MacGeneration victime d’une attaque informatique

Anthony Nelzin-Santos |

MacGeneration a été récemment victime d’une attaque informatique de grande ampleur. Au cours de cette opération nous visant directement, les attaquants ont exploité une faille dans un module tiers pour pénétrer dans notre infrastructure, et accéder à notre serveur de bases de données.

Image Jordan Harrison (Unsplash).
Image Jordan Harrison (Unsplash).

Nous avons découvert cette attaque après une tentative de phishing visant nos journalistes et nos développeurs. Nous avons immédiatement mené un audit complet de nos serveurs, pris des mesures de sécurisation, et mis hors d’état de nuire les serveurs utilisés par les malandrins.

Nous venions heureusement de supprimer une partie des comptes inactifs depuis plusieurs années. Les informations des comptes de 102 262 membres ont toutefois été compromises. Le pseudonyme et l’adresse e-mail apparaissent en clair, mais le mot de passe est haché avec SHA-512 et salé.

Les motivations de cette attaque ne sont pas claires, aussi les conséquences sont probablement limitées. Par acquit de conscience, nous vous recommandons toutefois :

Outre cette annonce publique, nous avons averti tous les membres actifs1 par e-mail, et nous avons notifié le service Have I Been Pwned? afin de faire remonter l’information dans les gestionnaires de mots de passe. Nous avons notifié l’incident à la Cnil, et nous déposerons plainte dans les prochains jours.

Nous tenons à vous présenter nos excuses pour cette fuite de données indépendante de notre volonté. Nous continuons à étudier les conséquences de cette attaque, et nous restons à votre disposition pour tout complément d’information.

  1. Qui se sont connectés au moins une fois dans les douze derniers mois. Les comptes qui possèdent des adresses erronées ou témoignent de vagues de spam seront progressivement supprimés dans les mois qui viennent, et les derniers comptes inactifs pourront être supprimés pour répondre à notre objectif de minimisation des données en notre possession. ↩︎

avatar frankynov | 

Merci pour votre transparence.
Courage à vous pour la suite 🙏

avatar totoguile | 

@frankynov

Tout pareil. Bon courage !

avatar pocketalex | 

Si Apple retire la touch bar des prochain MBP M2, je vous pardonne

avatar marc_os | 

@ pocketalex

> Si Apple retire la touch bar des prochain MBP M2

Pourquoi pénaliser ceux qui ne pensent pas comme vous et ne pas souhaiter qu'elle soit en option ? Car franchement, des boutons physiques sur une machine PRO qui ne servent à rien pour 6 sur 12 d'entre elles, comme la touche Spotlight pour laquelle on a déjà le raccourci clavier cmd-espace et une commande menu, la touche "dormir", sans parler des touches F1 à F12 qui nécessitent d'utiliser deux mains car il faut appuyer en même temps sur la touche fn, c'est juste du remplissage. Sans parler du fait que les deux touches du réglage de la luminosité du clavier ne sont plus présentes.
Par contre au travail je vais regretter le fait de ne plus pouvoir régler rapidement la luminosité de mon second écran via la TouchBar, ce qui va m'obliger à aller chercher le réglage dans un menu.

avatar zacromatafalgar | 

@marc_os

> sans parler des touches F1 à F12 qui nécessitent d'utiliser deux mains car il faut appuyer en même temps sur la touche fn…

Ou alors il suffit d'activer les touches à auto-maintien dans les préférences système, ces touches vont te permettre de composer des raccourcis avec Shift, fn, control, option et command et tout ça à l'aide d'un seul doigt… ;-)

avatar Askar | 

@frankynov

C’est de toute façon une obligation légale de communiquer à ses clients Je suis sur que Mac G l’aurais fait mais maintenant celui qui ne le fait pas est en infraction grave

avatar Anthony Nelzin-Santos | 
@Askar : les choses sont un peu plus subtiles dans ce cas somme toute relativement bénin, et rien ne nous obligeait à une communication publique. Mais obligation légale ou pas, il nous semble important de le faire.
avatar MGA | 

