connexion
Clan Afficionado
Inscrit:
19/08/2019 12:54
Post(s): 51
Bonjour,

nouveau sur le forum (site), quand je me connecte, j'ai un message qui m'indique que la connexion est non sécurisée (vis à vis mot de passe, identifiant, donc j'imagine...)
est ce possible et quels sont les risques réels ?

merci,
bonne journée

Contribution le : 23/08/2019 13:40
Créer un fichier PDF de la contribution Imprimer


Re: connexion
OverdOzed
Inscrit:
19/03/2016 15:30
De Belgique
Post(s): 1483
Suite aux nouvelles normes de sécurité, on invite les sites internet à passer en HTTPS alors que celui-ci est toujours en HTTP.

Google Chrome à déjà intégré cette notion et fais un flicage pour te "protéger".

Firefox, lui, te dis: "attention, c'est peut-être un piège à hacker, mais on te fais confiance, vas-y si tu veux".

Bref, sois prudent là ou tu te connecte mais pas parano non plus .

J'espère ne pas avoir dis de bêtises ?

Contribution le : 23/08/2019 17:00
Créer un fichier PDF de la contribution Imprimer


Re: connexion
OverdOzed
Inscrit:
23/02/2006 18:10
De Alpes-Maritimes
Post(s): 2136
Hello,

Il y a une différence notable entre HTTP et HTTPS. C'est... le "S".

Je me permets une longue explication car c'est quelque chose de mal connu ou mal compris en général. Alors j'essaierai de faire aussi simple que possible.


Le HTTP, c'est ce qu'on appelle un "protocole" pour envoyer des données dites hypertexte entre ton navigateur et le serveur (et vice versa). Grosso modo, du texte avec des liens pour connecter plusieurs sites / pages.

Le "S" veut dire "Secure" (Sécurisé en français). Donc c'est la même chose que le HTTP, mais avec une couche de sécurité en plus. On en reparle après !

Le souci avec HTTP c'est qu'il envoie toutes les données au serveur en clair. On dit "en clair" quand les données sont compréhensibles sans avoir à faire de travail supplémentaire que les récupérer.
Par exemple, si tu discutes avec quelqu'un dans la rue et que tu dis "Il fait beau aujourd'hui", un passant comprendra immédiatement ce que ça veut dire.

Ce qui fait que si tu envoies ton identifiant et ton mot de passe en clair, une personne peut intercepter la transmission depuis ton ordinateur au serveur. Il pourra alors les utiliser pour se connecter au site. On appelle cette technique "Man in the middle" ou 'l'homme du milieu".
https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu
Pas de panique, ton PC n'est pas hacké pour autant. En général, il est beaucoup plus simple pour le pirate de se trouver côté serveur dont l'adresse est fixe et connue. En effet, toutes les données passent par là donc il est sûr de capter quelque chose...


Maintenant, si tu utilises le protocole HTTPS (c'est le début de l'adresse du site qui l'indique avec le "https://"). Il y a ce qu'on appelle un chiffrement des données. NB: tu as sans doute entendu parler de données cryptées (anglicisme), c'est la même chose mais en bon français on dit "chiffrées".
Sans rentrer dans les détails, le serveur et ton navigateur communiquent entre eux de façon codée. Mais chacun est capable de décoder ce que raconte l'autre. En revanche, si l'homme du milieu s'intercale, il capte bien le message codé mais ne saura pas ce qu'est le message réel.

On a déjà vu ça pendant la Seconde Guerre Mondiale. A la radio, des messages codés passaient pour diverses raisons. https://fr.wikipedia.org/wiki/Les_Fran%C3%A7ais_parlent_aux_Fran%C3%A7ais
Dans ce cas, un allemand qui écoutait la radio ne pouvait pas savoir ce que ça signifiait réellement !

De ce fait, ton identifiant et encore plus ton mot de passe sont chiffrés. Ils ne sont pas exploitables si on les récupère sur le réseau et ça limite grandement le risque de se faire voler son compte.

J'espère que c'était pas trop relou à lire et que ça a pu t'apprendre quelque chose.


Pour ce qui est du forum, je ne sais pas s'il est encore maintenu. Au-delà du HTTPS, il y a plein de bugs qui sont apparus comme l'édition de messages. Ça fait des années déjà.

Bibi.

Contribution le : 24/08/2019 08:23
Créer un fichier PDF de la contribution Imprimer


Re: connexion
OverdOzed
Inscrit:
23/07/2008 20:52
De Suisse
Post(s): 489
Salut,

@Bibi09 merci pour ces informations, mais,

Citation :

Bibi09 a écrit:
Ce qui fait que si tu envoies ton identifiant et ton mot de passe en clair, une personne peut intercepter la transmission depuis ton ordinateur au serveur.


tu veux dire que, lorsque l'on se connecte ici, sur le , n'importe qui pourrait "capter" nos identifiant et mot de passe ... ?



