Heures au format UTC + 1 heure [ Heure d’été ]


Nous sommes le Mer 24 Mai 2017, 02:24


Règles du forum


Image


Poster un nouveau sujet Répondre au sujet  [ 8 messages ] 
Auteur Message
 Sujet du message: Changez vos mots de passe de roll20.net
MessageMessage posté...: Dim 26 Fév 2017, 15:59 
Maitre de Jeu
Avatar de l’utilisateur
Hors ligne

Inscription: Lun 04 Mai 2015, 00:10
Messages: 2332
PX:
Fiche: Mes quêtes
Plume de Scribe: 1 Plume
Une fuite de données potentiellement massive s’est produite à cause d’un bug de cloudfare (grosso modo, un service de sécurité qu’utilisent pas mal de sites web).

http://www.lemonde.fr/pixels/article/20 ... 08996.html

Sur ce site sont listés les sites potentiellement touchés (en anglais) : https://github.com/pirate/sites-using-cloudflare

roll20 y est :
Citation:
XXX@XXX:~/sites-using-cloudflare-master$ grep roll20 ./*
ohcarroll2016.com
roll20.net
roll20con.net
roll20dev.net


Il y a certains sites sensibles (de rencontre, par exemple, ou autres comme uber) dont la fuite a été confirmée, et ce qui fuite est important : mdp, logins, cookies, messages privés, etc… En clair, et ce même si le site est en https. Il n’est pas sûr que des données vous concernant aies fuitées, mais changer les mots de passe est un minimum. Considérez les comptes ultra-sensibles potentiellement touchés comme compromis n’est pas tellement parano non plus.

Cherchez dans le fichier si des sites que vous visitez y sont. Toutefois, c’est un gros fichier (plus de 4 millions de sites…) donc, si vous voulez, je peux faire une recherche de site pour vous. Listez-moi tous ceux que vous souhaitez et je ferai une recherche générale (je les ferai toutes en même temps, donc n’attendez pas pour poster).

_________________
Image

Mon meujeutage & mes règles maison (version : 22/02/2017)

Chroniques fantastiques
Chroniques infernales
Chroniques vengeresses

Mes personnages : Varelun / Zandaar / Arkeïos
Haut
  Profil  
 
 Sujet du message: Re: Changez vos mots de passe de roll20.net (et d’autres sit
MessageMessage posté...: Mar 28 Fév 2017, 11:26 
Administratrice du Chaos
Avatar de l’utilisateur
Hors ligne

Inscription: Jeu 20 Sep 2007, 17:54
Messages: 8825
PX:
Je n'ai pas trop compris ... Tu pourrais traduire en Njini et peut-être me donner des exemples de site ou de forum qui ont été atteints ?

Mici :elf:D:

_________________
Image
Un rêve sans étoiles est un rêve oublié
Haut
  Profil  
 
 Sujet du message: Re: Changez vos mots de passe de roll20.net (et d’autres sit
MessageMessage posté...: Mar 28 Fév 2017, 12:06 
Maitre de Jeu
Avatar de l’utilisateur
Hors ligne

Inscription: Lun 04 Mai 2015, 00:10
Messages: 2332
PX:
Fiche: Mes quêtes
Plume de Scribe: 1 Plume
En gros, plein de sites (potentiellement près de 4 millions, voir plus) ont envoyé pendant des mois (septembre 2016 - février 2017) des infos sensibles à tout le monde, à tous les visiteurs, bots ou humains, en clair. Mots de passes, logins, autorisation d’accès, messages privés et affiliés, etc… tout ce qui est privé sur ces sites ; et même pire, n’importe quel site touché fuitait pour tous les autres, et inversement.

C’est passé inaperçu du grand public pendant un moment, car c’était enfoui dans les pages web que tu visitais, en invisible. Seulement, la fonction cache des moteurs de recherche comme google l’a conservé pendant un moment (c’est maintenant effacé pour eux), et il est possible que quelqu’un qui s’en soit aperçu s’en soit servit pour « miner » les infos. La probabilité d’une fuite était faible, mais avec un grand nombre de visite (et de base il y en avait beaucoup), et bien ça risque.

