font sans doute ça bien plus pour des questions marketing, parce que c'est à la mode et parce que ça fait moderne (et parce que Samsung a signé un gros chèque pour l'exclusivité...), que pour des raisons de sécurité...

En tout cas, si on se met à baser toutes les authentifications sur l'empreinte digitale, ceux qui vont adorer ça, c'est les autorités, ça va donner une nouvelle utilité à leurs bases d'empreintes digitales... C'est encore pire qu'un mot de passe unique pour tous les services...

Ça va aussi donner un nouveau business aux cambrioleurs, qui en plus de voler les biens précieux, récupéreront quelques empreintes digitales pour voir si ça peut pas leur permettre d'accéder aussi à des données intéressantes... Et une fois tes empreintes compromises, pas moyen de les changer.

[Pom2Ter]

Cherche la maison mère d'eBay France...

Ça existe un tel truc?
Je crois pas qu'ils ont les moyens d'avoir des maisons mère dans chaque Pays de l'union européenne
Le marché cible d'eBay c'est l'Amérique du Nord (Canada et USA) quand je fais des recherches je cherche internationalement et il y a presque jamais de résultats en Europe... Et j'ai un feedback de plus de 200 commandes sur eBay.
Ils doivent avoir un siège social commun dans un pays avec le service clientèle qui est commun aux différents pays de l'UE.