Bonjour, Invité · Connexion · Inscription
Pages : Précédent 1 2 3 Suivant

lapin · Administrateur

05-12-17 17:14:02

11-07-11 · 13 872

  81 

Un grand merci pour vos réponses.


Bon du coup t'a disparu ou quoi Izwalito ?

Plus rapide à faire des accusations sans aucune mesure ni recul qu'à revenir défendre ton point de vue ? J'ignore quel était le but de ta publication mais clairement c'est décevant comme attitude. Tu est dans la défiance la plus complète vis à vis du forum et depuis un moment, soit c'est ton droit, comme tu l'a vu ton post est encore en ligne et non touché. Cependant je t'invite à l'édité rapidement au vu des élements fournis ici ou d'apporter une réponse aux constations faites par d'autres membres qui vont à l'encontre des tiennes.

Dans l'intervalle tu perd un point d'implication et je t'invite à être prudent dans tes prochaines contributions par ici, je ne te ferais aucun cadeau.

Schranz for life · Bass skwatteur

05-12-17 17:36:06

28-08-16 · 212

Jamais rien reçu il est parano

Le gras c est bon

dédé · Bass Explorer

05-12-17 18:14:17

18-08-16 · 97

  

idem rien reçu..........

izwalito · Bass Traveller

08-12-17 11:27:31

13-05-16 · 138

  

Deuxième tentative de phishing reçue ce matin, cette fois qui tente de se faire passer pour chronopost.


Bonjour,

Je suis    Bernard       Roussel, responsable Chronopost. Je vous informe que vous avez un colis au bureau de poste.
Vous disposez d’un délai de 48 heures pour récupérer votre colis, sinon il sera retourné à l’expéditeur.
Veuillez confirmer l’envoi du colis à votre domicile en suivant les instructions ci-dessous:
1/ Appeler le Numéro de notre service clients:    -REDACTED-(l’appel déjà payé par notre système)-
2/ Recevoir le code de confirmation par téléphone.
3/ Envoyer le code de confirmation à l’adresse e-mail suivante:       [email protected]
Veuillez lire attentivement les instructions suivants :
*Le code c’est pour Assurer et confirmer l’envoi du colis.(1 appel Succès pour l’obtenir)
*Le code sera répété deux fois notez le bien.
* Après que vous avez passez la confirmation avec succès, un e-mail sera envoyé à votre adresse Mail avec touts les informations nécessaires à propos de votre colis (Expéditeur, Date, Bureau de poste le plus proche…).
Cordialement.
Bernard       Roussel
Responsable Chronopost



Libre à toi de t'imaginer que je suis suffisamment con pour croire qu'inventer une histoire de spam nuirait à BE d'un quelconque manière ou encore que j'ai que ça à faire de mon temps que de chercher à nuire à la communauté tekno. On a un désaccord entre nous sur le fait que ton incompétence technique t'empêche de comprendre la nécéssité de chiffrer les accès au site pour protéger les usagers de la surveillance et éviter de faire circuler les mots de passe en clair, qui est la raison pour laquelle j'ai juste arrété de venir sur BE, c'est ton site tu fais bien ce que tu veux avec. Si tu n'es pas capable de faire la part des choses, c'est triste mais faut pas tout mélanger. Ce dossier là est réglé tu ne veux pas sécuriser les accès à BE, je préfère avoir la confidentialité dans mes activités en ligne donc je ne viens plus sur BE.

Maintenant enlève moi tout les points que tu veux, ça m'en touche une sans bouger l'autre. Ça fait bien longtemps que je me suis fait à l'idée de me faire taper dessus pour avoir l'outrecuidance de lancer des alertes. Et maintenant tu as fini de faire joujou avec ta position de chef dans la structure de pouvoir, revenons au problème si tu veux bien.

Est-ce que tu as checké tes logs d'accès à la base des adresses emails ?

Si je suis le seul concerné, ça pourrait indiquer une attaque ciblée et pas d'une fuite de l'ensemble de la base. On avait eu le cas sur tekalbombre d'un modo qui s'était octroyé jusiticier en herbe et avait pris certains emails de personne avec qu'il était en désaccord et les avait inscrit à tout un tas de newlsetter et autres saloperies pour les punir. Ça avait été assez compliqué à retrouver à cause de la manière dont phpBB gérait les accès à la base mais par déduction et petite enquête on avait fini par le retrouver. Un peu tard puisqu'il s'était fait une copie de la base des mails et comme il était pas content de s'être fait prendre il avait utilise la base pour spammer tout le monde avec de la pub pour des soirées. Demande à Thibo si tu ne me fais pas confiance, il te confirmera.

