banniere

Le portail francophone de la géomatique


Toujours pas inscrit ? Mot de passe oublié ?
Nom d'utilisateur    Mot de passe              Toujours pas inscrit ?   Mot de passe oublié ?

#1 Thu 18 January 2018 10:15

Yves
Membre du bureau
Lieu: Aix-les-Bains
Date d'inscription: 22 Mar 2006
Messages: 9869
Site web

[postmortem] compromission de la base de données de GeoRezo

Bonjour,

Ce sujet fait suite à la publication de l'article idoine sur le blog La minute. Il a pour objectif de recevoir les avis, questions, autres retours. N'hésitez pas, nous répondrons de manière la plus transparente possible.

Y. pour l'équipe GeoRezo.


Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !!  - GeoRezo vous aide ? Aidez GeoRezo !

Hors ligne

 

#2 Thu 18 January 2018 10:39

Pascal Boulerie
Participant assidu
Lieu: France
Date d'inscription: 12 Sep 2005
Messages: 2945
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Je vous conseille de fusionner vos outils avec ceux du forum SIG qui semblent mieux portés par une solution tierce de forum PHP.

Rassurez-vous, vous ne seriez pas la première association à fusionner et disparaitre.
En voici un exemple récent de fusacq , celle ayant abouti à la nouvelle assoc' appelée Article 1 :
https://article-1.eu/qui-sommes-nous/


« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)

Hors ligne

 

#3 Thu 18 January 2018 10:47

ChristopheV
Membre
Lieu: Ajaccio
Date d'inscription: 7 Sep 2005
Messages: 3191
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Bonjour,

MERCI à toute l'équipe et particulièrement à Yves. Pour la transparence, pour le travail. Désolé de ne pouvoir être d'aucune aide, vous le savez la partie Web c'est pas mon truc.


Christophe
L'avantage d'être une île c'est d'être une terre topologiquement close

Hors ligne

 

#4 Thu 18 January 2018 10:56

Pascal Boulerie
Participant assidu
Lieu: France
Date d'inscription: 12 Sep 2005
Messages: 2945
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Rappelons les conseils de l' ANSSI pour les Administrations / les Entreprises / les Particuliers :
https://www.ssi.gouv.fr/particulier/

- Logiciels préconisés par l'ANSSI :
https://www.ssi.gouv.fr/particulier/log … -lanssi-2/


« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)

Hors ligne

 

#5 Thu 18 January 2018 11:10

Robin
GeoRezo forever
Lieu: France
Date d'inscription: 31 Aug 2005
Messages: 13614
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Je vous conseille de fusionner vos outils avec ceux du forum SIG qui semblent mieux portés par une solution tierce de forum PHP.


Merci de cette suggestion. La solution VBulletin, qui tourne derrière ForumSIG - sans compter son prix (pour info au passage payé personnellement pendant des années par le principal créateur de FS) - n'est pas adaptée à nos besoins pour l'instant.

Hors ligne

 

#6 Thu 18 January 2018 11:20

Pascal Boulerie
Participant assidu
Lieu: France
Date d'inscription: 12 Sep 2005
Messages: 2945
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

phpBB est libre et gratuit : https://www.phpbb.com


« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)

Hors ligne

 

#7 Thu 18 January 2018 11:31

Yves
Membre du bureau
Lieu: Aix-les-Bains
Date d'inscription: 22 Mar 2006
Messages: 9869
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Pascal Boulerie a écrit:

phpBB est libre et gratuit : https://www.phpbb.com


Oui c'est une piste évoqué en interne !

Y.


Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !!  - GeoRezo vous aide ? Aidez GeoRezo !

Hors ligne

 

#8 Thu 18 January 2018 11:37

Pascal Boulerie
Participant assidu
Lieu: France
Date d'inscription: 12 Sep 2005
Messages: 2945
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

En tout cas, le gars avec son profil LinkedIn est :

1) gonflé

2) il doit pas être bien renseigné sur la législation sur les intrusions
2bis) ou alors il l'est bien, trop bien, et il se cache derrière une rondelle d' oignon... Par exemple quelque part en Russie en passant par des ordinateurs ukrainiens piratés.