Donc, il vaut mieux changer les mots de passe (avec les conseils habituels : long, complexe, unique par site), et si le site est vraiment sensible selon toi, le considérer compromis => le fermer, ou prendre des mesures pour le sécuriser comme le 2-factor (et changer le mot de passe quand même).

Pour savoir quels sites parmi les 4 millions, il faut chercher dans le fichier. Il y a une liste des top 10 000 dans la page github que j’ai filée, tu peux la regarder vite fait, par exemple. Mais le mieux est de lister tous les sites que tu as avec un compte, et chercher. Oui, c’est long et fastidieux. :/

Un autre méthode, plus facile, c’est des addons pour Chrome et Firefox, mais il faut que ce soit les navigateurs que tu utilises habituellement, et que tu n’aies pas l’habitude d’effacer ton historique (ou de mettre le mode navigation privée…).

https://addons.mozilla.org/fr/firefox/addon/cloudbleed/
https://chrome.google.com/webstore/deta ... dfambaoklj

Gemma n’est évidemment pas touché, ni la TDRO.

Une petite liste de sites notables :

roll20 (dans la liste à télécharger)
town of salem (idem)
openclassrooms (idem)

Listés sur le github :
authy.com <= le site d’une app d’authentification 2-factor
coinbase.com
bitcoin.de
betterment.com
transferwise.com
prosper.com
patreon.com <= un site plébiscité par les youtubers anglosaxons, un équivalent de tipeee
bitpay.com
news.ycombinator.com
producthunt.com
medium.com
4chan.org <= lol
yelp.com <= connu, celui-là
okcupid.com <= un site de rencontre il me semble
zendesk.com
uber.com <= connu aussi
poloniex.com
localbitcoins.com
kraken.com
23andme.com <= un site de type « séquencez votre génome » très connu ; imagine toutes ces infos qui fuitent sur le web…
curse.com
counsyl.com
tfl.gov.uk
myaccount.nytimes.com <= le New York Times…
technicpack.net
cloudflare.com <= le site à l’origine de la fuite
blockchain.info
discordapp.com
digitalocean.com
namecheap.com
glassdoor.com
vultr.com

_________________
Image

Mon meujeutage & mes règles maison (version : 22/02/2017)

Chroniques fantastiques
Chroniques infernales
Chroniques vengeresses

Mes personnages : Varelun / Zandaar / Arkeïos
Haut
  Profil  
 
 Sujet du message: Re: Changez vos mots de passe de roll20.net (et d’autres sit
MessageMessage posté...: Mar 28 Fév 2017, 13:52 
Administratrice du Chaos
Avatar de l’utilisateur
Hors ligne

Inscription: Jeu 20 Sep 2007, 17:54
Messages: 8825
PX:
OK comme je n'utilise que Firefox j'ai installé le module et fait une recherche voici les résultats :

https://www.joomla.fr/actualites/news-des-adherents/item/1485-creer-son-site-gratuit-avec-joomla-com-pas-a-pas
http://aide.joomla.fr/telechargements/j ... 1/download
http://www.shareasale.com/r.cfm?b=32162 ... &afftrack=


Je panique ?

_________________
Image
Un rêve sans étoiles est un rêve oublié
Haut
  Profil  
 
 Sujet du message: Re: Changez vos mots de passe de roll20.net (et d’autres sit
MessageMessage posté...: Mar 28 Fév 2017, 13:58 
Maitre de Jeu
Avatar de l’utilisateur
Hors ligne

Inscription: Lun 04 Mai 2015, 00:10
Messages: 2332
PX:
Fiche: Mes quêtes
Plume de Scribe: 1 Plume
N'Jini Mchawi a écrit:
Je panique ?
Jamais.

