http://www.scoopeo.com/securite/comment-jai-hacke-netvibes Sun, 04 Feb 2007 17:34:49 GMT Scoopeo : Comment j'ai "hacké" Netvibes... http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39222 GoogleIG par exemple, mais le jour ou un mec trouve les logins et mots de passe d'un admin Google en disant qu'il a "hacké" Google je me demande s'ils seront aussi rapide que ca a corriger... quand on voit le temps qu'ils mettent pour corriger un GoogleDocs par exemple.... Tue, 06 Feb 2007 00:28:10 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39222 Filipe http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39222 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39215 Ya quoi comme bonne alternative à netvibes à part yourminis et webwag ? Mon, 05 Feb 2007 23:57:21 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39215 bru http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39215 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39212 Anodin? On n'a pas du lire le même billet alors. Il est au contraire très complet et explique bien le problème et ne fait pas l'amalgame entre la faille de sécurité qui permettait de lire les webnotes et l'utilisation d'un identifiant et mot de passe qui s'y trouvait pour rentrer ensuite dans leur base de test. Autant le 1er point est effectivement problématique pour un utilisateur mais ils disent l'avoir corrigé, autant le 2ème peut arriver à tout service puisqu'il suffit d'un login et d'un mot de passe... le problème étant juste de savoir comment il a été récupéré: brute force, social engineering,... Mon, 05 Feb 2007 23:46:03 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39212 SkullyFM http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39212 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39200 >Est-ce que quelqu'un ici, puisque l'ensemble des commentateurs semble favorable >à son initiative, pourrait m'expliquer ce que ça lui aura coûté d'informer >Netvibes __avant__ la diffusion de l'information ? D'après ce que l'auteur du hack a écrit dans son billet il semblerait qu'il n'avait pas pleinement confiance dans Netvibes. Il craignait probablement qu'en communiquant à Netvibes la faille avant d'en faire l'annonce officielle que ces derniers nient l'existence de celle-ci ou du moins atténue sa gravité. D'ailleurs ce hack qui fait tant couler d'encre ici, n'a donné suite qu'à un seul petit billet presque anondin sur le blog de Netvibes. Mon, 05 Feb 2007 23:23:15 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39200 MaoTseTongue http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39200 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39152 moi qui vient de découvrir yourminis, ca me pousse encore plus a quitter netvibes !! c'est ce que je vais faire de suite ! Mon, 05 Feb 2007 20:27:01 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39152 gunsdeluxe http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39152 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39010 "Ensuite il a eu pas mal de chance qu'un noob de developpeur laisse ses infos de les webnotes. Sinon au final il aurait pas eu grand chose." C'est en exploitant un module qu'il a eu accès à tous les comptes netvibes, l'accès au site web de développement n'était qu'un bonus. Moi qui pensait que les programmeurs chez netvibes étaient des pointures, sauvegarder les mots de passe en md5, la grosse blague ... D'ailleurs le site web de développement n'aurait pas du être accesible qu'en interne ? Ou bien réservé à certaines IPS ? (c'est juste une idée hein !) Au moins on sait ce que prépare netvibes ... Mais bon vu la quantité de modules présents est-on sûr que c'est le premier à découvrir la faille ? En attendant moi j'y vais plus trop Les derniers chiffres netvibes que j'ai lu c'était 5 millions d'utilisateurs, 5 millions et une faille permettant d'accéder à toutes les données ... ça serait arrivé chez google c'était la catastrophe planétaire ! Mon, 05 Feb 2007 09:51:13 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39010 wouaren http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39010 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39000 Ca change que maintenant que netvibes est au courant l'article est plus en ligne et que 99% de ses utilisateurs ont laissés des données importante sur leurs compte sans connaitre les risques auxquels ils s'exposent car rien ne dit qu'il existe pas des dizaines d'autres failles. Mon, 05 Feb 2007 09:10:58 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39000 bru http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#39000 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38998 Boudu >> Pas forcément, mais le RISQUE est plus important, puisqu'un éventuel attaquant sait que s'il cherche il trouvera quelque chose. Est-ce que quelqu'un ici, puisque l'ensemble des commentateurs semble favorable à son initiative, pourrait m'expliquer ce que ça lui aura coûté d'informer Netvibes __avant__ la diffusion de l'information ? Vous avez lu, si vous vous intéressé à la