Mieux vaudrait le signaler à l' ANSSI (je suppose que votre association comporte des agents fonctionnaires parmi ses adhérents, qui ont peut-être un contact à l' ANSSI).


« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)

Hors ligne

 

#9 Thu 18 January 2018 11:47

Yves
Membre du bureau
Lieu: Aix-les-Bains
Date d'inscription: 22 Mar 2006
Messages: 9869
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Pascal Boulerie a écrit:

En tout cas, le gars avec son profil LinkedIn est :

1) gonflé

2) il doit pas être bien renseigné sur la législation sur les intrusions
2bis) ou alors il l'est bien, trop bien, et il se cache derrière une rondelle d' oignon... Par exemple quelque part en Russie en passant par des ordinateurs ukrainiens piratés.

Mieux vaudrait le signaler à l' ANSSI (je suppose que votre association comporte des agents fonctionnaires parmi ses adhérents, qui ont peut-être un contact à l' ANSSI).


Oui ou alors on peut voir ca autrement : le gars contact les sites qui ont des problèmes pour leur proposer une offre : je vous aide et vous me payer. C'est pour cela que je refuse le terme de vandalisme (évoqué sur twitter) et préfère dire que c'est limite éthiquement !

Des alertes de sécurité, GeoRezo en a eu (jamais de cette ampleur cependant) et en aura encore. GeoRezo recevra aussi des tentatives de SQL injection (ca ne date pas de ce mois ci, les logs montrent que cela est régulier depuis plusieurs années mais nous suivons cela à la fois avec intérêt (comment sécuriser le portail) et inquiétude (que faire quand le pire arrivera).

Les problèmes de sécurité seront probablement un hastag 2018 (après Spectre, Meltdown, github, on ne compte plus les alertes).

Enfin, de l'étranger on est toujours plus en sécurité pour faire ce genre de chose (je doute que la personne soit inquiété en Indonésie si on porte plainte en France, d'ailleurs pour quelle raison ?).

Y.

Dernière modification par Yves (Thu 18 January 2018 11:49)


Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !!  - GeoRezo vous aide ? Aidez GeoRezo !

Hors ligne

 

#10 Thu 18 January 2018 12:03

Pascal Boulerie
Participant assidu
Lieu: France
Date d'inscription: 12 Sep 2005
Messages: 2945
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Moi j'utilise des mots de passe compliqués du genre ZhKjz8_1K que je suis obligé de noter dans mon portefeuille que je garde dans ma poche (ça m'est arrivé de perdre ma liste une fois, j'explique pas l'angoisse), mais il existe une méthode plus facile :


Générer un mot de passe solide (conseil donné par la CNIL)
https://www.cnil.fr/fr/generer-un-mot-de-passe-solide

Par exemple : "Je suis un fana du site Georezo depuis 1999"


« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)

Hors ligne

 

#11 Thu 18 January 2018 12:51

Robin
GeoRezo forever
Lieu: France
Date d'inscription: 31 Aug 2005
Messages: 13614
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Quelques idées côté mot de passe :
- logiciel Keepass + combiné avec Keepasséandroid par exemple smile
- Master password : générateur de mot de passe basé sur l'url du site ou un mot clé + un mot de passe maître.

Hors ligne

 

#12 Thu 18 January 2018 13:08

ChristopheV
Membre
Lieu: Ajaccio
Date d'inscription: 7 Sep 2005
Messages: 3191
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Bonjour,

Je ne vois pas pourquoi vous avez caviardé le nom du type.
J'irai volontiers voir son profil linkedin. Et je lui enverrai un mail garni en retour, histoire de tester son professionnalisme en terme de sécurité.


