Kioob Posted March 5, 2008 Posted March 5, 2008 (edited) Un petit rappel en passant : quand on parle d'Outlook ou Thunderbird, il ne s'agit ni d'Outlook Express ni Windows Mail qui sont de vraies passoires De plus, si vous n'activez ni le TLS ni le SSL, je pense que le résultat sera moins sécurisé qu'une webmail ; avec en prime le mot de passe qui circulera en "clair" très régulièrement (pas encore au point du .htaccess mais le principe est le même). PS : pour les problèmes de sauvegarde, formatage, accès distant etc, l'IMAP c'est bien . Edited March 5, 2008 by Kioob
Jeanluc Posted March 5, 2008 Posted March 5, 2008 Je pense qu'on s'égare avec ce témoignage de David Airey. David a écrit: "It appears that the GMail security issue is fixed, but that won’t remove any previously installed Filters from your GMail account." Donc, selon David, le problème n'est plus présent sauf si le compte Gmail a été hacké avant fin 2007. Je suis, malgré tout, d'accord d'éviter Gmail pour des emails pro ou sensibles, mais cela ne suffit pas. Ainsi David écrit aussi qu'il était en voyage en Inde quand le problème s'est produit et qu'en voyage, il s'est connecté à différents services dans des cafés Internet. Je ne pense pas que se connecter depuis un café Internet soit à conseiller si on est attentif à la sécurité. La difficulté avec la sécurité, c'est qu'il faut être attentif à tous les détails et qu'on en oublie toujours un... Jean-Luc
Franci Posted March 5, 2008 Posted March 5, 2008 (edited) De plus, si vous n'activez ni le TLS ni le SSL, je pense que le résultat sera moins sécurisé qu'une webmail ; avec en prime le mot de passe qui circulera en "clair" très régulièrement (pas encore au point du .htaccess mais le principe est le même). Tu fais allusion au chiffrement et de la signature dans Paramètres des compte => Sécurité dans TB ? Je n'ai pas activé ces 2 options mais cela ne risque rien si vous avez un bon AV mis à jour. Edited March 5, 2008 by Franci
Kioob Posted March 5, 2008 Posted March 5, 2008 Franci : l'antivirus ne sert absolument à rien ici à mon avis... il s'agit de "crypter" les transferts (ou du moins l'identification) de manière à ce qu'un pirate récupérant la trame ne puisse pas reproduire la même chose. Ton anti virus, si tu communiques ton mot de passe à tout le monde il ne te servira pas à grand chose...
Franci Posted March 5, 2008 Posted March 5, 2008 Franci : l'antivirus ne sert absolument à rien ici à mon avis... il s'agit de "crypter" les transferts (ou du moins l'identification) de manière à ce qu'un pirate récupérant la trame ne puisse pas reproduire la même chose. Ton anti virus, si tu communiques ton mot de passe à tout le monde il ne te servira pas à grand chose... Pas grand monde crypte le transfert de données sur les logiciels d'emails et encore moins sur MSN où pourtant on dévoile des données sensibles. Pourquoi voudrais tu que je communique mon mot de passe à tout le monde, c'est absurde.
Franci Posted March 5, 2008 Posted March 5, 2008 Si Gmail comporte une faille qui permet à l'intru de rentrer sur la webmail, alors que vous ayiez accès à vos messages sur thunderbird ou sur webmail alors cela revient à la même chose ... Pour obtenir un email pro il faut payer, voir le mx plan.
Vap Posted March 5, 2008 Posted March 5, 2008 Non si le type peut pénétrer sur le site de ton registrar il peut transférer tranquillement ton domaine vers un autre serveur. Je te dis qu'il ne suffit pas de craquer mon email pour que Gandi accepte de transférer un de mes noms de domaine. Alors que ça a suffit dans le cas de webrankinfo.
