[Kioob]

Un petit rappel en passant : quand on parle d'Outlook ou Thunderbird, il ne s'agit ni d'Outlook Express ni Windows Mail qui sont de vraies passoires
De plus, si vous n'activez ni le TLS ni le SSL, je pense que le résultat sera moins sécurisé qu'une webmail ; avec en prime le mot de passe qui circulera en "clair" très régulièrement (pas encore au point du .htaccess mais le principe est le même).


PS : pour les problèmes de sauvegarde, formatage, accès distant etc, l'IMAP c'est bien ™.

Ce message a été modifié par Kioob : 05 mars 2008 - 20:53

[Jeanluc]

Je pense qu'on s'égare avec ce témoignage de David Airey. David a écrit: "It appears that the GMail security issue is fixed, but that won’t remove any previously installed Filters from your GMail account." Donc, selon David, le problème n'est plus présent sauf si le compte Gmail a été hacké avant fin 2007. Je suis, malgré tout, d'accord d'éviter Gmail pour des emails pro ou sensibles, mais cela ne suffit pas.

Ainsi David écrit aussi qu'il était en voyage en Inde quand le problème s'est produit et qu'en voyage, il s'est connecté à différents services dans des cafés Internet. Je ne pense pas que se connecter depuis un café Internet soit à conseiller si on est attentif à la sécurité. La difficulté avec la sécurité, c'est qu'il faut être attentif à tous les détails et qu'on en oublie toujours un...

Jean-Luc

[Franci]

Kioob, le mercredi 5 mars 2008 à 20:53, a dit :

De plus, si vous n'activez ni le TLS ni le SSL, je pense que le résultat sera moins sécurisé qu'une webmail ; avec en prime le mot de passe qui circulera en "clair" très régulièrement (pas encore au point du .htaccess mais le principe est le même).

Tu fais allusion au chiffrement et de la signature dans Paramètres des compte => Sécurité dans TB ?

Je n'ai pas activé ces 2 options mais cela ne risque rien si vous avez un bon AV mis à jour.

Ce message a été modifié par Franci : 05 mars 2008 - 21:11

[Kioob]

Franci : l'antivirus ne sert absolument à rien ici à mon avis... il s'agit de "crypter" les transferts (ou du moins l'identification) de manière à ce qu'un pirate récupérant la trame ne puisse pas reproduire la même chose.

Ton anti virus, si tu communiques ton mot de passe à tout le monde il ne te servira pas à grand chose...

[Franci]

Kioob, le mercredi 5 mars 2008 à 21:15, a dit :

Franci : l'antivirus ne sert absolument à rien ici à mon avis... il s'agit de "crypter" les transferts (ou du moins l'identification) de manière à ce qu'un pirate récupérant la trame ne puisse pas reproduire la même chose.

Ton anti virus, si tu communiques ton mot de passe à tout le monde il ne te servira pas à grand chose...

Pas grand monde crypte le transfert de données sur les logiciels d'emails et encore moins sur MSN où pourtant on dévoile des données sensibles.

Pourquoi voudrais tu que je communique mon mot de passe à tout le monde, c'est absurde.

[Franci]

Si Gmail comporte une faille qui permet à l'intru de rentrer sur la webmail, alors que vous ayiez accès à vos messages sur thunderbird ou sur webmail alors cela revient à la même chose ...

Pour obtenir un email pro il faut payer, voir le mx plan.

[Vap]

Franci, le mercredi 5 mars 2008 à 19:19, a dit :

Non si le type peut pénétrer sur le site de ton registrar il peut transférer tranquillement ton domaine vers un autre serveur.

Je te dis qu'il ne suffit pas de craquer mon email pour que Gandi accepte de transférer un de mes noms de domaine.

Alors que ça a suffit dans le cas de webrankinfo.

[Vap]

Dan, le mercredi 5 mars 2008 à 19:52, a dit :

L'autre conseil donné à propos de ce problème est de ne pas prendre son nom de domaine chez un hébergeur, mais directement chez un registrar:


As tu lu les deux pages dont les liens ont été donnés par thick ?
Les deux parlent bien de "hack de gmail menant au vol de domaine" ...
Donc pas étonnant qu'on se focalise sur Gmail

Quant-à ta deuxième citation, ils disent aussi expressément (je traduis)

Lorsqu'ils parlent de "hosted email account" , il s'agit vraisemblablement des emails que vous pouvez obtenir chez votre FAI, donc en trucmuche.com, et que vous n'êtes pas propriétaire du domaine trucmuche.com.

