Piratage de compte ou de site ?

Bonjour,
J'ai eu un truc curieux sur mon ordinateur ce matin, mon home (je suis sous Linux) totalement plein (0 octets libres), ordinateur bien sur bloqué, aucune navigation possible (un comble pour un soit-disant plaisancier !). J'ai vérifié et essayé diverses manipulations avant de me rendre compte qu'il valait mieux tout réinstaller car c'est plus simple et rapide sous Linux, ayant un backup systématique et un autre contrôlé manuellement.
Sous Linux, une petite heure suffit à réinstaller avec tous les paramètres, alors...
Mais lors de la reconnexion à mes comptes divers et paramétrages de la messagerie (Thunderbird), j'ai eu un message d'avertissement de Gogol me disant qu'un mot de passe avait été piraté.
Je précise faire un check automatique des comptes e-mails par Firefox Monitor, ça vaut ce que ça vaut mais pour le moment, je n'ai pas eu de soucis avec.
Il m'a confirmé le problème sous l'adresse utilisée pour Héo. D'autre part, depuis une petite semaine, j'ai eu, comme d'autres l'ont signalé, obligation d'accepter les cookies à chaque fois que je venais sur Héo.
Est-ce une relation de cause à effet, un compte membre sur Héo réellement piraté ou compromis, je ne sais, en tout cas, sous Linux, ça surprend...
En PJ, copie d'écran du message Gogol.

#compte#piratage#securite

PhilGé

PhilGé

04 déc. 2020

Tous
Non lu

Bonjour PhilGé, remonté à Tom pour vérification... Sailortoun04 déc. 2020

Je bloque ce fil le temps que Tom vérifie et vo... Sailortoun04 déc. 2020

Bonjour Phil. Non il n’y a aucune relation. ... tom04 déc. 2020

Merci de vos réponses rapide. Tom, je ne compr... PhilGé04 déc. 2020

Philgé : Debian + firefox ; j'ai eu (il y a qq ... BMayer (LauBen)04 déc. 2020

Certains sites peu sécurisés et mal conçus stoc... FredericL04 déc. 2020

Je crois que si ton home est sur une partition ... kivoila04 déc. 2020

As-tu activé le serveur FTP sur ta machine? Si ... jdmuys05 déc. 2020

Je pense plutôt à un passage par le serveur VNC... juliusse05 déc. 2020

Et pour le futur, que ce soit VNC ou FTP, on ou... juliusse05 déc. 2020

J’irais un pas plus loin: ne pas utiliser ftp d... jdmuys05 déc. 2020

Et c'est quoi le sftp ? du FTP transitant via u... juliusse06 déc. 2020

Oui mais qui ne fonctionne que comme ça. Pas de... jdmuys06 déc. 2020

Home sur une partition séparée, partition Win a... PhilGé05 déc. 2020

Le /home sur partition séparée n'empêche pas de... juliusse05 déc. 2020

Si la liaison est sécurisée (HTTPS, SFTP, SSH, ... FredericL05 déc. 2020

C'est bien ce que je dis. Le problème est que u... juliusse05 déc. 2020

D'accord avec toi, Juliusse, et j'ai oublié de ... PhilGé05 déc. 2020

Honnêtement, je ne me souviens même pas de la d... juliusse05 déc. 2020

Parce que tu es un bon ! :-) PhilGé05 déc. 2020

Et j'ajouterai que lorsqu'un disque est plein, ... PhilGé06 déc. 2020

Aucun rapport. Le message d’alerte sur ton co... canadabzh05 déc. 2020

C'est fait. PhilGé05 déc. 2020

Salut, je suis plutot doué dans ce domaine. Je ... BenjiC3407 déc. 2020

C'est fait. Merci ! PhilGé07 déc. 2020

Sailortoun

04 déc. 2020

Bonjour PhilGé, remonté à Tom pour vérification.

Merci de ton alerte.

Ajouter un commentaire

Sailortoun

04 déc. 2020

Je bloque ce fil le temps que Tom vérifie et vous réponde, on va éviter les supputations hasardeuses.

