La sécurité de 50 comptes compromise

Répondre
Partager Rechercher
[Ce sujet fait suite à celui-ci, qui a été fermé vu la tournure que prenait le fil...

L'autre sujet, c'est trop le chantier pour le ré-ouvrir. Le débat ne repartirait pas sur des bases saines, je préfère en créer un nouveau, même si je me demande ce qu'il y a encore à dire sur le sujet .


Les trolls et attaques personnelles sont à bannir... sinon c'est nous qui le ferons... mais pas de la même façon donc avec des conséquences sans doute différentes. OK ?

Donc suite à cette annonce de Mind (https://forums.jeuxonline.info/forumdisplay.php?f=73), nous apprenons qu'une cinquantaine de comptes ont vu leur cookies interceptés, permettant donc de prendre contrôle de ces comptes et d'en lire notamment les correspondances privés.


Je vous laisse donc continuer dans la bonne humeur et la franche camaraderie, en espérant que vous ne nous donnerez aucun travail de modération... parce que sur les grands sujets bien long c'est chiant !

Merci de votre compassion pour les pauvres modos que nous sommes.]



Je n'ai rien à rajouter à titre personnel.
Je laisse la main
Si si, il reste à organiser l'action judiciaire qui ne va pas manquer d'être menée, mais on est pas obligé de le faire en public.

Ciao,
LoneCat
Citation :
Provient du message de Panzerjo MILKS
Bah y'avait plus rien a rajouter, le debat portait plus sur d'autre sujet que sur le sujet principale non?
exactement, ça tourner d'avantage à des réglements de comptes plus qu'autre chose.

Ben j'ai quand meme une question :

Que compte faire officiellement JOL en reponse a ca ?
Tant au niveau des mesures de sécurités (donner la possibilité a chaque membre d'utiliser ou non la fonction de sécurité des kookies qu'utilisent les membres de l'equipe.) et quelles seront les mesures a l'encontre des contrevenant ?
Le plus simple serait encore que Mind donne un résumé dans unpost de fermeture, avec réponses aux questions qu'il pourrait y avoir, tel celle d'Alderic, et que le sujet soit clos.

QU'est-ce qu'on peux rajouter de plus a l'autre post ?


[Loekit : Rien, mais c'est pour que vous ne puissiez pas nous accuser de vous empêcher de vous exprimer à ce sujet ]
Citation :
Provient du message de Alderic
Ben j'ai quand meme une question :

Que compte faire officiellement JOL en reponse a ca ?
Tant au niveau des mesures de sécurités (donner la possibilité a chaque membre d'utiliser ou non la fonction de sécurité des kookies qu'utilisent les membres de l'equipe.) et quelles seront les mesures a l'encontre des contrevenant ?
Pas d'empressement.
Je pense que ça sera discuté sur le forum Administration vraisemblablement et que les tergiversations ne concernent pas le grand public.


Et je rappelle que JOL a officiellement retiré tout accès à Tynril (bah oui, c'est une réaction quand même).

Pour le reste, je n'en sais pas davantage.
Cookies interceptés ?

N'est ce pas plutôt l'absence de Session digne de ce nom qui à permis la fuite ? Pour ne pas polémiquer sur des détails techniques, disons que le loup a réussit à entrer dans la bergerie et a tout de suite profité des "failles" de sécurité du fermier.

Dans tout les cas c'est très balo.

Ce qui me fait "peur" ( relativement peu, vu que j'étale pas ma life par PM ) c'est qu'avec un peu plus de subtilité le Lupus vulgaris aurait pu avoir accès à tous les comptes de tout les utilisateurs ... une petite modification du code serait la bienvenue à mon avis, ne serait-ce que pour blinder.
Citation :
Que compte faire officiellement JOL en reponse a ca ?
L'equipe de Jol (Mind ?) a-t-elle autre chose qu'un pseudo et sans doute une bête adresse IP en ce qui concerne ses membres ?
Les modérateurs et autres sont-ils connus (je veux dire : leur identité réelle ?)


Sinon je vois pas pas trop comment faire quoique ce soit ... un pseudo et une ip qu'il faut à peu près 8sec pour modifier bof ...


----------
Nepher
Je pense pas que la securité de JOL doivent etre remise en question, si Mandor a pu le faire la, c'est uniquement grace a l'acces privilégié de Tynril, dans le but "sportif" de hacker JOL certes mais surtout de faire chier Lil et le Saint ( puisqu'ils ont été tous deux informés par MP d'aller sur le site NWN ).

Renforcer la securité ne servirait pas a grand chose non plus parceque si quelqu'un d'assez mal intentionné pour abimer la base de donnée veut vraiment le faire, elle y arrivera.

Et pour la defense qui consiste a faire comme pour les comptes du staff, pourquoi pas, tant que c'est pas obligatoire.
Pour ma part, j'ai rien a cacher, on peut me hacker mon compte, m'en tape moi tant qu'on ecrit pas des conneries avec. Et je suis un gros flemmard qui prefere avoir son cookie toujours en place plutot que de retaper son mdp a chaque passage.
Citation :
Provient du message de LoneCat
Si si, il reste à organiser l'action judiciaire qui ne va pas manquer d'être menée, mais on est pas obligé de le faire en public.
Je reste dubitatif quand même sur une eventuel action en justice. Remarque je suis souvent dubitatif ces temps ci
@Nepher & Hannibal da GimpZor :

Cette technique est deja mise en place poru les membres de l'equipe JOL, ce qui explique que mandor c'est retrouvé coincé a ce niveau.