C'est très précisément que qu'on vous a expliqué ici, non ?

Justement je les ai lu, et j'ai cité ce que personne ne semble avoir lu... Je le remet ici car la répétition est la base de la pédagogie:

Citation

1. Never use a free or hosted email account as your whois address. Instead, use a pop email address from a domain you own. Lock the heck out of that domain.

2. Never register a domain through a webhosting company. Webhosts are good (sometimes) at hosting web sites, but they are typically just domain resellers with lax domain security controls. A good domain registrar would never let someone simply e-mail them to unlock a domain and send the transfer code.

Tout le monde ne parle que du premier conseil. Je dis que le second est très pertinent aussi. En effet, le hack du compte email utilisé dans le whois ne suffit pas pour effectuer le transfert dans ce cas. Et je m'étonne que personne n'en parle. Et ce conseil est donné régulièrement pour d'autres raisons. J'en avais cité une (l'histoire racontée sur nodaddy.com). L'as tu lu?

[Kioob]

Franci, le mercredi 5 mars 2008 à 21:21, a dit :

Pas grand monde crypte le transfert de données sur les logiciels d'emails et encore moins sur MSN où pourtant on dévoile des données sensibles.

Pourquoi voudrais tu que je communique mon mot de passe à tout le monde, c'est absurde.

On la refait alors :
- pas grand monde coche ces fameuses options je suis bien d'accord, et c'est justement là le problème. Entre une webmail avec accès SSL et une boite sur son dédié accédée sans cryptage (et donc tous les autres clients de l'hébergeur ont potentiellement accès à vos logins/pass...) ; je ne suis vraiment pas certain que la webmail soit la plus mal lotie hein.
- et c'est justement pour ça que par défaut Dovecot (serveur POP/IMAP assez répandu) refuse toute connexion dont les mots de passe sont en clair ; pour que les gens se prennent en main et cochent cette malheureuse case avant qu'il ne soit trop tard.
- dans la même lignée, la connexion FTP ainsi que les admins via ".htaccess" fonctionnent sur le même principe : les logins et mot de passe circulent en clair sur le réseau.

Et pour le coté "absurde" de la chose, bah c'est pourtant ce que ton client de messagerie fera toutes les 5 minutes si tu n'actives pas le moindre cryptage.

Pour moi il y a 3 modes de fonctionnement pour la plupart de ces logiciels :
- cryptage SSL complet : c'est le mode "parano", tout est crypté
- identification TLS : c'est le "minimum", l'identification est cryptée mais pas le contenu
- tout en clair : c'est le mode "inconscient", rien n'est crypté et on croise les doigts pour ne jamais avoir de soucis

[Thierry Bugs]

Dan, le mercredi 5 mars 2008 à 13:07, a dit :

Disons qu'au delà d'Olivier, ce sujet nous concerne tous... et nous apprend aussi ce qu'il faut éviter de faire.

De plus, on a eu droit à quelques WRInautes "en mal de forum". Quand on est accro, on ressent vite un manque

Hum,
en fait j'ai juste vu de la lumière,
alors je suis entré...

Et puis à vous lire tous, toute cette sale journée
évidemment que j'avais envie de participer.

Sale coup, qu'on souhaite à personne

[Franci]

Kioob, le mercredi 5 mars 2008 à 21:47, a dit :

- et c'est justement pour ça que par défaut Dovecot (serveur POP/IMAP assez répandu) refuse toute connexion dont les mots de passe sont en clair ; pour que les gens se prennent en main et cochent cette malheureuse case avant qu'il ne soit trop tard.
- dans la même lignée, la connexion FTP ainsi que les admins via ".htaccess" fonctionnent sur le même principe : les logins et mot de passe circulent en clair sur le réseau.

Sur le paramètre de Gmail il y a Téléchargement POP et Accès IMAP qui tous les deux doivent être activés, c'est ce dont tu parles ?

Pour le FTP, il faut chiffrer les données également mais je ne vois pas ce que .htaccess vient faire ici à moins que tu places des données sensibles dessus ?

