Skyblog : 30 millions de mots de passe volés ?

Que faire avec des comptes skyblog de toute facon ?

Ben comme pour toute autre chose : la probabilité qu'ils utilisent le même mot de passe que le compte mail associé est grande.

Ce compte mail lui-même a de fortes chances d'avoir été utilisé pour des tas d'autres trucs, genre Paypal pour acheter tout plein de trucs, des sites marchands façon Amazon ou Alapage qui mémorisent tes coordonnées bancaires pour pouvoir plus facilement refaire des achats, et puis ta banque aussi donc les transferts d'argent ça y va, et pis ton opérateur téléphonique comme ça il peut déclarer la SIM perdue et en recommander une pour te pomper ton forfait, et ton compte Facebook pour larguer ta copine à ta place... les possibilités sont illimitées.

C'était vraiment malin ça de stocker les mots de passe en clair. C'est vrai que c'est plus pratique pour le récupérer et te le renvoyer quand tu l'as oublié
Mais à part ça c'est une faille de sécurité monstre comme on croyait que ça existait plus depuis dix ans, ce qui explique pourquoi des sites mieux foutus te redéfinissent un nouveau mot de passe au lieu de te rappeler le précédent, parce qu'il est chiffré d'une telle façon qu'il est irrécupérable.

Et tester la fonctionnalité d'oubli de mot de passe d'un site permet d'ailleurs d'identifier très simplement si ce site stocke les mots de passe en clair ou s'il les chiffre.

Ouais enfin évidemment, ça après c'est le détail. Evidemment, aucun système n'est infaillible, ça serait trop beau sinon

Enfin bon, ça reste quand même suffisamment sécurisé, parce que le temps de casser tous ces mots de passe... ça retarde énormément l'attaque. Et si le site est réactif et annonce le problème aussitôt détecté (hein messieurs Facebook Twitter Myspace Google et compagnie ?), y'a le temps de changer les pass de tout le monde et c'est torché. Pis bon, du MD5 ou SHA-1 aujourd'hui... Perso je passe du Serpent et du Blowfish, et je hash avec du Skein (basé sur Threefish), qui est un des candidats pour le prochain SHA-3.

Ça prend quoi... trois lignes de code de plus ? Et ça booste la sécurité de façon phénoménale

Ils se font vraiment pas chier quand même...

Un hash du mot de passe avec sel (ajout d'infos avec le mot de passe) est largement suffisant de nos jours je pense... puisque qu'on ne hashe pas uniquement le mot de passe, et que de cette manière on allonge le mot à décrypter donc le temps de décryptage.

On s en fou de la sécu de toute façon, y a plus important a dire c est le moment .

Quand on sait que ce site skyblog est le plus consulté ( et encore plus pendant des emeutes ou trouble en banlieue ) par les services de renseignement fr on ce demande toujours dans ces cas la a qui profite le "crime" et qui en est ou en sont les auteurs directes ou indirectes .



PS pour les ignorants adeptes des adeptes du complot, naifs face au pilier central de toutes démocraties les services de renseignements :

Ca a été dit par le directeur des services de renseignement fr pendant les émeutes de 2003 et il avait même ajouté en directe live a la tv -nous allons y mettre des équipes 24/24 car c est vraiment une mine d or les skyblog mais bon comme sur skyrock on leur dit au jeunes de pas s intéresser a des émissions sérieuses où ce genre de chose est dites , c est ringard bla bla bla etc les gars y sont même pas conscient que ce sont les plus grande balance de toutes l histoire de l humanité sur leur skyblog et croient lutter contre la police ou croit jouer au rebelle irl .



a la place de ceux qui ont des blog dans ce fieffe des services de renseignement fr je changerais pas de mot de passe mais j irais tout simplement créer un blog ailleurs.


après Skyrock la radio affilier officieusement aux flic et a de grand groupe surpuissant ( axa , bnp etc ) on vous présente skyblog la plateforme a information des services de renseignement fr , mieux que le café du quartier ou l on postait un rg pour écouter les pilier de comptoir .

mais surtout quand y a consultation par ces gens la il y a obligatoirement manipulationS.



dsl pr le doublon

PS pour les ignorants adeptes des adeptes du complot, naifs face au pilier central de toutes démocraties les services de renseignements :