Est-ce que tu as besoin des headers non redacted ?
Parce que cette boite étant configurée semi sécurisée, elle efface les logs au bout d'un délai assez court et elle est configurée pour s'autodétruire à réception du 3éme spam/virus/phishing.

Étant donné que l'email n'est pas utilisé comme identifiant dans le formulaire de connexion, ma supposition d'une possible collecte lors de la connexion est à écarter. de toutes façons je ne me suis pas connecté sur BE pendant une assez longue période précédant le premier phishing. Si je me rappele bien le dernier message avant ça c'était pour poster la campagne de sensibilisation sur la nécéssité d'avoir https pour avoir un début de confidentialité. Est-ce que ce message peut avoir agacé quelqu'un (à part peut-être toi, mais je te fais suffisamment confiance pour savoir que tu ne ferais pas ce genre de chose) ?

izwalito · Bass Traveller

08-12-17 11:50:56

13-05-16 · 138

  

lapin
Je pense que c'est un peu tôt pour tiré ce genre de conclusion.



C'est pas des conclusion, c'est des hypothèses basées sur les cas les plus courants quand ce genre de chose se produit. Ça n'a rien d'exhaustif, ça peut tout à fait être autre chose. Tu confirmes que ça ne peut pas être ni le 1, ni le 2, de mon côté comme je le dis juste avant c'est probablement pas le 3 non plus. Donc il faut envisager une autre piste.

lapin
Pour le reste c'est un peu simple comme accusation sans aucune preuve particulière si ce n'est un email reçu sur ton adresse.



Pour des raisons évidentes je ne vais pas exposer mon setup en détail, mais suite au problème décrit plus haut qu'on avait rencontré sur tekalombre j'ai mis en place un setup "canari" qui permets de détecter quand un site utilise une adresse email en dehors de l'usage prévu. Cette adresse mail a été créée uniquement pour BE et n'a servi qu'une fois lors de mon inscription. De mon côté elle n'apparait pas en dehors d'une base locale chiffrée et dans la config interne du serveur qui gère le setup. Le serveur qui gère plusieurs milliers d'adresse n'a pas été compromis et la seule adresse ayant reçu une tentative de phishing au cours des 3 derniers mois est précisément l'adresse utilisée pour BE. Autrement dit le système a fonctionné exactement comme il a été prévu. Ça fait près de 15 ans qu'il est en service et a toujours bien fonctionné et pour l'instant n'a jamais fait de faux positif.

Ce qui est certain c'est que ça fait deux fois en peu de temps que je reçois une tentative de phishing sur cette adresse qui n'est connue que de BE et de moi et que ce n'est pas de mon côté que vient le problème. Les deux phishing étant localisé pour une cible française malgré un TLd générique, on peut exclure une attaque générique. Les deux étant correctement orthographiés on peut aussi exclure que ce soit un 419.

lapin · Administrateur

08-12-17 13:50:21

11-07-11 · 13 872

  81 

Donc en gros quand on te dit que tu est le seul à avoir ce type de problème plutôt que de te remettre en question toi et ton setup, tu pousse le bouchon jusqu'à imaginé une attaque ciblée contre ton adresse mail et uniquement la tienne.. Désolé de te le dire mais tu n'est probablement pas si intéressant que cela. J'ignore ou ça a péché dans ton setup mais il faut que tu débranche la parano qui t'habite ^^

Y'a pas 1000 pelos à avoir accès à ton email ici, et aucune des personnes concernés n'a ce genre de passe temps. Qu'il y ai eu des connards sur Tekalombre c'est tout à fait possible, maintenant si tu en est à remettre en cause la probité du staff c'est à toi d'apporter des éléments tangibles et sérieux et non à moi de creusé des heures pour donner suite à ton obsession.

J'ai suffisamment confiance en les personnes ayant accès aux email pour partir du principe que cette possibilité est au moins aussi fantaisiste que les autres. Et le manque de témoignage abondant dans ton sens corrobore le fait que l'équipe en charge de BE est intègre. De plus la bdd est comme n'importe quelle bdd et nécessite un MDP pour être manipulée. Mot de passe connu de moi seul.

J'ignore ou ton setup a merdé, mais il a merdé c'est évident... Pour finir tu sait quel que soit mes compétences techniques, l'important est de savoir s'entouré des bonnes personnes. BE est en ligne depuis 2011 sans aucun problèmes majeur et à part un ou deux DDOS et un détournement de compte qui a duré 5 minutes on est encore là sans aucun soucis de piratage ni d'arrestations. Pour un amateur sans compétences c'est pas mal non ? Et toi avec tes superbes compétences t'a fait quoi à par venir ici critiquer notre taff  ?

Gravity · Bass Jedi

08-12-17 18:54:19

25-08-12 · 629

fait gaffe lapin il est pote avec les hells....

