MacGeneration victime d’une attaque informatique

Anthony Nelzin-Santos | 16/02/2022 à 15:00

MacGeneration a été récemment victime d’une attaque informatique de grande ampleur. Au cours de cette opération nous visant directement, les attaquants ont exploité une faille dans un module tiers pour pénétrer dans notre infrastructure, et accéder à notre serveur de bases de données.

Nous avons découvert cette attaque après une tentative de phishing visant nos journalistes et nos développeurs. Nous avons immédiatement mené un audit complet de nos serveurs, pris des mesures de sécurisation, et mis hors d’état de nuire les serveurs utilisés par les malandrins.

Nous venions heureusement de supprimer une partie des comptes inactifs depuis plusieurs années. Les informations des comptes de 102 262 membres ont toutefois été compromises. Le pseudonyme et l’adresse e-mail apparaissent en clair, mais le mot de passe est haché avec SHA-512 et salé.

Les motivations de cette attaque ne sont pas claires, aussi les conséquences sont probablement limitées. Par acquit de conscience, nous vous recommandons toutefois :

si vous n’utilisez plus votre compte MacGeneration : cliquez ici pour demander sa suppression ;
si vous utilisez votre compte MacGeneration : cliquez ici pour changer votre mot de passe.

Outre cette annonce publique, nous avons averti tous les membres actifs¹ par e-mail, et nous avons notifié le service Have I Been Pwned? afin de faire remonter l’information dans les gestionnaires de mots de passe. Nous avons notifié l’incident à la Cnil, et nous déposerons plainte dans les prochains jours.

Nous tenons à vous présenter nos excuses pour cette fuite de données indépendante de notre volonté. Nous continuons à étudier les conséquences de cette attaque, et nous restons à votre disposition pour tout complément d’information.

Qui se sont connectés au moins une fois dans les douze derniers mois. Les comptes qui possèdent des adresses erronées ou témoignent de vagues de spam seront progressivement supprimés dans les mois qui viennent, et les derniers comptes inactifs pourront être supprimés pour répondre à notre objectif de minimisation des données en notre possession. ↩︎

Apple Store : un nouvel appel à débrayer ce samedi 1er avril

Les meilleures ventes flash Amazon : dernier jour pour l'Apple Watch Ultra à 875 €, le Bose QC SE à 199 €…

Bon plan : le MacBook Pro 14" reconditionné Apple à 1 729 €

Promo : le SSD Samsung T7 en 1 To à 92 €, 2 To à 156 €

Vyggo | 16/02/2022 à 18:19

Marrant, je suis persuadé qu’une News indiquant qu’un autre site s’est fait piraté et la teneur des commentaires auraient été tout autre.

Il y a eu plein d’études sur l’analyse du comportement humain dans la même philosophie de situations et celle de macge vient confirmer les résultats. Intéressant !

Bigdidou | 16/02/2022 à 18:21

Ah, désolé, c’est moi, j’ai fait une mauvaise manip.

R-APPLE-R | 16/02/2022 à 18:22

Nous avons immédiatement mené un audit complet de nos serveurs, pris des mesures de sécurisation, et mis hors d’état de nuire les serveurs utilisés par les malandrins

LOL quand j’ai vue le mot "malandrin" j’ai tout de suite était moins paranoïaque en recevant l’email et de toute façon j’ai aucun mot de passe qui et réutiliser ailleurs 🤗

Bigdidou | 16/02/2022 à 19:24

@R-APPLE-R

“de toute façon j’ai aucun mot de passe qui et réutiliser ailleurs 🤗”

Bravo !
Mais moi qui utilise un peu partout Bigdidou@92, ça m’emmerde un peu.
Je vais attendre un peu pour changer, mais je suis un peu inquiet, forcément.

R-APPLE-R | 16/02/2022 à 18:25

C’est les russe c’est sur !! 75% des attaques sont d’origine russe 😔

kevinapple | 16/02/2022 à 18:47

Bon courage merci de votre transparence 😊

lordyto | 16/02/2022 à 18:54

Merci pour la transparence, c'est vite dit même si c'est un bon début, mais il manque quelques éléments.

2 questions :
- Récemment ? c'est à dire hier ou janvier ou décembre, depuis combien de temps le couple mot de passe/email est dans la nature ?

- La faute à un module tier ? Est-ce une faille connue, si oui pourquoi les MAJ ne sont pas appliquées (si elle existe bien entendu).

J’utilise Lastpass, donc le risque est assez limité ... le problème c'est la consolidation de toutes les données de toutes les boites qui perdent ou ne sécurisent pas assez nos données... Ici le login/email, chez Sony peut-être le téléphone, chez tartempion, l'adresse...Et au bout du compte en combinant tout on a un tas d'information pouvant servir à du phishing ou du vol d'identité.

Ici je dois vous féliciter, comparativement à beaucoup de site, vous ne demandez presque aucunes informations… Du coup la fuite est réduite.