sécurité, les articles publiés récemment sur le fait qu'Internet Explorer ait été 254 jours l'année dernière vulnérable à des failles découvertes et non patchées (voir http://blog.washingtonpost.com/securityfix/2007/01/internet_explorer_unsafe_for_2.html) Et bien c'est pareil ici. Il aurait été possible de diminuer le temps de vulnérabilité (faille découverte et non patchée) de Netvibes, sans que cela change quoi que ce soit... Mon, 05 Feb 2007 09:01:05 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38998 zejames http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38998 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38997 URL HS merci les URL alternatives! sinon, halucinant! Mon, 05 Feb 2007 08:59:33 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38997 BaltoS http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38997 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38976 Un grand merci a "security". Un grand booooo a netvibes qui, sous couvert d'une compagnie "cool" web 2.0 ne joue d'aucunes transparence avec ses utilisateurs et le fait qu'ils n'aient pas mit un article sur leur blog prouve encore une fois o combien glaucque ses compagnies peuvent etres! security : respect Mon, 05 Feb 2007 06:47:37 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38976 kibuzz http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38976 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38971 Aucune explication sur le blog officiel de netvibes c'est du joli. Merci "security" de nous avoir prévenu, en faite t'aurais prévenu netvibes avant t'aurais jamais poster ton article, eux n'aurait jamais rien dit et nous on jouerai encore à la roulette avec nos pass. Mon, 05 Feb 2007 05:16:26 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38971 bru http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38971 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38959 Zejames : tous les sites ont des failles. C'est pas parcequ'il en a trouvé une que d'un coup le site devient instable. Celui qui à les compétences pour faire ce qu'il fait n'attend pas que quelqun lui ai volé la palme pour rechercher une faille... Hum... Très sincèrement 80% des remarques icime font bondir. Il a trouvé une faille. Il à dit publiquement qu'il a trouvé la faille, à prévenu la sécurité de NetVibes et n'a pas utilisé cette faille pour pirater quoi que se soit. Il n'a utilisé aucune des infos qu'il avait trouvé. Maintenant moi aussi je vaisfaire le malin. Ca fais 4 mois que j'ai accès à tout et je le dis à personne... Ca vous fais flipper hein ? Rassurez vous ça n'est pas vrai. Mais arretez de crier au damn ! Vous serez bien content quand ce qu'il a fait vous permettra d'avoir ENFIN un compte sûr et fiable... Je vous jure... Le mec il protège vos infos et vous lui chiez dessus ! Franchement j'espère bien que vous avez honte... moi j'ai honte pour vous... Sun, 04 Feb 2007 23:43:36 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38959 Boudu http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38959 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38958 Moktoipas >> Non, pas autant, car maintenant, je peux me creuser la tête en suivant le même chemin que lui, sachant que je vais trouver quelque chose. Ceux qui sont mal intentionnés peuvent faire de même... Ce que je ne comprends pas : qu'est ce qui lui aurait coûté de plus à communiquer AVANT avec Netvibes. Il aurait pu faire la même publication, avec le même blog, récupérer la même gloire (hem). Mais tout cela en protégeant nos données (ou en tout cas en ne les exposant pas plus que cela n'est...). Sun, 04 Feb 2007 23:22:19 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38958 zejames http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38958 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38950 Personnellement, j'utilise aussi les webnotes sur ma page netvibes pour sauver des mots de passe depuis peu... (et je ne travaille pas pour netvibes) Tout cela me laisse à penser, qu'il serait bon de faire des onglets sécurisés dans Netvibes, je veux dire avec un deuxième mot de passe ou un certificat ssl client. Tout cela dans le but de rajouter un niveau de sécurité. Sun, 04 Feb 2007 21:56:33 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38950 remako http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38950 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38937 comme par hasard ? contradiction quand tu nous tiens alors que tu te vantes d'avoir pris le controle de leur base !!! dans un message plus haut le meme "security" nous dit "Pour rassurer les utilisateurs, je n'ai aucune intention d'exploiter les données auquelles j'ai pu avoir accès. Et ma démarche n'allait pas du tout dans ce but." ... mais non, il n'a pas eu accès aux données ... j'espère que Netvibes va pas en rester la ! Sun, 04 Feb 2007 21:06:23 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38937 pipotin http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38937 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38928 