Chips · Je viens d'arriver, je paye ma tournée !!

15-12-17 23:49:12

02-11-17 · 4

  

Bonjour, Izwalito n'est pas un cas ciblé, je ne crois pas avoir eu de contact avec lui et j'ai aussi reçu cet e-mail parlant de "chronopost" venant de cet adresse : 

[email protected]

Même cas : adresse unique pour l'inscription. (via tutanota)

Et même pensées aussi :

Je me suis inscrit il n'y a pas longtemps, mais malgré moi, je ne participe pas car il y a à mon sens un manque de respect de la vie privée dès la première marche sur ce site : Absence de protocole de type SSL ou TLS    ( qui viendrais garnir l'adresse du site avec un HTTPS) .

-Pour ceux qui ne savent pas de quoi on parle : https://fr.wikipedia.org/wiki/HyperText … col_Secure : ont fait réfrence à l'absence de cryptage de nos identifiants, notament lors de notre identification au site : quelqu'un peux récuperer ces données et en faire ce qu'il veux ( et ca ce fait communément,  la preuve :  les e-mail d'arnaques qu'on a recu izwalito et moi et ???( checkez votre rubrique 'SPAM' de votre boite mail) -


Alors, rien n'est fiable (en revenant au HTTPS), on peut toujours ce faire berner par de faux certificats -par exemple - ( une solution serait de les générer vous même... ).

Il y a plusieurs raisons à ne pas utiliser d'HTTPS, le tout c'est qu'elles soient fondées, mais le manque de communication sur ce sujet n'inspire aucune confiance ( et je peux vous dire qu'IRL vous en louper des contributeurs à cause de ce "detail" technique qui décrédibilise au regard de la section "Soirées Sans Autorisation" ).

Je ne suis pas là pour parler d'incompétence, je ne te connais pas Lapin... Mais s'asseoir sur ses lauriers ( cf : tes derniers phrases ) n'est pas prudent, surtout quand on est dans le monde de l'informatique connectée, avec une breche de ce genre ...

Alors oui, on pourrait continuer a ignorer le coin mais je trouve ça dommage car le site est quand même bien foutu, Il y a du "travail" derrière, de l'echange, de chouettes personnes, une belle base de données et des sujets qui ont un fond ...  Seulement, il y a une tache ...

... Cordialement ... enfoncé... le clou. wink

IVO · Sound System

16-12-17 08:29:49

05-11-14 · 2 121

  15 

perso rien non plus.
je retourne la chose:
2 cas signalés sur ... Nombre total de membres : 7 692 ...
on se demande dans quel sens tirer des conclusions hatives ?

N/C · Bass Traveller

16-12-17 12:20:48

13-11-15 · 187

  

toujours rien non plus, ce qui est marrant c'est que c a chaque fois des supers pro du développement et de la sécurité qui ont des problèmes smile

lapin · Administrateur

16-12-17 13:13:59

11-07-11 · 13 872

  81 

Chips
Bonjour, Izwalito n'est pas un cas ciblé, je ne crois pas avoir eu de contact avec lui et j'ai aussi reçu cet e-mail parlant de "chronopost" venant de cet adresse : 

[email protected]

Même cas : adresse unique pour l'inscription. (via tutanota)

Et même pensées aussi :

Je me suis inscrit il n'y a pas longtemps, mais malgré moi, je ne participe pas car il y a à mon sens un manque de respect de la vie privée dès la première marche sur ce site : Absence de protocole de type SSL ou TLS    ( qui viendrais garnir l'adresse du site avec un HTTPS) .

-Pour ceux qui ne savent pas de quoi on parle : https://fr.wikipedia.org/wiki/HyperText … col_Secure : ont fait réfrence à l'absence de cryptage de nos identifiants, notament lors de notre identification au site : quelqu'un peux récuperer ces données et en faire ce qu'il veux ( et ca ce fait communément,  la preuve :  les e-mail d'arnaques qu'on a recu izwalito et moi et ???( checkez votre rubrique 'SPAM' de votre boite mail) -



Alors on va essayer d'être un peu raisonnable... Un man in the middle facile ? Vous critiquez l'absence de https soit, mais il faut pas dire nawak quand même. j'attends votre proof of concept d'un man in the middle ici si c'est si facile (et pas sur votre compte)... De plus l'email ne sert pas à l'identification ici donc de dire de manière aussi certaine "quelqu'un peux récuperer ces données et en faire ce qu'il veux ( et ca ce fait communément,  la preuve :  les e-mail d'arnaques qu'on a recu izwalito et moi et ???( checkez votre rubrique 'SPAM' de votre boite mail) " on attend vos démonstrations en attendant on est plus proche de l'exagération et du mensonge qu'autre chose ...