A +

Contribution le : 24/08/2019 11:34
_________________
“La simplicité est la sophistication suprême.” - Leonardo da Vinci

Blender - v. officielle
Windows 7 Pro sp1
Intel Core i7 4790S - 3.20 GHz / DDR3 32 GB
Asus GeForce GTX 1080 Ti - 11GB
Créer un fichier PDF de la contribution Imprimer


Re: connexion
OverdOzed
Inscrit:
29/12/2011 00:49
Post(s): 971
oui on peut intercepter tes ids/mdp, cookies..

Après, a priori, tu ne met pas d'informations importantes, comme tes n° de compte bancaires, donc ce n'est pas hyper grave. On parle de données sensibles.

++

Contribution le : 24/08/2019 16:31
Créer un fichier PDF de la contribution Imprimer


Re: connexion
Fou Furieux du Clan
Inscrit:
26/07/2008 22:53
Post(s): 200
Hmm... Je vais changer mon mdp pour un que j'utilise nulle part ailleurs, alors.
Merci pour ces infos précises.

Contribution le : 24/08/2019 18:01
Créer un fichier PDF de la contribution Imprimer


Re: connexion
Clan Afficionado
Inscrit:
19/08/2019 12:54
Post(s): 51
Bonsoir,

Merci beaucoup pour toutes ces informations; ... pas franchement rassurantes même si données pas sensibles;

Ce serait pas mal donc que le site passe en https ...même si donc je crois comprendre que c'est pas spécialement là qu'on doive se faire voler ses codes;

Bonne soirée.

Contribution le : 24/08/2019 18:13
Créer un fichier PDF de la contribution Imprimer


Re: connexion
OverdOzed
Inscrit:
23/02/2006 18:10
De Alpes-Maritimes
Post(s): 2136
Oui, c'est techniquement possible de capter des données...
Je peux pas en dire plus même sous la torture : je sais pas comment on fait par contre (et ça m'intéresse pas du tout).

Je voulais pas affoler, juste expliquer la différence entre HTTP et HTTPS, et expliquer les risques réels comme demandé par HarDrive. :oups:


Mais faut relativiser.
Ici, c'est un compte sur un petit forum, peu actif en plus. Il y a pas énormément d'activité donc pas énormément de gens qui se connectent... Le hacker va vite se faire chier.
Il n'y a pas d'enjeu financier non plus pour un hacker.
En général, les mecs veulent se faire de l'argent ou juste faire chier un max de gens.
Chacun ses hobbies... ¯\_(ツ)_/¯

Et puis, on pourrait dire "ouais, mais y a l'enjeeuuuu". Sauf que hacker du HTTP, c'est franchement le bas niveau du hacking... C'était "rigolo" y a 30 ans.
L'exploit Eco+, en gros !
https://fr.wikipedia.org/wiki/Exploit_(informatique)

Donc bon, détendez le string quand même.


EDIT: Je me rappelle d'une faille sur le site de mon fournisseur d'eau. C'était hautement plus grave.

Sur leur site, on peut créer un compte pour voir ses relevés, enregistrer un compte bancaire (CB et/ou RIB), etc. Assez touchy niveau données personnelles.

Mais je leur avais envoyé un mail en leur faisant part de mon mécontentement en terme de sécurité : ils stockaient de toute évidence les mots de passe en clair dans leur base de données ! Or, ça arrive qu'un site se fasse voler des données depuis sa base de données (on parle d'injection SQL).
https://fr.wikipedia.org/wiki/Injection_SQL


En effet, quand on perd son mot de passe, on se retrouve généralement soit avec un code temporaire à changer, soit avec un formulaire pour en changer. C'est dû au fait que le mdp est "hashé" : il y a des opérations irréversibles sur les bits qui le composent, par exemple : "patate" devient "945e9f0b4e381b13aa70b94b89a28709" en MD5.
Or, sur ce site, quand on perdait un mot de passe, on le récupérait par e-mail. No problem, c'est hypersecure d'avoir son mdp en mail déjà... Mais c'est aussi la preuve que le mdp est stocké tel quel : on ne peut pas retrouver un mot de passe hashé*.

Après mon petit mail informatif mais bien senti sur le manque de sécurité flagrant, d'autant plus grave qu'un compte peut contenir des données bancaires, ils ont effectivement mis en place le système classique de récupération (formulaire). J'ose espérer qu'en interne, ils ont bien chiffré les mots de passe. Mais là, ma visibilité des choses s'est arrêtée.

Donc, là, il y avait un réel souci et c'était bien inquiétant qu'en 2017, on ait encore ce cas de figure...

Si jamais vous voyez un tel site, important en terme de données sensibles, contactez-les ! Et si vous constatez qu'il n'y a aucun changement dans les semaines suivantes (laissez passer plusieurs semaines à un mois), recontactez-les en leur précisant qu'ils sont dans l'illégalité et que vous n'hésiterez pas à contacter une association de consommateur (par exemple) pour mettre la pression.

Ça peut sembler extrême au premier abord, mais non. On rigole pas avec ça !

