[Détournement WRI] Action, conclusion ??

[ChoCopoP]

Bonjour,
Ou en est on aujourd'hui, après ce "magnifique" vol de coordonnées?

Parce que des discussions de comptoirs il en a fleuries des pages à tous les coins des forums .... Mais des explications, les actions réelles à engager, j'ai pas lu grand chose?!

Alors si Olivier pouvez nous en dire un peu plus?
Une plainte a t'elle était déposée?
Et si finalement le principal "fautif" dans cette histoire était Google, doit on changer de service e-mail pour certains services?

Finalement heureusement que cette malheureuse affaire fut arrivée à WRI, car je ne pense pas que si ce soit arrivé à un "petit" site, les différents protagonistes se soient mis en 4 pour arranger les choses ? non?

Il serait intéressant qu'on en est toutes les conclusions nécessaires pour éviter que cela se reproduise ...
Et finalement est ce que Google s'est exprimé à se sujet?
Et ont il réparé cette faille? (si réellement faille il y a eu)

Merci.

[jeanluc]

Il serait intéressant qu'on en est toutes les conclusions nécessaires pour éviter que cela se reproduise ...
Et finalement est ce que Google s'est exprimé à se sujet?
Et ont il réparé cette faille? (si réellement faille il y a eu)

Je me réjouis qu'Olivier ait récupéré son site très rapidement, mais je partage ces interrogations.

Si le problème a été effectivement causé par une faille de Gmail, Google a-t-il communiqué à ce sujet ? Certains ont parlé d'une faille qui serait corrigée depuis plusieurs mois, mais qui pourrait avoir laissé des traces dans les filtres de Gmail. Si c'est le cas, le minimum serait que Google envoie spontanément un email a chaque personne utilisant des filtres pour leur demander de vérifier la validité de ceux-ci. Qu'en est-il exactement ?

Si le problème a plutôt été causé par une imprudence (nous en faisons tous), il serait utile de le préciser aussi.

Merci d'avance.

Jean-Luc

[AW]

De mon côté je vais bien entendu publier un article expliquant aux webmasters ce qu’ils doivent faire si jamais une histoire similaire leur arrive. Laissez-moi quelques jours pour le publier, le temps que je rattrape mon retard et termine de tout faire rentrer dans l’ordre.

http://www.olivier-duffez.fr/entraide-webrankinfo

[WebRankInfo]

Je continuerai de m'exprimer sur cette affaire sur mon blog www.olivier-duffez.fr mais cela m'a fait prendre beaucoup de retard donc je n'ai pas trop le temps pour le moment de donner des détails...

[hibou57]

Il serait intéressant qu'on en est toutes les conclusions nécessaires pour éviter que cela se reproduise ...
Et finalement est ce que Google s'est exprimé à se sujet?
Et ont il réparé cette faille? (si réellement faille il y a eu)

Merci.

Bien sûr que non que la faille n'a pas été réparée, puisque ce n'est pas la première fois que cette faille précisement se produit (au passage, le même problème est identifié avec Hotmail)... on en a pas beaucoup entendu parler ici parce que ça ne concernait pas le web francophone, mais il y a apparement eu plusieurs précédents déjà.

Et bien dans l'ensemble et pas seulement avec GMail, Google n'en est pas à sa première vulnérabilité. Je pense par exemple à cette histoire d'une URL Google qui permettait d'accéder à des pages donnant nom, prénom, login, etc, etc.

C'est ça les monopoles absolus : regardez donc Windows, on y retrouve des problèmes exactement similaires. Mais encore au moins avec Windows y at-il le pretexte de la compatibilité matériel (sans rentrer dans un débat qui ne concerne pas un tel site), ... seulement avec Google, il n'y a aucune bonne raison d'accepter un tel monopole.

Ce qui a fait la force de la vie sur terre jusque maintenant, c'est sa diversité, et ce qui est en train de la menacé, c'est la domination grandissante d'une seule espèce.... il en va de même pour le web.

Faille ou pas, correction ou pas, le seul fait de la domination d'un seul acteur dans tous les domaines ne représente que des dangers, qui arriveront de toutes façons sans cesse nouveaux.

[Oniris]

C'est ça les monopoles absolus : regardez donc Windows, on y retrouve des problèmes exactement similaires. Mais encore au moins avec Windows y at-il le pretexte de la compatibilité matériel (sans rentrer dans un débat qui ne concerne pas un tel site), ... seulement avec Google, il n'y a aucune bonne raison d'accepter un tel monopole.

Ce qui a fait la force de la vie sur terre jusque maintenant, c'est sa diversité, et ce qui est en train de la menacé, c'est la domination grandissante d'une seule espèce.... il en va de même pour le web.

Faille ou pas, correction ou pas, le seul fait de la domination d'un seul acteur dans tous les domaines ne représente que des dangers, qui arriveront de toutes façons sans cesse nouveaux.

Je suis d'accord sur le principe, mais il y a une différence. Si une société comme google se met à avoir trop de failles, il suffirait que les médias s'en mêlent pour voir en très peu de temps la grande majorité des gens passer sur autre chose, car il n'y a absolument aucune contrainte à changer. Et donc l'acteur dominant perd son statut et le problème est résolu jusqu'à ce qu'un autre domine. Sortir de microsoft est par contre nettement plus difficile car implique un coût important, donc c'est nettement plus dangereux.[/url]

[Serious]

Pour ma part, ce qui m'interesse est la part de responsabilite d'OVH. Ceci n'a ete aborde nulle part et ce n'est pas clair pour moi.

