Intéressant. Faudra suivre leur(s) réaction(s).

Ceci dit, un petit mail à l'équipe netvibes ne fera pas de mal. Je pense que c'est plus sympa que ce soit toi qui leur dise plutôt qu'il le découvre tout seul. Surtout au niveau de la rapidité de mise en place de correctifs.

(Oo) ouch!

re Ouch !

sa fait peur .. mias c'est prévisible ! L'informatique ne sera jamais infaillible .. on trouve toujours plus "fort" que soi

Et tu as contacté Netvibes pour leur en faire part?

ok! 1ére chose à faire, changer de mot de passe !

Il ne faut tout de même pas oublier que pour que ca marche il faut installer son module, donc déjà 99% des users sont tranquilles.

Ensuite il a eu pas mal de chance qu'un noob de developpeur laisse ses infos de les webnotes. Sinon au final il aurait pas eu grand chose.

Il a raison d'évoquer le problème, de là à en tirer un constat aussi catastrophique, je ne suis pas d'accord. La gens sont déjà tous paranos, faut arreter de faire flipper les gens pour rien.

Nous réagissons en ce moment même. Quel que soit le degrès de l'attaque et les objectifs de la démarche, ceci est un hack et c'est innaceptable. Pour le reste, nous allons immédiatement renforcer nos sécurités et rassurer nos visiteurs. Merci.

Samy_Z au lieu de dire "ceci est un hack et c'est innaceptable" un gros merci serait peut-etre plus approprié car sa volonté n'etait pas de nuir estimé vous heureux

Samy_Z >>
Ce n'est pas inacceptable!(Même si c'est illégal) En tant qu' utilisateur de Netvibes, je préfère que ce soit lui qui aie trouvée la(les) faille(s) et qui ne fait rien de mal que quelqu'un avec de mauvaise intention.
Tout le monde sais qu'il est impossible de faire du logiciel sans aucune faille.(Surtout compte tenu des failles humaines)

Ce qui serais inacceptable, ca serai qu'il divulgue les infos sur la méthode ou des données personnelle.

Vous devriez vous estimer heureux.

Dans la communauté sécurité, il y a des usages qu'il convient de respecter lorsqu'on est une personne responsable. C'est cela qui permet de maintenir le principe du full disclosure tout en s'assurant que ces informations ne soient pas passées sous silence par les développeurs des logiciels concernés. Globalement, cela passe par trois étapes :

1) Découverte d'une faille
2) Envoi d'un mail à la société, avec une description complète et détaillée des vulnérabilités trouvées. A cette étape, une date de correction, dans un détail raisonnable, doit être convenu entre le découvreur de la faille et les développeurs.
3) Publication officielle de la faille par son découvreur, par exemple à travers un blog comme l'a fait "web 2.0 user".

ceci permet d'assurer que rien n'est laissé sous silence, mais aussi que les données des utilisateurs ne sont pas exposées.

Bref, sur le procédé, je n'aurais qu'un mot : "lamentable".

zejames >> Ben ce qu'il a fait permet de maintenir le principe du full disclosure tout en s'assurant que ces informations ne soient pas passées sous silence par les développeurs des logiciels concernés...

Pour rassurer les utilisateurs, je n'ai aucune intention d'exploiter les données auquelles j'ai pu avoir accès. Et ma démarche n'allait pas du tout dans ce but.

Je comprends que vous puissiez trouver cela innacceptable, mais mon but est seulement de faire réagir les internautes sur les problèmes de sécurité de tous ces nouveaux sites qui poussent comme des champignons, comme Netvibes.

Je n'ai fourni aucunes données personnelles, et je vous ai envoyé un mail en vous disant que vous pouviez me contacter afin que je vous fournisses toutes les informations nécessaires afin de résoudre ce problème de sécurité le plus rapidement possible.

fardeen>> "Il ne faut tout de même pas oublier que pour que ca marche il faut installer son module, donc déjà 99% des users sont tranquilles."

Dans les centaines de comptes qu'il a chopé il y avait un @netvibes.com avec les access à la base de données de netvibes. Donc 100% des utilisateurs ne sont pas tranquilles.

