Si je vais sur Gmail et que je ne me déconnecte pas, j'apparais comme connecté sur Google.

pfff... même pas vrai...

Là c'est plus clair

Mais par contre on est obligé d'avoir un gmail pour le compte adsense depuis peu... La solution serait alors de créer un gmail qui sert seulement pour adsense puis un mail à côté pour tout ce qui est login ndd, serveurs...

On est plusieurs à avoir dit ici ce qu'il fallait faire pour limiter les risques (le risque 0 n'existe pas). De plus Portekoi a raison : il ne faut pas non plus stresser comme des malades mais juste prendre les précautions qu'il faut.

Après ceux qui ne veulent pas suivre les indications (parce qu'ils pensent que les mails gratuits sont tous ultra sécurisés ou ne veulent pas dépenser 5 euros / an ou encore parce qu'ils pensent que ca n'arrivent qu'aux autres etc ...) sont libres de leurs choix et de leurs décisions un peu comme ceux qui ne veulent pas faire de backup.

On n'est pas là pour vendre du plan MX. Juste pour donner des conseils... maintenant j'ai pas trop envie que ce topic grossisse de 50 pages parce que certains doutent encore de la valeur des conseils donnés par certains pros en début de topic (je ne parle pas de moi ;-) ).

Car là je sens que dans 3 jours on aura encore des questions du type "si je prends un email gratuit chez machinchose pour gérer mes domaines est-ce qu'il y a un risque ? sachant que pour les remercier de la gratuité je leur ai envoyé un paquet de Mars."
Bientôt on va avoir le droit à des phrases du style "J'héberge mon serveur mail chez moi et je peux vous dire que c'est beaucoup plus sécurisé que chez un hébergeur pro; j'ai même prévu une bouteille d'eau en cas d'incendie".

Nicolas a raison. Je pense qu'il faut se recentrer un peu sur le sujet initial et croiser les doigts pour Olivier.

Pour le coups quand je vois l'interêt et la mobilisation que suscite la mésenvature d'olivier, je me dit que ca serait quand même bien qu'une association de webmasters voit le jour, que cette association défende nos interêts.

D'accord que ca n'evitera pas des hackers viennent détruire notre travail mais peut etre les recours en tant que groupe associatif serait plus efficace. Mais ca peut etre aussi contre des décisions d'hébergeurs, regies pub etc ...

Bref une association qui protège notre profession, c'est une idée à creuser, en tous les cas si une asso voit le jour, j'adhère de suite

Pourquoi pas ? L'idée en soi est loin d'être idiote... mais le problème serait justement de mettre sur pied ce type d'association.
On a vu les démêlés à créer une association de référenceurs (dont notre ami Cariboo - Philippe Yonnet - a été nommé préseident le weekend dernier) telle que SEOCamp.

sinon Dan, vu que tu es en contact direct avec olivier, tu peux pas dire a olivier d'utiliser webrankinfo.fr pour le moment le temps de recuperer le .com ? avec le bouche a oreille, la communauté de webmaster connaitra vite l'adresse.
Et pour eviter un futur duplicate content, il pour mettre un noindex pour ce domaine.
En plus il a sa base de newsletter, donc il pourra mettre facilement au courant ses membres de ce changement d'adresse temporaire.

Olivier sait quoi faire... mais mettre un domaine tel que webrankinfo.fr en opération ne se fait pas en un coup de baguette magique. Il y a quelques éditions à faire, surtout au niveau de la réécriture des URLs...

Il avait un rendez-vous important aujourd'hui... et je pense qu'il sait bien comment remettre sa communauté en ligne.
De toutes manières, s'il souhaite s'exprimer ici pour vous tenir au courant, il sait comment faire.

Ne désespérez pas, en attendant que webrankinfo.com revienne, le Hub vous ouvre ses portes tant que vous respectez les règles du forum

C'est certainement ce qu'il est en train de mettre sur pied (bdd, virer la redir, etc, etc... ); ça ne se fait pas en claquant dans ses doigts

Ah bon? ... j'ai un compte adsense mais pas de gmail

Certains pros ont comme même indiqué qu'il y a pratiquement aucun risque en passant par les clients de messagerie (OL, TB, ...), alors je doute qu'il faut pas faire de doutes !!