[honolulu]

IL est vrai que d'autres hébergeurs exigent la photocopie d'une pièce d'dentité + 1 demande écrite de changement de registrar avant de procéder au transfert...

[ChoCopoP]

D'importants acteurs du Web sont mis en cause :
Google pour son service e-mail
OVH pour ses méthodes de transfert, encore que pour celui ci rien n'est anormal, vu que c'est leurs méthodes, et qu'elles sont connues à l'avance.

Mais ce qui me gène le plus, c'est le manque de communication de Google sur cette affaire.

Et je me demande pourquoi le pirate ne recommence pas?
Est ce si simple de pirater un compte Gmail?

De plus je suis certains que si cette affaire serait arrivée à Monsieur Toutlemonde, Google n'aurai pas accorder autant d'importance à ce problème.

Quant j'ai lu que même à MontainView il se sont bougés ... ça m'a doucement faire sourire ... (vu que actuellement il leur faut plus de 2 semaines pour répondre chez Adwords ...) ok ok c'est pas le même service ... mais bon : Adwords on paye!

Que Gmail a des failles de sécurité ne me "gène" pas trop, c'est compréhensible, mais qu'il ne communique pas la dessus me fait réellement poser des questions!

Gmail : sérieux ou pas?

[Oniris]

Que Gmail a des failles de sécurité ne me "gène" pas trop, c'est compréhensible, mais qu'il ne communique pas la dessus me fait réellement poser des questions!

Communiqué officiel de google : Nous vous annonçons l'existence d'une faille dans notre système. La faille se situe a tel niveau et permettrait de pirater différents comptes. Nous faisons tout en oeuvre afin de résoudre le problème dans les meilleurs délais.

Faut-il que je développe davantage ?

[Serious]

OVH pour ses méthodes de transfert, encore que pour celui ci rien n'est anormal, vu que c'est leurs méthodes, et qu'elles sont connues à l'avance.

Les methodes de transfert d'OVH sont tout a fait conformes, il n'y a rien a redire la-dessus. Mes questions sont plutot:
- est-ce que le domaine etait verrouille?
- qui l'a deverouille?
- OVH a t'il reellement fourni le mot de passe du compte? et si oui, comment?
Etant moi-meme client d'OVH, c'est ce dernier point qui me tracasse. Et j'aimerais en savoir plus pour etre sur que ce genre d'histoire ne m'arrive pas, et pour cela prendre les mesures adequates.

[gorchfock]

IL est vrai que d'autres hébergeurs exigent la photocopie d'une pièce d'dentité + 1 demande écrite de changement de registrar avant de procéder au transfert...

OVH l'exige déjà du moins lorsqu'il s'agit d'un transfert de propriétaire (un webmaster cède son site à un autre) et que ça reste chez eux. (expérience eut avec les 3 sites que j'ai récupéré de 3 WRInautes . L'un d'eux c'est même plaint de la complexité du transfert au niveau administratif (il s'agit d'un site en ".com"). J'ai pas testé dans d'autre cas.)

Il me semble néanmoins que pour un ".fr" c'est beaucoup plus encadré. Car il faut que ça passe aux mains de l'AFNIC. Je dis bien il me semble...

[timan]

Pour transférer un .fr il te faut connaitre une sorte de clé clé qu'il faut demander à la société qui gère ton nom de domaine. Mais si le pirate peut accéder à ton email, rien ne peut l'empecher de voler ton .fr (ça sera juste un peu plus long).
L'idéal je pense, serait de demander une confirmation supplémentaire lors d'un transfert sur une deuxieme adresse email qui ne serait pas accessible sur internet (non visible via le whois)

[Suede]

OVH pour ses méthodes de transfert, encore que pour celui ci rien n'est anormal, vu que c'est leurs méthodes, et qu'elles sont connues à l'avance.

Les methodes de transfert d'OVH sont tout a fait conformes, il n'y a rien a redire la-dessus. Mes questions sont plutot:
- est-ce que le domaine etait verrouille?
- qui l'a deverouille?
- OVH a t'il reellement fourni le mot de passe du compte? et si oui, comment?
Etant moi-meme client d'OVH, c'est ce dernier point qui me tracasse. Et j'aimerais en savoir plus pour etre sur que ce genre d'histoire ne m'arrive pas, et pour cela prendre les mesures adequates.

Vu que le compte gmail a été hacké, il a pu avoir le mdp du nic ovh en faisant une demande de récupération. A partir de là, il suffit de demander le déverrouillage et le transfert. même en exigeant des clef, cela ne sert à rien vu qu'il a accès au mail.
La solution est de ne pas avoir de mail sur un prestataire public comme gmail.
Tu gères toi même ton serveur mail sur un serveur qui ne sert qu'à cela.

OVH dans tout cela n'y est pour rien. Pour un transfert sans changement de propriétaire, c'est comme cela que ca se passe.

[Serious]

Vu que le compte gmail a été hacké, il a pu avoir le mdp du nic ovh en faisant une demande de récupération.

Ok, j'ai trouve. https://www.ovh.com/cgi-bin/nic/nicPassword.cgi

OVH dans tout cela n'y est pour rien.

Disons que tout s'est passe normalement. Personnellement, je ne comprends pas qu'on autorise la recuperation d'un mot de passe par email. Mais c'est une procedure malheureusement habituelle. Meme PayPal le fait.

Il me semble qu'il serait judicieux d'interdire cette possibilite, ou du moins de la rendre optionnelle.