Pages: 1 2
- Sujet précédent - [postmortem] compromission de la base de données de GeoRezo - Sujet suivant
#1 Thu 18 January 2018 10:15
[postmortem] compromission de la base de données de GeoRezo
Bonjour,
Ce sujet fait suite à la publication de l'article idoine sur le blog La minute. Il a pour objectif de recevoir les avis, questions, autres retours. N'hésitez pas, nous répondrons de manière la plus transparente possible.
Y. pour l'équipe GeoRezo.
Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !! - GeoRezo vous aide ? Aidez GeoRezo !
Hors ligne
#2 Thu 18 January 2018 10:39
- Pascal Boulerie
- Participant assidu
- Lieu: France
- Date d'inscription: 12 Sep 2005
- Messages: 2947
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Je vous conseille de fusionner vos outils avec ceux du forum SIG qui semblent mieux portés par une solution tierce de forum PHP.
Rassurez-vous, vous ne seriez pas la première association à fusionner et disparaitre.
En voici un exemple récent de fusacq , celle ayant abouti à la nouvelle assoc' appelée Article 1 :
https://article-1.eu/qui-sommes-nous/
« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)
Hors ligne
#3 Thu 18 January 2018 10:47
- ChristopheV
- Membre
- Lieu: Ajaccio
- Date d'inscription: 7 Sep 2005
- Messages: 3197
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Bonjour,
MERCI à toute l'équipe et particulièrement à Yves. Pour la transparence, pour le travail. Désolé de ne pouvoir être d'aucune aide, vous le savez la partie Web c'est pas mon truc.
Christophe
L'avantage d'être une île c'est d'être une terre topologiquement close
Hors ligne
#4 Thu 18 January 2018 10:56
- Pascal Boulerie
- Participant assidu
- Lieu: France
- Date d'inscription: 12 Sep 2005
- Messages: 2947
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Rappelons les conseils de l' ANSSI pour les Administrations / les Entreprises / les Particuliers :
https://www.ssi.gouv.fr/particulier/
- Logiciels préconisés par l'ANSSI :
https://www.ssi.gouv.fr/particulier/log … -lanssi-2/
« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)
Hors ligne
#5 Thu 18 January 2018 11:10
Re: [postmortem] compromission de la base de données de GeoRezo
Je vous conseille de fusionner vos outils avec ceux du forum SIG qui semblent mieux portés par une solution tierce de forum PHP.
Merci de cette suggestion. La solution VBulletin, qui tourne derrière ForumSIG - sans compter son prix (pour info au passage payé personnellement pendant des années par le principal créateur de FS) - n'est pas adaptée à nos besoins pour l'instant.
Hors ligne
#6 Thu 18 January 2018 11:20
- Pascal Boulerie
- Participant assidu
- Lieu: France
- Date d'inscription: 12 Sep 2005
- Messages: 2947
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
phpBB est libre et gratuit : https://www.phpbb.com
« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)
Hors ligne
#7 Thu 18 January 2018 11:31
Re: [postmortem] compromission de la base de données de GeoRezo
phpBB est libre et gratuit : https://www.phpbb.com
Oui c'est une piste évoqué en interne !
Y.
Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !! - GeoRezo vous aide ? Aidez GeoRezo !
Hors ligne
#8 Thu 18 January 2018 11:37
- Pascal Boulerie
- Participant assidu
- Lieu: France
- Date d'inscription: 12 Sep 2005
- Messages: 2947
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
En tout cas, le gars avec son profil LinkedIn est :
1) gonflé
2) il doit pas être bien renseigné sur la législation sur les intrusions
2bis) ou alors il l'est bien, trop bien, et il se cache derrière une rondelle d' oignon... Par exemple quelque part en Russie en passant par des ordinateurs ukrainiens piratés.
Mieux vaudrait le signaler à l' ANSSI (je suppose que votre association comporte des agents fonctionnaires parmi ses adhérents, qui ont peut-être un contact à l' ANSSI).
« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)
Hors ligne
#9 Thu 18 January 2018 11:47
Re: [postmortem] compromission de la base de données de GeoRezo
En tout cas, le gars avec son profil LinkedIn est :
1) gonflé
2) il doit pas être bien renseigné sur la législation sur les intrusions
2bis) ou alors il l'est bien, trop bien, et il se cache derrière une rondelle d' oignon... Par exemple quelque part en Russie en passant par des ordinateurs ukrainiens piratés.
Mieux vaudrait le signaler à l' ANSSI (je suppose que votre association comporte des agents fonctionnaires parmi ses adhérents, qui ont peut-être un contact à l' ANSSI).
