Connexion
Menu Principal
Recherche
Menu secondaire
Image Aléatoire
24882_1398931502935_1521702607_31001107_6055438_n.jpg
Publicité
Formation Blender ElephormBlender 3d Elephorm


     






connexion
Touriste
Inscrit:
19/08 12:54:09
Post(s): 20
Bonjour,

nouveau sur le forum (site), quand je me connecte, j'ai un message qui m'indique que la connexion est non sécurisée (vis à vis mot de passe, identifiant, donc j'imagine...)
est ce possible et quels sont les risques réels ?

merci,
bonne journée

Contribution le : 23/08 13:40:57
Créer un fichier PDF de la contribution Imprimer


Re: connexion
OverdOzed
Inscrit:
19/03/2016 15:30
De Belgique
Post(s): 1375
Suite aux nouvelles normes de sécurité, on invite les sites internet à passer en HTTPS alors que celui-ci est toujours en HTTP.

Google Chrome à déjà intégré cette notion et fais un flicage pour te "protéger".

Firefox, lui, te dis: "attention, c'est peut-être un piège à hacker, mais on te fais confiance, vas-y si tu veux".

Bref, sois prudent là ou tu te connecte mais pas parano non plus .

J'espère ne pas avoir dis de bêtises ?

Contribution le : 23/08 17:00:18
_________________
Mon projet jeu vidéo
Mes tutos
Créer un fichier PDF de la contribution Imprimer


Re: connexion
OverdOzed
Inscrit:
23/02/2006 18:10
De Sideula
Post(s): 1993
Hello,

Il y a une différence notable entre HTTP et HTTPS. C'est... le "S".

Je me permets une longue explication car c'est quelque chose de mal connu ou mal compris en général. Alors j'essaierai de faire aussi simple que possible.


Le HTTP, c'est ce qu'on appelle un "protocole" pour envoyer des données dites hypertexte entre ton navigateur et le serveur (et vice versa). Grosso modo, du texte avec des liens pour connecter plusieurs sites / pages.

Le "S" veut dire "Secure" (Sécurisé en français). Donc c'est la même chose que le HTTP, mais avec une couche de sécurité en plus. On en reparle après !

Le souci avec HTTP c'est qu'il envoie toutes les données au serveur en clair. On dit "en clair" quand les données sont compréhensibles sans avoir à faire de travail supplémentaire que les récupérer.
Par exemple, si tu discutes avec quelqu'un dans la rue et que tu dis "Il fait beau aujourd'hui", un passant comprendra immédiatement ce que ça veut dire.

Ce qui fait que si tu envoies ton identifiant et ton mot de passe en clair, une personne peut intercepter la transmission depuis ton ordinateur au serveur. Il pourra alors les utiliser pour se connecter au site. On appelle cette technique "Man in the middle" ou 'l'homme du milieu".
https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu
Pas de panique, ton PC n'est pas hacké pour autant. En général, il est beaucoup plus simple pour le pirate de se trouver côté serveur dont l'adresse est fixe et connue. En effet, toutes les données passent par là donc il est sûr de capter quelque chose...


Maintenant, si tu utilises le protocole HTTPS (c'est le début de l'adresse du site qui l'indique avec le "https://"). Il y a ce qu'on appelle un chiffrement des données. NB: tu as sans doute entendu parler de données cryptées (anglicisme), c'est la même chose mais en bon français on dit "chiffrées".
Sans rentrer dans les détails, le serveur et ton navigateur communiquent entre eux de façon codée. Mais chacun est capable de décoder ce que raconte l'autre. En revanche, si l'homme du milieu s'intercale, il capte bien le message codé mais ne saura pas ce qu'est le message réel.

On a déjà vu ça pendant la Seconde Guerre Mondiale. A la radio, des messages codés passaient pour diverses raisons. https://fr.wikipedia.org/wiki/Les_Fran%C3%A7ais_parlent_aux_Fran%C3%A7ais
Dans ce cas, un allemand qui écoutait la radio ne pouvait pas savoir ce que ça signifiait réellement !

De ce fait, ton identifiant et encore plus ton mot de passe sont chiffrés. Ils ne sont pas exploitables si on les récupère sur le réseau et ça limite grandement le risque de se faire voler son compte.

J'espère que c'était pas trop relou à lire et que ça a pu t'apprendre quelque chose.


Pour ce qui est du forum, je ne sais pas s'il est encore maintenu. Au-delà du HTTPS, il y a plein de bugs qui sont apparus comme l'édition de messages. Ça fait des années déjà.

Bibi.

Contribution le : 24/08 08:23:25
_________________
Développement en cours du hARMful Engine
Créer un fichier PDF de la contribution Imprimer


Re: connexion
OverdOzed
Inscrit:
23/07/2008 20:52
De Suisse
Post(s): 481
Salut,

@Bibi09 merci pour ces informations, mais,

Citation :

Bibi09 a écrit:
Ce qui fait que si tu envoies ton identifiant et ton mot de passe en clair, une personne peut intercepter la transmission depuis ton ordinateur au serveur.


tu veux dire que, lorsque l'on se connecte ici, sur le , n'importe qui pourrait "capter" nos identifiant et mot de passe ... ?



