pbourdelot (Auteur du topic), Posté le: Sam 28 Juin 2025, 7:00 Sujet du message: Compte Netflix piraté
Compte Netflix piraté123568113996
Bonjour, mon compte Netflix a été piraté cette nuit : adresse mail et passe changé (changement fait du Pérou ?).
Que faire ? Comment prévenir Free et Netflix ?
Merci de votre aide. Phil.
pbourdelot (Auteur du topic), Posté le: Sam 28 Juin 2025, 9:59 Sujet du message:
123568113996
J'ai contacté le service Netflix au 0805220512 (7/7 8H-20H en français) et ils ont désactivé tous les appareils et m'ont aidé à changer mon email et mot de passe et tout refonctionne.
balamb, Posté le: Dim 29 Juin 2025, 11:25 Sujet du message:
5303447849
Bonne nouvelle.
Maintenant je pense qu'utiliser un gestionnaire de mot de passe serait une bonne idée (KeepassXC, Bitwarden etc...)
Ça permet d'avoir des mots de passe longs et compliqués pour que ça soit plus difficile à pirater.
pbourdelot (Auteur du topic), Posté le: Dim 29 Juin 2025, 12:12 Sujet du message:
123568113996
C'est ce que je fais maintenant. Pour info c'est suite au piratage de Free. C'est mon adresse email qui a été compromise.
Netflix m'a conseillé que changer pour une adresse Gmail.
Homer54, Posté le: Dim 29 Juin 2025, 16:17 Sujet du message:
6791161734
Gmail a été piraté il y a pas longtemps il me semble. Le mieux étant de changer de mot de passe régulièrement (oui c'est chiant mais voila ) _________________ RIP CurtisNewton
1°) Wi-Fi, CPL ? Non ! Merci...
L'Ethernet, c'est la vie !
SiliconBox, Posté le: Lun 30 Juin 2025, 13:39 Sujet du message:
240518217139
Gmail est 1000 fois plus sécurisé que Free mais aux conditions suivantes :
1) définir un mot de passe complexe
Généré aléatoirement par KeepassXC (je déconseille Keepass qui requiert des plugins pas simple à utiliser) sur la longueur maximale (63 caractères)
On n'a pas à se souvenir d'un mot de passe, si on s'en souvient c'est que souvent il s'agit d'un mot de passe faible comportant des mots intelligibles et se prêtant donc à une attaque par dictionnaire.
Avec KeepassXC on copie / colle.... on sécurise la base KeepassXC avec un mot de passe plus une clé de chiffrement que l'on stocke sur support amovible (une clé USB) qui ne sera insérée que lorsque l'on utilise la base, de sorte que même si le notebook est volé, la base KeepassXC sera inviolable.
En guise de fichier clé de chiffrement je conseille d'utiliser un fichier banalisé comme une image
Si un pirate mettait la main sur cette clé il aurait des difficultés à faire le lien, alors qu'un fichier texte standard contenant la clé ne laisserait guère de doute. On stocke une multitude de fichiers images pour y noyer la clé et faire croire qu'il s'agit d'un banal album de famille.
Dans ce schéma, ça permet d'utiliser un mot de passe simple pour un déverouillage rapide, la sécurité étant avant tout assurée par le fichier clé
Il faut bien entendu à tout prix éviter de ranger la fameuse clé USB dans la sacoche du PC.... il faut garder cette clé USB sur soi (lorsque l'on est en déplacement), ou rangée quelque part dans la maison mais JAMAIS au même endroit que le PC qui contient la base KeepassXC
La base KeepassXC et la clé de chiffrement ne doivent jamais être stockées au même endroit. Stocker la base KeepassXC et la clé de chiffrement sur une même clé USB serait une grossière erreur.
Sur Android j'utilise KeepassDX avec une clé locale sous forme de fichier anonymisé (une simple image banale stockée sur le téléphone et qui n'éveillera pas les soupçons) doublé d'une authentification par Yubikey NFC
Je tape une fois le mot de passe, définis le lieu du fichier image, défninis l'option Yubikey et active l'option "empreinte" digitale
Ainsi à chaque fois que je reconsulte la base, je n'ai pas à retaper le mot de passe et le lieu du ficher image, j'ai juste à présenter mon doigts et l'appli me demande ensuite de présenter la Yubikey NFC
La Yubikey est rendue nécessaire ici par le fait que la clé image est stockée sur le téléphone, ce qui je le rappelle n'est fondamentalement pas une chose à faire vu que le téléphone contient déjà la base KeepassXC. Mais sur les téléphones connecter une clé USB n'est pas très pratique, le téléphone et la clé devant supporter la norme OTG, et le port USB devant être facilement accessible, la technologie sans contact NFC est beaucoup plus intéressante.
2) On active la double authentifcation sous Gmail.
Le plus sûr est d'utiliser une application de type Google Authenticator, Microsoft Authenticator (la meilleure). On paramètre aussi KeepassXC en reportant la même clé. De cette façon si on perd le téléphone, il sera toujours possible de générer le code à partir d'un PC en utilisant le générateur TOTP de KeepassXC. Ca permet aussi de reparamétrer un nouveau téléphone via Microsoft Authenticator en reportant la clé.
On utilise de préférence sur le mobile Microsoft Authenticator qui possède une option de protection de la base par empreinte digitale
Si le téléphone est volé, le voleur ne pourra jamais accéder à la base.