Vap Posted March 5, 2008 Posted March 5, 2008 L'autre conseil donné à propos de ce problème est de ne pas prendre son nom de domaine chez un hébergeur, mais directement chez un registrar: As tu lu les deux pages dont les liens ont été donnés par thick ? Les deux parlent bien de "hack de gmail menant au vol de domaine" ... Donc pas étonnant qu'on se focalise sur Gmail Quant-à ta deuxième citation, ils disent aussi expressément (je traduis) Lorsqu'ils parlent de "hosted email account" , il s'agit vraisemblablement des emails que vous pouvez obtenir chez votre FAI, donc en trucmuche.com, et que vous n'êtes pas propriétaire du domaine trucmuche.com. C'est très précisément que qu'on vous a expliqué ici, non ? Justement je les ai lu, et j'ai cité ce que personne ne semble avoir lu... Je le remet ici car la répétition est la base de la pédagogie: 1. Never use a free or hosted email account as your whois address. Instead, use a pop email address from a domain you own. Lock the heck out of that domain. 2. Never register a domain through a webhosting company. Webhosts are good (sometimes) at hosting web sites, but they are typically just domain resellers with lax domain security controls. A good domain registrar would never let someone simply e-mail them to unlock a domain and send the transfer code. Tout le monde ne parle que du premier conseil. Je dis que le second est très pertinent aussi. En effet, le hack du compte email utilisé dans le whois ne suffit pas pour effectuer le transfert dans ce cas. Et je m'étonne que personne n'en parle. Et ce conseil est donné régulièrement pour d'autres raisons. J'en avais cité une (l'histoire racontée sur nodaddy.com). L'as tu lu?
Kioob Posted March 5, 2008 Posted March 5, 2008 Pas grand monde crypte le transfert de données sur les logiciels d'emails et encore moins sur MSN où pourtant on dévoile des données sensibles. Pourquoi voudrais tu que je communique mon mot de passe à tout le monde, c'est absurde. On la refait alors : - pas grand monde coche ces fameuses options je suis bien d'accord, et c'est justement là le problème. Entre une webmail avec accès SSL et une boite sur son dédié accédée sans cryptage (et donc tous les autres clients de l'hébergeur ont potentiellement accès à vos logins/pass...) ; je ne suis vraiment pas certain que la webmail soit la plus mal lotie hein. - et c'est justement pour ça que par défaut Dovecot (serveur POP/IMAP assez répandu) refuse toute connexion dont les mots de passe sont en clair ; pour que les gens se prennent en main et cochent cette malheureuse case avant qu'il ne soit trop tard. - dans la même lignée, la connexion FTP ainsi que les admins via ".htaccess" fonctionnent sur le même principe : les logins et mot de passe circulent en clair sur le réseau. Et pour le coté "absurde" de la chose, bah c'est pourtant ce que ton client de messagerie fera toutes les 5 minutes si tu n'actives pas le moindre cryptage. Pour moi il y a 3 modes de fonctionnement pour la plupart de ces logiciels : - cryptage SSL complet : c'est le mode "parano", tout est crypté - identification TLS : c'est le "minimum", l'identification est cryptée mais pas le contenu - tout en clair : c'est le mode "inconscient", rien n'est crypté et on croise les doigts pour ne jamais avoir de soucis
Thierry Bugs Posted March 5, 2008 Posted March 5, 2008 Disons qu'au delà d'Olivier, ce sujet nous concerne tous... et nous apprend aussi ce qu'il faut éviter de faire. De plus, on a eu droit à quelques WRInautes "en mal de forum". Quand on est accro, on ressent vite un manque Hum, en fait j'ai juste vu de la lumière, alors je suis entré... Et puis à vous lire tous, toute cette sale journée évidemment que j'avais envie de participer. Sale coup, qu'on souhaite à personne
Franci Posted March 5, 2008 Posted March 5, 2008 - et c'est justement pour ça que par défaut Dovecot (serveur POP/IMAP assez répandu) refuse toute connexion dont les mots de passe sont en clair ; pour que les gens se prennent en main et cochent cette malheureuse case avant qu'il ne soit trop tard.- dans la même lignée, la connexion FTP ainsi que les admins via ".htaccess" fonctionnent sur le même principe : les logins et mot de passe circulent en clair sur le réseau. Sur le paramètre de Gmail il y a Téléchargement POP et Accès IMAP qui tous les deux doivent être activés, c'est ce dont tu parles ? Pour le FTP, il faut chiffrer les données également mais je ne vois pas ce que .htaccess vient faire ici à moins que tu places des données sensibles dessus ? Pour moi il y a 3 modes de fonctionnement pour la plupart de ces logiciels :- cryptage SSL complet : c'est le mode "parano", tout est crypté - identification TLS : c'est le "minimum", l'identification est cryptée mais pas le contenu - tout en clair : c'est le mode "inconscient", rien n'est crypté et on croise les doigts pour ne jamais avoir de soucis Tu as entièrement raison. Dans thunderbird, j'ai un compte gmail dont le paramètre serveur est coché sur SSL et sur "Utiliser une authentification sécurisée" mais cela suffit-il ? Parce que je vois aussi dans "Sécurité", Signature et Chiffrement qui devraient être activés pour une sécurité optimale cependant tu peux remarquer que quand on veut sélectionner un certificat, une fenêtre s'affiche pour nous signaler qu'il ne trouve pas de certificat valide ....