Christophe
L'avantage d'être une île c'est d'être une terre topologiquement close

Hors ligne

 

#13 Thu 18 January 2018 13:12

ChristopheV
Membre
Lieu: Ajaccio
Date d'inscription: 7 Sep 2005
Messages: 3191
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Pour ce qui est des mots de passe ...keepass c'est bien mais je ne fais confiance qu'à mon cerveau.
Donc un mot de passe qui signifie quelque chose uniquement pour moi, le sens n'est pas en français, et je prend l'habitude de remplacer certains caractères par un caractère spécial (ou des), style "a" devient "@" (c'est pour l'exemple).


Christophe
L'avantage d'être une île c'est d'être une terre topologiquement close

Hors ligne

 

#14 Thu 18 January 2018 13:39

Pascal Boulerie
Participant assidu
Lieu: France
Date d'inscription: 12 Sep 2005
Messages: 2945
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

tester son professionnalisme en terme de sécurité.


Mieux vaut ne pas aller asticoter la mafia du DarkNet ,
autant laisser ça ce genre de tâches à des nettoyeurs professionnels dûment autorisés.


« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)

Hors ligne

 

#15 Thu 18 January 2018 13:42

Yves
Membre du bureau
Lieu: Aix-les-Bains
Date d'inscription: 22 Mar 2006
Messages: 9869
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Pascal Boulerie a écrit:

tester son professionnalisme en terme de sécurité.


Mieux vaut ne pas aller asticoter la mafia du DarkNet ,
autant laisser ça ce genre de tâches à des nettoyeurs professionnels dûment autorisés.


Je suis entièrement d'accord ! Je préfère rester courtois et polis même si je ne suis pas d'accord avec les actions d'une autre personne. C'est assez pénible et difficile à gérer mais bon on se sent mieux quand même !

Y.


Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !!  - GeoRezo vous aide ? Aidez GeoRezo !

Hors ligne

 

#16 Thu 18 January 2018 13:45

Pascal Boulerie
Participant assidu
Lieu: France
Date d'inscription: 12 Sep 2005
Messages: 2945
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

La personne peut avoir agi en violation des conditions d'utilisation de Linked in ? Auquel cas il est possible de la signaler.



PS - C'est une question de RSE :
Responsabilité sociale des entreprises, ou responsabilité sociétale des entreprises .

Dernière modification par Pascal Boulerie (Thu 18 January 2018 14:00)


« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)

Hors ligne

 

#17 Thu 18 January 2018 15:22

ChristopheV
Membre
Lieu: Ajaccio
Date d'inscription: 7 Sep 2005
Messages: 3191
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Bonjour,

Pas bête l'idée de Pascal.

Mieux vaut ne pas aller asticoter la mafia du DarkNet ,


Bah si on reste anonymous ...avec un clef usb un linux embedded et un cybercafé ... je plaisante.

Autrement vous auriez pu répondre que vous étiez prêts à payer s'il vous envoyait un RIB.


Christophe
L'avantage d'être une île c'est d'être une terre topologiquement close

Hors ligne

 

#18 Thu 18 January 2018 15:52

Yves
Membre du bureau
Lieu: Aix-les-Bains
Date d'inscription: 22 Mar 2006
Messages: 9869
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

ChristopheV a écrit:

Autrement vous auriez pu répondre que vous étiez prêts à payer s'il vous envoyait un RIB.


Si c'est pour vraiment payer, cela n'était pas conseillé par les différents contacts et le bon sens.

Si c'est pour avoir des informations, honnêtement on avait d'autres priorité à court terme smile Par exemple, lors des différents échanges, on m'a conseillé de lui demander de prouver qu'il avait accès aux données (et pas qu' à la liste des tables). Malheureusement la tournure des discussion a fait que cela est un peu tombé comme un cheveu sur la soupe. Et pour le moment, le contact est perdu !

Y.


Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !!  - GeoRezo vous aide ? Aidez GeoRezo !

