Jump to content

Recommended Posts

Posted (edited)

Un petit rappel en passant : quand on parle d'Outlook ou Thunderbird, il ne s'agit ni d'Outlook Express ni Windows Mail qui sont de vraies passoires :D

De plus, si vous n'activez ni le TLS ni le SSL, je pense que le résultat sera moins sécurisé qu'une webmail ; avec en prime le mot de passe qui circulera en "clair" très régulièrement (pas encore au point du .htaccess mais le principe est le même).

PS : pour les problèmes de sauvegarde, formatage, accès distant etc, l'IMAP c'est bien .

Edited by Kioob
  • Replies 202
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Posted

Je pense qu'on s'égare avec ce témoignage de David Airey. David a écrit: "It appears that the GMail security issue is fixed, but that won’t remove any previously installed Filters from your GMail account." Donc, selon David, le problème n'est plus présent sauf si le compte Gmail a été hacké avant fin 2007. Je suis, malgré tout, d'accord d'éviter Gmail pour des emails pro ou sensibles, mais cela ne suffit pas.

Ainsi David écrit aussi qu'il était en voyage en Inde quand le problème s'est produit et qu'en voyage, il s'est connecté à différents services dans des cafés Internet. Je ne pense pas que se connecter depuis un café Internet soit à conseiller si on est attentif à la sécurité. La difficulté avec la sécurité, c'est qu'il faut être attentif à tous les détails et qu'on en oublie toujours un...

Jean-Luc

Posted (edited)
De plus, si vous n'activez ni le TLS ni le SSL, je pense que le résultat sera moins sécurisé qu'une webmail ; avec en prime le mot de passe qui circulera en "clair" très régulièrement (pas encore au point du .htaccess mais le principe est le même).

Tu fais allusion au chiffrement et de la signature dans Paramètres des compte => Sécurité dans TB ?

Je n'ai pas activé ces 2 options mais cela ne risque rien si vous avez un bon AV mis à jour.

Edited by Franci
Posted

Franci : l'antivirus ne sert absolument à rien ici à mon avis... il s'agit de "crypter" les transferts (ou du moins l'identification) de manière à ce qu'un pirate récupérant la trame ne puisse pas reproduire la même chose.

Ton anti virus, si tu communiques ton mot de passe à tout le monde il ne te servira pas à grand chose...

Posted
Franci : l'antivirus ne sert absolument à rien ici à mon avis... il s'agit de "crypter" les transferts (ou du moins l'identification) de manière à ce qu'un pirate récupérant la trame ne puisse pas reproduire la même chose.

Ton anti virus, si tu communiques ton mot de passe à tout le monde il ne te servira pas à grand chose...

Pas grand monde crypte le transfert de données sur les logiciels d'emails et encore moins sur MSN où pourtant on dévoile des données sensibles.

Pourquoi voudrais tu que je communique mon mot de passe à tout le monde, c'est absurde.

Posted

Si Gmail comporte une faille qui permet à l'intru de rentrer sur la webmail, alors que vous ayiez accès à vos messages sur thunderbird ou sur webmail alors cela revient à la même chose ...

Pour obtenir un email pro il faut payer, voir le mx plan.

Posted
Non si le type peut pénétrer sur le site de ton registrar il peut transférer tranquillement ton domaine vers un autre serveur.

Je te dis qu'il ne suffit pas de craquer mon email pour que Gandi accepte de transférer un de mes noms de domaine.

Alors que ça a suffit dans le cas de webrankinfo.

Posted
L'autre conseil donné à propos de ce problème est de ne pas prendre son nom de domaine chez un hébergeur, mais directement chez un registrar:

As tu lu les deux pages dont les liens ont été donnés par thick ?

Les deux parlent bien de "hack de gmail menant au vol de domaine" ...

Donc pas étonnant qu'on se focalise sur Gmail :)

Quant-à ta deuxième citation, ils disent aussi expressément (je traduis)

Lorsqu'ils parlent de "hosted email account" , il s'agit vraisemblablement des emails que vous pouvez obtenir chez votre FAI, donc en trucmuche.com, et que vous n'êtes pas propriétaire du domaine trucmuche.com.

C'est très précisément que qu'on vous a expliqué ici, non ? :P

Justement je les ai lu, et j'ai cité ce que personne ne semble avoir lu... Je le remet ici car la répétition est la base de la pédagogie:

1. Never use a free or hosted email account as your whois address. Instead, use a pop email address from a domain you own. Lock the heck out of that domain.

2. Never register a domain through a webhosting company. Webhosts are good (sometimes) at hosting web sites, but they are typically just domain resellers with lax domain security controls. A good domain registrar would never let someone simply e-mail them to unlock a domain and send the transfer code.

Tout le monde ne parle que du premier conseil. Je dis que le second est très pertinent aussi. En effet, le hack du compte email utilisé dans le whois ne suffit pas pour effectuer le transfert dans ce cas. Et je m'étonne que personne n'en parle. Et ce conseil est donné régulièrement pour d'autres raisons. J'en avais cité une (l'histoire racontée sur nodaddy.com). L'as tu lu?