Bon courage à vous!

marenostrum | 16/02/2022 à 19:01

ils vont te faire rien de mal par ton adresse mail. il faut pas l'utiliser partout où tu y vas.

l3chvck | 16/02/2022 à 19:04

A quoi ca sert de changer le mot de passe s’ils etaient hashés et salted ? A rien du tout.

marenostrum | 16/02/2022 à 19:15

hashé veut rien dire, juste que les administrateurs qui ont accès au serveur, de ce site, ne peuvent pas lire le mot de passe. mais celui qui a utilisé le hack. lui peut le décrypter avec le même script que ce site l'a fait. il possède le script.

l3chvck | 16/02/2022 à 19:15

@marenostrum

Non il peut pas decrypter un hash. Il peut juste balancer hasher et saler un dictionnaire et voir si ca correspond a ce qu’il y a dans la base de données. Donc si le mot de passe est bien choisi avec une bonne complexité c’est introuvable.

marenostrum | 16/02/2022 à 19:19

il a ramassé que des mails alors. et puis même en clair, à quoi peut lui servir le mot de passe. juste ouvrir la boite de dialogue et écrire des commentaires ici. rien d'autre peut faire.

marc_os | 17/02/2022 à 11:40

@ marenostrum

S'il s'agit d'un membre, le malandrin peut probablement* aussi se faire passer pour quelqu'un d'inscrit dans la section vente/achats et ainsi flouer des gens.

(*) Je ne suis pas membre payant et je n'ai jamais rien vendu ni acheté ici, donc je ne sais pas si c'est vraiment le cas.
@ macg, qu'en est-il ?

francoismarty | 16/02/2022 à 19:18

@marenostrum

Un mot de passe hashé ne peut pas être retrouvé par l’opération inverse puisque celle-ci n’existe pas.

marenostrum | 16/02/2022 à 19:28

comment il est fait alors, par l'esprit divin ? y a un script ou algorithme qui le crée au début par une logique mathématique, ça se fait pas par hasard, parce que la connexion serait impossible après.

et la question était pourquoi alors ils recommandent de changer le mot de passe si c'est inviolable son hachage.

francoismarty | 16/02/2022 à 21:11

@marenostrum

Quand tu crées ton compte, on hashe ton mot de passe et on le stocke.
A chaque connexion, ton mot de passe est hashé de nouveau et comparé à celui stocké.
Il n’y a pas d’opération inverse pour retrouver un mot de passe à partir de sa version hashée.

marenostrum | 16/02/2022 à 21:56

mais qui le hache ? y a un script qui le fait. moi j'écris dans mon clavier 1234bRTS et le script traduit autre chose dans la base. celui qui possède le script connait la logique comment tout ça fonctionne, bref il peut trouver les touches du clavier. pour ça la recommandation de changer le mot de passe après un hack.

francoismarty | 16/02/2022 à 22:17

@marenostrum

La personne qui récupère les mots de passe hashés n’a pas de moyen simple de retrouver les mots de passe d’origine, mais avec quelques moyens, du temps, du bon matériel et un peu de chance, elle pourra peut-être retrouver certains mots de passe, surtout s’ils sont assez simples et courts.

marenostrum | 16/02/2022 à 22:40

l'autre possède le moteur que utilise ce site. bref c'est facile pour lui de trouver TOUS les mots de passe. (ou tiens une méthode que je viens d'inventer, avant de pirater la base de données du site, tu ouvres quelques comptes et les mot de passe {en utilisant le plus de signes possibles} de tes comptes vont te servir trouver la logique du script).

mais un mail lui est plus utile (parce que il peut le vendre, et parce que l'utilisateur ne va pas le changer si facilement que le mot de passe) que un mot de passe.

en plus la plupart font ça que pour nuire la réputation du site, surtout si c'est un site concurrent ou commercial) que pour les quelques comptes d'inconnus.

francoismarty | 16/02/2022 à 22:44

@marenostrum

Tu n’as pas compris le fonctionnement d’un algo de hashage, renseigne toi un peu sur le net si mes explication ne sont pas claires.

marenostrum | 17/02/2022 à 19:28

j'ai bien compris. celui qui a accès au server il peut tout déchiffrer, absolument tout. pareil quand on rentre dans un châteaux. le plus dur reste d'y rentrer, mais une fois à l'intérieur on peut tout faire.

francoismarty | 17/02/2022 à 08:18

@marenostrum

Non tu n’as pas compris.
Il n’y a aucune méthode mathématique pour retrouver le mot de passe en clair.
La seul solution, en gros, est de recréer des hashs jusqu’à tomber sur les mots de passes hashés qu’on a déjà et ça demande des moyens.

Scooby-Doo | 17/02/2022 à 21:01

@marenostrum,

" j'ai bien compris. celui qui a accès au server il peut tout déchiffrer, absolument tout. pareil quand on rentre dans un châteaux. le plus dur reste d'y rentrer, mais une fois à l'intérieur on peut tout faire. "

Non vous n'avez pas compris comment fonctionne cette protection !

Un peu de lecture pour vous éclairer :

https://fr.wikipedia.org/wiki/Fonction_de_hachage

On compare l'empreinte du mot de passe, pas le mot de passe lui-même qui n'a jamais été stocké sur le serveur.

Sinon cela ne servirait à rien en cas de compromission de la sécurité informatique du système.