Oui ou alors on peut voir ca autrement : le gars contact les sites qui ont des problèmes pour leur proposer une offre : je vous aide et vous me payer. C'est pour cela que je refuse le terme de vandalisme (évoqué sur twitter) et préfère dire que c'est limite éthiquement !
Des alertes de sécurité, GeoRezo en a eu (jamais de cette ampleur cependant) et en aura encore. GeoRezo recevra aussi des tentatives de SQL injection (ca ne date pas de ce mois ci, les logs montrent que cela est régulier depuis plusieurs années mais nous suivons cela à la fois avec intérêt (comment sécuriser le portail) et inquiétude (que faire quand le pire arrivera).
Les problèmes de sécurité seront probablement un hastag 2018 (après Spectre, Meltdown, github, on ne compte plus les alertes).
Enfin, de l'étranger on est toujours plus en sécurité pour faire ce genre de chose (je doute que la personne soit inquiété en Indonésie si on porte plainte en France, d'ailleurs pour quelle raison ?).
Y.
Dernière modification par Yves (Thu 18 January 2018 11:49)
Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !! - GeoRezo vous aide ? Aidez GeoRezo !
Hors ligne
#10 Thu 18 January 2018 12:03
- Pascal Boulerie
- Participant assidu
- Lieu: France
- Date d'inscription: 12 Sep 2005
- Messages: 2947
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Moi j'utilise des mots de passe compliqués du genre ZhKjz8_1K que je suis obligé de noter dans mon portefeuille que je garde dans ma poche (ça m'est arrivé de perdre ma liste une fois, j'explique pas l'angoisse), mais il existe une méthode plus facile :
Générer un mot de passe solide (conseil donné par la CNIL)
https://www.cnil.fr/fr/generer-un-mot-de-passe-solide
Par exemple : "Je suis un fana du site Georezo depuis 1999"
« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)
Hors ligne
#11 Thu 18 January 2018 12:51
Re: [postmortem] compromission de la base de données de GeoRezo
Quelques idées côté mot de passe :
- logiciel Keepass + combiné avec Keepasséandroid par exemple
- Master password : générateur de mot de passe basé sur l'url du site ou un mot clé + un mot de passe maître.
Hors ligne
#12 Thu 18 January 2018 13:08
- ChristopheV
- Membre
- Lieu: Ajaccio
- Date d'inscription: 7 Sep 2005
- Messages: 3197
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Bonjour,
Je ne vois pas pourquoi vous avez caviardé le nom du type.
J'irai volontiers voir son profil linkedin. Et je lui enverrai un mail garni en retour, histoire de tester son professionnalisme en terme de sécurité.
Christophe
L'avantage d'être une île c'est d'être une terre topologiquement close
Hors ligne
#13 Thu 18 January 2018 13:12
- ChristopheV
- Membre
- Lieu: Ajaccio
- Date d'inscription: 7 Sep 2005
- Messages: 3197
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Pour ce qui est des mots de passe ...keepass c'est bien mais je ne fais confiance qu'à mon cerveau.
Donc un mot de passe qui signifie quelque chose uniquement pour moi, le sens n'est pas en français, et je prend l'habitude de remplacer certains caractères par un caractère spécial (ou des), style "a" devient "@" (c'est pour l'exemple).
Christophe
L'avantage d'être une île c'est d'être une terre topologiquement close
Hors ligne
#14 Thu 18 January 2018 13:39
- Pascal Boulerie
- Participant assidu
- Lieu: France
- Date d'inscription: 12 Sep 2005
- Messages: 2947
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
tester son professionnalisme en terme de sécurité.
Mieux vaut ne pas aller asticoter la mafia du DarkNet ,
autant laisser ça ce genre de tâches à des nettoyeurs professionnels dûment autorisés.
« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)
Hors ligne
#15 Thu 18 January 2018 13:42
Re: [postmortem] compromission de la base de données de GeoRezo
tester son professionnalisme en terme de sécurité.
Mieux vaut ne pas aller asticoter la mafia du DarkNet ,
autant laisser ça ce genre de tâches à des nettoyeurs professionnels dûment autorisés.
Je suis entièrement d'accord ! Je préfère rester courtois et polis même si je ne suis pas d'accord avec les actions d'une autre personne. C'est assez pénible et difficile à gérer mais bon on se sent mieux quand même !
Y.
Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !! - GeoRezo vous aide ? Aidez GeoRezo !
Hors ligne
#16 Thu 18 January 2018 13:45
- Pascal Boulerie
- Participant assidu
- Lieu: France
- Date d'inscription: 12 Sep 2005
- Messages: 2947
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
La personne peut avoir agi en violation des conditions d'utilisation de Linked in ? Auquel cas il est possible de la signaler.
