Orange.fr : un quart de million de mots de passe menacés ?
Unknown
SQL. Selon le dᅵcouvreur de la vulnᅵrabilitᅵ quelque 245 000 mots de
passe clients ont ainsi pu ï¿œtre exposï¿œs en clair.
http://www.generation-nt.com/orange-photo-mystere-piratage-faille-actualite-745141.html
--
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
doumé
> Le portail Orange.fr aurait ᅵtᅵ sensible ᅵ une attaque par injection SQL.
> Selon le dᅵcouvreur de la vulnᅵrabilitᅵ quelque 245 000 mots de passe clients
> ont ainsi pu ï¿œtre exposï¿œs en clair.
>
> http://www.generation-nt.com/orange-photo-mystere-piratage-faille-actualite-745141.html
Je sens comme une satisfaction bï¿œate de freeroquet ! :)
--
Je dis de belles choses dit le vieux Sï¿œnï¿œque en dï¿œfilant ...
Unknown
> Jil S a exprimᅵ avec prᅵcision :
>> Le portail Orange.fr aurait ᅵtᅵ sensible ᅵ une attaque par injection SQL.
>> Selon le dᅵcouvreur de la vulnᅵrabilitᅵ quelque 245 000 mots de passe
>> clients ont ainsi pu ï¿œtre exposï¿œs en clair.
>>
>> http://www.generation-nt.com/orange-photo-mystere-piratage-faille-actualite-745141.html
>
> Je sens comme une satisfaction bï¿œate de freeroquet ! :)
il faudrait etre un malade comme toi pour se rï¿œjouir du malheur des
autres
je le signale au cas ou certains seraient concernï¿œs, pire qu'un
phishing, il y a accï¿œs direct aux RIB non?
doumé
> doumᅵ a exposᅵ le 25/05/2009 :
>> Jil S a exprimᅵ avec prᅵcision :
>>> Le portail Orange.fr aurait ᅵtᅵ sensible ᅵ une attaque par injection SQL.
>>> Selon le dᅵcouvreur de la vulnᅵrabilitᅵ quelque 245 000 mots de passe
>>> clients ont ainsi pu ï¿œtre exposï¿œs en clair.
>>>
>>> http://www.generation-nt.com/orange-photo-mystere-piratage-faille-actualite-745141.html
>>
>> Je sens comme une satisfaction bï¿œate de freeroquet ! :)
>
> il faudrait etre un malade comme toi pour se rï¿œjouir du malheur des autres
>
> je le signale au cas ou certains seraient concernï¿œs, pire qu'un phishing, il
> y a accï¿œs direct aux RIB non?
NON !
Jy
"Jil S" <@> a �crit dans le message de news:
mn.cd497d952...@mesnews.fr...
> Le portail Orange.fr aurait �t� sensible � une attaque par injection SQL.
> Selon le d�couvreur de la vuln�rabilit� quelque 245 000 mots de passe
> clients ont ainsi pu �tre expos�s en clair.
>
> http://www.generation-nt.com/orange-photo-mystere-piratage-faille-actualite-745141.html
Et pour le futur, n'oublions pas les millions de cl�s WiFi en clair sur les
livebox. Est ce qu'Orange va les changer syst�matiquement avant l'entr�e en
fonction de la loi HADOPI? Les perspectives de piratage de "proximit�"
(pendant une soir�e, amis des enfants en absence des parents, personnel de
maison, intervention d'entreprise etc..) sont l�gions.
Et qu'est ce que vont proposer tous les FAIs pour s�curiser l'acc�s au
c�ble RJ45, encore plus facile d'acc�s dans les condtions pr�c�demment
cit�es ?
Il suffit de quelques minutes pour r�cup�rer des mp3 et faire coincer le
proprio de l'abonnement.
Le titulaire de l'abonnement va t il devoir d�brancher la box et la ranger
dans un placard ferm� � cl� (et priver ses proches du t�l�phone et de la
t�l�) d�s qu'il s'absente ou que quelqu'un organise une soir�e ? il y aura
t il une fonction permettant de couper le net quand on s'absente ?