Reste a savoir si apres ceci elle sera etendu a toute la comunautée
Donc si je comprends bien (suis un peu lent il est tard ) On (enfin quelqu'un) connaît très bien l'identité des deux "petits malins" (pour rester correct) ??


Nan j'ai pas dû piger ... tu dois parler du système d'accès "sécurisé".

------------
Nepher
Citation :
Provient du message de Alderic
@Nepher & Hannibal da GimpZor :

Cette technique est deja mise en place poru les membres de l'equipe JOL, ce qui explique que mandor c'est retrouvé coincé a ce niveau.

Reste a savoir si apres ceci elle sera etendu a toute la comunautée
mais pourquoi Elhan est il dans la liste alors il est dans le staff non? Et Camélias aussi y est ...
Citation :
Ce qui me fait "peur" ( relativement peu, vu que j'étale pas ma life par PM ) c'est qu'avec un peu plus de subtilité le Lupus vulgaris aurait pu avoir accès à tous les comptes de tout les utilisateurs ... une petite modification du code serait la bienvenue à mon avis, ne serait-ce que pour blinder.
Les informations sur les comptes sont déjà particulièrement protégés. Personne sur JOL à mon exception n'a accès à ces informations dans leur intégralité. Même avec un accès direct aux serveurs de JOL, Tyrnil et Mandor n'ont réussi en 15 heures qu'à compromettre 50 comptes sur 40 000 (ce qui est tout de même peu). Je réflêchis néanmoins à étendre le système de cookies sécurisés à tous les utilisateurs (désactivé par défaut avec possibilité d'activation dans le profil). Mais je n'ai pas le temps de travailler à son développement pour le moment.

Concernant les suites juridiques, il est trop tôt pour se prononcer. Mais au moins une personne dans l'équipe administrative de JOL se penche très sérieuseument sur la question, et certains utilisateurs comptent également porter plainte.
Citation :
Provient du message de Lilandrea VifArgent
mais pourquoi Elhan est il dans la liste alors il est dans le staff non? Et Camélias aussi y est ...
Car Mandor a récupéré ses cookies. Mais il n'a rien pu en faire car ils étaient sécurisés.
Citation :
Provient du message de Mind
Car Mandor a récupéré ses cookies. Mais il n'a rien pu en faire car ils étaient sécurisés.
Ok Compris.

J'ai pas osé le dire Tauren
Citation :
Provient du message de Lilandrea VifArgent
mais pourquoi Elhan est il dans la liste alors il est dans le staff non? Et Camélias aussi y est ...
Et ce ne sont pas les seuls de la liste. Des cookies ont bien été récupérés sur leur compte mais n'ont pu être exploité par la suite (si j'ai bien compris, si ce n'est pas le cas je veux bien être flagellé avec des orties fraîches).
C'est un bout de code de rien, qui est actuellement a la base de toute sécurité.

Ca serait dommage, pour Jol, de faire l'economie d'un bout de code, surtout quand il concerne la sécurité des usagers.
Il y a beaucoup de passages parmis les Webmestre, et même si il faut, je supose, montrer de son serieux et de sa motivation pour y arriver, on est pas a l'abris d'un plus malin que les autres qui passerais les epreuves uniquement dans le but de nuire.

N'oublions pas que les scripts kiddies sont rarement dotés de moyens intellectuels hors du commun, par contre ils sauront detecter une faille aussi grossiére.

[edit aprés postage de mind] Je comprends bien que les informations importantes sont protégés ( même si moi même en bon paranoïque moderne j'utilise déja de nombreux artifices pour brouiller les pistes ) mais c'est ... chiant ce genre de mésaventure. C'est comme au restaurant, si les toilettes sentent mauvais, on a pas envie de revenir même si on vous sert trois fois gratos et que la bouffe est divine.
Je me dis que certains ont vraiment rien a faire de leur vie IRL pour perdre du temps a faire cela.
Pour ce qui est des suites a cette affaire, Mind sera très bien se débrouiller,je n'en doute pas. Mais bon après tout ce n'est que des comptes de forums, donc rien de très important finalement.
Citation :
Provient du message de Xam
Mais bon après tout ce n'est que des comptes de forums, donc rien de très important finalement.
Encore une fois stop la minimalisation d'un acte de piratage.
Et stop "ce n'est pas tres important", dis ca a ceux ki utilisent leur mp avec des choses vraiment privées....
Citation :
Provient du message de Alderic
Encore une fois stop la minimalisation d'un acte de piratage.
Et stop "ce n'est pas tres important", dis ca a ceux ki utilisent leur mp avec des choses vraiment privées....
C'est qu'un compte d'un forum
Franchement il y a des choses pire dans la vie

[Loekit : décochage de la sgnature en attendant un changement]
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés