MacGeneration victime d’une attaque informatique

Anthony Nelzin-Santos |

MacGeneration a été récemment victime d’une attaque informatique de grande ampleur. Au cours de cette opération nous visant directement, les attaquants ont exploité une faille dans un module tiers pour pénétrer dans notre infrastructure, et accéder à notre serveur de bases de données.

Image Jordan Harrison (Unsplash).
Image Jordan Harrison (Unsplash).

Nous avons découvert cette attaque après une tentative de phishing visant nos journalistes et nos développeurs. Nous avons immédiatement mené un audit complet de nos serveurs, pris des mesures de sécurisation, et mis hors d’état de nuire les serveurs utilisés par les malandrins.

Nous venions heureusement de supprimer une partie des comptes inactifs depuis plusieurs années. Les informations des comptes de 102 262 membres ont toutefois été compromises. Le pseudonyme et l’adresse e-mail apparaissent en clair, mais le mot de passe est haché avec SHA-512 et salé.

Les motivations de cette attaque ne sont pas claires, aussi les conséquences sont probablement limitées. Par acquit de conscience, nous vous recommandons toutefois :

Outre cette annonce publique, nous avons averti tous les membres actifs1 par e-mail, et nous avons notifié le service Have I Been Pwned? afin de faire remonter l’information dans les gestionnaires de mots de passe. Nous avons notifié l’incident à la Cnil, et nous déposerons plainte dans les prochains jours.

Nous tenons à vous présenter nos excuses pour cette fuite de données indépendante de notre volonté. Nous continuons à étudier les conséquences de cette attaque, et nous restons à votre disposition pour tout complément d’information.

  1. Qui se sont connectés au moins une fois dans les douze derniers mois. Les comptes qui possèdent des adresses erronées ou témoignent de vagues de spam seront progressivement supprimés dans les mois qui viennent, et les derniers comptes inactifs pourront être supprimés pour répondre à notre objectif de minimisation des données en notre possession. ↩︎

avatar JOHN³ | 

@Inconnue 67

La sagesse alsacienne.

avatar Inconnue 67 | 

@JOHN³

« Was de Bür net kennt, esst er net ! » 😜

Petit dicton alsacien, qui veut dire :

« Ce que le paysan ne connaît pas, il ne le mange pas ! »

On n'est jamais trop prudent... 😄

avatar marc_os | 

@ Inconnue 67

> Was de Bür net kennt

J'ai mis un peu de temps à faire le lien avec Bauer.
Je parle allemand et j'ai fait mes études à Strasbourg, mais dans cette ville on ne croise pas beaucoup de paysans ! Et c'est pas dans le milieux universitaire qu'on parle le plus alsacien non plus. Et je suis un peu rouillé concernant les dialects. Pourtant j'ai été mis à rude épreuve en Bavière, mais c'était il y a une éternité.
Sinon, j'ai aimé y vivre presque trois ans, et j'adorais parfois entendre ces discussions au bistro qui démarrent dans une langue, passe à l'autre au gré des expressions qui te passent en premier par la tête, pour switcher à nouveau un peu plus tard...
Amitié aux elsaco qui trainent par ici... ✌️💙

avatar Inconnue 67 | 

@marc_os

😃 😄 ✌️😉 💓

avatar JOHN³ | 

@Inconnue 67

Dû vient donc à Schlettstadt boire un picon Bibele !

avatar Inconnue 67 | 

@JOHN³

MDR ! 😂🤣😂👍

Hopla ça marche ! Ich bring de Fleischwurscht, gall.
À + min Hasele... 😜

Jetz geht's los ! 🍻🥨 Un d'Mammema leit uf de Stross... 🤪😂

avatar AKZ | 

D'autant que le problème de ce mail c'est que tous les liens sont des traqueurs et aucun n'affiche le vrai nom de domaine de Macg.
Ce n'est vraiment pas très judicieux de procéder de la sorte !
Les pirates qui ont récupéré nos adresses aurait pu envoyer un mail de pishing strictement identique à celui que l'on a reçu.
Comme je l'ai expliqué à mère... on ne clique JAMAIS dans un lien contenu dans un mail, on prend connaissance du contenu et on va directement vérifier sur le site d'où il est censé provenir.

avatar Lisa37 | 

Bon courage à toute l’équipe…

avatar Gonzague | 

Mot de passe MAJ !
Merci
Bon courage

avatar MacGruber | 

Ouch !
Dsl pour vous les gars !
Merci de votre transparence en tout cas 🙏🏽

avatar tupui | 

Pouvez vous donner plus d’information sur la faille ?