L'algo produit l'empreinte, mais depuis l'empreinte on ne peut pas (rapidement) retrouver la donnée avant hachage et salage.

Sauf si vous avez la puissance informatique nécessaire pour y arriver par force but, dictionnaire, etc... et encore !

Et dans l'article de Wikipédia, l'exemple illustré de la Joconde hachée menue est assez parlant !

https://fr.wikipedia.org/wiki/Fonction_de_hachage#/media/Fichier:Pedagogical_illustration_of_the_principle_of_hashing_functions.png

Difficile en partant du tableau haché de retrouver la Joconde...

Il y a très vaguement une ressemblance, mais faut vraiment être bon pour y arriver !!!

😁

vandykmarsu | 18/02/2022 à 10:47

@francoismarty
@marenostrum

Avec des outils comme John The Ripper par exemple.

Un mdp de 8 digit hashé en sha512 Unix, avec juste un CPU 8 Coeurs, en 16h il est révélé, avec un gros GPU ça prends moins de tps...

Merci les cours de cybersec, m'a rendu parano :P

francoismarty | 18/02/2022 à 17:53

@vandykmarsu

Mieux vaut être parano que négligeant.

iPecador | 16/02/2022 à 19:05

Merci pour votre transparence (conforme aux exigences de la CNIL, c’est rare).
En revanche, j’ajouterais une précision sur le terme chiffrement. Les mots de passe ne sont pas chiffrés mais hachés puisqu’il s’agit de SHA-512. Pour ceux qui ça intéresse, cela signifie que ce n’est pas une forme dérivée du mot de passe qui est stockée mais sa signature. Comme l’a dit Anthony, avec un salage en plus, il devient techniquement impossible de remonter au mot de passe

Pintaf | 16/02/2022 à 19:08

Ça arrive à beaucoup et ce n'est pas de votre faute. Bon courage à vous !

iPecador | 16/02/2022 à 19:09

Je me rends compte que d’autres ont déjà précisé ce point. Pardon pour la redite

francoismarty | 16/02/2022 à 19:21

@macg

Si on voulait pinailler, sha512 n’est pas adapté aux mots de passe, car très rapide à l’exécution, donc facilitant les attaques par force brute.

marenostrum | 16/02/2022 à 19:32

ils sont pas programmeurs mais des journalistes et ils utilisent Drupal pour ses sites. ils vont pas eux-mêmes coder. la vie ne suffit pas.

Anthony Nelzin-Santos | 16/02/2022 à 20:13

@marenostrum : nous employons quelques développeurs, tout de même… (Et j’ai beau être journaliste, j’ai développé deux ou trois trucs sur MacG au fil des années. Mon collègue Nicolas pourrait faire la même remarque.)

marc_os | 17/02/2022 à 11:43

@ marenostrum

A bon, on peut créer une app iOS avec Drupal ?

marenostrum | 17/02/2022 à 12:48

Le site est drupal en tout cas. L’app aussi peut-être. Ils ont sûrement fait tout ce qui faut de leur côté pour réaliser facilement l’app. D’ailleurs tous ces fonctions fragilisent le site. Ça crée des bugs et des failles.

Je connais assez bien ce genre de site. J’avais créé le mien depuis 2005, site + forums. Toujours en ligne mais aucune activité.

Zazou | 16/02/2022 à 19:33

Qu'en est-il des infos du forum ? Sommes-nous concernés également ?
MAJ : après avoir lu la majorité des commentaires, le forum n'est pas concerné.

JemLah | 16/02/2022 à 19:34

Bravo pour la transparence ! Courage, les attaques sont fréquentes malgré les dispositifs de sécurisation.

TheNubbies | 16/02/2022 à 19:51

Merci pour votre grande transparence, il n'est jamais agréable d'informer d'avoir été victime d'une attaque.

Je comprends maintenant pourquoi dans mes emails, j'ai souvent des tentatives d'hameçonnage ces derniers mois et des spams qui pourtant ne marchent pas chez moi (car je garde toujours la vigilance...)

Benito58 | 16/02/2022 à 20:19

Tout mon soutien. Merci pour ce que vous faites.

Korell | 16/02/2022 à 20:37

Courage !
Et merci d’avoir informé la communauté de cette attaque, d’autres groupes ne l’auraient pas fait

Xalio | 16/02/2022 à 21:11

Si seulement tout le monde avait:
1- votre présence d’esprit de faire le lien entre phishing et attaque
2- la prudence de faire vérifier l’infra par des gens ayant les compétences
3- l’honnêteté de le dire à ses clients

Bravo. Et merci!!

vicento | 17/02/2022 à 07:29

@Xali
💯

rua negundo | 16/02/2022 à 21:25

Bon courage ❤️‍🩹

Nevcam | 16/02/2022 à 21:25

Bon courage ! Merci

iPode | 16/02/2022 à 21:57

J’arrive pas à changer mon mot de passe !

minarey | 16/02/2022 à 22:05

Bon courage à vous tous, bravo pour votre communication, votre réactivité et votre sérieux. Et je ne pense pas que ce soit à vous de présenter des excuses !