Moktoipas >> le processus que j'ai décris revient au même, sauf que les données des utilisateurs ne risques pas d'être exposées au grand jour. Parce qu'en attendant que les gars de Netvibes, qui doivent être en train de bosser comme des fous en ce moment, fournissent des corrections, nos données, vos données sont exposées.

Faire comme ça c'est

1) Montrer qu'on est insensible à l'éthique (parce qu'effectivement rien ne l'empêche d'agir ainsi, la preuve)
2) Montrer qu'on a pas de considérations pour les utilisateurs du service en question.

Je maintiens : "lamentable".

Je précise d'ailleurs, au vu des notes négatives sur mon premier commentaire, que je ne nie pas le droit de réaliser des tests pour améliorer la sécurité de Netvibes. C'est le processus de diffusion des informations que je déplore.

l'article à sauté ?

zejames >> Les donnée ne craignent ni plus ni moins qu'avant qu'il publie ce qu'il a publié sur le blog.
Il n'a aucunement dit comment faire.

il a autocensuré son billet... c'est pitoyable de déclencher le "séisme" et de tout arreter comme un malpropre.

faut assumer un peu tes propos mon grand et aller au bout sans censurer !

loozer du dimanche quand tu nous tiens...

Je tiens a preciser que je n'ai eu acces a aucun données confidentielles.
Netvibes vient de me contacté, je leur ai expliqué le problème qu'ils ont résolu immédiatement.

Merci à eux pour leur réactivité.

Personnellement, j'utilise aussi les webnotes sur ma page netvibes pour sauver des mots de passe depuis peu... (et je ne travaille pas pour netvibes)

Tout cela me laisse à penser, qu'il serait bon de faire des onglets sécurisés dans Netvibes, je veux dire avec un deuxième mot de passe ou un certificat ssl client. Tout cela dans le but de rajouter un niveau de sécurité.

Moktoipas >> Non, pas autant, car maintenant, je peux me creuser la tête en suivant le même chemin que lui, sachant que je vais trouver quelque chose. Ceux qui sont mal intentionnés peuvent faire de même...

Ce que je ne comprends pas : qu'est ce qui lui aurait coûté de plus à communiquer AVANT avec Netvibes. Il aurait pu faire la même publication, avec le même blog, récupérer la même gloire (hem). Mais tout cela en protégeant nos données (ou en tout cas en ne les exposant pas plus que cela n'est...).

Zejames : tous les sites ont des failles. C'est pas parcequ'il en a trouvé une que d'un coup le site devient instable. Celui qui à les compétences pour faire ce qu'il fait n'attend pas que quelqun lui ai volé la palme pour rechercher une faille...

Hum...

Très sincèrement 80% des remarques icime font bondir.

Il a trouvé une faille. Il à dit publiquement qu'il a trouvé la faille, à prévenu la sécurité de NetVibes et n'a pas utilisé cette faille pour pirater quoi que se soit. Il n'a utilisé aucune des infos qu'il avait trouvé.

Maintenant moi aussi je vaisfaire le malin. Ca fais 4 mois que j'ai accès à tout et je le dis à personne... Ca vous fais flipper hein ? Rassurez vous ça n'est pas vrai. Mais arretez de crier au damn ! Vous serez bien content quand ce qu'il a fait vous permettra d'avoir ENFIN un compte sûr et fiable...

Je vous jure... Le mec il protège vos infos et vous lui chiez dessus ! Franchement j'espère bien que vous avez honte... moi j'ai honte pour vous...

Aucune explication sur le blog officiel de netvibes c'est du joli.

Merci "security" de nous avoir prévenu, en faite t'aurais prévenu netvibes avant t'aurais jamais poster ton article, eux n'aurait jamais rien dit et nous on jouerai encore à la roulette avec nos pass.

Un grand merci a "security".
Un grand booooo a netvibes qui, sous couvert d'une compagnie "cool" web 2.0 ne joue d'aucunes transparence avec ses utilisateurs et le fait qu'ils n'aient pas mit un article sur leur blog prouve encore une fois o combien glaucque ses compagnies peuvent etres!

security : respect

URL HS merci les URL alternatives!
sinon, halucinant!