@Anthony

Bonne gestion « de crise » 👍 mais il ne faut pas non plus minimiser l’utilité du peu d’informations collectées : le pseudo en plus du mail c’est déjà une bonne base pour de l’hameçonnage non ?

avatar Anthony Nelzin-Santos | 
@MGA : bien sûr, mais les degrés de « sévérité » d’une fuite de données personnelles sont codifiés. Dans le grand ordre des choses, un e-mail n’est pas grand-chose par rapport à des informations financières ou un dossier médical. Mais nous communiquons comme si nous avions subi une fuite dite « critique ».
avatar Malik25230 (non vérifié) | 

@Anthony

Bonjour à tous.
Par contre je pense qu’il y a lien car j’ai eu une transaction frauduleuse sur mon compte bancaire.

avatar marenostrum | 

mais t'es pas membre du club.

avatar Anthony Nelzin-Santos | 
@Malik25230 : nous ne stockons pas d’informations bancaires.
avatar Gladjessca | 

@Anthony

Et pourtant vous avez renouvelé automatiquement mon abonnement sans me redemander mes coordonnées de CB, ça craint…

avatar Anthony Nelzin-Santos | 
@Gladjessca : encore une fois, nous ne stockons pas d’informations bancaires. Tout cela est géré par le prestataire de paiement, en l’occurrence Stripe.
avatar cybercooll | 

@Malik25230

Et moi j’ai mal à la cheville depuis que mon mail top secret a fuité. Il y a forcément un lien, mais évidemment tout le monde me contredira. La vérité éclatera au grand jour, mac generati ON nous ment!!
Et puis c’est même pas du bcrypt.

avatar MGA | 

@Anthony

C’est un bon entraînement pour le jour où…. ce que personne n’espère évidemment. Bon courage pour le boulot qui s’annonce 🏋️‍♂️
(Évidemment une fuite de mail c’est assez négligeable mais c’est l’addition avec le pseudo qui peut rendre crédible une tentative de pishing..)

avatar Anthony Nelzin-Santos | 
@MGA : et c’est bien pour cela qu’on communique, mieux vaut prévenir…
avatar Pépinlelutin | 

@Anthony
Hello à tous !
Merci MacG !
Ça me donne enfin une bonne raison pour faire le ménage dans mes mots de passe et au fur et à mesure en changer pas mal pour des plus "robustes"…
Je dois avouer que j'avais un peu la flemme de le faire et que je repoussait toujours l'échéance… ^^

avatar Wolfstein | 

Vous avez toutefois obligation de le notifier à la CNIL dans les 72h, comme prévu à l'article 33 du RGPD..

avatar Anthony Nelzin-Santos | 
@Wolfstein : bien sûr, et c’est évidemment le cas.
avatar AirForceThree | 

Incroyable l'agressivité de certains, qui cherchent absolument à mettre MacG en défaut, alors qu'ils ont fait plus que le nécessaire.
Entre celui qui ne comprends pas que pratiquement aucun site français ne stocke de données bancaires et l'autre qui persiste à dire que vous n'avez fait que le minimum syndical, l'ambiance craint pas mal.

avatar  | 

Courage MacG ! Ca arrive à tout le monde une attaque. 😊

avatar TrollMan06 | 

@

Pffff fayot.
MacG devrait fournir en compensation l’abonnement iGen à vie à tout le monde... 🤪

avatar Sindanárië | 

@TrollMan06

Tu parles, t’auras même pas un autocollant que personne ne veut 🤪

avatar Pierre-Antoine | 

Je suis d’accord, merci pour votre transparence 🙏🏻

avatar Camille Feuerhahn | 

@Pierre-Antoine

Tout à fait, merci MacG !

avatar Benito58 | 

@Pierre-Antoine

C’est la loi. Mais merci quand même.

avatar Boosun | 

Merci d’avoir prévenu.
Bon courage ! 👍

avatar Danny Wilde | 

Ça arrive même aux meilleurs : la preuve !