Kioob, le mercredi 5 mars 2008 à 21:47, a dit :

Pour moi il y a 3 modes de fonctionnement pour la plupart de ces logiciels :
- cryptage SSL complet : c'est le mode "parano", tout est crypté
- identification TLS : c'est le "minimum", l'identification est cryptée mais pas le contenu
- tout en clair : c'est le mode "inconscient", rien n'est crypté et on croise les doigts pour ne jamais avoir de soucis

Tu as entièrement raison. Dans thunderbird, j'ai un compte gmail dont le paramètre serveur est coché sur SSL et sur "Utiliser une authentification sécurisée" mais cela suffit-il ?
Parce que je vois aussi dans "Sécurité", Signature et Chiffrement qui devraient être activés pour une sécurité optimale cependant tu peux remarquer que quand on veut sélectionner un certificat, une fenêtre s'affiche pour nous signaler qu'il ne trouve pas de certificat valide ....

[velk]

Dan, le mercredi 5 mars 2008 à 12:16, a dit :

Réflexion idiote et inutile: Je ne vois pas en quoi OVH peut être responsable de quoi que ce soit dans cette affaire!

sinon pour l histoire du registrar, il existe des registrars comme
CSC Corporate Domain qui sont spécialisé dans l activité de registrar + protection juridique des marques

ca m ' ai arrivé de travailler avec eux pour le compte d' un grand groupe, ca doit etre cher je pense ,
mais il faut les changement de zone DNS à la main
et sont pret a entamer des actions en justice en cas de probleme pour les boites.

Ca limite pas mal les possiblité de detournement comme celui de WRI

[Anonymus]

Bon, si ca se trouve, ca ne vient pas du tout des mails

[natespritcabane]

Bon ça me manque les avis avisés des wirinautes ;-)

Je voulais demander un avis sur le forum que j'ai installé
(les www de mon www remplacés par forum)
ça attendra...

Et courage à Olivier

[forummp3]

olivier, j'ai allumé une petite bougie pour toi

[thick]

Anonymus, le mercredi 5 mars 2008 à 22:23, a dit :

Bon, si ca se trouve, ca ne vient pas du tout des mails

Bien sûr que si Ca fait 9 pages que Dan répète le même truc que j'ai émis au début du thread et que tu as commenté.
En tout cas, bon courage à Olivier car ce n'est pas glop de se faire pirater de la sorte; peu importe la taille du site.
Bonne leçon car dès maintenant je désactive la sauvegarde des mes mails sur le serveur Gmail pour tout garder en local (sans oublier de faire des backups régulièrement).

[pcamille]

Bonsoir,

Moi je ne comprend pas les attitudes de tous ces gens qui rende le web plus sale de jour en jour.

A croire que ca fait partit du jeux du web a ce jour.

Bon courage a olivier.

[doseur]

pcamille, le mercredi 5 mars 2008 à 23:59, a dit :

Moi je ne comprend pas les attitudes de tous ces gens qui rende le web plus sale de jour en jour.
A croire que ca fait partit du jeux du web a ce jour.

wé j'ai le même sentiment quand je vois dicodunet

Ce message a été modifié par doseur : 06 mars 2008 - 00:13

[xoninkara]

J'ai fait une petite recherche sur GG et en cliquant sur un lien de WRI qu'il m'a proposé, je tombe sur la page du cracker. J'étais sur le c... !
Ensuite, j'ai fait une recherche (toujours sur GG ) pour savoir ce qui se passe. Eh bin, c'est un des sujets de discussions des Webmasters francophones sur la toile.

J'espère en tout cas qu'il va retrouver le plus rapidement possible son domaine.

Apparemment, ce n'est pas la 1ère fois que des pirates piratent les comptes e-mails d'utilisateurs de GMAIL par le même procédé. Que fait Google pour corriger ce problème ? Combien de comptes gmail vont encore être piratés par le même procédé ?

Aujourd'hui, nous sommes tous devenus des esclaves de GG. GG nous oblige à avoir un compte e-mail Google pour pouvoir utiliser l'outil des Webmasters, Adsense, Analysis, etc..., il nous propose un espace disque faramineux pour stoquer nos mails (aujourd'hui 6 GB) et on y va tous comme on s'enrolerait dans une armée. Plus nous utilisons leurs outils, plus nous les enrichissons. Et le jour où on a un problème à cause d'une faille dans leurs outils, ils s'en foutent royalement, ne se précipitent pas pour corriger ces failles. J'espère que cette affaire servira à faire réfléchir plus d'un webmaster. GG nous contrôle.

[karnabal]

@natespritcabane

Tu peux attendre effectivement ou faire une recherche sur le Hub et si tu ne trouves pas réponse à ta question, poster dans la section Techniques de Référencement.