Ajouter un commentaire

tom

04 déc. 2020

Bonjour Phil.

Non il n’y a aucune relation. Les données personnelles ne sont en aucun cas transmises à aucun tiers.

De même que le bandeau en question n’a pas connaissance de ton e-mail.

Tom

Ajouter un commentaire

PhilGé

PhilGé

04 déc. 2020

Merci de vos réponses rapide.
Tom, je ne comprends, pas quand tu me dis que le "bandeau" n'a pas connaissance de mon email. Si tu peux m'expliquer en deux mots, merci.
En tout cas, j'ai changé de mot de passe de mon compte, et de toute façon, ce compte mail n'est pas vraiment important ou viral.

Ajouter un commentaire

BMayer (LauBen)

04 déc. 2020

Philgé : Debian + firefox ; j'ai eu (il y a qq minutes encore) la validation de cookies.
Pour l'instant le ~/ ne bouge pas.

Ajouter un commentaire

FredericL

FredericL

04 déc. 2020

Certains sites peu sécurisés et mal conçus stockent les mots passe en clair, ce qui peut entraîner la publication de ces informations quand la sécurité du site est compromise.
Si tu utilises une même combinaison identifiant + mot de passe que sur un site compromis, Google peut te le signaler au moment où tu t'identifies.

Ajouter un commentaire

kivoila

04 déc. 2020

Je crois que si ton home est sur une partition séparée, çà ne devrait pas bloquer ton PC

Ajouter un commentaire

jdmuys

jdmuys

05 déc. 2020

As-tu activé le serveur FTP sur ta machine? Si oui, il est possible que tu aies eu une intrusion par ftp et que les pirates se soient servis de ta machine pour stocker des fichiers.

Il y a quelques années j'ai pu observer pendant deux heures avec amusement des tentatives d'intrusion de ce genre sur ma machine (Mac OS, par Linux, mais Unix quand même). Le pirate n'a pas réussi à pénétrer. J'ai commencé à remonter vers lui par son adressee IP, et il s'est avéré qu'il était en Arabie saoudite (ou qu'il utilisait un routeur ou un VPN là bas).

Ajouter un commentaire

juliusse

05 déc. 202005 déc. 2020

Je pense plutôt à un passage par le serveur VNC, je crois savoir que philgé s'en sert pour le rpi.
blog.imirhil.fr[...]il.html

Ajouter un commentaire

juliusse

05 déc. 2020

Et pour le futur, que ce soit VNC ou FTP, on ouvre un tunnel ssh au préalable pour y faire passer les données...

jdmuys:J’irais un pas plus loin: ne pas utiliser ftp du tout. C’est un protocole non sécurisé et le risque est grand d’oublier s’ouvrir un tunnel avant. Préférer sftp par exemple. Avec sftp, pas de risque d’oubli. ·le 05 déc. 2020 19:06

juliusse:Et c'est quoi le sftp ? du FTP transitant via un tunnel ssh.·le 06 déc. 2020 10:33

jdmuys:Oui mais qui ne fonctionne que comme ça. Pas de risque d’oubli·le 06 déc. 2020 17:24

Ajouter un commentaire

PhilGé

PhilGé

05 déc. 2020

Home sur une partition séparée, partition Win aussi, partition commune Win/Linux aussi.
Pas de FTP d'activé.
Mot de passe généré par Firefox
Serveur VNC inactif et mot de passe du serveur VNC complexe (84 caractères).

Je n'ai pas compris le problème et ne faisais que signaler cette apparente relation de cause à effet entre :
- un signalement via Gogol du site Héo (voir image)
- une demande de validation systématique des cookies lors de la connexion au site Héo et, last but not least...
- une disparition totale des favoris dans Firefox et uniquement dans Firefox (je ne me sers pas d'autre navigateur et en cas de problème, navigateur de secours comme qupzilla ou falkon).