Boudu >> Pas forcément, mais le RISQUE est plus important, puisqu'un éventuel attaquant sait que s'il cherche il trouvera quelque chose.

Est-ce que quelqu'un ici, puisque l'ensemble des commentateurs semble favorable à son initiative, pourrait m'expliquer ce que ça lui aura coûté d'informer Netvibes __avant__ la diffusion de l'information ?

Vous avez lu, si vous vous intéressé à la sécurité, les articles publiés récemment sur le fait qu'Internet Explorer ait été 254 jours l'année dernière vulnérable à des failles découvertes et non patchées (voir
http://blog.washingtonpost.com/securityfix/2007/01/intern...)

Et bien c'est pareil ici. Il aurait été possible de diminuer le temps de vulnérabilité (faille découverte et non patchée) de Netvibes, sans que cela change quoi que ce soit...

Ca change que maintenant que netvibes est au courant l'article est plus en ligne et que 99% de ses utilisateurs ont laissés des données importante sur leurs compte sans connaitre les risques auxquels ils s'exposent car rien ne dit qu'il existe pas des dizaines d'autres failles.

"Ensuite il a eu pas mal de chance qu'un noob de developpeur laisse ses infos de les webnotes. Sinon au final il aurait pas eu grand chose."

C'est en exploitant un module qu'il a eu accès à tous les comptes netvibes, l'accès au site web de développement n'était qu'un bonus.
Moi qui pensait que les programmeurs chez netvibes étaient des pointures, sauvegarder les mots de passe en md5, la grosse blague ...

D'ailleurs le site web de développement n'aurait pas du être accesible qu'en interne ? Ou bien réservé à certaines IPS ? (c'est juste une idée hein !)

Au moins on sait ce que prépare netvibes ... Mais bon vu la quantité de modules présents est-on sûr que c'est le premier à découvrir la faille ? En attendant moi j'y vais plus trop

Les derniers chiffres netvibes que j'ai lu c'était 5 millions d'utilisateurs, 5 millions et une faille permettant d'accéder à toutes les données ... ça serait arrivé chez google c'était la catastrophe planétaire !

moi qui vient de découvrir yourminis, ca me pousse encore plus a quitter netvibes !! c'est ce que je vais faire de suite !

>Est-ce que quelqu'un ici, puisque l'ensemble des commentateurs semble favorable >à son initiative, pourrait m'expliquer ce que ça lui aura coûté d'informer >Netvibes __avant__ la diffusion de l'information ?

D'après ce que l'auteur du hack a écrit dans son billet il semblerait qu'il n'avait pas pleinement confiance dans Netvibes. Il craignait probablement qu'en communiquant à Netvibes la faille avant d'en faire l'annonce officielle que ces derniers nient l'existence de celle-ci ou du moins atténue sa gravité. D'ailleurs
ce hack qui fait tant couler d'encre ici, n'a donné suite qu'à un seul petit billet presque anondin sur le blog de Netvibes.

Anodin? On n'a pas du lire le même billet alors. Il est au contraire très complet et explique bien le problème et ne fait pas l'amalgame entre la faille de sécurité qui permettait de lire les webnotes et l'utilisation d'un identifiant et mot de passe qui s'y trouvait pour rentrer ensuite dans leur base de test.
Autant le 1er point est effectivement problématique pour un utilisateur mais ils disent l'avoir corrigé, autant le 2ème peut arriver à tout service puisqu'il suffit d'un login et d'un mot de passe... le problème étant juste de savoir comment il a été récupéré: brute force, social engineering,...

Ya quoi comme bonne alternative à netvibes à part yourminis et webwag ?

GoogleIG par exemple, mais le jour ou un mec trouve les logins et mots de passe d'un admin Google en disant qu'il a "hacké" Google je me demande s'ils seront aussi rapide que ca a corriger... quand on voit le temps qu'ils mettent pour corriger un GoogleDocs par exemple....