Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

[Piratage] Des sites algériens importants ont été piratés

ButterflyOfFire
 Share

Messages recommandés

anubis_1001 Newbie

anubis_1001

Posté(e)
Posté(e) (modifié)

Re, juste comme remarque, j'ai vu citer à plusieurs reprise le cms joomla. Le probléme avec lui ce sont les nombreux plugins souvent pas mis à jour et qui regorgent de failles, cependant tout seul il ne présente pas de failles dangereuses...;)

 

PS:

- Au niveau du mot de passe, quand on créé son propre site il est judicieux d'ajouter un clé (modification) a son mot de passe puis la crypter en MD5. Comme ça, si le MD5 est récupéré via une faille et décrypter il donnera le résultat composé de votre mot de passe + le traitement qu'il a subit (la fameuse clé), le hacker en tapant ce résultat n'accèdera pas au site, il faudra qu'il déduise qu'elle clé est ajouté au mot de passe.

que veux-tu dire pas ajouter une clé?

pour ma part j'utilise généralement le sha1, avec un préfixe et un suffixe au mots de passes avant de les crypter, c'est assez simple comme procédé mais ça a le mérite au moins de ne pas faire figurer la nouveau hash (pass crypté) sur une rainbow table donc même en connaissance du hash (et il y a du boulot pour l'avoir ...), il faudra passer par un bruteforcing (qui ne sera pas du gâteau vu que le nouveau passe aura plus de 12 caractère de longueur)... donc ....

Modifié par anubis_1001
Lien vers le commentaire
Partager sur d’autres sites
Invité HAVOC

Invité HAVOC

Posté(e)
Posté(e)

que veux-tu dire pas ajouter une clé?

pour ma part j'utilise généralement le sha1, avec un préfixe et un suffixe au mots de passes avant de les crypter

 

C'est exactement ça que je voulais dire en parlant de "clé", c'est une modification du mot de passe saisi avant son hashage en MD5 ou en sha1. Il y a différente techniques dont celle que tu as cité avec le préfixe et le suffixe, le défaut de cette dernière c'est que si tu utilises toujours les mêmes préfixes et suffixes et que le hacker arrive à obtenir et décrypter le hash des mots de passe de différents utilisateurs de ton site il va bien remarquer que les préfixe et les suffixes de chaque mot de passe est le même, donc tu peux utiliser des techniques légèrement plus complexes : modification de l'ordre des lettres, remplacement des lettres par une valeur numérique puis ajout d'un nombre quelconque au nombre obtenu...Etc.

Bref... ce n'est pas de la haute sécurité mais cela suffit largement à dérouter les scripts kiddies et les hackers les moins doués en cryptographie.

Lien vers le commentaire
Partager sur d’autres sites
ButterflyOfFire Newbie

ButterflyOfFire

Posté(e)
  • Auteur
Posté(e)

Merci pour la Synthèse Assilabox, Merci à Havoc pour les éléments qu'il a apporté, merci à SecDZ, Golden Boy et tout les autres ...

 

Effectivement, je n'arrête pas de le répéter au certains d'entre vous aussi d'ailleurs que le web algérien et surtout celui des institutions de l'Etat est joomlisé à tout va. (Utilisation intensive de Joomla).

 

Laissez-moi vous dire que c'est déjà un très bon signe d'utiliser des Logiciel Libres sous Licence GNU/GPL même si en Algérie, certains préfèrent ne pas le dire clairement ... ils le cachent. Bref, ça c'est un autre sujet.

 

Joomla en soit, tout seul, sans composant ni maquillage, ni gallerie, ni formulaire, ni surplus, est un CMS Stable. Merci a Assilabox d'avoir rappelé que Joomla est né d'une rupture ou discorde entre les devellopeurs de Mambo. Donc Joomla à l'origine s'appellait Mambo, d'ailleurs les plugins nous les appellions les Mambots même sous Joomla.

 

Connaissant un peu les intégrateurs algériens, il aiment toujours rajouter leur module fétiche : une galerie ou un formulaire de contact, une zone de download de fichier etc ...mais ces options fếtiches (appellées Composants ou Add-ons ou plugins) contiennent des vulnérabilités qui risquent de toujours à la sécu du site web même si ce n'est plus+.

 

Et ces webmasters, installent les sites pareil partout (la même recette "lentilles pour tout monde"), il n'y a que le thème qui change grosso modo et le contenu.

 

Et lorsque un seul modèle contenant de probables failles domine dans une sphère, il ne faut pas s'étonner qu'on se fasse pirater les fesses facilement.

Ne cherchez pas midi à 14h00.

 

C'est pour ce qu'il faut diversifier, Joomla par ci, Drupal par là, WordPress par là bas, SPIP, Site Dev. en local. etc ... pour que plusieurs modèles cohabitent ensemble.

 

J'ai remarqué aussi que la plupart aiment utiliser les CMS parcequ'ils n'ont besoin que d'un espace disque + une base de données MySQL.

 

Mais je n'ai vu aucun site algérien utiliser Joomla par exemple avec LDAP sur un serveur d'hébergement mutualisé !

 

Il n'y a pas que MySQL dans la vie ;) ... j'entends déjà dans gens qui me disent : Ah bon ? LDAP ? ... je vous laisse réfléchir :)

 

La conception et l"hébergement doivent être 2 tâches complémentaires.

L'administrateur du serveur dit : Voilà, ça c'est l'espace d'hébergement. La politique de sécurité est XYZ, vous n'avez pas le droit de mettre machin truc sur le serveur.