velk Posted March 5, 2008 Posted March 5, 2008 Réflexion idiote et inutile: Je ne vois pas en quoi OVH peut être responsable de quoi que ce soit dans cette affaire! sinon pour l histoire du registrar, il existe des registrars comme CSC Corporate Domain qui sont spécialisé dans l activité de registrar + protection juridique des marques ca m ' ai arrivé de travailler avec eux pour le compte d' un grand groupe, ca doit etre cher je pense , mais il faut les changement de zone DNS à la main et sont pret a entamer des actions en justice en cas de probleme pour les boites. Ca limite pas mal les possiblité de detournement comme celui de WRI
Anonymus Posted March 5, 2008 Posted March 5, 2008 Bon, si ca se trouve, ca ne vient pas du tout des mails
natespritcabane Posted March 5, 2008 Posted March 5, 2008 Bon ça me manque les avis avisés des wirinautes ;-) Je voulais demander un avis sur le forum que j'ai installé (les www de mon www remplacés par forum) ça attendra... Et courage à Olivier
thick Posted March 5, 2008 Posted March 5, 2008 Bon, si ca se trouve, ca ne vient pas du tout des mails Bien sûr que si Ca fait 9 pages que Dan répète le même truc que j'ai émis au début du thread et que tu as commenté. En tout cas, bon courage à Olivier car ce n'est pas glop de se faire pirater de la sorte; peu importe la taille du site. Bonne leçon car dès maintenant je désactive la sauvegarde des mes mails sur le serveur Gmail pour tout garder en local (sans oublier de faire des backups régulièrement).
pcamille Posted March 5, 2008 Posted March 5, 2008 Bonsoir, Moi je ne comprend pas les attitudes de tous ces gens qui rende le web plus sale de jour en jour. A croire que ca fait partit du jeux du web a ce jour. Bon courage a olivier.
doseur Posted March 5, 2008 Posted March 5, 2008 (edited) Moi je ne comprend pas les attitudes de tous ces gens qui rende le web plus sale de jour en jour.A croire que ca fait partit du jeux du web a ce jour. wé j'ai le même sentiment quand je vois dicodunet Edited March 5, 2008 by doseur
xoninkara Posted March 5, 2008 Posted March 5, 2008 J'ai fait une petite recherche sur GG et en cliquant sur un lien de WRI qu'il m'a proposé, je tombe sur la page du cracker. J'étais sur le c... ! Ensuite, j'ai fait une recherche (toujours sur GG ) pour savoir ce qui se passe. Eh bin, c'est un des sujets de discussions des Webmasters francophones sur la toile. J'espère en tout cas qu'il va retrouver le plus rapidement possible son domaine. Apparemment, ce n'est pas la 1ère fois que des pirates piratent les comptes e-mails d'utilisateurs de GMAIL par le même procédé. Que fait Google pour corriger ce problème ? Combien de comptes gmail vont encore être piratés par le même procédé ? Aujourd'hui, nous sommes tous devenus des esclaves de GG. GG nous oblige à avoir un compte e-mail Google pour pouvoir utiliser l'outil des Webmasters, Adsense, Analysis, etc..., il nous propose un espace disque faramineux pour stoquer nos mails (aujourd'hui 6 GB) et on y va tous comme on s'enrolerait dans une armée. Plus nous utilisons leurs outils, plus nous les enrichissons. Et le jour où on a un problème à cause d'une faille dans leurs outils, ils s'en foutent royalement, ne se précipitent pas pour corriger ces failles. J'espère que cette affaire servira à faire réfléchir plus d'un webmaster. GG nous contrôle.