Vince
> Et qu'est ce que vont proposer tous les FAIs pour sï¿œcuriser l'accï¿œs au
> cï¿œble RJ45, encore plus facile d'accï¿œs dans les condtions prï¿œcï¿œdemment
> citï¿œes ?
En mode routeur il suffit de configurer l'attribution d'une IP par adresse MAC
ainsi toute MAC ï¿œtrangï¿œre n'obtient pas d'IP.
Normalement les FAI le propose dᅵjᅵ ;)
--
Vince
Jy
"Vince" <deb...@free.fr> a �crit dans le message de news:
83589de01f95216a...@news.free.fr...
> Jy a �crit:
>> Et qu'est ce que vont proposer tous les FAIs pour s�curiser l'acc�s au
>> c�ble RJ45, encore plus facile d'acc�s dans les condtions pr�c�demment
>
> En mode routeur il suffit de configurer l'attribution d'une IP par
> adresse MAC
>
> Normalement les FAI le propose d�j� ;)
Oui, c'est vrai, la logique serait alors qu'ils activent cette option par
d�faut...
Albert ARIBAUD
> "Vince" <deb...@free.fr> a écrit dans le message de news:
> 83589de01f95216a...@news.free.fr...
>> Jy a écrit:
>>> Et qu'est ce que vont proposer tous les FAIs pour sécuriser l'accès au
>>> câble RJ45, encore plus facile d'accès dans les condtions précédemment
>>> citées ?
>>
>> En mode routeur il suffit de configurer l'attribution d'une IP par
>> adresse MAC
>> ainsi toute MAC étrangère n'obtient pas d'IP.
>>
>> Normalement les FAI le propose déjà ;)
Euh, non. Ce qu'ils proposent, c'est l'attribution d'une IP constate à
une MAC donnée, mais il faut feinter, si seulement c'est possible, pour
en plus refuser l'attribution aux MAC étrangères, car...
> Oui, c'est vrai, la logique serait alors qu'ils activent cette option
> par défaut...
... si par défaut les MAC étrangères étaient refusées, une énorme
majorité de nouveaux abonnés serait dans l'incapacité de mettre en oeuvre
sa connexion.
Amicalement,
--
Albert.
Vince
> Le Tue, 26 May 2009 15:14:42 +0200, Jy a ᅵcritᅵ:
>
>> "Vince" <deb...@free.fr> a ï¿œcrit dans le message de news:
>> 83589de01f95216a...@news.free.fr...
>>> Jy a ï¿œcrit:
>>>> Et qu'est ce que vont proposer tous les FAIs pour sï¿œcuriser l'accï¿œs au
>>>> cï¿œble RJ45, encore plus facile d'accï¿œs dans les condtions prï¿œcï¿œdemment
>>>
>>> En mode routeur il suffit de configurer l'attribution d'une IP par
>>> adresse MAC
>>>
>>> Normalement les FAI le propose dᅵjᅵ ;)
>
> Euh, non. Ce qu'ils proposent, c'est l'attribution d'une IP constante ᅵ
> une MAC donnï¿œe, mais il faut feinter, si seulement c'est possible, pour
> en plus refuser l'attribution aux MAC ï¿œtrangï¿œres, car...
Si j'ai deux ordis, j'attribue une IP constante ᅵ chacun des ordis et je
n'autorise ᅵ donner que 2 IPs (celles de mes ordis) donc une troisiᅵme machine
ï¿œtrangï¿œre n'aura rien ;)
--
Vince
Unknown
tu ne les ï¿œteins jamais?
faut bloquer les ip automatiques (DHCP) aussi
Vince
> Vince a couchᅵ sur son ᅵcran :
>> Albert ARIBAUD a ï¿œcrit:
>>> Le Tue, 26 May 2009 15:14:42 +0200, Jy a ᅵcritᅵ:
>>>
>>>> "Vince" <deb...@free.fr> a ï¿œcrit dans le message de news:
>>>> 83589de01f95216a...@news.free.fr...
>>>>> Jy a ï¿œcrit:
>>>>>> Et qu'est ce que vont proposer tous les FAIs pour sï¿œcuriser l'accï¿œs au
>>>>>> cï¿œble RJ45, encore plus facile d'accï¿œs dans les condtions prï¿œcï¿œdemment
>>>>>> citï¿œes ?