Posted
Pas grand monde crypte le transfert de données sur les logiciels d'emails et encore moins sur MSN où pourtant on dévoile des données sensibles.

Pourquoi voudrais tu que je communique mon mot de passe à tout le monde, c'est absurde.

On la refait alors :

- pas grand monde coche ces fameuses options je suis bien d'accord, et c'est justement là le problème. Entre une webmail avec accès SSL et une boite sur son dédié accédée sans cryptage (et donc tous les autres clients de l'hébergeur ont potentiellement accès à vos logins/pass...) ; je ne suis vraiment pas certain que la webmail soit la plus mal lotie hein.

- et c'est justement pour ça que par défaut Dovecot (serveur POP/IMAP assez répandu) refuse toute connexion dont les mots de passe sont en clair ; pour que les gens se prennent en main et cochent cette malheureuse case avant qu'il ne soit trop tard.

- dans la même lignée, la connexion FTP ainsi que les admins via ".htaccess" fonctionnent sur le même principe : les logins et mot de passe circulent en clair sur le réseau.

Et pour le coté "absurde" de la chose, bah c'est pourtant ce que ton client de messagerie fera toutes les 5 minutes si tu n'actives pas le moindre cryptage.

Pour moi il y a 3 modes de fonctionnement pour la plupart de ces logiciels :

- cryptage SSL complet : c'est le mode "parano", tout est crypté

- identification TLS : c'est le "minimum", l'identification est cryptée mais pas le contenu

- tout en clair : c'est le mode "inconscient", rien n'est crypté et on croise les doigts pour ne jamais avoir de soucis

Posted
Disons qu'au delà d'Olivier, ce sujet nous concerne tous... et nous apprend aussi ce qu'il faut éviter de faire.

De plus, on a eu droit à quelques WRInautes "en mal de forum". Quand on est accro, on ressent vite un manque :)

Hum,

en fait j'ai juste vu de la lumière,

alors je suis entré...

Et puis à vous lire tous, toute cette sale journée

évidemment que j'avais envie de participer.

Sale coup, qu'on souhaite à personne :evil:

Posted
- et c'est justement pour ça que par défaut Dovecot (serveur POP/IMAP assez répandu) refuse toute connexion dont les mots de passe sont en clair ; pour que les gens se prennent en main et cochent cette malheureuse case avant qu'il ne soit trop tard.

- dans la même lignée, la connexion FTP ainsi que les admins via ".htaccess" fonctionnent sur le même principe : les logins et mot de passe circulent en clair sur le réseau.

Sur le paramètre de Gmail il y a Téléchargement POP et Accès IMAP qui tous les deux doivent être activés, c'est ce dont tu parles ?

Pour le FTP, il faut chiffrer les données également mais je ne vois pas ce que .htaccess vient faire ici à moins que tu places des données sensibles dessus ? :wacko:

Pour moi il y a 3 modes de fonctionnement pour la plupart de ces logiciels :

- cryptage SSL complet : c'est le mode "parano", tout est crypté

- identification TLS : c'est le "minimum", l'identification est cryptée mais pas le contenu

- tout en clair : c'est le mode "inconscient", rien n'est crypté et on croise les doigts pour ne jamais avoir de soucis

Tu as entièrement raison. Dans thunderbird, j'ai un compte gmail dont le paramètre serveur est coché sur SSL et sur "Utiliser une authentification sécurisée" mais cela suffit-il ?

Parce que je vois aussi dans "Sécurité", Signature et Chiffrement qui devraient être activés pour une sécurité optimale cependant tu peux remarquer que quand on veut sélectionner un certificat, une fenêtre s'affiche pour nous signaler qu'il ne trouve pas de certificat valide ....

Posted
Réflexion idiote et inutile: Je ne vois pas en quoi OVH peut être responsable de quoi que ce soit dans cette affaire!

sinon pour l histoire du registrar, il existe des registrars comme

CSC Corporate Domain qui sont spécialisé dans l activité de registrar + protection juridique des marques

ca m ' ai arrivé de travailler avec eux pour le compte d' un grand groupe, ca doit etre cher je pense ,

mais il faut les changement de zone DNS à la main

et sont pret a entamer des actions en justice en cas de probleme pour les boites.

Ca limite pas mal les possiblité de detournement comme celui de WRI ;)

Posted

Bon ça me manque les avis avisés des wirinautes ;-)

Je voulais demander un avis sur le forum que j'ai installé

(les www de mon www remplacés par forum)

ça attendra...

Et courage à Olivier :(

Posted
Bon, si ca se trouve, ca ne vient pas du tout des mails :)

Bien sûr que si :lol: Ca fait 9 pages que Dan répète le même truc que j'ai émis au début du thread et que tu as commenté.

En tout cas, bon courage à Olivier car ce n'est pas glop de se faire pirater de la sorte; peu importe la taille du site.

Bonne leçon car dès maintenant je désactive la sauvegarde des mes mails sur le serveur Gmail pour tout garder en local (sans oublier de faire des backups régulièrement).

Posted

Bonsoir,

Moi je ne comprend pas les attitudes de tous ces gens qui rende le web plus sale de jour en jour.