karnabal Posted March 5, 2008 Posted March 5, 2008 @natespritcabane Tu peux attendre effectivement ou faire une recherche sur le Hub et si tu ne trouves pas réponse à ta question, poster dans la section Techniques de Référencement.
pcamille Posted March 5, 2008 Posted March 5, 2008 wé j'ai le même sentiment quand je vois dicodunet Je ne comprend pas ce que tu veux dire. Je ne parle pas d'un site ou de plusieurs sites, je parle de l'attitude des gens. Ce que je dit c'est que je ne comprend l'attitude de ces gens qui utilise des failles sur les script. Simplement .
Vap Posted March 5, 2008 Posted March 5, 2008 Aujourd'hui, nous sommes tous devenus des esclaves de GG. GG nous oblige à avoir un compte e-mail Google pour pouvoir utiliser l'outil des Webmasters, Adsense, Analysis, etc..., il nous propose un espace disque faramineux pour stoquer nos mails (aujourd'hui 6 GB) et on y va tous comme on s'enrolerait dans une armée. Plus nous utilisons leurs outils, plus nous les enrichissons. Et le jour où on a un problème à cause d'une faille dans leurs outils, ils s'en foutent royalement, ne se précipitent pas pour corriger ces failles. J'espère que cette affaire servira à faire réfléchir plus d'un webmaster. GG nous contrôle. ?? J'utilise adsense, analytics et webmastertools sans compte gmail... J'ai d'abord créé un compte analytics avec un email à moi, et je l'ai étendu à d'autre services. Par ailleurs, je viens de voir, en lisant les réponses, qu'il est possible de laisser ses mails lus sur le serveur gmail. En fait c'est comme tout serveur de mail. Ce que je ne comprends pas, c'est qu'on puisse laisser cette option activée. Je ne le fais pour aucun de mes comptes mail; quel que soit le serveur. Je comprends mieux l'interêt de pirater des comptes emails si en plus on y gagne les archives... Enfin, je me demande si Google peut etre tenu responsable des conséquences d'un piratage de compte email. Pour wri, les conséquences pécunières doivent être siginificatives.
arnoweb2 Posted March 5, 2008 Posted March 5, 2008 Juste concernant l'enquête sur l'identité du hacker: Faites un http://www.webrankinfo.com/robots.txt Vous verrez que la page /ud.php est noindex et que cette même page redirige sur www.should.com ayant des infos registrar supplémentaires: Registrant: Parked.com, LLC 5505 W. Gray St Tampa, FL 33609 US 813-382-2800 Domain Name: SHOULD.COM Administrative Contact: Domains, Parked admin_AT_parked.com 5505 W. Gray St Tampa, FL 33609 US 813-382-2800 Technical Contact: Domains, Parked admin_AT_parked.com 5505 W. Gray St Tampa, FL 33609 US 813-382-2800
thick Posted March 5, 2008 Posted March 5, 2008 Ce que je dit c'est que je ne comprend l'attitude de ces gens qui utilise des failles sur les script Alors tu ne peux pas comprendre Internet. Les hackers sont les vrais maîtres du réseau depuis ses origines. Par contre, le cas WRI est causé par un cracker qui sont moins légitimes que les hackers, mais qui font tout de même partie du système. Les développeurs mettent en place des services qui ne sont pas sécurisés et c'est plutôt vers eux qu'il faut rejeter la faute. Toute une économie repose sur un système qui est faillible. C'est ça qui est incompréhensible. Quelqu'un a dit que si les voitures étaient conçues comme les logiciels de Microsoft, ça serait désastreux. Ben c'est pareil pour les applications Web.
Charlie Posted March 5, 2008 Posted March 5, 2008 A noter que OVH propose une option qui permet de "crypter" le mail contenu dans le whois via une redirection c'est déja un plus par rapport au risque évoqué ici
Recommended Posts