>>>>>
>>>>> En mode routeur il suffit de configurer l'attribution d'une IP par
>>>>> adresse MAC
>>>>> ainsi toute MAC ï¿œtrangï¿œre n'obtient pas d'IP.
>>>>>
>>>>> Normalement les FAI le propose dᅵjᅵ ;)
>>>
>>> Euh, non. Ce qu'ils proposent, c'est l'attribution d'une IP constante ᅵ
>>> une MAC donnï¿œe, mais il faut feinter, si seulement c'est possible, pour
>>> en plus refuser l'attribution aux MAC ï¿œtrangï¿œres, car...
>>
>> Si j'ai deux ordis, j'attribue une IP constante ᅵ chacun des ordis et je
>> n'autorise ᅵ donner que 2 IPs (celles de mes ordis) donc une troisiᅵme
>> machine ï¿œtrangï¿œre n'aura rien ;)
>
> tu ne les ï¿œteins jamais?
Moi non. Mais mï¿œme ï¿œteins en toute logique le serveur DHCP ne doit pas attribuer
les IP puisqu'elles sont reservï¿œes.
--
Vince
Pascal Hambourg
Vince a ï¿œcrit :
> Jy a ï¿œcrit:
>> Et qu'est ce que vont proposer tous les FAIs pour sï¿œcuriser l'accï¿œs au
>> cï¿œble RJ45, encore plus facile d'accï¿œs dans les condtions prï¿œcï¿œdemment
>> citï¿œes ?
Pourquoi pas IEEE 802.1X ?
> En mode routeur il suffit de configurer l'attribution d'une IP par adresse MAC
> ainsi toute MAC ï¿œtrangï¿œre n'obtient pas d'IP.
Mesure inefficace, on en a dᅵjᅵ discutᅵ je ne sais plus oᅵ
Vince
Dommage du coup nous n'en saurons pas plus...
--
Vince
Didier
Juste par curiosit�, je ne suis pas tr�s fortiche en s�curit�.
Merci.
Didier.
Pascal Hambourg
> Pascal Hambourg a ï¿œcrit:
>>
>>
>>> En mode routeur il suffit de configurer l'attribution d'une IP par adresse
>>> MAC ainsi toute MAC ï¿œtrangï¿œre n'obtient pas d'IP.
>>
>> Mesure inefficace, on en a dᅵjᅵ discutᅵ je ne sais plus oᅵ.
>
> Dommage du coup nous n'en saurons pas plus...
C'ï¿œtait dans proxad.free.adsl.degroupage, dans le fil "Cle Wifi Hadopi".
nanart
> SQL. Selon le dᅵcouvreur de la vulnᅵrabilitᅵ quelque 245 000 mots de
> passe clients ont ainsi pu ï¿œtre exposï¿œs en clair.
>
> http://www.generation-nt.com/orange-photo-mystere-piratage-faille-actualite-745141.html
>
Merci, je viens de changer mes mdp...
--
Nan'Art
GuiGui
> Jy a �crit :
>> "Jil S" <@> a �crit dans le message de news:
>> mn.cd497d952...@mesnews.fr...
>> Les perspectives de
>> piratage de "proximit�" (pendant une soir�e, amis des enfants en
>> absence des parents, personnel de maison, intervention d'entreprise
>> etc..) sont l�gions.
>>
>>
> Comment ferais-tu pour te connecter sur ma LiveBox, sans entrer chez moi ?
> Juste par curiosit�, je ne suis pas tr�s fortiche en s�curit�.
> Merci.
> Didier.
L� il est question des personnes qui entrent l�gitimement chez toi,
justement.
Didier
Ils peuvent aussi me piquer ma carte bleue, mon portefeuille ...
Didier.
GuiGui
Tout a fait, c'est une question de confiance.
petite diff�rence (je caricature, mais le principe est l�) :
- on te vole ton portefeuille dans ta maison, tu porte plainte en
indiquant qui �tait dans la maison, la police interroge tout le monde
pour retrouver le portefeuille.
- on t�l�charge avec ta connexion, donc elle n'est pas suffisamment
s�curis�e pour hadopi, donc tu es responsable.