Finalement, le risque 0 n'existe pas dans les deux cas, il ne faut pas de se connecter en webmail par précaution dans les deux cas et la différence c'est qu'un email payant (MX Plan) "pourrais" vous garantir en cas de hack, et c'est comme pour les vols de numéro de carte de crédit, si c'est prouvé que c'est du à une négligence OVH te garanti un vent bien doux !

On en parle ici : http://www.webmaster-hub.com/index.php?sho...mp;#entry261978

acamar >> Personne n'a dit qu'il y a aucuns risques (d'ailleurs tu dis bien "pratiquement aucun risque"). même le meilleur ingénieur en sécurité au monde peut se faire pirater.
C'est juste des conseils pour limiter le risque de hackage.

Bien sur un serveur mail "pro" peut aussi se faire pirater que ce soit chez OVH ou un chez autre hébergeur.
Je suis le 1er à dire que les emails gratuits présentent des avantages (multitudes de services gratuits les accompagnant (messagerie instantané, gestion en ligne, ...), gratuité ;-), ...) mais je n'irais pas jusqu'à dire qu'ils sont idéales pour tout gérer ... C'est juste mon avis.

Après chacun crois ce qu'il veut et chacun est responsable de ses sites. Ce qu'on (les modérateurs) ne veut pas c'est que le topic tourne en rond pendant 107 ans la dessus car c'est une discussion sans fin.

Ah oui, bizare... de mon coté je me suis toujours connecté avec une adresse mail différente et je n'ai jamais eu de message d'alerte.

Bon, pas grave... et on sort du sujet

Eclairez-moi (celle qui ne comprends jamais bien ). Vous parlez beaucoup de Gmail, de webmail, de faire attention aux données sensibles ... Dois-je comprendre que le problème survenu à WRI est dû au fait que les mots de passe et autres informations importantes étaient stockées dans un email Gmail accessible par webmail ?

Exactement. En prenant le contrôle de Gmail, le hacker aurait apparament pu demander le transfert du domaine en se faisant passer pour Olivier.

Merci pour l'éclaircissement. Ce n'est pas très malin d'avoir gardé ainsi ces données !

Il n'a vraisemblablement pas gardé ces données en clair, mais comme il s'est fait pirater le compte gmail (qui est le compte auquel est rattaché le nic-handle du contact administratif, et peut-être aussi les contacts techniques et facturation) cela a été un jeu d'enfant pour le cracker de s'approprier le domaine et le transférer en changeant les DNS.

Heureusement qu'il a eu le temps de changer ses mots de passe hier soir, sinon il se faisait cracker TOUS ses domaines.

Nulette >> Même si il n'y a pas mails confidentiels stockés dans ton webmail le fait de prendre le controle de ton compte email permet au hackeur de récupérer les mots de passe des services associés à cet email.
En effet la plupart des sites ou l'on peut avoir un compte utilisateur ont une fonctionnalité "j'ai oublié mon mot de passe" qui permet de se faire re envoyer le mot de passe à l'adresse email utilisé lors de l'inscription au service.

Il suffit donc au hackeur qui aurait pris le contrôle de ta boite mail de connaitre un service en ligne associé à ton mail pour recuperer le mot de passe afin de se connecter à ton compte utilisateur de ce service.

Donc si tu as des services en ligne importants (gestion de compte bancaires, adsense, gestion de nom de domaines, ...) il faut qu'ils soient associés à un email qui soit le plus sécurisé possible.

Bonjour,

J'aimerai avoir quelques précisions sur le mxplan. Je possède plusieurs domaines et je souhaiterai associer tous ces ndd vers une adresse mail d'un nom de domaine que je possède déjà. Est-ce que cela risque de poser problème ? A quoi peut donc me servir le mxplan dans ce cas en sachant que le nombre de boite pop associé à mon nom de domaine m'est suffisant ?

Merci d'avoir pris le temps de me répondre.

je confirme, un whois sur webrankinfo.com donne bien une adresse de contact administratif sur un compte gmail.