avatar Anthony Nelzin-Santos | 
@tupui : nous ne comptons pas détailler la faille pour le moment, pour des raisons essentiellement légales, et pour nous assurer qu’elle a bien été corrigée dans le module en question.
avatar pocketalex | 

@Anthony Nelzin-Santos

"Les informations des comptes de 102 262 membres ont toutefois été compromises"

A moi tout seul j'ai 33 468 comptes chez MacG, je vous raconte pas le boulot que vous me faites faire ...

avatar cybercooll | 

@pocketalex

Moi j’ai tous les autres. Au final ça concerne que 2 personnes, c’est pas si grave. Bon je vais changer les mots de passes de mes 68 794 comptes bancaires, à dans 6 mois.

avatar cybercooll | 

@tupui

Au pif: un admin a édité un template de mailing sur le serveur depuis une connection ftp, a diffusé le mail, avec un magnifique « saved from ftp://root:motdepasse@macge.com/template.html » dans le code source du mail.
Le mot de passe ftp est le même que celui de la connexion ssh et celui de l’admin de la base.

avatar Sindanárië | 

@tupui

“Pouvez vous donner plus d’information sur la faille ?”

Les login et pass étaient dans les signatures de leurs mail pour ne pas les oublier 🤪

avatar nik75011 | 

Je suis connecté tous les jours via l’application mais je n’ai reçu aucun mail. Vous avez envoyé les mails quand ?

avatar Jacou | 

Ça arrive même au meilleur ;-)

avatar Anthony Nelzin-Santos | 
@nik75011 : c’est en cours, cela prend _un peu_ de temps.
avatar nik75011 | 

@Anthony

Le temps d’écrire mon commentaire et le mail est arrivé ! Merci pour la réactivité !!!

avatar macbook60 | 

@Anthony

J’allai justement demander confirmation car j’ai reçu l’e-mail on doit changer le mot de passe et c’est bon? Merci.

avatar brunnno | 

@Anthony

Mail reçu mais impossible de changer le mot de passe sur votre lien. Mot de passe non reconnu 😬

avatar EricBM1 | 

@brunnno

Pareil 🤔

avatar JeevesGre | 

@brunnno

Avec Firefox et 1Password, problème si Firefox enregistre aussi les mots de passe. Le changement de mot de passe dans 1Password ne corrige pas celui de Firefox qui garde la main … Il faut donc supprimer le mot de passe posant problème dans Firefox AVANT de valider le changement sur le site.
Résultat d'expérience personnelle, ça fonctionne.

avatar Giloup92 | 

Pareil.

avatar marc_os | 

@ nik75011

J'ai reçu le mail hier le 16 à 15h03.
Ton commentaire a été publié à 15h06 semble-t-il d'après ce qu'affiche le site, soit trois minutes seulement plus tard.
Or toutes les messageries n'ont pas la même vitesse de diffusion, ensuite suivant tes réglages, soit tu vois tes mails arriver "immédiatement" en "push", soit tu doit les relever.
Donc je suppose qu'à l'heure où j'écris tu as dû le recevoir.

avatar smog | 

Et bien pour la peine, je vais m'abonner !
Soutien à 100% !

avatar ShokoLaNoir | 

Merci d’être transparents, et pour les gens : gestionnaire de mots de passe, n’oubliez pas 👍

avatar prodijital | 

Fait. Courage à vous !

avatar niicoo76 | 

Merci pour l’info. Mot de passe changé.

avatar Gregoare | 

C’est encore un coup de Log4J ?

avatar Thibaud- | 

Cela me fait me poser une question, pourquoi chiffrer uniquement les mots de passe dans les bases de donnés, et pas l’intégralité de la base?

Je sais que l’email est beaucoup moins important que le mot de passe, mais ça reste des données relativement sensibles.

avatar onemorething | 

@Thibaud-

Sinon la base de données serait quasi inutilisable pour filtrer etc..

avatar hercut | 

@Thibaud-

Je suis d’accord.
C’est toujours pareil, les données des utilisateurs sont toujours les dernières à être sécurisées …
C’est pas comme si ce n’était pas courant ce genre de d’attaque et pas comme si on le dit et demande, sécuriser les informations utilisateurs !