PS - C'est une question de RSE :
Responsabilité sociale des entreprises, ou responsabilité sociétale des entreprises .
Dernière modification par Pascal Boulerie (Thu 18 January 2018 14:00)
« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)
Hors ligne
#17 Thu 18 January 2018 15:22
- ChristopheV
- Membre
- Lieu: Ajaccio
- Date d'inscription: 7 Sep 2005
- Messages: 3197
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Bonjour,
Pas bête l'idée de Pascal.
Mieux vaut ne pas aller asticoter la mafia du DarkNet ,
Bah si on reste anonymous ...avec un clef usb un linux embedded et un cybercafé ... je plaisante.
Autrement vous auriez pu répondre que vous étiez prêts à payer s'il vous envoyait un RIB.
Christophe
L'avantage d'être une île c'est d'être une terre topologiquement close
Hors ligne
#18 Thu 18 January 2018 15:52
Re: [postmortem] compromission de la base de données de GeoRezo
Autrement vous auriez pu répondre que vous étiez prêts à payer s'il vous envoyait un RIB.
Si c'est pour vraiment payer, cela n'était pas conseillé par les différents contacts et le bon sens.
Si c'est pour avoir des informations, honnêtement on avait d'autres priorité à court terme Par exemple, lors des différents échanges, on m'a conseillé de lui demander de prouver qu'il avait accès aux données (et pas qu' à la liste des tables). Malheureusement la tournure des discussion a fait que cela est un peu tombé comme un cheveu sur la soupe. Et pour le moment, le contact est perdu !
Y.
Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !! - GeoRezo vous aide ? Aidez GeoRezo !
Hors ligne
#19 Thu 18 January 2018 16:22
- ChristopheV
- Membre
- Lieu: Ajaccio
- Date d'inscription: 7 Sep 2005
- Messages: 3197
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Yves c'était un blague, le type n'est surement pas assez **** pour donner ses coordonnées.
on m'a conseillé de lui demander de prouver qu'il avait accès aux données
J'aurais dit pareil, avec le risque de subir une attaque plus poussée si le mec est vraiment ce qu'il dit.
Christophe
L'avantage d'être une île c'est d'être une terre topologiquement close
Hors ligne
#20 Thu 18 January 2018 16:23
Re: [postmortem] compromission de la base de données de GeoRezo
oui mais on aurait eu des logs
Y.
Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !! - GeoRezo vous aide ? Aidez GeoRezo !
Hors ligne
#21 Thu 18 January 2018 16:49
- Pascal Boulerie
- Participant assidu
- Lieu: France
- Date d'inscription: 12 Sep 2005
- Messages: 2947
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Sans vouloir lancer de polémique incendiaire, je pense qu’il y a un risque de passer en « postmortem » sur FS, mais pour une toute autre raison. Ils sont statistiquement tombés à 3 discussions par jour il me semble, d’après leur lien http://www.forumsig.org/search.php?do=g … Forum_Post
(c’est pour ça que si j’en avais le pouvoir, je leur conseillerais de fusionner avec vous...)
« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)
Hors ligne
#22 Thu 18 January 2018 16:52
Re: [postmortem] compromission de la base de données de GeoRezo
Pascal,
Il y a une évolution certaine des communautés (et en particulier de la communauté Géomatique), les usages évoluent, il y a clairement une mutation des usages. C'est pour cela que nous parlons de discuter très vite du futur de GeoRezo : quel(s) service(s), quel cas d'utilisation, pourquoi et comment
Nous (GeoRezo) avons commencé une discussion interne mais vous n'échapperez pas à un questionnaire/brainstorming dans les semaines qui viennent.
Y.
Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !! - GeoRezo vous aide ? Aidez GeoRezo !
Hors ligne
#23 Thu 18 January 2018 17:07
- Pascal Boulerie
- Participant assidu
- Lieu: France
- Date d'inscription: 12 Sep 2005
- Messages: 2947
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Moi je suis devenu récemment allergique aux réseaux sociaux, comme expliqué dans la discussion de forum suivant :
https://moodle.org/mod/forum/discuss.php?d=363497
ça me rassure de voir que vous aussi vous êtes peu actifs sur :
- Twitter (aucun message depuis cette année scolaire universitaire actuelle 2017-2018)
https://twitter.com/georezo
et
- encore moins actifs sur le lien FaceBook :
https://www.facebook.com/group.php?gid=20060360792
> Le lien que vous avez suivi a peut-être expiré ou la page n’est peut-être accessible qu’à une audience dont vous ne faites pas partie.
:-)
« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)
Hors ligne
#24 Thu 18 January 2018 17:09
Re: [postmortem] compromission de la base de données de GeoRezo
ou même https://twitter.com/GeoRezojob
Mais je pense que c'est un bug ! Idem Facebook, la page existe mais nous ne postons pas grand chose (quelques messages issue de certains services).