Mon fil est aussi pour permettre à d'autres membres d'identifier ou de mettre le doigt sur un souci éventuel de site (pas forcément Héo) ou une tentative de prise en main de l'ordinateur, brutale ou cachée.
Le côté marrant est que j'avertis systématiquement (par des exemples concrets) les amis ou membres de ma famille peu au fait de la sécurité des données dans un ordinateur ou de l'utilisation par un tiers inconnu de l'ordinateur de ce genre d'attaque par le biais de faux messages mails, de pièces jointes douteuses ou de fake...
Tel est pris...
;-)

juliusse:Le /home sur partition séparée n'empêche pas de l'atteindre, quand il est monté il est monté.Un mot de passe à 84 caractères est une "fausse sécurité", si il transite en "clair", n'importe qui surveillant le réseau le trouve.(d'où le principe de cryptographie asymétrique). Ne pas oublier qu'aujourd'hui on arrive à rentrer sur des LAN wifi protégés en WPA2.La validation systématique à l'entrée sur le site, n'as tu pas un plugin firefox ou paramètre qui efface les cookies à la fermeture du navigateur ? Si oui c'est normal.Firefox sans favoris, si il n'y a plus les extensions non plus, regarde si ton crapbuntu n'a pas créé un nouveau profil firefox lors d'une mise à jour.(firefox -p dans le terminal).Pour toute connexion à partir du réseau vers la machine, préférer les clés asy et paramétrer pour bloquer au bout de x tentatives infructueuses de connexion, c'est toujours mieux.·le 05 déc. 2020 10:54

FredericL:Si la liaison est sécurisée (HTTPS, SFTP, SSH, etc...), rien ne transite ne clair. ·le 05 déc. 2020 12:16

juliusse:C'est bien ce que je dis. Le problème est que une grosse partie des gens ne s'assurent pas de ça. ·le 05 déc. 2020 12:19

Ajouter un commentaire

PhilGé

PhilGé

05 déc. 2020

D'accord avec toi, Juliusse, et j'ai oublié de préciser que ce mot de passe VNC est chiffré, non en clair. Pas de plugin spécifique effaçant les cookies à la fermeture du navigateur Firefox, pour ce qui est du nouveau profil, comme j'ai réinstallé, je ne vais pas le trouver.

juliusse:Honnêtement, je ne me souviens même pas de la dernière fois où j'ai réinstallé sur mes machines 😜😋😋😋·le 05 déc. 2020 11:27

PhilGé:Parce que tu es un bon ! :-)·le 05 déc. 2020 19:18

PhilGé:Et j'ajouterai que lorsqu'un disque est plein, que le home est plein comme un œuf, et que même en vidant la poubelle ou en faisant de la place le disque reste plein, il faut penser à réinstaller. Le jour où ça t'arrivera, tu verras qu'il n'y a qu’une solution, virus, attaque ou autre problème. De toute façon, si les sauvegardes sont correctement faites, réinstaller ne coûte pas beaucoup de temps, le seul moment pénible est de remettre les paramètres d'aspect visuels du bureau.·le 06 déc. 2020 10:30

Ajouter un commentaire

canadabzh

05 déc. 2020

Aucun rapport.
Le message d’alerte sur ton compte gmail :
Le mot de passe que tu utilises sur Hisse et Oh est dans une base de données de mot de passe. (Utilisé par lors des attaques par force brut. )

Change le mot de passe sur ton compte Hissé Oh et tout ira bien.

Les best practices :
www.ssi.gouv.fr[...]-passe/

PhilGé:C'est fait.·le 05 déc. 2020 19:19

Ajouter un commentaire

BenjiC34

07 déc. 2020

Salut, je suis plutot doué dans ce domaine. Je t'es envoyé un message en privé. Je te conseil d'enlever ce post car malheureusement tes mot de passe sont biens compromis sur internet avec cette adresse mail, je te fais la liste pas message privé ;)
Benjamin

Ajouter un commentaire

PhilGé

PhilGé

07 déc. 2020

C'est fait. Merci !

Ajouter un commentaire