Ca a été dit par le directeur des services de renseignement fr pendant les émeutes de 2003 et il avait même ajouté en directe live a la tv -nous allons y mettre des équipes 24/24 car c est vraiment une mine d or les skyblog mais bon comme sur skyrock on leur dit au jeunes de pas s intéresser a des émissions sérieuses où ce genre de chose est dites , c est ringard bla bla bla etc les gars y sont même pas conscient que ce sont les plus grande balance de toutes l histoire de l humanité sur leur skyblog et croient lutter contre la police ou croit jouer au rebelle irl .



a la place de ceux qui ont des blog dans ce fieffe des services de renseignement fr je changerais pas de mot de passe mais j irais tout simplement créer un blog ailleurs.


après Skyrock la radio affilier officieusement aux flic et a de grand groupe surpuissant ( axa , bnp etc ) on vous présente skyblog la plateforme a information des services de renseignement fr , mieux que le café du quartier ou l on postait un rg pour écouter les pilier de comptoir .

mais surtout quand y a consultation par ces gens là il y a obligatoirement manipulationS.

Ça a rien à voir. Conspiration ou pas, il y a un problème de sécurité complètement indépendant.

Mais arrête stp , enlève de ta tète la conspiration .

Problème de sécu indépendant ???

mais qu’est ce que tu en sais, sur quoi tu bases ton raisonnement, ton analyse ? sur le fait que rien était crypté ? sur le faite que le responsable de skyblog le savait depuis plus de 5 ans et n a rien fait , sur le faite quil a été avertie par la cnil et n a rien fait sachant que ce gars a des relations multiples .


moi mon raisonnement est basé sur des faits ,sur des enjeu trés important ( plus que tas sécu a deux balle de mot de passe crypté )et sur l histoire de la gestion des masses ,sur des témoignages( récents ou anciens) de responsable de service fr et pour finir sur la sécu du territoire .
Conspiration ? on est pas dans un films . On parle de sureté du territoire, de secu aussi des politiques en ce qui concerne skyblog .

Par exemple quand dans les années 70-80 il y avait une série de casse de coffre dans les banques + de 60 % était commandité par les RG auprès de braqueurs. Un livre a été écrit a ce sujet par un ancien braqueur avec un ancien des rg . La idem on ne parle pas de complot de conspiration. C est tout simplement la normalité en démocratie certes même dans les dictatures.

alors comment tu veux lutter pour la secu sur le web si tes meme pas réellement conscient que des service de renseignement x ou y ( fr ou autres) peuvent a tout moment faire ce quils veullent sans etre arreté ou inquiété tout comme les rg et braqueur qui avait dévaliser des coffres inviolables pour des raison de sureté du territoire ou "tranquilité" public .


Tas sécu informatique meme si tes le meilleurs en la matière elle vaut rien si tu prend pas en compte ce que j écris . Tu auras beau faire ce que tu veux y aura toujours un moyen légale ou illégale pour violer tas sécurité via via un ordi, via un serveur via le web ou via directement irl chez qui l on veut pour récolté les mêmes info que l on recherche .

He ho faut arrêter la fumette un peu la ^^

si les mot de passe aurait étè crypté ce ce serait passé autrement de toutes façon Quelqu un avait besoin de certains mot de passe et de donnés sur les 32 millions , Peut-etre une centaines mais "quelqu un" en avait besoin et avec 32 millions on a de quoi noyé le poisson .

D ailleur meme vous ici vous etes dans le doute : est ce que crypté ca aurait etè plus efficace , etc etc alors . Donc quelqu un avait besoin de certaines donné sur les skyblog le probleme de secu il ce situe la non pas dans des interogations technique ou autres .Faut trouvé qui , voila moi j ai une bonne piste .

Lol et c'est quoi ta magnifique piste ?

sundevil , je suis pas payé ni journaliste .ce qui est ecrit est connu et ou certifier par des journalistes ou des historiens alors tu comprend c est pas mon job je t informe a toi de faire des recherches je vais pas aussi te donnée les sources , etc etc des preuves etc c est déja assé énorme de perdre mon temps a écrire ici pour la gloire .

Quand on détient les données, on n'a pas besoin d'avoir les mots de passe en clair. Quand on veut attaquer un système, on n'a pas besoin de piquer les mots de passe.

C'est donc clairement indépendant.

Et c'est un raisonnement basé sur des faits ça aussi.