[fredwat]

C'est certainement ce qu'il est en train de mettre sur pied (bdd, virer la redir, etc, etc... ); ça ne se fait pas en claquant dans ses doigts

[metakagoule]

keitboor, le mercredi 5 mars 2008 à 15:00, dit :

Mais par contre on est obligé d'avoir un gmail pour le compte adsense depuis peu... La solution serait alors de créer un gmail qui sert seulement pour adsense puis un mail à côté pour tout ce qui est login ndd, serveurs...

Ah bon? ... j'ai un compte adsense mais pas de gmail

[acamar]

Nicolas, le mercredi 5 mars 2008 à 14:09, dit :

On n'est pas là pour vendre du plan MX. Juste pour donner des conseils... maintenant j'ai pas trop envie que ce topic grossisse de 50 pages parce que certains doutent encore de la valeur des conseils donnés par certains pros en début de topic (je ne parle pas de moi ;-) ).

Certains pros ont comme même indiqué qu'il y a pratiquement aucun risque en passant par les clients de messagerie (OL, TB, ...), alors je doute qu'il faut pas faire de doutes !!

Finalement, le risque 0 n'existe pas dans les deux cas, il ne faut pas de se connecter en webmail par précaution dans les deux cas et la différence c'est qu'un email payant (MX Plan) "pourrais" vous garantir en cas de hack, et c'est comme pour les vols de numéro de carte de crédit, si c'est prouvé que c'est du à une négligence OVH te garanti un vent bien doux !

[Arlette]

metakagoule, le mercredi 5 mars 2008 à 15:51, dit :

Ah bon? ... j'ai un compte adsense mais pas de gmail

On en parle ici : http://www.webmaster-hub.com/index.php?sho...mp;#entry261978

[Nicolas]

acamar >> Personne n'a dit qu'il y a aucuns risques (d'ailleurs tu dis bien "pratiquement aucun risque"). même le meilleur ingénieur en sécurité au monde peut se faire pirater.
C'est juste des conseils pour limiter le risque de hackage.

Bien sur un serveur mail "pro" peut aussi se faire pirater que ce soit chez OVH ou un chez autre hébergeur.
Je suis le 1er à dire que les emails gratuits présentent des avantages (multitudes de services gratuits les accompagnant (messagerie instantané, gestion en ligne, ...), gratuité ;-), ...) mais je n'irais pas jusqu'à dire qu'ils sont idéales pour tout gérer ... C'est juste mon avis.

Après chacun crois ce qu'il veut et chacun est responsable de ses sites. Ce qu'on (les modérateurs) ne veut pas c'est que le topic tourne en rond pendant 107 ans la dessus car c'est une discussion sans fin.

[metakagoule]

Arlette, le mercredi 5 mars 2008 à 15:55, dit :

On en parle ici : http://www.webmaster-hub.com/index.php?sho...mp;#entry261978

Ah oui, bizare... de mon coté je me suis toujours connecté avec une adresse mail différente et je n'ai jamais eu de message d'alerte.

Bon, pas grave... et on sort du sujet

[Nullette]

Eclairez-moi (celle qui ne comprends jamais bien ). Vous parlez beaucoup de Gmail, de webmail, de faire attention aux données sensibles ... Dois-je comprendre que le problème survenu à WRI est dû au fait que les mots de passe et autres informations importantes étaient stockées dans un email Gmail accessible par webmail ?

[Sebastien]

Exactement. En prenant le contrôle de Gmail, le hacker aurait apparament pu demander le transfert du domaine en se faisant passer pour Olivier.

[Nullette]

Merci pour l'éclaircissement. Ce n'est pas très malin d'avoir gardé ainsi ces données !

[Dan]

Il n'a vraisemblablement pas gardé ces données en clair, mais comme il s'est fait pirater le compte gmail (qui est le compte auquel est rattaché le nic-handle du contact administratif, et peut-être aussi les contacts techniques et facturation) cela a été un jeu d'enfant pour le cracker de s'approprier le domaine et le transférer en changeant les DNS.

Heureusement qu'il a eu le temps de changer ses mots de passe hier soir, sinon il se faisait cracker TOUS ses domaines.

[Nicolas]

Nulette >> Même si il n'y a pas mails confidentiels stockés dans ton webmail le fait de prendre le controle de ton compte email permet au hackeur de récupérer les mots de passe des services associés à cet email.
En effet la plupart des sites ou l'on peut avoir un compte utilisateur ont une fonctionnalité "j'ai oublié mon mot de passe" qui permet de se faire re envoyer le mot de passe à l'adresse email utilisé lors de l'inscription au service.

Il suffit donc au hackeur qui aurait pris le contrôle de ta boite mail de connaitre un service en ligne associé à ton mail pour recuperer le mot de passe afin de se connecter à ton compte utilisateur de ce service.

Donc si tu as des services en ligne importants (gestion de compte bancaires, adsense, gestion de nom de domaines, ...) il faut qu'ils soient associés à un email qui soit le plus sécurisé possible.

[azzurro2]

Bonjour,

J'aimerai avoir quelques précisions sur le mxplan. Je possède plusieurs domaines et je souhaiterai associer tous ces ndd vers une adresse mail d'un nom de domaine que je possède déjà. Est-ce que cela risque de poser problème ? A quoi peut donc me servir le mxplan dans ce cas en sachant que le nombre de boite pop associé à mon nom de domaine m'est suffisant ?

Merci d'avoir pris le temps de me répondre.

[tofm2]

je confirme, un whois sur webrankinfo.com donne bien une adresse de contact administratif sur un compte gmail.

D'un autre côté, des threads de soutien/interrogations à wri aparaissent ici et là

-http://forum.arfooo.com/topic7.html
-http://www.netdynamics.eu/forum/topic145.html
-http://www.generation-nt.com/webrankinfo-gmail-detournement-referencement-nom-domaine-actualite-69348. html

Ce message a été modifié par tofm2 - 05 mars 2008 - 17:29.

[Franci]

Malheureusement ce n'est pas la première fois que ce genre d'incident arrive et vraisemblablement cela fait paniquer tout le monde ...

Dan, le mercredi 5 mars 2008 à 17:13, dit :

Heureusement qu'il a eu le temps de changer ses mots de passe hier soir, sinon il se faisait cracker TOUS ses domaines.

Ah parce qu'il avait tous ces mots de passe de tous ces domaines sur le même compte gmail ?
Si c'était le cas, le cracker aurait pû obtenir les mots de passe de ces autres domaines dans la foulée or le temps où le cracker fait son opération et le temps qu'Olivier s'en aperçoive il doit s'écouler au moins 1 heure ... ce qui est trés long !!

Au sujet de Gmail, comme l'a expliqué Dan, se connecter en webmail est risqué même si vous voyez du https mais ne soyez pas paranos non plus, vous pouvez utiliser votre Gmail via votre logiciel de messagerie OT ou TB en STMP dans ce cas le risque est considérablement réduit. Bien sûr assurez vous d'avoir un bon AV mis à jour sinon ça sert à rien.
Autre solution le plan MX où là vous êtes tranquille à part si OVH se fait hacker bien entendu ce qui est peu probable.

[NoteMaire]

Zataz parle d'une faille méconnue ... http://www.zataz.com/news/16657/0dayz--gma...te-webmail.html

[h4ni]

Bonjour
je voulai savoir si le fait d'utiliser un whois privacy suffisait pour contrer ce genre de hack?

[nickel]

Si on cache les infomations du whois, on ne peut pas savoir l'email de demande de transfert, non ? A moins qu'il existe une autre méthode que je ne connais pas pour l'avoir ?

Alors se serait efficace ou pas de cacher ses infos par un service comme celui d'ovh OwO pour éviter se type de piratage ?

[Dan]

h4ni, le mercredi 5 mars 2008 à 17:41, dit :

Bonjour
je voulai savoir si le fait d'utiliser un whois privacy suffisait pour contrer ce genre de hack?

Ca permet de contrer un certain pourcentage d'attaques. Mais il est facile de deviner que l'email de webrankinfo sur gmail est justement webrankinfo@gmail.com

[h4ni]

Dan, le mercredi 5 mars 2008 à 17:45, dit :

Ca permet de contrer un certain pourcentage d'attaques. Mais il est facile de deviner que l'email de webrankinfo sur gmail est justement webrankinfo_AT_gmail.com

oui! comeme ! je vais pas cacher mes infos pour mettre apres un email facile a deviner

[Nullette]

Nicolas, le mercredi 5 mars 2008 à 17:15, dit :

Nulette >> Même si il n'y a pas mails confidentiels stockés dans ton webmail le fait de prendre le controle de ton compte email permet au hackeur de récupérer les mots de passe des services associés à cet email.
En effet la plupart des sites ou l'on peut avoir un compte utilisateur ont une fonctionnalité "j'ai oublié mon mot de passe" qui permet de se faire re envoyer le mot de passe à l'adresse email utilisé lors de l'inscription au service.

Il suffit donc au hackeur qui aurait pris le contrôle de ta boite mail de connaitre un service en ligne associé à ton mail pour recuperer le mot de passe afin de se connecter à ton compte utilisateur de ce service.

Merci Nicolas pour ce complément d'informations.
N'oublies pas la précision faite par Dan : pas un hackeur, mais un cracker