Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Yahoo! hacké par injection SQL
Les identifiants de 453 000 comptes divulgués

Le , par Hinault Romaric

0PARTAGES

7  0 
Un sous domaine de Yahoo a été hacké, et le site a retrouvé une liste des informations personnelles des utilisateurs publiée sur internet.

Un groupe de hackers se faisant appeler "the D33Ds Company" a divulgué récemment les identifiants de près de 453 000 comptes Yahoo, qui auraient été volés à partir d’une base de données associée à un service de Yahoo.

Les hackers ont piraté la base de données de Yahoo en exploitant une vulnérabilité du service pour procéder à une injection SQL.

« Nous espérons que les responsables de la sécurité de ce sous domaine prendront cela comme un signal de réveil et non une menace » écrit le groupe dans le fichier contenant les informations dérobées, qui affirme ne pas avoir publié le nom du sous domaine et les paramètres ayant permis l’attaque afin d’éviter d’autres dommages.

Le service touché par cette attaque serait Yahoo Voice, la solution de VoIP de la firme qui ne serait pas utilisée uniquement par les possesseurs d’un compte Yahoo. Les comptes des domaines gmail.com, hotmail.com et aol.com figureraient également dans la liste.

L’information a été confirmée par Yahoo, qui explique qu’il s’agit d’une vieille base de données rattachée à son portail « Contributor Network ». La société a immédiatement fixé la vulnérabilité, et les comptes affectés recevront un message les invitant à changer leurs paramètres de connexion.

Le cabinet de sécurité SucuriMalware Lab propose également un formulaire dans lequel il vous suffit d’entrer votre adresse mail pour recevoir automatiquement un message vous informant si votre compte figure ou non dans cette liste.

Pour la petite histoire, le mot de passe « 123456 » était le plus utilisé (près de 1666 comptes), suivi par « password » (utilisé par environ 1373 personnes parmi les comptes dérobés), ainsi que « welcome » et « ninja ».

Source : Blog Eset

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sevyc64
Modérateur https://www.developpez.com
Le 13/07/2012 à 14:08
Heu, comprend pas, les mots de passe étaient stockés en clair ?

Ca doit pourtant faire plus de 10 ans que l'on dit qui ne faut pas stocker les mots de passe en clair.

Mais bon, quand on voit que dans certaines écoles, même dans les cours de sécurité, cette notion semble passée sous silence...
6  1 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 14/07/2012 à 0:11
Citation Envoyé par ugo-sans-h Voir le message
Je trouve ça choquant que des attaques par injection SQL soit encore possible en 2012 !!!

Je ne préfère même pas penser au reste du code, et ne suis pas prêt d'utiliser un service Yahoo
C'est pas une question d'années qui passent depuis la première attaque de ce type.
Les projets grossissent au fil des années justement, et plus on rajoute plus on peut potentiellement créer des failles. Ils faut donc à chaque modification refaire toute une batterie de test. Or c'est rarement fait car cela coûte cher. Donc on teste le minimum quand ce n'est pas une application critique (à savoir faut que ça fonctionne et point barre) et voilà !
Et je parle même pas des projets qui sont fait de A à Z et qui ne subissent pas de tests dans leur cycle de vie... On préfère les balancer chez l'utilisateur et attendre les remontées de bug. (j'ai vécu cette situation... Je ne sais même pas comment ils peuvent être rentable.)
3  0 
Avatar de MiaowZedong
Membre extrêmement actif https://www.developpez.com
Le 14/07/2012 à 11:35
C'est surtout qu'il faut mesurer le risque que prend l'entreprise dans ces histoires. A priori, ceux qui risquent quelque chose sont plutot les utilisateurs, du coup l'entreprise n'a pas forcément intérêt à dépenser de l'argent pour sécuriser son service.

Un peu comme si Renault pouvait vendre des voitures sans avoir de normes de sécurité à respecter, vous imaginez le nombre de morts? Là, ce ne sont certes pas des vies humaines en jeu (heureusement) mais il faudra peut-être rendre les entreprises plus responsables.
3  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 16/07/2012 à 8:57
Citation Envoyé par Hellwing Voir le message
Il n'y a que moi que ça choque ?

Je traduis : "On a divulgué des comptes, mais c'est juste pour vous prévenir que vous avez une grosse faille dans votre système ! On est gentils !"
C'est en faisant des choses qui obligent les entreprises à se bouger le fion qu'on les fait bouger. Tu penses sérieusement qu'en leur envoyant par email ils auraient réagis aussi vite ?
Certaines entreprises mettent des mois à corriger des failles qui ne sont pas encore connues du public en pensant justement qu'ils ont tout le temps de le faire.
3  0 
Avatar de Crazyfaboo
Membre actif https://www.developpez.com
Le 16/07/2012 à 9:50
S'ils avaient voulu être méchants, ils auraient :
  • rien dit du tout
  • fait de l'extorsion en exploitant toute la db
  • tentés de corrompre un maximum de systèmes à partir de cette faille
  • détruit un max de données
  • et plus encore...

donc oui, ils ont été gentils je trouve.
D'autant plus que la divulgation des 423000 comptes, c'est pas grand chose, c'est très certainement un identifiant type email (public) et un mot de passé hashé (ou sinon, c'est vraiment qu'ils ont fait n'importe quoi chez Yahoo! mais ça m'étonnerait). Donc mis à part les gars qui semblaient s'en foutre en mettant "123456" comme mot de passe (ou similaire), qui se trouve effectivement imméditament via une rainbow table, peu de comptes sont réellement impactés immédiatement par cette liste.

