Pourquoi pas ? Perso ja joue encore de temps en temps à la version Game Boy de Tetris ou a Sim City 2000.
Et vu le succès du rétro gaming je suis loin d’être le seul.
mais la ps1 marche avec une pertiel non? c plus possible de connecter ca sur une tele moderne?
Il y a des adaptateurs HDMI.
Pas forcément, le hash pourrait être une solution, il faut bien évidement la hasher toi même avec une méthode unique du coup la suite récupérée ne correspondrait bel et bien plus à rien.
Cependant grâce à ça, un utilisateur qui demande un retour de son compte, il fourni l’identifiant de son compte, on le hash toujours avec la méthode qui va bien et on peu comparer et retrouver ce qui lui appartenait à l’époque car même si on a pas conserver ses informations personnelles, on peut tout de même s’assurer que xhhdkdkll de ta base de données est bien l’utilisateur qui t’a fait la demande, suffit de lui faire remplir un formulaire pour re renseigner ses infos qu’il te faut pour réactiver le compte et le tour est joué.
Sauf qu’en cas d’intrusion sur le serveur, l’attaquant peut trouver le code qui calcule le hash. Et donc utiliser ce code sur sa liste « dictionnaire » pour calculer les hash des adresses mail de sa liste et voir si certains de ces hash sont dans les données qu’il veut analyser.
Idem si c’est un employé malveillant, il peut avoir accès à la méthode de calcul du hash, et donc faire des comparaisons entre les hash d’une liste d’email récupérée sur Internet et les hash de la base interne.
C’est le même problème qu’avec des hash salés, où le sel est forcément stocké quelque part (le but du salage n’est pas de se protéger contre un bruteforce ou une attaque par dictionnaire, mais seulement contre des listes de hash prégénérées). On réduit simplement un peu plus le risque, parce qu’il faut un peu plus d’infos (le code de la fonction de hashage) pour arriver à refaire les liens, mais ça reste techniquement possible.
On peut aussi jouer à utiliser des fonctions de hashage lourdes, comme bcrypt avec un paramètre de coût suffisamment élevé, pour ralentir une attaque par dictionnaire (si par exemple on met 10s à calculer le hash, c’est pas gênant quand l’utilisateur vient pour réactiver son compte, par contre pour le mec qui a une liste d’un million d’adresses à tester, ça va l’emmerder…). Mais ça ne garanti pas non plus, il suffit que l’attaquant ait un coup de bol et il peut trouver une bonne adresse dès les premiers essais.
Et la probabilité d’en trouver une sera d’autant plus grande que le service est populaire… si on obtient par exemple une liste de hash d’adresses mail de Twitter et ses près de 500 millions de comptes et qu’on l’attaque avec un dictionnaire d’adresse mail leakées d’un autre service, même s’il faut 10s par hash, statistiquement tu as de bonne chance d’avoir au moins une correspondance en moins d’une journée…
Seul un identifiant totalement aléatoire garanti l’impossibilité de refaire le lien avec la personne.
Tout dépend des admins, pourquoi la moulinette serait-elle obligatoirement stockée sur le même server que la BD ? Quel salarié qui a dit que tout les salariés avait le droit d’accès à la méthodologie ou encore les clés de calculs, on pourrait tout à fait avoir les clés d’un côté sous la responsabilité d’une équipe et les clés sous la responsabilité d’une autre.
De plus hors le lien de comparaison d’id franchement ça apporterait quoi à un hacker ? ça demanderait bien de l’énergie pour juste être capable de dire que le mec a un compte twitter et un compte Ubisoft ? déjà il faudrait qu’il ait accès à au moins une liste de compte mail en clair, la valeur est déjà trouvée là, après il y a bien d’autres techniques pour savoir sur quel plateforme tel email est enregistrée comme par exemple tout bêtement tenter de recréer en automatique des comptes, si le compte existe déjà, le site te répondra que le compte existe déjà et voilà 0 piratage et tu as l’infos.
De plus dans l’exemple que je donnais je disais bien que toutes les informations sont effacées, donc hors être capable de dire que tel email a eu un compte Ubisoft qui a été anonymisé, qu’est-ce que le hacker y gagne ?