Hors ligne

 

#19 Thu 18 January 2018 16:22

ChristopheV
Membre
Lieu: Ajaccio
Date d'inscription: 7 Sep 2005
Messages: 3191
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Yves c'était un blague, le type n'est surement pas assez **** pour donner ses coordonnées.

on m'a conseillé de lui demander de prouver qu'il avait accès aux données


J'aurais dit pareil, avec le risque de subir une attaque plus poussée si le mec est vraiment ce qu'il dit.


Christophe
L'avantage d'être une île c'est d'être une terre topologiquement close

Hors ligne

 

#20 Thu 18 January 2018 16:23

Yves
Membre du bureau
Lieu: Aix-les-Bains
Date d'inscription: 22 Mar 2006
Messages: 9869
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

oui mais on aurait eu des logs smile

Y.


Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !!  - GeoRezo vous aide ? Aidez GeoRezo !

Hors ligne

 

#21 Thu 18 January 2018 16:49

Pascal Boulerie
Participant assidu
Lieu: France
Date d'inscription: 12 Sep 2005
Messages: 2945
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Sans vouloir lancer de polémique incendiaire, je pense qu’il y a un risque de passer en « postmortem » sur FS, mais pour une toute autre raison. Ils sont statistiquement tombés à 3 discussions par jour il me semble, d’après leur lien http://www.forumsig.org/search.php?do=g … Forum_Post
(c’est pour ça que si j’en avais le pouvoir, je leur conseillerais de fusionner avec vous...)


« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)

Hors ligne

 

#22 Thu 18 January 2018 16:52

Yves
Membre du bureau
Lieu: Aix-les-Bains
Date d'inscription: 22 Mar 2006
Messages: 9869
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Pascal,

Il y a une évolution certaine des communautés (et en particulier de la communauté Géomatique), les usages évoluent, il y a clairement une mutation des usages. C'est pour cela que nous parlons de discuter très vite du futur de GeoRezo : quel(s) service(s), quel cas d'utilisation, pourquoi et comment smile

Nous (GeoRezo) avons commencé une discussion interne mais vous n'échapperez pas à un questionnaire/brainstorming dans les semaines qui viennent.

Y.


Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !!  - GeoRezo vous aide ? Aidez GeoRezo !

Hors ligne

 

#23 Thu 18 January 2018 17:07

Pascal Boulerie
Participant assidu
Lieu: France
Date d'inscription: 12 Sep 2005
Messages: 2945
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Moi je suis devenu récemment allergique aux réseaux sociaux, comme expliqué dans la discussion de forum suivant :
https://moodle.org/mod/forum/discuss.php?d=363497

ça me rassure de voir que vous aussi vous êtes peu actifs sur :
- Twitter (aucun message depuis cette année scolaire universitaire actuelle 2017-2018)
https://twitter.com/georezo

et
- encore moins actifs sur le lien FaceBook :
https://www.facebook.com/group.php?gid=20060360792
> Le lien que vous avez suivi a peut-être expiré ou la page n’est peut-être accessible qu’à une audience dont vous ne faites pas partie.

:-)


« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)

Hors ligne

 

#24 Thu 18 January 2018 17:09

Yves
Membre du bureau
Lieu: Aix-les-Bains
Date d'inscription: 22 Mar 2006
Messages: 9869
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

ou même https://twitter.com/GeoRezojob

Mais je pense que c'est un bug ! Idem Facebook, la page existe mais nous ne postons pas grand chose (quelques messages issue de certains services).

Y.

Dernière modification par Yves (Thu 18 January 2018 17:09)


Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !!  - GeoRezo vous aide ? Aidez GeoRezo !

Hors ligne

 

#25 Thu 18 January 2018 17:26

ChristopheV
Membre
Lieu: Ajaccio
Date d'inscription: 7 Sep 2005
Messages: 3191
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Yves, depuis quelques jours je reçois des mails à la ***, style phising. C'est la boîte qui correspond à l'adresse mail que j'utilise pour mon compte GeoRezo et dont je ne me sert pas pour aller sur les sites où il faut s'inscrire, et cela fait 10 ans qu'elle existe et j'ai jamais eu ce genre de soucis ...
Je ne sais pas si ça a un lien mais dans le doute je vous en fais part.


Christophe
L'avantage d'être une île c'est d'être une terre topologiquement close

Hors ligne

 

#26 Thu 18 January 2018 17:34

Yves
Membre du bureau
Lieu: Aix-les-Bains
Date d'inscription: 22 Mar 2006
Messages: 9869
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Transfert moi un mail stp !

Y.


Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !!  - GeoRezo vous aide ? Aidez GeoRezo !

Hors ligne

 

#27 Thu 18 January 2018 17:36

Pascal Boulerie
Participant assidu
Lieu: France
Date d'inscription: 12 Sep 2005
Messages: 2945
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Depuis quelque temps, je me désabonne des listes para-professionnelles auxquelles j'étais abonné auparavant. ça permet de mieux gérer sa messagerie, et de mieux y repérer les messages de phishing une fois que le volume de ma messagerie diminue. :-)


Vu que c'est matériellement et intellectuellement impossible de suivre plein de sites internet, car cela reviendrait à se rajouter plus d'une "brique" * en plus dans sa pile de choses à faire...

* Tout récemment, j'ai vu le conseil suivant - donné par un coach dans une vidéo suivante de la BBC - pour mieux gérer son temps de travail :-)
http://www.bbc.com/capital/story/201801 … fe-balance


« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)

Hors ligne

 

#28 Thu 18 January 2018 17:40

Yves
Membre du bureau
Lieu: Aix-les-Bains
Date d'inscription: 22 Mar 2006
Messages: 9869
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Une méthode pour tester service à qui l'on donne nos emails est de rajouter un +<leNomDuService>, par exemple monemail+georezo@texte-a-enlever.gmail.com. Si l'email est vendu ou volé, vous le verrez comme destinataire des spams.

Y.


Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !!  - GeoRezo vous aide ? Aidez GeoRezo !

Hors ligne

 

#29 Thu 18 January 2018 19:32

Gwenael Bachelot
Participant assidu
Lieu: Bureau Autodesk : Paris 12ème
Date d'inscription: 5 Sep 2005
Messages: 608
Site web

Re: [postmortem] compromission de la base de données de GeoRezo

Bonjour,

ChristopheV a écrit:

MERCI à toute l'équipe et particulièrement à Yves. Pour la transparence, pour le travail. Désolé de ne pouvoir être d'aucune aide, vous le savez la partie Web c'est pas mon truc.


Idem, bravo à l'équipe pour le sérieux.
C'est sans aucun doute ce qui fait le succès de GeoRezo (et que l'on retrouve dans les modérations, par exemple).

Donc, un grand merci pour tout votre investissement.

Gwenael Bachelot
Autodesk

Hors ligne

 

#30 Fri 19 January 2018 09:16

yartostout
Participant assidu
Lieu: Bretagne
Date d'inscription: 24 Jun 2015
Messages: 173

Re: [postmortem] compromission de la base de données de GeoRezo

Concernant Georezo, son point fort, c'est tout de même le référencement des jobs et les discussions pointues, veilles, de la part de ses "vieux briscards" (no offense camarades^^)
ForumSIG, j'y trouve mon compte pour des petits tracas au quotidien sur QGIS notamment, et la bonne humeur du forum...

Donc, c'est clair qu'ils auraient une place toute trouvée chacun en fusionnant, si tant est qu'on garderait les points forts de chacun!

Partir d'une feuille blanche pour refondre GeoRezo (comme indiqué dans l'article de La minute), cela risque d'être un travail de longue haleine ?!

Dernière modification par yartostout (Fri 19 January 2018 09:17)

Hors ligne

 

Pied de page des forums

Powered by FluxBB