Dans tous les cas il est conseillé d'abandonner quand on le peut, la double authentification par SMS qui se prête à des attaques liées à des virus qui scannent les SMS. D'autre part si on se fait voler le téléphone par définition le voleur recevra toutes les double authentifications, c'est du très grand n'importe quoi, voilà pourquoi l'option "authentification par application" est la meilleure option, l'authentification par SMS tend à décliner voire interdite chez les fournisseurs sérieux, en raison d'un problème de sécurité fondamental si le mobile est volé (sauf chez Free Mobile qui arrivent avec 15 ans de retard), juste veiller à sécuriser au maximum ces applications.
Il faut protéger les mobiles avec l'empreinte digitale et ne pas utiliser les schémas ou pin de déblocage.... car les voleurs vous surveillent à votre insu et peuvent furtivement capter ces infos avant de vous voler le téléphone.
Cela a un petit inconvénient sur Android car il vous réclamera une fois par semaine le mot de passe... car curieusement Android considère qu'une empreinte digitale c'est moins sûr qu'un PIN de 4 chiffres.... c'est du grand n'importe quoi, car encore une fois les voleurs expérimentés savent épier leurs victimes.
Il y a plein de gens qui se sont fait chouraver le code pin de leur carte bancaire (et moi le premier) simplement parce que le voleur vous aura épié au préalable. Sur les distributeurs dans des cas assez sophistiqués le voleur met en place une caméra.
La double authentification ne résoud pas tout mais elle constitue un obstacle très important car le pirate doit mettre la main sur une base de données complémentaires, celles contenant les clés RSA générant les code temporels.
3) On définit une procédure de récupération via le téléphone fixe
Google offre cette option. L'idée est très simple.... on peut voler un mobile, mais pas une ligne fixe, donc la ligne fixe est le procédé le plus sûr pour récupérer un compte.
Dans ce cas un serveur Google va laisser un message vocal énumérant le code de récupération
Concernant les fuites de données.... arrêtons la paranoia
Les fuites de données sont monnaie courante, c'est inhérent à Internet, aucune entreprise ne peut y échapper ABSOLUMENT AUCUNE
Ca n'excuse pas Free, mais Free est une victime parmi tant d'autres, et Free sera à nouveau victime de fuites dans le futur... ce sont les protocoles Internet qui à l'heure actuelle ne sont pas sûrs.
La seule parade est d'isoler les données les plus sensibles d'Internet et de ... chiffrer
Si le système bancaire reste sûr de nos jours c'est simplement qu'il y a des serveurs qui sont totalement isolés d'Internet, idem pour les entreprises de défense. Ce qui est attaqué ce sont des portails publics contenant des informations qui ne sont pas les plus critiques... pour mettre la main sur des plans secrets il faut un espionnage physique in situ pour pénétrer physiquement ces serveurs, ou il faut des complicités internes.
Dans 99% des cas lorsqu'il est indiqué que les mots de passe ont fuité il s'agit en réalité de mots de passe sous forme chiffrée (ou hash).
Ca signifie que les mots de passe ne sont pas utilisables tels quels, le pirate doit décoder les "hash" par une attaque par dictionnaire
Or un mot de passe ne contenant aucun mot intelligible et relativement long est inattaquable par dictionnaire.... et en force brut ça prendrait des milliers d'années (la seule techno qui serait peut-être à terme capable d'attaquer en force brute des mots de passe complexes serait la technologie quantique)
Le pirate définit un temps limite d'attaque par compte, si ce temps limite est dépassé il s'attaque au compte suivant
Un pirate ne fait que rarement des attaques par force brute... c'est une perte de temps, et ça ne marche que sur des mots de passe courts.
Les attaques par force brute sont plus le faits d'agence gouvernementales qui disposent de super calculateurs en partie dédiés à ces opérations. Les hackers sur Internet ne peuvent envisager de faire de telles attaques que s'ils parviennent à réunir une communauté très importantes d'utilisateurs qui mettent à disposition la puissance de calcul de leur PC dans le cadre d'un protocole de partage de ressources, ça reste rare de nos jours..
Or sur ce point, les emails de Free sont protégés par un mot de passe insuffisamment long.
Ce serait à la rigueur acceptable si il y avait une double authentification en parallèle, mais sans double authentification, c'est un scandale.
Microsoft a subi des pressions et a fini par faire machine arrière en autorisant désormais des mots de passe long (63 caractères comme Gmail), car avant c'était juste 8 ou 16 caractères (je ne me souviens plus) comme chez ces ab...rutis de Free, mais Microsoft avançait à l'époque que les comptes bénéficiaient de la double authentification, sauf que la majorité des gens refusaient et refusent toujours d'activer cette double authentification.
Si suite à une attaque les mots de passe ont été révélés "en clair", Google ou tout autre opérateur sérieux verrouillera les comptes et imposera une procédure de récupération lors d'une tentative de connexion
Mais il est vrai qu'entre le moment de l'attaque et le moment ou celle-ci est découverte, il peut s'écouler un délai durant lequel le pirate peut faire des dégâts.
Les fuites de mots de passe en clair... ça date surtout des années 80 où il était courant sous Linux de stocker des mots de passe en clair dans des fichiers, chose qui ne se pratiquait pas sur Windows Server. Ce n'était pas Linux qui était en cause, c'était surtout l'incommensurable bêtise des administrateurs de l'époque.... maintenant c'est terminé, les mots de passe sont systématiquement "hashés"
Pour "déhasher" ces mots de passe avec la clé d'origine, il faudrait des intrusions autrement plus sophistiquées qui sont d'une extrême rareté, et qui impliquent le plus souvent des complicités en interne, un accès physique aux machines.
J'utilise Gmail depuis presque les origines... aucun de mes comptes n'a jamais été hackés alors même que je ne change jamais de mot de passe...
Pour @free.fr... je ne ferai pas de commentaire, c'est un scandale totale, une porte ouverte pour Poutine and Co
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
)