Vous craignez un exploit qui est très loin d'être à la portée du premier venu très très loin même et qu'aucun d'entre-vous ne serait en capacité de faire, tout cela en tentant de faire passer un man in the middle pour facile..

Inutile d'affabuler ou de forcé le trait... Ensuite dès votre inscription nous vous encourageons à utiliser VPN et proxy, dans le cadre d'une connexion VPN chiffrée un attaquant en Man in the middle aurait bien du mal à extraire vos informations. Pour finir si vous êtes en capacité de faire un Man in The Middle doit-je vous rappelez que même HTTPS est troué régulièrement (heartbleed etc...), bref ce n'est donc pas suffisant pour ce mettre à l'abris face à des hacker avec vos compétences....

Alors, rien n'est fiable (en revenant au HTTPS), on peut toujours ce faire berner par de faux certificats -par exemple - ( une solution serait de les générer vous même... ).

Il y a plusieurs raisons à ne pas utiliser d'HTTPS, le tout c'est qu'elles soient fondées, mais le manque de communication sur ce sujet n'inspire aucune confiance ( et je peux vous dire qu'IRL vous en louper des contributeurs à cause de ce "detail" technique qui décrédibilise au regard de la section "Soirées Sans Autorisation" ).

Je ne suis pas là pour parler d'incompétence, je ne te connais pas Lapin... Mais s'asseoir sur ses lauriers ( cf : tes derniers phrases ) n'est pas prudent, surtout quand on est dans le monde de l'informatique connectée, avec une breche de ce genre ...

Alors oui, on pourrait continuer a ignorer le coin mais je trouve ça dommage car le site est quand même bien foutu, Il y a du "travail" derrière, de l'echange, de chouettes personnes, une belle base de données et des sujets qui ont un fond ...  Seulement, il y a une tache ...

... Cordialement ... enfoncé... le clou. wink



Merci pour tes retours comme l'a souligné IVO vous êtes deux sur 7000 comptes à avoir fait remonté ces informations, il n'y a donc pas lieu d'en faire une montagne pour le moment mais nous devons rester vigilent, ce sujet est encore ouvert c'est bien qu'on laissera chaque personne potentiellement touchée s'exprimée ... Si nous t'inspirons pas confiance libre à toi de passer ton chemin. Dans l'immédiat HTTPS ne sera pas implémenté. Ce n'est pas dit que cela reste ainsi mais pour l'instant des contraintes techniques rendent cette implémentation compliquée.

Pour le reste moi perso j'ai plus confiance en un site avec une structure complètement offshore comme ici qui ne tombera sous aucune juridiction française, européenne ou américaine, et cela même en http qu'un service en https avec des serveurs en France et des proprio bien identifié comme c'est le cas de tout nos confrères...

Gravity · Bass Jedi

16-12-17 19:21:19

25-08-12 · 629

mdr izwalmescouilles a encore foutu son p'tit bordel....c'est pas nouveau il a fait la meme sur dm et si on remonte un peu plus loin sur fmr....

Les développeurs de FluxBB sont teubé et surement que c'est la meme  pour les hébergeurs^^

bien dit lapin le https c'est plus ou moins un flicage camouflé! a quand le . onion de BE

Dernière modification par Gravity (16-12-17 19:32:03)

Havohej · Sound System

16-12-17 21:36:18

30-07-15 · 105

  

Gravity
a quand le . onion de BE



J'espère jamais, pas envie de me prendre la tête 3000 pour aller sur BE

"Picture the scene...it’s bank holiday weekend, the weather has been beautiful, the night is warm, windows are open but you can’t sleep over the thudding bass from an illegal rave. "
Le Lapin Blanc

IVO · Sound System

17-12-17 22:19:59

05-11-14 · 2 121

  15 

ah ebn voilà ... la faute à BE ....

Spoiler


Avis de remboursement N37422993

De:    Root User <[email protected]>
à:    moi
Date:    17 décembre 2017 à 20:52
Objet:    Avis de remboursement N37422993
Envoyé par:    web01.laperchadigital.com
sécurité:    Chiffrement standard (TLS) En savoir plus



Bonjour,

Apres les derniers calculs annuels de l'exercice de votre activite,

nous avons determine que vous etes admissible a recevoir un remboursement de notre part d'un montant de 84 euros

Priere de soumettre votre demande de remboursement et nous permettre de 2 jours ouvrables pour le traitement de votre situation,

Pour acceder au formulaire de votre Compte ,

Veuillez cliquez ici


A bientôt sur impots.gouv.fr
© Direction générale des Finances publiques   -   Mentions légales

Gravity · Bass Jedi

18-12-17 17:55:04

25-08-12 · 629

merde 84 €x 7600 ca commence a faire....