Tout dépend de l’usage que tu as fait de ces sites. Tu as un compte ? Est-il ultra-sensible-de-la-mort ? (Je ne veux pas réellement ces réponses)
Respectivement :

Oui et non : change le mot de passe, met le 2 factor si possible
oui et oui : si le compte ne peut être supprimé & refait (parce que trop contraignant ou autres), pareil que précédemment, avec une attention particulière à ce qu’il s’y passe dans les prochains mois
non et non : osef

_________________
Image

Mon meujeutage & mes règles maison (version : 22/02/2017)

Chroniques fantastiques
Chroniques infernales
Chroniques vengeresses

Mes personnages : Varelun / Zandaar / Arkeïos
Haut
  Profil  
 
 Sujet du message: Re: Changez vos mots de passe de roll20.net (et d’autres sit
MessageMessage posté...: Mar 28 Fév 2017, 14:54 
Administratrice du Chaos
Avatar de l’utilisateur
Hors ligne

Inscription: Jeu 20 Sep 2007, 17:54
Messages: 8825
PX:
C'est non et non. Je n'ai pas de comptes ^^

Une petite question cependant : comme tu sais (ou pas) j'ai un site de ventes basé sur le widget Ecwid. Il abrite une liste de clients bon pas énormes mais précieux. Penses-tu que je devrais les avertir ?

_________________
Image
Un rêve sans étoiles est un rêve oublié
Haut
  Profil  
 
 Sujet du message: Re: Changez vos mots de passe de roll20.net (et d’autres sit
MessageMessage posté...: Mar 28 Fév 2017, 15:14 
Maitre de Jeu
Avatar de l’utilisateur
Hors ligne

Inscription: Lun 04 Mai 2015, 00:10
Messages: 2332
PX:
Fiche: Mes quêtes
Plume de Scribe: 1 Plume
N'Jini Mchawi a écrit:
Une petite question cependant : comme tu sais (ou pas) j'ai un site de ventes basé sur le widget Ecwid. Il abrite une liste de clients bon pas énormes mais précieux. Penses-tu que je devrais les avertir ?

(ou pas)

https://support.ecwid.com/hc/en-us/arti ... ket-Loader

C’était il y a un an. Ils semblent utiliser CloudFlare (le site de la fuite), mais je ne suis pas assez calé pour te répondre un oui franc.

Une solution : contacter Ecwid et leur demander (demande leur par rapport à « Cloudbleed », ils comprendront).

Perso, tout dépend du nombre de tes clients. Si tu en a plus de 50, demande à Ecwid. Moins, changer les mdp ne fera pas grand mal (et de toute manière ils devraient le faire régulièrement).

:)

_________________
Image

Mon meujeutage & mes règles maison (version : 22/02/2017)

Chroniques fantastiques
Chroniques infernales
Chroniques vengeresses

Mes personnages : Varelun / Zandaar / Arkeïos
Haut
  Profil  
 
 Sujet du message: Re: Changez vos mots de passe de roll20.net (et d’autres sit
MessageMessage posté...: Mer 01 Mar 2017, 00:18 
Administratrice du Chaos
Avatar de l’utilisateur
Hors ligne

Inscription: Jeu 20 Sep 2007, 17:54
Messages: 8825
PX:
Ouki merci mille et une fois

_________________
Image
Un rêve sans étoiles est un rêve oublié
Haut
  Profil  
 
Afficher les messages postés depuis:  Trier par  
Poster un nouveau sujet Répondre au sujet  [ 8 messages ] 

Heures au format UTC + 1 heure [ Heure d’été ]


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité


Vous ne pouvez pas poster de nouveaux sujets
Vous ne pouvez pas répondre aux sujets
Vous ne pouvez pas éditer vos messages
Vous ne pouvez pas supprimer vos messages
Vous ne pouvez pas joindre des fichiers

Rechercher:
Aller à: