Raphaël Florès a écrit :Skyrock n'est pas content, et ils viennent me le dire:
Précision de la part de skyrock.com
Une tentative d’intrusion a eu lieu sur nos systèmes le mercredi 19 mai. Nous n’avons à ce stade aucune certitude sur l’éventuelle action de l’intrus. C’est à titre préventif que nous avons pris des mesures de protection internes. De plus, nous avons incité nos utilisateurs à changer leur mot de passe. Le service a publié une alerte sécurité vendredi 21 en fin de matinée (
http://lequipe-skyrock.skyrock.com/2865 ... urite.html). Les autorités judiciaires ont été informées en vue d’une plainte.
On ne peut déterminer à ce stade si l’application « waka » était concernée.
Concernant le stockage des mots de passe, pour des raisons de sécurité, nous conservons dans une base protégée un historique des mots de passe. Cet historique permet, d’une part, d’assister les utilisateurs lors des vols de mots de passe et, d’autre part, de restituer leur mot de passe aux utilisateurs qui le demande et dont les emails d’inscription ne sont plus valides.
La CNIL a contrôlé skyrock.com en octobre 2008 et n’a fait aucune remarque sur nos procédures de sécurité.
Notre premier souci est la sécurité des utilisateurs et de leurs données, nous mettons nos meilleures ressources en oeuvre à cet effet.
Jérôme Aguesse, directeur de la production, délégué prévention et sécurité.
http://www.logiciel.net/skyblog-pirate- ... mment-1929
Roooh .....
D'après les différentes sources que l'on peut avoir :
On sait qu'il ne s'agit pas d'une tentative d'intrusion mais bien d'une intrusion.
Que les quelques 32000 mots de passe dérobés, même si ils sont inopérants, vont de façon quasi-certaine -dans le meilleur des cas- alimenter les différentes rainbow tables disponibles sur le net.
Que waka est compromis puisque l'intrus serait passé par une faille de ce dit-site.
Que conserver un "historique" des mots de passe n'est pas une bonne pratique. Tout comme conserver des mots de passe non-chiffrés.
Que restituer un mot de passe par mail n'est pas une bonne pratique non plus.
Dans un article, celui de numérama je crois -pas le temps d'aller vérifier- on apprend que la CNIL aurait fait des remarques sur la base de données des utilisateurs à cause justement des mots de passe stockés en clair.
Soyez libres.