Piratage Gmail en masse ?

Poulet · Mars 10, 2008, 11:19

Allez zou la même pour moi je change mes mots de passe, on est jamais trop prudent…

rolyat · Mars 10, 2008, 3:40

[quote=“Ismar, post:20, topic: 36849”]Petite intervention :

Quand un site envoie des données en POST par le biais d’un formulaire non sollicité par une action de l’utilisateur (c’est à dire, que tu visites un site et qu’à aucun moment tu cliques sur un bouton), ton navigateur doit t’alerter de ça.

FF le fait, sûr, IE je ne crois pas.[/quote]

Faut pas pousser hein, IE, tout comme Firefox t’averti quand tu envoies quelque chose, cependant, pour les deux la case à cocher: “arrête de me casser les pieds” est trop facile à effleurer.

susmab · Mars 10, 2008, 3:44

D’autant plus que, pour l’avoir fait sur le projet sur lequel je taffe en ce moment, c’est assez simple à bypasser comme sécurité.

pr7 · Mars 10, 2008, 4:04

Au final, ceux qui se sont fait avoir utilisaient quel browser ?

AcidBen · Mars 10, 2008, 6:28

[quote=“pr7, post:24, topic: 36849”]Au final, ceux qui se sont fait avoir utilisaient quel browser ?[/quote]J’aime pas trop le terme “fait avoir” car je suis pas le genre de gogo a aller la ou il faut pas avec mon PC principal…
Sinon j’utilise Firefox comme browser, et EXCLUSIVEMENT Office 2007 pour voir mes mails, donc le XSS j’y croit moyen.

Pour info, Google n’as toujours pas modifié son captcha qui a ete démontré vulnérable depuis février…

mmenfin · Mars 10, 2008, 6:34

je vois pas le rapport entre pirater un compte existant et le captcha. le captcha, il sert bien uniquement pour créer un nouveau compte, non ?

AcidBen · Mars 10, 2008, 6:36

[quote=“mmenfin, post:26, topic: 36849”]je vois pas le rapport entre pirater un compte existant et le captcha. le captcha, il sert bien uniquement pour créer un nouveau compte, non ?[/quote]Non, il est aussi demandé si on se trompe plus d’une fois (ou plus je sait plus) dans son mot de passe…

Faskil · Mars 10, 2008, 6:44

Je ne suis pas du tout expert en la matière, mais si j’ai bien tout lu, le hack du captcha permet en fait à des bots de multiplier les inscriptions aux services Gmail, pas pour du hacking de compte par brute force. Donc ça m’étonnerait que ton souci vienne de là…

http://www.websense.com/securitylabs/blog/…php?BlogID=174

Je pencherais plutôt pour un hack du style de celui linké par jul16ar.

mmenfin · Mars 10, 2008, 6:57

je viens de faire quelques tests :

si on se plante de mot de passe à répétition, au bout d’un moment (peut-être 10, j’ai pas compté), il faut mettre le bon mot de passe + le captcha. j’ai pas tenté de faire semblant une fois supplémentaire. donc IL FAUT le mot de passe du compte.
si on clique sur « j’ai oublié mon mot de passe », la première chose qu’il demande, c’est le captcha. et ensuite :

[quote]Réinitialiser le mot de passe

Pour lancer le processus de réinitialisation du mot de passe, suivez les instructions qui ont été envoyées à votre adresse e-mail blublu.

Si vous ne disposez pas d’une adresse secondaire ou si vous n’avez plus accès à ce compte, réessayez d’utiliser le lien « Mot de passe oublié ? » dans cinq jours. À ce stade, vous pourrez réinitialiser votre mot de passe en répondant à la question secrète que vous avez fournie lors de la création du compte.

Pour éviter que quelqu’un force l’accès à un compte que vous utilisez activement, la question secrète est employée uniquement pour la récupération des comptes n’ayant enregistré aucune opération pendant cinq jours. L’équipe Gmail ne peut pas modifier ce délai de cinq jours ni accéder à votre mot de passe dans quelque circonstance que ce soit.

Si vous n’êtes pas en mesure de répondre à la question secrète ou de consulter votre compte de messagerie secondaire, l’équipe Gmail ne pourra pas vous fournir d’aide supplémentaire pour accéder à votre compte. Si vous êtes préoccupé par la sécurité de votre compte, vous pouvez consulter notre Centre de sécurité.[/quote]

le piratage du captcha me parait toujours sans rapport.

AnA-l · Mars 10, 2008, 7:08

ET a mon avis, il n’y en a aucun. Meme sans etre le genre de gogo a trainer n’importe ou ou a dl n’importe quoi, se faire avoir est tres souvent “facile”. Et le pire, c’est quand on ne remet pas en cause ce qu’on fait, parce qu’on a rien vu. Ca, c’est du hack de haut vol. Apres, il existe surement une faille 0D chez google hein, mais il est depuis longtemps prouvé que l’interface faible reste l’interface chaise-clavier.

Energyzer · Mars 10, 2008, 7:09

Si, ça aide dans le cas où on cherche à cracker le mot de passe avec une attaque brute force puisque ça permet de faire tourner le bouzin en passant outre la limite posée par le captcha.
Mais si ça vient d’un script sur un site que visite l’utilisateur, effectivement c’est différent.

Voir aussi : ça, faut faire gaffe où on laisse ses login/mdp (mais je pense que ça va concerner personne ici).

mmenfin · Mars 10, 2008, 7:22

par exemple, les plugins genre gmail manager de firefox, faut avoir peur ?

oliver · Mars 10, 2008, 7:23

Bon, en ce qui me conerne, j’avais déjà un
mdp à 11 caractères avec lettres, chiifres et caractères spéciaux dans tous les sens. changé en chaine de 15 caractères divers et variés, même si donc apparement, le nombre de caractères importe peu.