Molotov
> Après mûre réflexion, doumé a écrit :
>> Jil S a exprimé avec précision :
>>> Le portail Orange.fr aurait été sensible à une attaque par injection
>>> SQL. Selon le découvreur de la vulnérabilité quelque 245 000 mots de
>>> passe clients ont ainsi pu être exposés en clair.
>>>
>>> http://www.generation-nt.com/orange-photo-mystere-piratage-faille-actualite-745141.html
>>>
>>
>> Je sens comme une satisfaction béate de freeroquet ! :)
>
> en plus cet abruti ne connait pas la conjugaison, il est écrit :
>
> Le portail Orange.fr [ aurait ] été sensible
>
> --- par contre les sites contrefaits pour escroquer les abonnés free [
> sont ] en pleine explosion ;-)
>
> http://www.universfreebox.com/article8188.html
>
> Phishing : Le fraudeur utilise la nouvelle interface de gestion des
> Freenaute
>
> ....
> Ce n’est pas moins de cinq attaques qui nous ont été signalées depuis le
> 18 mai. Toutes ont été remontées et mises hors ligne. Méfiance...
>
Merde alors....
Et Jilou ne nous en avait pas parlé... Surement un oubli de sa part.
Molotov
> Jil S a ï¿œcrit:
>> Vince a couchᅵ sur son ᅵcran :
>>> Albert ARIBAUD a ï¿œcrit:
>>>>
>>>>> "Vince" <deb...@free.fr> a ï¿œcrit dans le message de news:
>>>>> 83589de01f95216a...@news.free.fr...
>>>>>> Jy a ï¿œcrit:
>>>>>>> Et qu'est ce que vont proposer tous les FAIs pour sï¿œcuriser l'accï¿œs au
>>>>>>> cï¿œble RJ45, encore plus facile d'accï¿œs dans les condtions prï¿œcï¿œdemment
>>>>>>> citï¿œes ?
>>>>>> En mode routeur il suffit de configurer l'attribution d'une IP par
>>>>>> adresse MAC
>>>>>> ainsi toute MAC ï¿œtrangï¿œre n'obtient pas d'IP.
>>>>>>
>>>>>> Normalement les FAI le propose dᅵjᅵ ;)
>>>> Euh, non. Ce qu'ils proposent, c'est l'attribution d'une IP constante ᅵ
>>>> une MAC donnï¿œe, mais il faut feinter, si seulement c'est possible, pour
>>>> en plus refuser l'attribution aux MAC ï¿œtrangï¿œres, car...
>>> Si j'ai deux ordis, j'attribue une IP constante ᅵ chacun des ordis et je
>>> n'autorise ᅵ donner que 2 IPs (celles de mes ordis) donc une troisiᅵme
>>> machine ï¿œtrangï¿œre n'aura rien ;)
>> tu ne les ï¿œteins jamais?
>
> Moi non. Mais mï¿œme ï¿œteins en toute logique le serveur DHCP ne doit pas attribuer
> les IP puisqu'elles sont reservï¿œes.
>
>
Mouarfffffff.... les lampes ï¿œteintes n'attribuent pas de lumiere non plus.
Impᅵrial le Vince... Il doit ᅵtre le petit frᅵre de Brina celui lᅵ.
Guillaume
> SQL. Selon le dᅵcouvreur de la vulnᅵrabilitᅵ quelque 245 000 mots de
> passe clients ont ainsi pu ï¿œtre exposï¿œs en clair.
>
> http://www.generation-nt.com/orange-photo-mystere-piratage-faille-actualite-745141.html
>
>
Mouais ... Ce ne sont "que" les mots de passe utilisï¿œs lors de
l'inscription au jeu. Pas ceux de l'accᅵs ᅵ internet.
On est loin des failles proposï¿œes par Free ...