C’est jamais agréable, mais bon courage en tout cas et merci de nous avoir averti !

avatar minipapy | 

@Thibaud-

Parce qu’il ne faut pas confondre hachage et chiffrement. Une fonction de hachage est une fonction « à sens unique » : une donnée produit une empreinte, mais l’empreinte ne peut, théoriquement, pas retrouver la donnée initiale (j’insiste sur le théorique, car il existe de nombreux angles d’attaque pour les contrer). Pour faire simple, les mots de passe sont hachés et salés : macg ne connait pas votre mot de passe n’a pas possibilité de le connaître. A chaque fois que vous vous connectez, le mot de passe que vous saisissez passe dans la moulinette et seules les empreintes sont comparées.
Hacher les emails reviendrait… à perdre la donnée et ils ne pourraient donc plus vous contacter comme ils viennent de le faire.

Reste la possibilité de chiffrer, mais cela implique d’autres problématiques, notamment sur la gestion des clés de chiffrement : macg doit pouvoir déchiffrer les données et donc être en possession de la clé. S’ils sont compromis, la clé a toutes les chances de l’être également et la sécurité se trouve donc caduque.

Bref, la centralisation de données et leur protection restera toujours un sujet délicat. 🙂

avatar Anthony Nelzin-Santos | 
@minipapy : « macg doit pouvoir déchiffrer les données et donc être en possession de la clé », ce qui irait à l’encontre même de la démarche, et explique que cela ne nous ait jamais traversé l’esprit.
avatar minipapy | 

@Anthony

Absolument, c'est totalement logique. ;)

avatar Link1993 | 

@Anthony

Après, rien ne vous empêche de faire 2 chiffrage. Un pour le mot de passe, comme ce que vous avez déjà, et un deuxième avec juste les données perso, et qui est fait avec une clé que seuls vous connaissez (comme celui utilisé pour se connecter sur la base de données, ou un truc à saisir à part).

Après, c'est pas mon domaine, donc ce n'est qu'une hypothèse ^^

avatar Anthony Nelzin-Santos | 
@Link1993 : cela ne change rien à mon commentaire précédent. Si nous sommes en possession de la clé, alors vos données ne sont pas _vraiment_ chiffrées (et donc autant les laisser en clair, c’est beaucoup moins de tracas au quotidien, pour le même effet au final). Je ne veux pas avoir les moyens de déchiffrer des données, ni volontairement, ni contre mon gré, et encore moins à mon insu.
avatar cybercooll | 

@minipapy

Macge hashe le mot de passe qui est posté en clair. Ils connaissent bien la valeur avant. Ils ne la conservent et ne la mettent probablement pas dans un log par contre.

avatar ingmar92110 | 

@minipapy
Merci bcp pour les explications 👍👍

avatar cybercooll | 

@Thibaud-

Ouais hashons les commentaires ça pourrait être fun.
Je commence

$2y$10$neZJGqbkgg15xZ78Ed2I0u.pl7waJF2ijVTBfnFrEq6Nu/tQgqrjy

avatar calotype | 

Question debile , ça va servir à quoi de changer mon mot de passe s’ils ont déjà mes données ?

avatar pancho53 | 

Merci pour l’info. Malheureusement ces attaques touchent tous les sites à court ou long terme.
Bon courage !

avatar Anthony Nelzin-Santos | 
@calotype : cela couvre essentiellement le cas où tu utilises un mot de passe faible, que tu réutilises ailleurs. Si c’est le cas, tu sais qu’il faut le changer ici… et surtout ailleurs. Pour le reste, effectivement, cela ne sert pas à grand-chose (surtout qu’avec le salage, bon courage pour déchiffrer les mots de passe), mais cela ne fait pas de mal non plus.
avatar calotype | 

@Anthony

Ok merci et là je viens de recevoir un deuxième mail de Macg mais avec une adresse différente ! Est ce que c’est aussi la vôtre ? Sinon c’est peut être eux qui exploite la situation de crise car il y a des liens pour réinitialiser le mot de passe …

avatar Anthony Nelzin-Santos | 
@calotype : si tu as participé au projet Kickstarter, tu as dû recevoir deux mails, effectivement. Les deux viennent bien de nous.
avatar pim | 

@Anthony

Ok merci pour l’explication ! Bon courage à vous !!!

avatar calotype | 

@Anthony

Effectivement c’est le cas.
Merci pour cette excellente réactivité.

Je ne peux pas m’abonner plus que l’illimité, mais le cœur y est.

Bon courage.

Pages

CONNEXION UTILISATEUR