Par contre, j’aurais tendance à plussoiyer AnA-I : héberger un compte pro sur Gmail, ça le fait moyen.
Est ce que certains d’entre vous connaitraient des bons services d’hébergement mail qui soient gratuit (oui désolé de ma naiveté, ça doit pas exister), qui ont une adresse en @xzy.com qui fasse un peu sérieuse (mon dieu les gens de ma promo de niveau bac +4 /bac+ 5qui mettent : pseudo_ridicule[at]caramail.com pour des listes de diffusions de documents de profs ça fait un peu pitié). Et si en plus cet hébergeur permetrait un accès pop/smtp pour mon outlook ce serait nikel.

pr7 · Mars 10, 2008, 7:41

Desolé, j’aurais du dire « Au final, ceux qui se sont fait hacké leur compte utilisaient quel browser ? »
Je disais pas ça dans un mauvais sens.

Et oui, c’est une triste réalité.
J’ai eut le même cas dans ma promo

GloP · Mars 10, 2008, 7:42

Rien a voir avec un le CAPTCHA, c’etait pas du brute force (meme si c’est aussi un pb le brute force). Un XSS c’est pas si incroyable que ca hein… et ca ils l’ont certainement corrigé rapidement…

Twin · Mars 10, 2008, 8:15

Gratuit, simple, efficace. Et crois moi je n’ai pas d’indulgence particulière pour La Poste en général. Mais là je dois dire que j’en suis très satisfait depuis déjà 6-7 ans avec la même adresse.

tOpaZ · Mars 11, 2008, 5:33

Gros flip quand j’ai pas réussi à me logger en rentrant de déjeuner ce midi… Après quelques essais mon compte était désactivé. Après deux tentatives supplémentaires, j’étais revenu à ma boîte mail et tout marchait. Pas de filtre déconnant ni rien. Par contre voilà le coup de stress. :crying:
Password changé même s’il était déjà safe…

Même question que mmenfin: Gmail manager ou un widget gmail dans mon netvibes c’est une incroyable prise de risques?

Et +1 pour laposte.net, j’ai ouvert une boîte à l’ouverture du service (9 ans?), je ne l’utilise que très peu parce que c’est un brin lent (surtout depuis l’Asie) mais ça marche bien. Enfin pour un compte pro, autant passer par un pro. Et payer, ouais

JeeP · Mars 13, 2008, 12:47

Comment tu justifies ce que tu dis? A te lire on croirait que c’est l’évidence et que c’est lié au principe même.

Or depuis que gmail existe tout le monde pleure pour y avoir un compte. Qu’est-ce qui en fait une passoire? Son succès? Le fait qu’il soit gratuit? Que ce soit un webmail?

Je ne comprends pas, et je suis d’autant plus inquiet que je me sers de gmail pour stocker des documents importants.

AcidBen · Mars 13, 2008, 1:01

[quote=« GloP, post:35, topic: 36849 »]Rien a voir avec un le CAPTCHA, c’etait pas du brute force (meme si c’est aussi un pb le brute force). Un XSS c’est pas si incroyable que ca hein… et ca ils l’ont certainement corrigé rapidement…[/quote]Le truc c’est que je comprend pas comment ca peut etre une faille XSS vu que je n’accède a cette adresse uniquement depuis outlook (je connaissait même pas le mot de passe par coeur) pas une seule fois depuis le webmail, et non ma copine n’est pas une h4xx0r…

Et les seules personne qui ont cette adresse c’est les entreprises avec qui je correspond, et le mot de passe était simple ok, mais pas non plus « devinable », par un humain au moins…

Même si c’est pas la fin du monde, ca me saoule quand même car c’était mon_prenom.mon_nom@gmail.com …

PS : je voit pas pourquoi gmail serrait plus sécure que laposte…

olivarius · Mars 13, 2008, 1:16

[quote=« JeeP, post:38, topic: 36849 »]Comment tu justifies ce que tu dis? A te lire on croirait que c’est l’évidence et que c’est lié au principe même.

Or depuis que gmail existe tout le monde pleure pour y avoir un compte. Qu’est-ce qui en fait une passoire? Son succès? Le fait qu’il soit gratuit? Que ce soit un webmail?

Je ne comprends pas, et je suis d’autant plus inquiet que je me sers de gmail pour stocker des documents importants.[/quote]

C’est juste que comme c’est un service bêta, gratuit tu n’as AUCUNE garantie formelle que tes données seront toujours là demain.
En cas de pépin tu n’as donc que tes yeux pour pleurer. Il vaut donc mieux avoir un service de secours et un archivage de tout ce qui est important (contact + mail).

Ensuite au niveau de la sécurité et de la confidentialité, il ne faut pas se fier à ce genre de service. (cf espionnage industriel) C’est pas de la parano c’est admis : Skype, gmail, google et consor sont « écoutés » en permanence. Alors toi en tant qu’individu tu t’en fous que ton mail à tata jeannine soit connu mais si t’es une boîte et que le sujet est sensible alors tu évites ce genre de logiciel/webmail/service en ligne.

Encore une fois c’est pas pour faire peur, c’est juste qu’il faut savoir ce que l’on fait en connaissance de cause. Et puis ce n’est pas parce que t’es écouté que si tu écris bomb bomb bomb dans tes mails/sur skype que le FBI va débarquer chez toi Tu seras juste un peu plus sur écoute :crying: