Ne jamais avoir confiance... jamais !
Par NiCoS le lundi 5 février 2007, 12:04 - WWW, NTIC, Etc - Lien permanent
Un billet assez édifiant et à lire absolument, qui explique comment il est "facile" de hacker Netvibes.
Au-delà de l'exploit en lui-même, ce type de billet permet de se rappeler qu'il faut :
- Mettre des mots de passe surs et différents d'une application à une autre et qu'il faut les changer régulièrement (alors que la solution de facilité est de mettre le même partout, un simple de préférence et surtout jamais le changer). Personnellement, j'ai choisit une solution intermédiaire en fonction de la criticité du type de compte. Pour les applications que je juge non critiques, le mot de passe est souvent le même et plus on monte en criticité, plus les mots de passe sont complexes (les membres hébergés sur le serveur râlent d'ailleurs à ce sujet régulièrement :-P )
- Ne jamais stocker des informations sensibles à des endroits facilement accessibles (le cas des mots de passe vers les applications de dev dans la zone de notes de netvibes est le meilleur exemple de ce qu'il ne faut pas faire)
- Ne pas faire confiance à un services tiers, que ce soit sur sa sécurité, sa politique de sauvegarde, etc au risque d'avoir de mauvaises surprises. Il vaut mieux ne compter que sur vous même (et c'est là où vous vous sentez bien seul en réalisant que vous n'avez aucune sauvegarde de vos données...).
Prudence est donc de mise...
Signé, Nicolas, qui vient de rechanger quelques mots de passe :-P
Commentaires
Ça fait un peu paniquer en effet !
http://blog.netvibes.com/?2007/02/0... ca a l'air surtout d'etre un gros pipeau ^^
Perso, j'ai entérré ma clé PGP dans le jardin et j'ai dressé mon chat pour la retrouver (comme les truffes).
Plus sérieusement, j'ai la même approche que toi sur les mots de passe et leur côté critique ou non et c'est déjà pas mal.
Après, il est dommage que les échanges cryptés ne soient pas plus intégré dans la culture des entreprises.
Si je prends l'exemple d'un hébergeur que nous conaissons bien tous les deux, il n'y a qu'un membre de l'équipe qui semble disposer d'un clé PGP pour que je lui envoi le mot de passe de mon SD...
@++
> Stéphane : en effet !
> mEga : gros pipeau non, pas tout à fait quand même ! un accès à un env de développement, c'est pas rien quand même (suffit que la dite base de dev soit une copie de la prod à un instant T...)
> YvesTan : en effet, c'est étonnant que les clés PGP ne soient pas plus diffusées. Faut-dire aussi que ça impose des contraintes au niveau des entreprises et d'éduquer les utilisateurs... Il faudra une solution plus neutre ou tout du moins plus transparente pour l'utilisateur final. Même pour moi, j'avoue que c'est pas automatique et certains clients/amis/... voient ça d'un mauvais oeil les entêtes/pied de mail signés. Par contre, tu as négligé une grosse faille... ton chat se laissera vite corrompre pour un peu de paté :-P