Et je rejoins transgohan sur le fait que c'est uniquement par ce genre d'action que les compagnies se bougent pour corriger les failles de sécurités. Lorsque Stuxnet est apparu au grand jour, il exploitait 7 failles 0-day et la plupart étaient connues depuis longtemps par Microsoft.
Personnellement, j'ai trouvé une faille de sécurité (de conf) sur OVH en Février (2012) et après un mois d'échange de mails avec l'assistance technique, je suis certain que la faille n'a toujours pas été corrigée...

Citation Envoyé par Hellwing Voir le message
Je sais bien, mais là c'est leur hypocrisie qui me choque. Au moins qu'ils assument la mise en danger de tous ces comptes, plutôt que de dire "Faut pas le prendre mal !".

C'est plus leur attitude vis-à-vis de leurs actes que les actes en eux-même que je critiquais.
3  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 17/07/2012 à 11:33
Ce n'est pas la première fois que je constate auprès de jeunes sortant de formation que les notions de sécurités ne sont pas abordées, au mieux parfois simplement vaguement évoquées. Et ce pas uniquement dans le domaine du développement web.
On peut aussi citer les notions de débogage de code qui n'est pas enseigner, mais c'est un autre débat.

Dans un tout autre domaine, perso, je suis actuellement une formation au cnam pour avoir une certification en administration réseau, le module relatif à la sécurité système et réseau, pourtant existant, ne fait même pas partie de mon cursus, alors qu'il est dans d'autres cursus plus généralistes.
2  0 
Avatar de MiaowZedong
Membre extrêmement actif https://www.developpez.com
Le 13/07/2012 à 14:22
Citation Envoyé par sevyc64 Voir le message
Heu, comprend pas, les mots de passe étaient stockés en clair ?

Ca doit pourtant faire plus de 10 ans que l'on dit qui ne faut pas stocker les mots de passe en clair.

Mais bon, quand on voit que dans certaines écoles, même dans les cours de sécurité, cette notion semble passée sous silence...
Même la plus pourrave des rainbow tables, pour le plus pointus des algo de hash, contient des valeurs pour 123456, password, ou welcome.
2  1 
Avatar de
https://www.developpez.com
Le 13/07/2012 à 23:54
Je trouve ça choquant que des attaques par injection SQL soit encore possible en 2012 !!!

Je ne préfère même pas penser au reste du code, et ne suis pas prêt d'utiliser un service Yahoo
1  0 
Avatar de leminipouce
Membre éprouvé https://www.developpez.com
Le 16/07/2012 à 17:35
Citation Envoyé par Hellwing Voir le message
Je sais bien, mais là c'est leur hypocrisie qui me choque. Au moins qu'ils assument la mise en danger de tous ces comptes, plutôt que de dire "Faut pas le prendre mal !".

C'est plus leur attitude vis-à-vis de leurs actes que les actes en eux-même que je critiquais.
Quelle mise en danger ?
Ils ont divulgués les comptes, pas les mots de passe en clair. Rien ne dit d'ailleurs qu'ils aient les dit mot de passe, car en effet, toutes les infos présentes dans la news peuvent s'obtenir en n'ayant récupéré que les hash.

La dernière fois que j'ai vu une divulgation de ce type, avant la divulgation, tous les hash avaient même été modifié. De mémoire les 6 premiers caractères étaient tous identiques.

Bref, pour moi c'est là le travail de hackers, au sens originel et donc "noble" du terme, à savoir : trouver et identifier des failles.

Sans la divulgation publique de cette news, est-ce que Yahoo! prendrait au sérieux l'annonce ? Changerait quelque chose dans leur système ? ... je doute...
1  0 
Avatar de GR3lh442kR
Membre confirmé https://www.developpez.com
Le 17/07/2012 à 11:20
ça m'étonne pas

j'ai un collègue qui ne sait même pas ce qu'est une injection sql alors qu'on travaille sur le site web d'une société qui gère des comptes client...

Quand je lui en parle il me dit "mon prof m'en à parlé mais n'as pas voulu nous expliqué pour pas qu'on puisse en faire...". Il ne doit pas être le seul dans ce cas, mes autres collègues ne semblent pas être beaucoup plus formé que lui pour la sécurité.
1  0