Je tiens a preciser que je n'ai eu acces a aucun données confidentielles. Netvibes vient de me contacté, je leur ai expliqué le problème qu'ils ont résolu immédiatement. Merci à eux pour leur réactivité. Sun, 04 Feb 2007 20:55:59 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38928 security http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38928 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38919 hum.... Sun, 04 Feb 2007 20:18:30 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38919 pipotin http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38919 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38918 c'est quoi ce bordel ? Les RG ont fait une descente ? Sun, 04 Feb 2007 20:17:34 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38918 jeanlucduprat http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38918 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38915 il a autocensuré son billet... c'est pitoyable de déclencher le "séisme" et de tout arreter comme un malpropre. faut assumer un peu tes propos mon grand et aller au bout sans censurer ! loozer du dimanche quand tu nous tiens... Sun, 04 Feb 2007 20:14:38 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38915 pipotin http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38915 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38914 zejames >> Les donnée ne craignent ni plus ni moins qu'avant qu'il publie ce qu'il a publié sur le blog. Il n'a aucunement dit comment faire. Sun, 04 Feb 2007 20:13:12 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38914 Moktoipas http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38914 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38908 l'article à sauté ? Sun, 04 Feb 2007 20:03:13 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38908 bru http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38908 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38906 Je précise d'ailleurs, au vu des notes négatives sur mon premier commentaire, que je ne nie pas le droit de réaliser des tests pour améliorer la sécurité de Netvibes. C'est le processus de diffusion des informations que je déplore. Sun, 04 Feb 2007 19:58:45 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38906 zejames http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38906 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38905 Moktoipas >> le processus que j'ai décris revient au même, sauf que les données des utilisateurs ne risques pas d'être exposées au grand jour. Parce qu'en attendant que les gars de Netvibes, qui doivent être en train de bosser comme des fous en ce moment, fournissent des corrections, nos données, vos données sont exposées. Faire comme ça c'est 1) Montrer qu'on est insensible à l'éthique (parce qu'effectivement rien ne l'empêche d'agir ainsi, la preuve) 2) Montrer qu'on a pas de considérations pour les utilisateurs du service en question. Je maintiens : "lamentable". Sun, 04 Feb 2007 19:57:42 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38905 zejames http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38905 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38902 fardeen>> "Il ne faut tout de même pas oublier que pour que ca marche il faut installer son module, donc déjà 99% des users sont tranquilles." Dans les centaines de comptes qu'il a chopé il y avait un @netvibes.com avec les access à la base de données de netvibes. Donc 100% des utilisateurs ne sont pas tranquilles. Sun, 04 Feb 2007 19:45:13 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38902 bru http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38902 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38896 Pour rassurer les utilisateurs, je n'ai aucune intention d'exploiter les données auquelles j'ai pu avoir accès. Et ma démarche n'allait pas du tout dans ce but. Je comprends que vous puissiez trouver cela innacceptable, mais mon but est seulement de faire réagir les internautes sur les problèmes de sécurité de tous ces nouveaux sites qui poussent comme des champignons, comme Netvibes. Je n'ai fourni aucunes données personnelles, et je vous ai envoyé un mail en vous disant que vous pouviez me contacter afin que je vous fournisses toutes les informations nécessaires afin de résoudre ce problème de sécurité le plus rapidement possible. Sun, 04 Feb 2007 19:38:08 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38896 security http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38896 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38895 zejames >> Ben ce qu'il a fait permet de maintenir le principe du full disclosure tout en s'assurant que ces informations ne soient pas passées sous silence par les développeurs des logiciels concernés... Sun, 04 Feb 2007 19:37:48 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38895 Moktoipas http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38895 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38892 Dans la communauté sécurité, il y a des usages qu'il convient de respecter lorsqu'on est une personne responsable. C'est cela qui permet de maintenir le principe du full disclosure tout en s'assurant que ces informations ne soient pas passées sous silence par les développeurs des logiciels concernés. Globalement, cela passe par trois étapes : 1) Découverte d'une faille 2) Envoi d'un mail à la société, avec une description complète et détaillée des vulnérabilités trouvées. A cette étape, une date de correction, dans un détail raisonnable, doit être convenu entre le découvreur de la faille et les développeurs. 