A croire que ca fait partit du jeux du web a ce jour.

Bon courage a olivier.

Posted (edited)
Moi je ne comprend pas les attitudes de tous ces gens qui rende le web plus sale de jour en jour.

A croire que ca fait partit du jeux du web a ce jour.

wé j'ai le même sentiment quand je vois dicodunet

Edited by doseur
Posted

J'ai fait une petite recherche sur GG et en cliquant sur un lien de WRI qu'il m'a proposé, je tombe sur la page du cracker. J'étais sur le c... !

Ensuite, j'ai fait une recherche (toujours sur GG :evil: ) pour savoir ce qui se passe. Eh bin, c'est un des sujets de discussions des Webmasters francophones sur la toile.

J'espère en tout cas qu'il va retrouver le plus rapidement possible son domaine.

Apparemment, ce n'est pas la 1ère fois que des pirates piratent les comptes e-mails d'utilisateurs de GMAIL par le même procédé. Que fait Google pour corriger ce problème ? Combien de comptes gmail vont encore être piratés par le même procédé ?

Aujourd'hui, nous sommes tous devenus des esclaves de GG. GG nous oblige à avoir un compte e-mail Google pour pouvoir utiliser l'outil des Webmasters, Adsense, Analysis, etc..., il nous propose un espace disque faramineux pour stoquer nos mails (aujourd'hui 6 GB) et on y va tous comme on s'enrolerait dans une armée. Plus nous utilisons leurs outils, plus nous les enrichissons. Et le jour où on a un problème à cause d'une faille dans leurs outils, ils s'en foutent royalement, ne se précipitent pas pour corriger ces failles. J'espère que cette affaire servira à faire réfléchir plus d'un webmaster. GG nous contrôle.

Posted
wé j'ai le même sentiment quand je vois dicodunet

Je ne comprend pas ce que tu veux dire.

Je ne parle pas d'un site ou de plusieurs sites, je parle de l'attitude des gens.

Ce que je dit c'est que je ne comprend l'attitude de ces gens qui utilise des failles sur les script.

Simplement .

Posted
Aujourd'hui, nous sommes tous devenus des esclaves de GG. GG nous oblige à avoir un compte e-mail Google pour pouvoir utiliser l'outil des Webmasters, Adsense, Analysis, etc..., il nous propose un espace disque faramineux pour stoquer nos mails (aujourd'hui 6 GB) et on y va tous comme on s'enrolerait dans une armée. Plus nous utilisons leurs outils, plus nous les enrichissons. Et le jour où on a un problème à cause d'une faille dans leurs outils, ils s'en foutent royalement, ne se précipitent pas pour corriger ces failles. J'espère que cette affaire servira à faire réfléchir plus d'un webmaster. GG nous contrôle.

??

J'utilise adsense, analytics et webmastertools sans compte gmail... J'ai d'abord créé un compte analytics avec un email à moi, et je l'ai étendu à d'autre services.

Par ailleurs, je viens de voir, en lisant les réponses, qu'il est possible de laisser ses mails lus sur le serveur gmail. En fait c'est comme tout serveur de mail. Ce que je ne comprends pas, c'est qu'on puisse laisser cette option activée. Je ne le fais pour aucun de mes comptes mail; quel que soit le serveur. Je comprends mieux l'interêt de pirater des comptes emails si en plus on y gagne les archives...

Enfin, je me demande si Google peut etre tenu responsable des conséquences d'un piratage de compte email. Pour wri, les conséquences pécunières doivent être siginificatives.

Posted

Juste concernant l'enquête sur l'identité du hacker:

Faites un http://www.webrankinfo.com/robots.txt

Vous verrez que la page /ud.php est noindex et que cette même page redirige sur www.should.com ayant des infos registrar supplémentaires:

Registrant:

Parked.com, LLC

5505 W. Gray St

Tampa, FL 33609

US

813-382-2800

Domain Name: SHOULD.COM

Administrative Contact:

Domains, Parked admin_AT_parked.com

5505 W. Gray St

Tampa, FL 33609

US

813-382-2800

Technical Contact:

Domains, Parked admin_AT_parked.com

5505 W. Gray St

Tampa, FL 33609

US

813-382-2800

Posted
Ce que je dit c'est que je ne comprend l'attitude de ces gens qui utilise des failles sur les script

Alors tu ne peux pas comprendre Internet. Les hackers sont les vrais maîtres du réseau depuis ses origines.

Par contre, le cas WRI est causé par un cracker qui sont moins légitimes que les hackers, mais qui font tout de même partie du système.

Les développeurs mettent en place des services qui ne sont pas sécurisés et c'est plutôt vers eux qu'il faut rejeter la faute.

Toute une économie repose sur un système qui est faillible. C'est ça qui est incompréhensible.

Quelqu'un a dit que si les voitures étaient conçues comme les logiciels de Microsoft, ça serait désastreux. Ben c'est pareil pour les applications Web.

Posted

A noter que OVH propose une option qui permet de "crypter" le mail contenu dans le whois via une redirection

c'est déja un plus par rapport au risque évoqué ici

Guest
This topic is now closed to further replies.

×
×
  • Create New...