D'un autre côté, des threads de soutien/interrogations à wri aparaissent ici et là

-http://forum.arfooo.com/topic7.html
-http://www.netdynamics.eu/forum/topic145.html
-http://www.generation-nt.com/webrankinfo-gmail-detournement-referencement-nom-domaine-actualite-69348.html

Malheureusement ce n'est pas la première fois que ce genre d'incident arrive et vraisemblablement cela fait paniquer tout le monde ...



Ah parce qu'il avait tous ces mots de passe de tous ces domaines sur le même compte gmail ?
Si c'était le cas, le cracker aurait pû obtenir les mots de passe de ces autres domaines dans la foulée or le temps où le cracker fait son opération et le temps qu'Olivier s'en aperçoive il doit s'écouler au moins 1 heure ... ce qui est trés long !!

Au sujet de Gmail, comme l'a expliqué Dan, se connecter en webmail est risqué même si vous voyez du https mais ne soyez pas paranos non plus, vous pouvez utiliser votre Gmail via votre logiciel de messagerie OT ou TB en STMP dans ce cas le risque est considérablement réduit. Bien sûr assurez vous d'avoir un bon AV mis à jour sinon ça sert à rien.
Autre solution le plan MX où là vous êtes tranquille à part si OVH se fait hacker bien entendu ce qui est peu probable.

Zataz parle d'une faille méconnue ... http://www.zataz.com/news/16657/0dayz--gma...te-webmail.html

Bonjour
je voulai savoir si le fait d'utiliser un whois privacy suffisait pour contrer ce genre de hack?

Si on cache les infomations du whois, on ne peut pas savoir l'email de demande de transfert, non ? A moins qu'il existe une autre méthode que je ne connais pas pour l'avoir ?

Alors se serait efficace ou pas de cacher ses infos par un service comme celui d'ovh OwO pour éviter se type de piratage ?

Ca permet de contrer un certain pourcentage d'attaques. Mais il est facile de deviner que l'email de webrankinfo sur gmail est justement webrankinfo@gmail.com

oui! comeme ! je vais pas cacher mes infos pour mettre apres un email facile a deviner

Merci Nicolas pour ce complément d'informations.
N'oublies pas la précision faite par Dan : pas un hackeur, mais un cracker

Une chose bizarre, c'est qu'en paramétrant le fichier c:\windows\system32\drivers\etc\hosts avec l'IP du serveur de webrankinfo et le domaine www.webrankinfo.com, ça plante; doit y avoir des manipulations en cours . Dommage, on aurait pu s'y retrouver entre personnes qui savent faire la nique aux serveurs DNS

Tout simplement parce qu'il a un serveur mysql séparé... et que si celui-ci renvoie ses données à webrankinfo.com, tu ne les recevras pas parce qu'elles seront envoyées au site de parking.

Ce n'est qu'une supposition...

Bon courage à Olivier, c'est incroyable cette histoire ! Personne n'est vraiment à l'abri mais je pense également qu'un nom de domaine ne doit jamais s'enregister sur un compte mail d'un FAI , de google , yahoo etc..
C'est un peu facile à dire après, mais au moins cela servira de leçon à tous.
J'espére que WRI va vite revenir.

A moi aussi wri me manque...

Je souhaite que Olivier récupère son site au plus vite!

Sinon, vous vous focalisez sur l'usage de Gmail qui n'est pas sûr. Mais ce n'est qu'une partie du pb d'après ce que j'ai lu sur les liens ci dessous.



L'autre conseil donné à propos de ce problème est de ne pas prendre son nom de domaine chez un hébergeur, mais directement chez un registrar:


Par exemple, je prend mes noms de domaine chez Gandi, et je les héberge chez 1and1.

Ca a beaucoup d'avantage.

1. Si vous voulez changer d'hébergeur c'est très facile.
2. Il faut plus qu'un email pour faire un transfert de domaine.

Ca coute un peu plus cher certes, mais quand je vois le nombre de problèmes que ça permet d'éviter... Ce qui m'a motivé c'est l'histoire de nodaddy.com .

Sur le Hub comme sur Wri nous échangeons des infos par MP !
Suite à cette sombre déconvenue, quelles retombées néfastes pourrait-on en attendre ?
La question est simplement posée... il ne s'agit pas de soulever d'autres malaises

mince je pensais à la même chose mais dans /etc/hosts

C'est le ndd qui a été détourné. Pas le serveur. donc normalement pas de probleme.

