Aucun système informatique n’est inviolable, même ceux que l’on pensait les plus sécurisés. Voilà ce que nous apprend la découverte d’une nouvelle campagne de piratage visant les comptes Gmail.
Mettre en place une double identification et criant haut et fort que cela nous sécurisera et que ceux qui le font pas n’ont rien compris à la vie. Puis faire en sorte que le client n’ai pas à le faire pour ne pas l’embêter en foutant une foutu case à cocher pré cochée à chaque fois (pourquoi la case est-elle pré coché et pourquoi n’y a-t-il pas une deuxième case ne plus me demander ? c’est un mystère ). Ce ne sont pas les seul paypal fait la même chose et je dois bien penser à décocher la case à chaque fois sinon il faut aller supprimer les cookies à la main et bien vérifier après que cette fichue fenêtre le redemande.
Je trouve cela particulièrement con mettre en place une sécurité pour la rendre vulnérable dans la foulée.
2 « J'aime »
Le MFA n’est pas en cause ici. Le vol de cookies d’authentification a lieu parce que l’utilisateur ouvre une pièce jointe, lançant un programme vérolé.
4 « J'aime »
Rien ne vaut une clé physique USB FIDO2 / Ubikey, d’ailleurs c’est supporté par Google depuis longtemps.
1 « J'aime »
Ça n’empêchera pas cette attaque.
Il n’existe pas de méthode pour rendre un cookie inutilisable sur tout autre machine que celle où il a été créé ? En utilisant du fingerprinting par exemple ?
1 « J'aime »
sauf que pour l’avoir vécu avec un site officiel, on ne se gêne pas trop pour fouiller les cookies alors si les sites peuvent les lire … En gros, je cherchais un produit et je tombe sur le site de la redoute. Dans la journée, j’ai reçu un mail à mon adresse personnelle de la redoute pourtant je n’ai pas de compte chez eux et ne me suis jamais inscrit.
1 « J'aime »
Un truc très très con dans ce genre d’attaque : certains lecteurs de PDFs, comme Acrobate, ont une option pour ouvrir automatiquement les PDFs downloadés même si l’on a choisi de les sauvegarder sans choisir de les ouvrir; même si l’on ne fait que les télécharger (pour les examiner sans les ouvrir.
Avec ce genre d’options stupides, les chances de se faire attaquer augmentent énormément.
Non, le cookie semble rester valide, même si on déconnecte à distance les appareils connectés à notre compte. Et apparemment il est difficile de différencier 1) une autre machine de 2) la même machine s’étant connectée à un autre réseau WiFi.
- aucun rapport avec cette attaque
- Ca peut être le hasard : imagine combien de personne reçoivent un email de pub de la Redoute par jour; puis combien d’entre eux ont cherché un produit ou ouvert le site de la Red. précédemment.
C’est semblable au problème de la proba d’avoir 2 personnes ayant le même anniversaire dans une classe d’école : surprenamment et contre-intuitivement, la proba est proche de 1. De même il n’est pas surprenant que de temps en temps une personne cherche un produit puis reçoive des pubs sur le même genre de produit.
2 « J'aime »
L’attaquant qui a accès à la machine pour y récupérer le cookie, il a aussi accès à toutes les informations nécessaires pour reproduire l’éventuelle signature de la machine.
Pour une solution fiable, il faudrait un truc impossible à reproduire, par exemple en se basant sur une du chiffrement asymétrique avec l’utilisation de la clé du module TPM de la machine. Mais il ne me semble pas que ça soit accessible via les API web.
Un site ne peut lire que ses propres cookies, pas ceux d’un autre site (et ce n’est d’ailleurs même pas le site qui « lit » les cookies, c’est le navigateur qui les lui envoie automatiquement avec toute requête).
3 « J'aime »
Ce n’est pas tout à fait ça. C’est Google qui connait (quasiment) tout de toi, qui va vendre à La Redoute qui tu cherches des trucs ou que tu visites des sites qui pourraient avoir un rapport avec certains de leurs articles.
GoogleAds et google.com ont une quantité d’informations énorme et un peu de traitement statistique la dessus, c’est un ciblage d’une précision parfaite…
1 « J'aime »
si vous utilisez des onglets privés, normalement les cookies sont supprimés automatiquement à la fermeture du navigateur.
2 « J'aime »
pourtant je ne me sert pas de google comme moteur de recherche après c’est possible qu’il y a des espions googles ADS mais il me semblais que ghostery les bloquais
Je ne connais pas le fonctionnement de ghostery mais les pubs sont des renvois vers le site de google (pour les ggolgle ads), google sait alors quelle pages tu as visité, quand, le temps que tu as passé => il est facile de déduire ce que tu cherches ou tes centre d’intérêts.