A titre de comparaison, j'avais fait un petit site avec des comptes en ligne sans données sensibles : les mdp étaient hachés avec un algorithme puissant.
https://fr.wikipedia.org/wiki/Whirlpool_(algorithme)

* Pour ceux qui pensent que MD5 ou SHA1 peut être inversé, ne pas confondre avec la faiblesse de l'algorithme ou la force brute ! Je parle d'une inversion basée sur un calcul qui se ferait en quelques millisecondes (comme pour le hachage).

Contribution le : 24/08/2019 22:24
Créer un fichier PDF de la contribution Imprimer


Re: connexion
OverdOzed
Inscrit:
19/03/2016 15:30
De Belgique
Post(s): 1483
Pirater ce forum n'a effectivement aucun intérêt pour un pirate.

Cela dit, choisir un bon mot de passe, avec une majuscule, une minuscule, un caractère spécial (? ! @ ...) et un chiffre est le minimum de nos jours.

Contribution le : 25/08/2019 10:43
Créer un fichier PDF de la contribution Imprimer


Re: connexion
Clan Afficionado
Inscrit:
19/08/2019 12:54
Post(s): 51
Salut,

merci pour toutes ces infos.. (assez ardues par moment..)mais cette fois rassurantes..bon, détendons le string en effet !

Bonne journée.

Contribution le : 25/08/2019 13:10
Créer un fichier PDF de la contribution Imprimer



 Haut   Précédent   Suivant




Enregistrer votre réponse
Compte*
Nom   Mot de passe   Authentification
Message:*



[Recherche avancée]



Sujets récemment répondus
Forums Sujets Réponses Lus Dernières contributions
Questions & Réponses Méthode de référence : verre avec Eevee 2 27 Aujourd'hui 21:27:16
tykrane 
Questions & Réponses comment importer un fichier makehuman avec son armature dans blender 2.82 ? 0 27 Aujourd'hui 15:20:21
fouyou 
Questions & Réponses [non résolu] Fluide passe à travers obstacle    [1][2] 14 224 Aujourd'hui 15:18:15
alexmge 
Questions & Réponses [Bones]renomer en symétire 3 119 Hier 19:47:55
pierre-y 
Questions & Réponses [résolu] Perte de vue de mon objet par des zones grises 2 129 Hier 18:13:42
Olguern 
Questions & Réponses [Quaternion] Que represente le w dans la rotation en quaternion? 1 103 Hier 14:18:02
Redstar 
Questions & Réponses Century fox rendu pas top    [1][2] 12 274 23/02 11:21:57
Rimpotche 
Questions & Réponses Installer une ancienne version pour Blend4web 4 178 21/02 18:44:19
Rimpotche 
Questions & Réponses [résolu] Array autour d'un axe 3 132 22/02 16:52:12
Crocodile_13 
Questions & Réponses eevee radiosité 3 144 24/02 17:15:34
Rimpotche 
Questions & Réponses entailler texte sur surface courbe en ayant quads 4 143 Hier 07:19:14
tykrane 
Questions & Réponses [résolu] Problèmes de rendu avec les dimensions d'la caméra 3 129 Hier 09:54:47
lollito 
Questions & Réponses modélisation 3d blender vue 1 46 Hier 12:25:17
Rimpotche 
Questions & Réponses [résolu] Snapping avec Blender 2.81 3 94 25/02 15:42:50
TVISARL 
[WIP] et travaux terminés [WIP] Projet Tales & Legends    [1][2][3]...[12] 110 37192 25/02 12:06:15
Redstar 
Questions & Réponses [résolu] texte blender n’apparaît pas en impression 3D 3 78 25/02 10:15:15
kepkep 
Le coin des geeks InstallJammer 0 63 24/02 17:14:37
Redstar 
Questions & Réponses Dessinner sur un calque 1 87 24/02 14:56:58
Rimpotche 
Moteur de jeu GameBlender et alternatives [non résolu] Tour du monde et pathfiding 4 143 24/02 13:56:44
Redstar 
[WIP] et travaux terminés [WIP] Akihabara 3 236 23/02 17:18:36
stev 

Qui est en ligne
98 utilisateur(s) en ligne (dont 57 sur Forums)

Membre(s): 0
Invité(s): 98


plus...
Nouveaux membres
RenaRitchi 27/2/2020
CruzPermew 27/2/2020
JeremiahPo 27/2/2020
HGRMeagan 27/2/2020
DebbieGabr 27/2/2020
KrystleD14 27/2/2020
Tosha13383 27/2/2020
Fred25F214 27/2/2020
RXOEmory18 27/2/2020
AlanaNemet 27/2/2020
Dernier Ajout
mirages-preview~0.jpg

Evènements à venir
Mar 14
Anniversaire de AMV12
Mar 16
Anniversaire de galba
Mar 29
GeeWee's B-Day
plus 273 plus d'élément(s)
 Par Mickaël Guédon [ebrain] © 2003-2020 The Blender Clan - hébergé par TuxFamily - Site déclaré à la CNIL sous le numéro 1155445