Difficile à dire ! Tout va dépendre de la rapidité avec laquelle il pourra se faire restituer le domaine.
Mais comme toutes les pages redirigent vers le site de parking il y a un risque majeur de désindexation rapide voire de pénalisation pour contenu dupliqué.

Et encore, ces sagouins n'ont pas mis une entête 404 mais une 302 parce que là cela aurait été quasi immédiat.
Donc, du fait de la 302, il est aussi possible que Google ne désindexe pas les pages...

L'outil du Hub donne ceci, pour une page autre que la page d'accueil

DAN, est ce que olivier a toujours accés a son compte gmail? car je vois dans le whois que le mail est toujours celui de gmail, donc olivier a qu'a faire une autre demande de transfert.

Non si le type peut pénétrer sur le site de ton registrar il peut transférer tranquillement ton domaine vers un autre serveur.


Au sujet l'ajout de votre adresse email lors de l'enrengistrement d'un domaine, je ne vois pas en quoi le fait de mettre une adresse du type gmail peut comporter des risques ...

Et puis on peut changer l'adresse dans le whois.

C'est que au fil du temps, WRI est plus ou moins devenu un outil de référence pour les WM.

Tout pareil, j'avais pas mal de MP en souffrance.

On a jamais dit qu'il ne fallait pas utiliser un compte Gmail, on a dit que cela n'était pas prudent de laisser des mails sensibles sur un WEBMAIL.

C'est mieux là?

C'est ce que j'ai précisé dans mon premier message mais dans ce cas je parlais de l'enrengistrement d'un domaine.

As tu lu les deux pages dont les liens ont été donnés par thick ?
Les deux parlent bien de "hack de gmail menant au vol de domaine" ...
Donc pas étonnant qu'on se focalise sur Gmail

Quant-à ta deuxième citation, ils disent aussi expressément (je traduis)

Lorsqu'ils parlent de "hosted email account" , il s'agit vraisemblablement des emails que vous pouvez obtenir chez votre FAI, donc en trucmuche.com, et que vous n'êtes pas propriétaire du domaine trucmuche.com.

C'est très précisément que qu'on vous a expliqué ici, non ?

J'aurai tendance à dire créez vos serveurs mails

C'est bien ça le plus inquiétant.
Aucun système n'est infaillible tout le monde est d'accord sur ce point mais il s'agit de Google quand même qui dispose de moyens colossaux ... ils pourraient mieux sécuriser Gmail car le type qui a fait ça est loin d'être un génie .....

Néanmoins, Adsense et Adword semblent être beaucoup plus sécurisés alors qu'ils demandent bien un compte Gmail si je ne me trompe pas ?

Pour le problème du site de David Airey, il faut tout de même un certain nombre d'opérations avant d'y arriver, de la part du pirate.
Je ne suis pas si sûr que google soit réellement en cause. Le seul problème que je note, de la part de google, c'est le fait de pouvoir mettre en 'copie' tous les mails, sans.. pour autant envoyer une demande de confirmation au propriétaire. Mais ca, y'en a pas un qui le fait.
Le reste, ben.. Faut comme meme regarder un mail malveillant (spamm), télécharger un .exe, et l'exécuter. Ca fait bcp de la part de l'internaute imprudent, et ca enlève autant à la responsabilité de google.
Par contre, à mon avis, on a pas fini d'avoir des problèmes comme ca, avec le web 2.0

Sauf erreur, dans le cas du site de David Airey, ce n'est pas exactement comme ça : il suffit que la victime visite une URL pour que le filtre malveillant soit installé (pas d'exe ni rien).

Oui, s'il a Gmail d'ouvert
Le problème est que la redirection gmail pour Airey a très bien pu être mise en place un mois avant qu'il ne parte en vacances... le cracker a attendu patiemment.

C'est pas détecté par des outils comme SpyBot ça ?


Ce n'est pas nécessaire (mais que oui pour les nouveaux inscrits). En tout je n'ai pas de compte Gmail ca ne m'a pas empêché d'avoir un compte Adsense.