Y.
Dernière modification par Yves (Thu 18 January 2018 17:09)
Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !! - GeoRezo vous aide ? Aidez GeoRezo !
Hors ligne
#25 Thu 18 January 2018 17:26
- ChristopheV
- Membre
- Lieu: Ajaccio
- Date d'inscription: 7 Sep 2005
- Messages: 3197
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Yves, depuis quelques jours je reçois des mails à la ***, style phising. C'est la boîte qui correspond à l'adresse mail que j'utilise pour mon compte GeoRezo et dont je ne me sert pas pour aller sur les sites où il faut s'inscrire, et cela fait 10 ans qu'elle existe et j'ai jamais eu ce genre de soucis ...
Je ne sais pas si ça a un lien mais dans le doute je vous en fais part.
Christophe
L'avantage d'être une île c'est d'être une terre topologiquement close
Hors ligne
#26 Thu 18 January 2018 17:34
Re: [postmortem] compromission de la base de données de GeoRezo
Transfert moi un mail stp !
Y.
Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !! - GeoRezo vous aide ? Aidez GeoRezo !
Hors ligne
#27 Thu 18 January 2018 17:36
- Pascal Boulerie
- Participant assidu
- Lieu: France
- Date d'inscription: 12 Sep 2005
- Messages: 2947
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Depuis quelque temps, je me désabonne des listes para-professionnelles auxquelles j'étais abonné auparavant. ça permet de mieux gérer sa messagerie, et de mieux y repérer les messages de phishing une fois que le volume de ma messagerie diminue. :-)
Vu que c'est matériellement et intellectuellement impossible de suivre plein de sites internet, car cela reviendrait à se rajouter plus d'une "brique" * en plus dans sa pile de choses à faire...
* Tout récemment, j'ai vu le conseil suivant - donné par un coach dans une vidéo suivante de la BBC - pour mieux gérer son temps de travail :-)
http://www.bbc.com/capital/story/201801 … fe-balance
« L'État est désormais quasi déliquescent. » (José Cohen-Aknine, ingénieur X-Ponts, IGPEF, dans Déliquescence et renaissance de l'État.)
Hors ligne
#28 Thu 18 January 2018 17:40
Re: [postmortem] compromission de la base de données de GeoRezo
Une méthode pour tester service à qui l'on donne nos emails est de rajouter un +<leNomDuService>, par exemple monemail+georezo@. Si l'email est vendu ou volé, vous le verrez comme destinataire des spams. gmail.com
Y.
Yves Jacolin, bénévole de l'association GeoRezo.net, agit au nom et pour le compte de l'association - Partageons ce qui nous départage !! - GeoRezo vous aide ? Aidez GeoRezo !
Hors ligne
#29 Thu 18 January 2018 19:32
- Gwenael Bachelot
- Participant assidu
- Lieu: Bureau Autodesk : Paris 12ème
- Date d'inscription: 5 Sep 2005
- Messages: 608
- Site web
Re: [postmortem] compromission de la base de données de GeoRezo
Bonjour,
MERCI à toute l'équipe et particulièrement à Yves. Pour la transparence, pour le travail. Désolé de ne pouvoir être d'aucune aide, vous le savez la partie Web c'est pas mon truc.
Idem, bravo à l'équipe pour le sérieux.
C'est sans aucun doute ce qui fait le succès de GeoRezo (et que l'on retrouve dans les modérations, par exemple).
Donc, un grand merci pour tout votre investissement.
Gwenael Bachelot
Autodesk
Hors ligne
#30 Fri 19 January 2018 09:16
- yartostout
- Participant assidu
- Lieu: Bretagne
- Date d'inscription: 24 Jun 2015
- Messages: 173
Re: [postmortem] compromission de la base de données de GeoRezo
Concernant Georezo, son point fort, c'est tout de même le référencement des jobs et les discussions pointues, veilles, de la part de ses "vieux briscards" (no offense camarades^^)
ForumSIG, j'y trouve mon compte pour des petits tracas au quotidien sur QGIS notamment, et la bonne humeur du forum...
Donc, c'est clair qu'ils auraient une place toute trouvée chacun en fusionnant, si tant est qu'on garderait les points forts de chacun!
Partir d'une feuille blanche pour refondre GeoRezo (comme indiqué dans l'article de La minute), cela risque d'être un travail de longue haleine ?!
Dernière modification par yartostout (Fri 19 January 2018 09:17)
Hors ligne
Pages: 1 2
- Sujet précédent - [postmortem] compromission de la base de données de GeoRezo - Sujet suivant