A +

Contribution le : 24/08 11:34:07
_________________
“La simplicité est la sophistication suprême.” - Leonardo da Vinci

Blender - v. officielle
Windows 7 Pro sp1
Intel Core i7 4790S - 3.20 GHz / DDR3 32 GB
Asus GeForce GTX 1080 Ti - 11GB
Créer un fichier PDF de la contribution Imprimer


Re: connexion
OverdOzed
Inscrit:
29/12/2011 00:49
Post(s): 970
oui on peut intercepter tes ids/mdp, cookies..

Après, a priori, tu ne met pas d'informations importantes, comme tes n° de compte bancaires, donc ce n'est pas hyper grave. On parle de données sensibles.

++

Contribution le : 24/08 16:31:52
Créer un fichier PDF de la contribution Imprimer


Re: connexion
Fou Furieux du Clan
Inscrit:
26/07/2008 22:53
Post(s): 104
Hmm... Je vais changer mon mdp pour un que j'utilise nulle part ailleurs, alors.
Merci pour ces infos précises.

Contribution le : 24/08 18:01:25
Créer un fichier PDF de la contribution Imprimer


Re: connexion
Touriste
Inscrit:
19/08 12:54:09
Post(s): 20
Bonsoir,

Merci beaucoup pour toutes ces informations; ... pas franchement rassurantes même si données pas sensibles;

Ce serait pas mal donc que le site passe en https ...même si donc je crois comprendre que c'est pas spécialement là qu'on doive se faire voler ses codes;

Bonne soirée.

Contribution le : 24/08 18:13:16
Créer un fichier PDF de la contribution Imprimer


Re: connexion
OverdOzed
Inscrit:
23/02/2006 18:10
De Sideula
Post(s): 1993
Oui, c'est techniquement possible de capter des données...
Je peux pas en dire plus même sous la torture : je sais pas comment on fait par contre (et ça m'intéresse pas du tout).

Je voulais pas affoler, juste expliquer la différence entre HTTP et HTTPS, et expliquer les risques réels comme demandé par HarDrive. :oups:


Mais faut relativiser.
Ici, c'est un compte sur un petit forum, peu actif en plus. Il y a pas énormément d'activité donc pas énormément de gens qui se connectent... Le hacker va vite se faire chier.
Il n'y a pas d'enjeu financier non plus pour un hacker.
En général, les mecs veulent se faire de l'argent ou juste faire chier un max de gens.
Chacun ses hobbies... ¯\_(ツ)_/¯

Et puis, on pourrait dire "ouais, mais y a l'enjeeuuuu". Sauf que hacker du HTTP, c'est franchement le bas niveau du hacking... C'était "rigolo" y a 30 ans.
L'exploit Eco+, en gros !
https://fr.wikipedia.org/wiki/Exploit_(informatique)

Donc bon, détendez le string quand même.


EDIT: Je me rappelle d'une faille sur le site de mon fournisseur d'eau. C'était hautement plus grave.

Sur leur site, on peut créer un compte pour voir ses relevés, enregistrer un compte bancaire (CB et/ou RIB), etc. Assez touchy niveau données personnelles.

Mais je leur avais envoyé un mail en leur faisant part de mon mécontentement en terme de sécurité : ils stockaient de toute évidence les mots de passe en clair dans leur base de données ! Or, ça arrive qu'un site se fasse voler des données depuis sa base de données (on parle d'injection SQL).
https://fr.wikipedia.org/wiki/Injection_SQL


En effet, quand on perd son mot de passe, on se retrouve généralement soit avec un code temporaire à changer, soit avec un formulaire pour en changer. C'est dû au fait que le mdp est "hashé" : il y a des opérations irréversibles sur les bits qui le composent, par exemple : "patate" devient "945e9f0b4e381b13aa70b94b89a28709" en MD5.
Or, sur ce site, quand on perdait un mot de passe, on le récupérait par e-mail. No problem, c'est hypersecure d'avoir son mdp en mail déjà... Mais c'est aussi la preuve que le mdp est stocké tel quel : on ne peut pas retrouver un mot de passe hashé*.

Après mon petit mail informatif mais bien senti sur le manque de sécurité flagrant, d'autant plus grave qu'un compte peut contenir des données bancaires, ils ont effectivement mis en place le système classique de récupération (formulaire). J'ose espérer qu'en interne, ils ont bien chiffré les mots de passe. Mais là, ma visibilité des choses s'est arrêtée.

Donc, là, il y avait un réel souci et c'était bien inquiétant qu'en 2017, on ait encore ce cas de figure...

Si jamais vous voyez un tel site, important en terme de données sensibles, contactez-les ! Et si vous constatez qu'il n'y a aucun changement dans les semaines suivantes (laissez passer plusieurs semaines à un mois), recontactez-les en leur précisant qu'ils sont dans l'illégalité et que vous n'hésiterez pas à contacter une association de consommateur (par exemple) pour mettre la pression.

Ça peut sembler extrême au premier abord, mais non. On rigole pas avec ça !