Encore une fois, là tu ne fait que réduire le risque en répartissant l’information. Mais tu n’arrivera jamais à un risque zéro. Parce que tous les éléments communiquent forcément entre eux d’une façon où d’une autre (par exemple, les résultats de la « moulinette », tu les stockes dans la base… donc même si c’est sur des serveurs différents, il y a forcément un lien entre les deux… donc une ouverture potentielle pour que quelqu’un accède aux deux à la fois).
Des listes de mails en clair, il y en a littéralement des centaines de milliers qui circulent sur Internet. Ça fait bien longtemps que de simples adresses mail n’ont plus aucune valeur.
Rien que celles qui ont été collectées par le site have i been pwned?, ça représente plus de 100 000 listes, référençant plus de 12 milliards de comptes, provenant de près de 700 services différents… La plus grosse liste contenait à elle seule près de 800 millions d’adresses mail distinctes.
Fait l’essai, tu verras qu’il y a de bonnes chances qu’au moins une de tes adresses soit dedans… Perso j’y retrouve toutes mes adresses mail principales, y compris mes 3 dernières adresse pro, sauf une de mes adresses perso, celle que je n’utilise strictement que pour communiquer directement avec des personnes que je connais dans le monde réel…
Oui. Raison de plus pour que le site ne garde pas les adresses mail des comptes « expirés ». Ça évite de les exposer à ça.
Et certains services commencent à tenir compte de cette fuite potentielle, en limitant la fréquence à laquelle on peut tenter des créations de compte, en mettant des captcha, etc… Ou tout simplement en changeant l’ordre des étapes (méthode qui est aujourd’hui celle préconisée dans ma boîte) : au lieu d’envoyer un mail d’activation du compte après la création du compte, on commence par demander l’adresse mail uniquement. Si elle n’est pas encore dans la base, on y envoie un lien vers le formulaire d’inscription. Sinon, on envoi un mail pour dire à la personne qu’elle a déjà un compte et que si elle ne se souvient pas de son mot de passe elle peut utiliser la procédure de récupération.
Si toutes les informations ont été effacées par Ubi à part le hash de l’adresse mail, ça ne sert strictement à rien pour Ubi de garder ce hash…
Garder un identifiant, ça n’a de l’intérêt que s’il y a des données associées à cet identifiant. Par exemple une liste de jeux achetés.
Pour ce qui est de ce que l’attaquant a à y gagner, c’est sûr que la liste d’achat du citoyen lambda, ça ne vaut pas grand chose, mais il ne faut jamais oublier qu’il n’y a pas que des lambdas, et qu’il y a parfois des personnes qui sont prêtes à mettre de gros moyens pour une attaque ciblée sur une personne…
Par exemple, un candidat à une élection n’a pas forcément envie qu’on dévoile les jeux auxquels il jouait il y a 15 ans, ou encore des messages qu’il aurait écrits sur des forums quand il était ado et dont la teneur pourrait ne plus du tout coller avec ses convictions présentes… C’est aussi ça le droit à l’oubli… Et pour l’attaquant, obtenir l’adresse mail qu’utilisait une personnalité quand elle était plus jeune, c’est pas forcément très difficile, il y a très probablement encore des gens qui l’ont connu à l’époque et qui ont encore l’adresse, et ces personnes ne lui veulent pas forcément du bien aujourd’hui…
Autre exemple, souviens toi du scandale d’il y a quelques années quand des millions de comptes d’un site spécialisé dans les rencontres extraconjugales avaient fuité… Imagine ce que ça peut donner si même 30 ans après ta dernière utilisation du compte sur un tel site quelqu’un qui connait ton adresse peut encore retrouver que tu as été inscrit sur le service (mais sans nécessairement avoir l’info sur ta date de dernière utilisation… celui qui fait fuiter pourrait très bien effacer cette info pour maximiser la nuisance…), alors que tu ne l’as pas utilisé depuis 20 ans et que tu es parfaitement fidèle à ton conjoint actuel, qui n’est pas le même qu’à l’époque…
Ubisoft fidèles à eux même…