3) Publication officielle de la faille par son découvreur, par exemple à travers un blog comme l'a fait "web 2.0 user". ceci permet d'assurer que rien n'est laissé sous silence, mais aussi que les données des utilisateurs ne sont pas exposées. Bref, sur le procédé, je n'aurais qu'un mot : "lamentable". Sun, 04 Feb 2007 19:33:03 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38892 zejames http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38892 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38891 Samy_Z >> Ce n'est pas inacceptable!(Même si c'est illégal) En tant qu' utilisateur de Netvibes, je préfère que ce soit lui qui aie trouvée la(les) faille(s) et qui ne fait rien de mal que quelqu'un avec de mauvaise intention. Tout le monde sais qu'il est impossible de faire du logiciel sans aucune faille.(Surtout compte tenu des failles humaines) Ce qui serais inacceptable, ca serai qu'il divulgue les infos sur la méthode ou des données personnelle. Vous devriez vous estimer heureux. Sun, 04 Feb 2007 19:32:43 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38891 Moktoipas http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38891 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38890 Samy_Z au lieu de dire "ceci est un hack et c'est innaceptable" un gros merci serait peut-etre plus approprié car sa volonté n'etait pas de nuir estimé vous heureux Sun, 04 Feb 2007 19:32:06 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38890 vince16 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38890 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38881 Nous réagissons en ce moment même. Quel que soit le degrès de l'attaque et les objectifs de la démarche, ceci est un hack et c'est innaceptable. Pour le reste, nous allons immédiatement renforcer nos sécurités et rassurer nos visiteurs. Merci. Sun, 04 Feb 2007 19:22:54 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38881 Samy_Z http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38881 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38873 Il ne faut tout de même pas oublier que pour que ca marche il faut installer son module, donc déjà 99% des users sont tranquilles. Ensuite il a eu pas mal de chance qu'un noob de developpeur laisse ses infos de les webnotes. Sinon au final il aurait pas eu grand chose. Il a raison d'évoquer le problème, de là à en tirer un constat aussi catastrophique, je ne suis pas d'accord. La gens sont déjà tous paranos, faut arreter de faire flipper les gens pour rien. Sun, 04 Feb 2007 19:18:38 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38873 fardeen http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38873 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38870 ok! 1ére chose à faire, changer de mot de passe ! Sun, 04 Feb 2007 19:17:09 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38870 jeanlucduprat http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38870 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38866 Et tu as contacté Netvibes pour leur en faire part? Sun, 04 Feb 2007 18:57:55 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38866 Bisculis http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38866 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38864 sa fait peur .. mias c'est prévisible ! L'informatique ne sera jamais infaillible .. on trouve toujours plus "fort" que soi Sun, 04 Feb 2007 18:55:38 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38864 vince16 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38864 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38859 re Ouch ! Sun, 04 Feb 2007 18:41:48 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38859 kibuzz http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38859 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38850 (Oo) ouch! Sun, 04 Feb 2007 18:07:33 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38850 zagtag http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38850 http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38840 Intéressant. Faudra suivre leur(s) réaction(s). Ceci dit, un petit mail à l'équipe netvibes ne fera pas de mal. Je pense que c'est plus sympa que ce soit toi qui leur dise plutôt qu'il le découvre tout seul. Surtout au niveau de la rapidité de mise en place de correctifs. Sun, 04 Feb 2007 17:34:49 GMT http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38840 j0k3r http://www.scoopeo.com/securite/comment-jai-hacke-netvibes/#38840