A titre de comparaison, j'avais fait un petit site avec des comptes en ligne sans données sensibles : les mdp étaient hachés avec un algorithme puissant.
https://fr.wikipedia.org/wiki/Whirlpool_(algorithme)

* Pour ceux qui pensent que MD5 ou SHA1 peut être inversé, ne pas confondre avec la faiblesse de l'algorithme ou la force brute ! Je parle d'une inversion basée sur un calcul qui se ferait en quelques millisecondes (comme pour le hachage).

Contribution le : 24/08 22:24:58
_________________
Développement en cours du hARMful Engine
Créer un fichier PDF de la contribution Imprimer


Re: connexion
OverdOzed
Inscrit:
19/03/2016 15:30
De Belgique
Post(s): 1375
Pirater ce forum n'a effectivement aucun intérêt pour un pirate.

Cela dit, choisir un bon mot de passe, avec une majuscule, une minuscule, un caractère spécial (? ! @ ...) et un chiffre est le minimum de nos jours.

Contribution le : 25/08 10:43:31
_________________
Mon projet jeu vidéo
Mes tutos
Créer un fichier PDF de la contribution Imprimer


Re: connexion
Touriste
Inscrit:
19/08 12:54:09
Post(s): 20
Salut,

merci pour toutes ces infos.. (assez ardues par moment..)mais cette fois rassurantes..bon, détendons le string en effet !

Bonne journée.

Contribution le : 25/08 13:10:17
Créer un fichier PDF de la contribution Imprimer



 Haut   Précédent   Suivant




Enregistrer votre réponse
Compte*
Nom   Mot de passe   Authentification
Message:*



[Recherche avancée]



Sujets récemment répondus
Forums Sujets Réponses Lus Dernières contributions
Questions & Réponses Conseils pour la modélisation du visage 1 79 Aujourd'hui 15:11:10
GFC 
Questions & Réponses Selection d'images pour le VSE 3 182 Aujourd'hui 13:14:13
FoxRock 
Questions & Réponses [résolu] Conseil pour une topologie 8 203 Aujourd'hui 12:19:21
blendinfos 
Questions & Réponses Fusionner faces périphériques ? 7 87 Aujourd'hui 11:33:20
Guppy88 
Questions & Réponses [non résolu] Blend4web : exporter les textures 2 104 Aujourd'hui 08:43:17
blendinfos 
Questions & Réponses [résolu] Comment flouter uniquement le premier plan ? 4 85 Hier 19:43:35
Anton78 
Questions & Réponses [non résolu] Lignes de coupure sur UV    [1][2] 13 168 Hier 09:06:49
stigmamax 
Hors Sujet !! Présentation pour tous    [1][2][3]...[99] 982 247638 Hier 06:46:17
paquetdemouchoirs 
Questions & Réponses MIDI to Blender 5 160 19/09 17:47:18
docouatzat 
The Blender Clan 'tchat La Bible des tutos Blender – Une Séléction de 150 Tutos Blender *en anglais 2 127 18/09 14:34:05
Gilead_Maerlyn 
Questions & Réponses [résolu] Blender lumière 3 154 18/09 09:06:47
moonboots 
Questions & Réponses Tableau d'objets déformés aléatoirement 4 170 17/09 21:11:22
creepclem 
Questions & Réponses Comportement 2.8    [1][2] 12 531 17/09 14:28:25
Rimpotche 
Questions & Réponses [résolu] Problème de Sculpt 2 140 17/09 05:31:23
MHB29 
Questions & Réponses [résolu] Epaisseur non constante avec Solidify - Murs 2 147 16/09 14:36:42
HarDrive 
Questions & Réponses [non résolu] Array : duplication circulaire 2 130 16/09 06:04:40
blendinfos 
Questions & Réponses preferences utilisateur ne s'ouvrent plus 0 172 14/09 15:39:23
masje 
Questions & Réponses [résolu] Problème avec la symétrie    [1][2] 12 400 14/09 10:30:13
GFC 
Questions & Réponses galère d'importation SVG 5 262 14/09 08:42:16
Guppy88 
Questions & Réponses Utiliser Blend4Web? 1 124 14/09 07:07:16
WinZs 

Qui est en ligne
75 utilisateur(s) en ligne (dont 43 sur Forums)

Membre(s): 0
Invité(s): 75


plus...
Nouveaux membres
metalu 20/9/2019
Anton78 20/9/2019
paquetdemouchoirs 20/9/2019
Mecanicus 16/9/2019
surfer10 16/9/2019
tokoji 15/9/2019
bolfab 13/9/2019
lolozen 9/9/2019
madmax-elkana 7/9/2019
karlouch 5/9/2019
Dernier Ajout
Forky-3D-ToyStory BC.png

Evènements à venir
Nov 18
Anniversaire de RichDeg
Dec 29
Anniversaire d'ebrain
Jan 11
BUG de Lyon
plus 278 plus d'élément(s)
 Par Mickaël Guédon [ebrain] © 2003-2019 The Blender Clan - hébergé par TuxFamily - Site déclaré à la CNIL sous le numéro 1155445