X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Alterte LastPass sur MundusBellicus

    Bonjour à tous,

    Principalement LeFoureur, j'ai reçu un email de LastPass Sentry Alert m'indiquant qu'il y a eu une faille de sécurité exploitée sur MundusBellicus, me conseillant de changer mon mot de passe.

    Donc je voulais vérifier avec vous ce qu'il en est.

  • #2
    C'est probablement lié au fait qu'hier le site et le TS étaient inaccessibles.

    On avait une alerte de certificat dès qu'on essayait de se connecter.

    Commentaire


    • #3
      Benoît aurais-tu un retour là dessus éventuellement ? Merci

      Commentaire


      • #4
        Salut Stilgar.

        Je n’ai presque pas vu le problème de serveur lundi. Des que Foureur est dispo il donnera des infos.
        Vaguement de ce que j’ai pu voir, il a du faire une maintenance dessus et réinstaller certains certificats et protocoles. Peut-être que tu as essayé de te connecter quand il n’avait pas terminé. J’ai eu une alerte sécurité sur Vivaldi également que je n’ai plus désormais.

        De ma fenêtre j’ai l’impression que tout est rentré dans l’ordre.

        Commentaire


        • #5
          Apparemment nous n'avons perdu que quelques images hébergées sur le FTP, personnellement je n'étais pas actif depuis trois jours et du coup je n'ai pas eu de problèmes de connexion, simplement cette disparition sur le FTP en me connectant ce matin.

          MB est décidemment très familier avec ce genre de contretemps.

          Commentaire


          • #6
            Envoyé par Stilgar Voir le message
            Bonjour à tous,

            Principalement LeFoureur, j'ai reçu un email de LastPass Sentry Alert m'indiquant qu'il y a eu une faille de sécurité exploitée sur MundusBellicus, me conseillant de changer mon mot de passe.

            Donc je voulais vérifier avec vous ce qu'il en est.
            Stilgar :

            Le site est protégé en HTTPS (et des options diverses), j'ai simplement générer de nouveaux certificats, certificats qui ne sont plus les mêmes que les anciens avec lesquels tu avais set tes password sur LastPast, donc par "sécurité", LastPast t'a prévenu que le certificat ne correspondait plus (ou qu'il n'y avait pas de certificat "le temps que je les génères à nouveaux")

            Donc rien n'a craindre du côté de la sécurité.

            D'ailleurs, je vous déconseille fortement d'utiliser ce genre d'outil en dehors d'un client lourd comme : KeePass (et autres variantes selon votre os/distrib) : https://keepass.info/

            Voir même utiliser des yubikey & co.

            Et un autre point important, il faut savoir que HTTPS a été forcé en partie par les recommandations Google (pour avoir un référencement naturel meilleur), mais ils ont sur des sites comme le notre très peu d'importance. (ça cible plus les boutiques en ligne, banque & co (là où des données critiques transites), je le fais car c'est facile pour moi, ça coûte rien à l'association et ça améliore notre référencement.

            ALG : Pas le forum ce coup-ci, mais une partie de l'infra pour faire tourner certains services de MB et notamment le serveur Teamspeak3.

            Commentaire


            • #7
              Ah oui et un dernier point, pour pouvoir décrypter les password si la base de données avait été récupérer, il faudrait aussi que la clé de salage soit récupérée, ce qui est hautement improbable sur l'infrastructure sur laquelle tourne Mundus Bellicus.

              S'il y a un risque (et il est très mesuré), c'est une faille venant de Vbulletin (ce qu'on a subi la dernière fois) et malheureusement pour ça, je n'ai pas la main, mais ça viendra à changer dans quelques mois.

              Si vous voulez un cours sur la sécurité au sens large, je ferais peut-être une séance Twitch.tv dédiée.

              Commentaire

              Chargement...
              X