avatar Sindanárië | 

@Danny Wilde

Restons calmes, n’exagèrerons rien

avatar Monsieur Lu | 

Ça arrive mais merci pour la transparence, en effet. MdP changé.

avatar thomas.n | 

Le plein de courage ! Merci pour la clarté de vos explications ✌️

avatar Stéf06 | 

Encore un coup des fanboys d’androïd ça…

avatar zoubi2 | 

@Stéf06

"Encore un coup des fanboys d’androïd ça…"

Sans aucun doute !! 😂 😂 😂

Allez MacG, courage, salut et fraternité.

avatar Almux | 

🤣🤣🤣 Des jaloux... une grande clique de jaloux... j'vous jure!

avatar BigBen_082 | 

Courage à vous la Team. Par sécurité, j'ai changé mon mot de passe même si je n'ai pas reçu le mail m'invitant à le faire. Votre transparence sur ce sujet souligne une fois encore votre très grand professionnalisme !!

avatar zol614 | 

Merci à vous pour la transparence 😀

avatar ArthurPrchy | 

J’ai cru que le mail demandant de changer le mot de passe était une tentative de phishing … :)

avatar Timmy | 

@ArthurPrchy

Pareil !

avatar Lapin85 | 

Idem !
Nous devenons parano !
Juste avant j'ai failli bloqué le préfet de la Vendée ! 😂

avatar Link1993 | 

@ArthurPrchy

Pareil... 🤣

Surtout que j'en ai reçu 2 en fait !

avatar Link1993 | 

@Link1993

Réponse à moi même : le deuxième mail vient du kickstarter.

avatar macbook60 | 

@ArthurPrchy

Je voulais leur demander aussi

avatar tonton69 | 

@ArthurPrchy

Même doute sur le moment. Mais j’ai quand même changé le MDP dans le doute. En passant par le site directement, plutôt que par le lien fourni dans le mail !

Courage à la team Macgé !

avatar regisr | 

Surtout vu la tête du lien! Je comprends que cela aurait pu passer pour du phishing.
Passer par le site devrait être systématiquement conseillé.
@7X L'adresse peut être vérifiée et ne me semble pas suspecte.
J'ai changé mon mot de passe bien sûr.

avatar cecile_aelita | 

@zol614

pareil ^^.
Mais j'étais sur que Macg ferait un article la dessus, donc j'ai attendu qu'il soit là avant de changer mon mot de passe 😊.

avatar pim | 

@ArthurPrchy

Idem, je pensais à du punishing même ! Ah ah ah

avatar 7X | 

@ArthurPrchy
Pareil. Il faut dire que les liens et adresses du courriel sont très exotique pour moi.

avatar David Finder | 

@ArthurPrchy

Il suffit de regarder l’adresse mail pour savoir que le mail vient bien de MacG 😉

avatar Inconnue 67 | 

@David Finder

« Il suffit de regarder l’adresse mail pour savoir que le mail vient bien de MacG 😉 »

Malheureusement, non, cela n'est pas suffisant...

L'adresse mail expéditrice peut être maquillée !

En +, sur iOS et iPadOS, dans l'appli Mail, on n'a pas accès à l'en-tête complet... 😕
Ce qui permettrait d'avoir plus d'infos sur la source du message.
🧐

Et, concernant le lien, dans le mail de @MacG, destiné à réinitialiser le Mot de Passe ; j'ai également été perturbée par cette adresse exotique...

Dans le mail, l'adresse commence par :
👉 http :// 3vkn.mj.am/lnk/ ...... 😳 🤨 🤔

Or, dans l'article sur MacG, l'adresse est :
👉 https://reset.macg.co/ 👍

Dans tous les cas, par mesure de sécurité, il vaut mieux toujours éviter de cliquer sur les liens présents dans les mails ; et plutôt se rendre directement sur le site.

Pages

CONNEXION UTILISATEUR