Jy
"GuiGui" <Gui...@nospam.fr> a �crit dans le message de news:
4a1c0d4c$0$5239$426a...@news.free.fr...
des ados invit�s par un des enfants du foyer auront plus tendance � se
brancher sur le net qu'� piquer une carte bleue, des amis � qui tu pretes
meme volontairement la connexion auront peut �tre un portable infect�, etc,
etc... je suis certain qu'on va avoir de sac�s tm�oignages de personnes
averties sans r�ellement comprendre pourquoi et comment..
le parlement s'est focalis� sur l'ordinateur mais a curieusement fait peu
de cas des box, et pourtant c'est un point essentiel.. avec la loi HADOPI
il me semble aberrant de laisser une cl� WiFi en clair sur une box, ou la
possibilit� de connecter un PC sur un RJ45... il appartient aux FAIs de
mettre en place rapidement des mesures drastiques de s�curisation.
Aur�lien
> Jil S a �crit:
>> Vince a couch� sur son �cran :
>>> Albert ARIBAUD a �crit:
>>>> Le Tue, 26 May 2009 15:14:42 +0200, Jy a �crit :
>>>>
>>>>> "Vince" <deb...@free.fr> a �crit dans le message de news:
>>>>> 83589de01f95216a...@news.free.fr...
>>>>>> Jy a �crit:
>>>>>>> Et qu'est ce que vont proposer tous les FAIs pour s�curiser
>>>>>>> condtions pr�c�demment cit�es ?
>>>>>>
>>>>>> En mode routeur il suffit de configurer l'attribution d'une IP
>>>>>> par adresse MAC
>>>>>>
>>>>>> Normalement les FAI le propose d�j� ;)
>>>>
>>>> Euh, non. Ce qu'ils proposent, c'est l'attribution d'une IP
>>>> c'est possible, pour en plus refuser l'attribution aux MAC
>>>
>>> Si j'ai deux ordis, j'attribue une IP constante � chacun des ordis
>>> et je n'autorise � donner que 2 IPs (celles de mes ordis) donc une
>>> troisi�me machine �trang�re n'aura rien ;)
>>
>> tu ne les �teins jamais?
>
> Moi non. Mais m�me �teins en toute logique le serveur DHCP ne doit
> pas attribuer les IP puisqu'elles sont reserv�es.
Aur�lien
>> Moi non. Mais m�me �teins en toute logique le serveur DHCP ne doit
>> pas attribuer les IP puisqu'elles sont reserv�es.
>
> Mouarfffffff.... les lampes �teintes n'attribuent pas de lumiere non
> plus.
il a pourtant raison ...modulo le d�lai de r�servation du bail bien entendu,
g�n�ralement 7 jours (oui je sais, un bail comme pour un appart)
Aur�lien
Didier
>
> des ados invit�s par un des enfants du foyer auront plus tendance � se
> brancher sur le net qu'� piquer une carte bleue, des amis � qui tu pretes
> meme volontairement la connexion auront peut �tre un portable infect�, etc,
> etc... je suis certain qu'on va avoir de sac�s tm�oignages de personnes
> averties sans r�ellement comprendre pourquoi et comment..
>
> le parlement s'est focalis� sur l'ordinateur mais a curieusement fait peu
> de cas des box, et pourtant c'est un point essentiel.. avec la loi HADOPI
> il me semble aberrant de laisser une cl� WiFi en clair sur une box, ou la
> possibilit� de connecter un PC sur un RJ45... il appartient aux FAIs de
> mettre en place rapidement des mesures drastiques de s�curisation.
>
1. la cl� est en clair, de toute mani�re tu la donnes � ton ami qui
vient chez toi, ou ton fils ou ta fille la donne � son copain / sa
copine qui veut se connecter au net.
2. la cl� est masqu�e, la personne souhaite se connecter au net : soit
tu lui donnes la clef, soit tu lui propose de faire toi-m�me la
connexion sur son PC ou sa console ou son mobile, soit tu lui refuses.
Dans le cas 1, et dans les cas 2.1 et 2.2, s'il t�l�charge ill�galement,
tu l'as dans l'os.
Dans le cas 2.3, tu vas pouvoir chercher un nouvel ami.
Je m'en sors en choisissant au pr�alable mes amis. Les copains de mes
enfants ne se connectent pas au net chez moi.
Encore une fois, on n'est pas devant un cas technique, maus devant une
situation humaine.
Didier.
Jy
"Didier" <nos...@nospamfree.fr.invalid> a �crit dans le message de news:
4a1c5996$0$17081$ba4a...@news.orange.fr...
