S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité
Avatar de David_L Equipe
David_L Inscrit le vendredi 13 septembre 02 - 9811 commentaires -
Les derniers commentaires de David_L :
Est-ce qu'il y aurait une liste plus ou moins exhaustive de sites qui sont touchés ou qui ne le sont pas pour qu'on puisse changer les mots de passe ?


Déjà dit, mais une liste n'a pas de sens, surtout si tu utilises un mot de passe sur plusieurs comptes. Sans parler du fait qu'une liste est forcément incomplète, sans parler des différents serveurs de paiement / d'auth des banques, etc.
Couper l'accès aux serveurs concernés : A un moment faut aussi prendre en compte le ratio risque/interruption de service et chiffrer les pertes que ça peut entraîner. Si le risque est faible alors qu'une interruption de service entraîne forcément des pertes (pour un site commercial, c'est autant de ventes qui n'auront pas lieu, et donc de la perte de CA), ça ne vaut pas le coup/coût.
24 à 48h de réaction sur une correction dans un environnement de prod pour corriger une faille de sécurité révélée peu de temps avant, c'est très bien !
Il ne faut pas oublier qu'un changement en prod nécessite toujours un test de non régression préalable. On ne bricole pas comme ça des serveurs de production, c'est un coup à faire plus de conneries qu'autre chose...

Bah tu diras ça aux clients dont les données ont été exposées pendant 24/48h, parce que bon vaut mieux laisser la possibilité de se connecter et d'acheter plutôt que de tout couper hein. Je trouve que la problématique technique, si elle est fondée dans certains cas, a bon dos dans d'autres.

Mine de rien, ce scandale heartbleed aura été l'occasion pour moi de faire le ménage dans tout mes comptes (du moins ceux dont je me rappelle l'existence).

Après en avoir supprimé, non sans mal, 30% d'entre eux, je vais en profiter pour redéfinir une stratégie de mot de passe cohérente sur l'ensemble selon leur criticité ainsi que l'adresse mail que je leur associe.

Un mal pour un bien en somme.

Oui, un peu de ménage ça ne fait jamais de mal


Tu as super bien lu la news, puisqu'au moins deux des trois infos que tu cites sont dedans
Comment ça se fait que les identifiants et mots de passe sont envoyés en clair ?
Moi j'ai toujours mis en place un système qui renvoi un hash de l'identifiant, du mot de passe et d'un grain de sable généré aléatoirement toutes les minutes en fonction de la date et heure.
En clair le hash à une durée de vie d'une minute et connu du serveur. Assez de temps pour lancer une connexion.
La date est l'heure relevées sont celles du serveur pour éviter d'avoir un décalage avec l'heure du client local.

Ce n'est pas envoyé en clair, puisque ça passe par OpenSSL
Ils sont marrants chez Darty... ils ne vont contacter QUE les clients qui se sont connectés entre lundi et mercredi alors que cette faille concerne une version d'OpenSSL qui date de 2 ans !
Bien évidemment, leur serveur n'a pu être exploité via cette faille qu'entre lundi et mercredi, c'est évident... tout comme le nuage de Tchernobyl qui s'est arrêté à nos frontières...

Franchement, ils nous prennent vraiment pour des jambons

En même temps, si on commence à contacter tous ceux qui ont potentiellement été touchés depuis 2 ans, on peut juste envoyer un mail à 90 % des internautes

C'est surtout que là le risque de fuite a été décuplé sur cette période là, du coup il vaut mieux déjà contacter ces utilisateurs en particulier. Pour le reste, il va y avoir des règles générales à suivre.

En même temps, 90% de mes comptes me sont inutiles. Pas dans le sens où je ne les utilise pas, mais dans le sens où que je perde le mdp ou qu'on me pirate le compte, ça m'en touche une sans faire bouger l'autre…
Et je suis certainement loin d'être le sens dans ce cas, avec tous les sites/services qui exigent inutilement la création d'un compte…

Oui mais est-ce le cas de tout le monde. Si tu te fais pirater ton compte NXi, tu t'en fous sans doute. Pas moi Tout est relatif ;)

Donc dire : osef, on peut se faire pirater tant que les comptes GAFA sont saufs. Mais je crains que ça soit un peu court comme raisonnement généralisé :)
juste un mot MERCI pour votre boulot en continue et sur ce point précis je voulais le préciser. pas très utile comme commentaire mais ça fait toujours plaisir.




Si on utilise des procédures assez sûres pour les mots de passes et que l'on est sur qu'aucun d'entre eux n'a fuité. On a effectivement rien à faire. Mais l'article se focalise sur les 99,99 % restants de la population ;)
Darty nous a finalement répondu et va contacter ses clients. Actualité à jour

http://www.pcinpact.com/news/87007-heartbleed-darty-va-contacter-clients-potenti...
J'vous trouve dur avec le creditmutuel : la faille a été annoncée en fin de journée, leur site a été patché le lendemain vers 8h du matin. C'est p'têt pas immédiat mais une mise en prod le lendemain à 8h du mat ne me semble pas être "en retard"...
Et sur la réponse via twitter, ils sont surtout pas clairs mais pas en tord, vous le dites vous-même, l'accès aux comptes n'était pas concerné (j'avais testé "creditmutel.fr" moi aussi le soir de l'annonce)

Non, annoncé le lundi soir, corrigé le mercredi matin :)

Pour la réponse Twitter ils jouent avec les mots oui. Est-ce que c'est une bonne chose dans un cas pareil ? Non.

Le mieux reste de tester un site avant de s'y connecter, ou de le contacter pour avoir une information claire sur le sujet. Une fois que c'est le cas, pas de soucis à changer de mot de passe.
J'ai fait tourner l'actu à tous mes contacts.