C'est parce qu'il ya plein de situations o� justement le titulaire va
l'avoir dans l'os, qu'il faut r�agir avant que cela arrive et s�curiser les
acc�s.
Est ce que tous les parents peuvent se permettre d'�tre pr�sents lorsque
les ados rentrent t�t du coll�ge/lyc�e? Est ce que tout le monde peut se
permettre de ne pas laisser ses cl�s � un voisin pour le passage du
plombier ou de l'�electricien? est ce que tout le monde peut v�rifier ce
que font des invit�s lors d'une soir�e? etc, etc...
> Encore une fois, on n'est pas devant un cas technique, maus devant une
> situation humaine.
Sauf � s'enfermer chez soi, on ne peut pas maitriser le facteur humain
totalement. La technique permet de le diminuer significativement, d'o�
l'int�r�t de la technique.
Floris
> sont ] en pleine explosion ;-)
>
> http://www.universfreebox.com/article8188.html
>
> Phishing : Le fraudeur utilise la nouvelle interface de gestion des
> Freenaute
>
> ....
> Ce n’est pas moins de cinq attaques qui nous ont été signalées depuis le
> 18 mai. Toutes ont été remontées et mises hors ligne. Méfiance...
Tu parles, quand on connait la politique de communication/respect des
clients du FAI, rien d'étonnant.
Ca dégueule de problèmes de tout les cotés
(techniques/comptables/commerciaux) avec des clients laissés dans le
flou voir l'ignorance la plus totale.
C'est pas surprenant que ça clique de tout les cotés pour espérer voir
enfin une amélioration à leur situation !
--
Floris Dubreuil
Unknown
> Infox à poil court a écrit :
>> Après mûre réflexion, doumé a écrit :
>>> Jil S a exprimé avec précision :
>>>> Le portail Orange.fr aurait été sensible à une attaque par injection SQL.
>>>> Selon le découvreur de la vulnérabilité quelque 245 000 mots de passe
>>>> clients ont ainsi pu être exposés en clair.
>>>>
>>>> http://www.generation-nt.com/orange-photo-mystere-piratage-faille-actualite-745141.html
>>>>
>>>
>>> Je sens comme une satisfaction béate de freeroquet ! :)
>>
>>
>> Phishing : Le fraudeur utilise la nouvelle interface de gestion des
>> Freenaute
>>
>> ....
>> Ce n’est pas moins de cinq attaques qui nous ont été signalées depuis le 18
>> mai. Toutes ont été remontées et mises hors ligne. Méfiance...
>>
>
> Merde alors....
> Et Jilou ne nous en avait pas parlé... Surement un oubli de sa part.
http://www.numerama.com/magazine/13020-245000-comptes-d-Orangefr-exposes-par-des-hackeurs-roumains.html
245.000 comptes d'Orange.fr exposés par des hackeurs roumains
t'as raison de rigoler
Unknown
> Il se trouve que Molotov a formulᅵ :
>>
>> Merde alors....
>> Et Jilou ne nous en avait pas parlᅵ... Surement un oubli de sa part.
>
> http://www.numerama.com/magazine/13020-245000-comptes-d-Orangefr-exposes-par-des-hackeurs-roumains.html
> 245.000 comptes d'Orange.fr exposï¿œs par des hackeurs roumains
>
> t'as raison de rigoler
extrait:
Nous attendons souvent deux jours parfois uniquement pour trouver avec
qui nous devrions discuter, et ensuite nous attendons deux jours de
plus pour qu'ils rï¿œsolvent le problï¿œme", explique 2Fingers, un
responsable du site roumain. Lorsqu'un membre du blog a publiᅵ la
faille, il s'est adressᅵ ᅵ Orange pour les avertir et demander ᅵ qui
s'adresser. Mais il n'a pas eu de rï¿œponse. "Je ne trouve pas que ï¿œa
soit trï¿œs professionnel, particuliï¿œrement pour une entreprise de cette
taille. Nous parlons de protï¿œger leurs donnï¿œes privï¿œes... mais qui
sommes-nous pour les juger ?", ï¿œcrit le hackeur.