 

Havoc, +1 pour le chroot, php.ini (magic_quotes etc) l'upload, version PHP, SSH RootPermitLogin off, port 3306 en local, vhost Apache -Indexes jouer avec les allow deny, ACL, stopper le bavardage (fermer les ports et autoriser que les ports dont en a besoin), signature sur serveur ... bref le sujet pourrait être vraiment très long...

 

Il n'y a pas de recette miracle du genre : Hey les gars, suivez ces étapes et c'est bon votre serveur est supertop sécurisé :)

 

Je pourrai tout de même utiliser joomla avec un composant ayant une vulnérabilité sans que je me fasse hacker les fesses du serveur entier.

 

Je pense que les stratégies ne sont pas définies depuis le départ et l'a dit Havoc, même si tu veux faire zaama le geste et tu contact l'admin du site pour lui signaler qu'il y a une faille, on te répond même pas et tu te sentira comme une merde, même pas un mail gratuit pour dire "merci" et puis c'est ça le métier les gars :) être administrateur réseau c'est un métier, vous êtes là payés pour gérer, faire la veille et tout :) machi juste pour tchatcher et draguer sur MSN ou je ne sais quoi.

 

Merci encore pour vos interventions et vos éclaircissement les gars ;) J'aime bien cet esprit de "to be awake" enfin ! On se rend compte de ce qui se passe !

Lien vers le commentaire
Partager sur d’autres sites
Invité HAVOC

Invité HAVOC

Posté(e)
Posté(e)

Comme on l'apprend en cours :

- Un bon administrateur système-réseau c'est celui qu'on appelle pour lui demander d'ouvrir un port ou d'activer une option.

- Un mauvais administrateur système-réseau c'est celui qu'on appelle pour signaler une faille.

 

En gros, la bonne politique de sécurité est de tout bloquer et d'ouvrir au compte goûte selon les besoins exprimés par les utilisateurs.

Lien vers le commentaire
Partager sur d’autres sites
ButterflyOfFire Newbie

ButterflyOfFire

Posté(e)
  • Auteur
Posté(e)
Comme on l'apprend en cours :

- Un bon administrateur système-réseau c'est celui qu'on appelle pour lui demander d'ouvrir un port ou d'activer une option.

- Un mauvais administrateur système-réseau c'est celui qu'on appelle pour signaler une faille.

 

En gros, la bonne politique de sécurité est de tout bloquer et d'ouvrir au compte goûte selon les besoins exprimés par les utilisateurs.

Ya3tik essaha, je n'ai rien à rajouter :)

Lien vers le commentaire
Partager sur d’autres sites
Lemrid Newbie

Lemrid

Posté(e)
Posté(e)

lu,

 

 

no comment

 

 

Administrations publiques

Reconfiguration des sites

 

 

Le e-gouvernement ne se limite pas à la simple mise en ligne d’informations sur les sites web des administrations publiques ; il implique une profonde refonte de la structure et du fonctionnement des administrations et une architecture compréhensive et évolutive permettant d’intégrer et de gérer des sources d’informations autonomes, hétérogènes et réparties. Tel est le message délivré par un expert de ZTE, fournisseur mondial majeur d’équipements de télécommunications et de solutions réseaux, lors d’une journée d’étude organisée hier au ministère de la Poste et des Technologies de l’information et de la communication. L’e-gouvernement provoque « une transformation profonde » des modalités de l’action publique, qui met à profit la puissance des outils et réseaux informatiques pour se déployer selon de nouvelles configurations. Les étapes à franchir sont « l’information, l’interaction, la transaction et la transformation ». L’utilisation des TIC dans l’administration permet d’améliorer l’efficacité et l’efficience dans le travail.

 

http://www.elwatan.com/Reconfiguration-des-sites

 

et en //

 

Adoption du projet de loi sur la cybercriminalité

Inquiétude sur les libertés

 

Les membres de l’Assemblée populaire nationale (APN) ont approuvé hier, à l’unanimité, le projet de loi portant règles particulières relatives à la prévention et à la lutte contre les infractions liées aux technologies de l’information et de la communication.

 

http://www.elwatan.com/Inquietude-sur-les-libertes

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Share
Aller sur la liste des sujets

  • Messages

    • Tlemceni13
      Idoom Fibre ... La 100 Mbit/s proposée à 25.000 DA/mois !

      Par Tlemceni13 · Posté(e)

      L'Egypte a généralisé le VDSL contrairement à l'Algérie qui patauge encore à faire venir la fibre, trop de blabla et peu d'action.
    • Tlemceni13
      Test de débits FTTH (suivi état du réseau)

      Par Tlemceni13 · Posté(e)

      @dico12 Installe TCP optimizer et vérifie si le débit augmente, aussi faut pas oublier d'installer les derniers drivers de la carte réseau.
    • dico12
      Test de débits FTTH (suivi état du réseau)

      Par dico12 · Posté(e)

      salam merci les gars alors Lyès mon laptop est ancien , c'est un HP compaq nc6320 et je n'ai aucun logiciel qui limiterait ma bande passante
    • yassine75
      Test de débits FTTH (suivi état du réseau)

      Par yassine75 · Posté(e)

      @dico12 change le serveur de test, essaie le serveur de constantine, je pense que le premier serveur est limité  
    • laliche
      Huawei défie Windows

      Par laliche · Posté(e)

      Depuis l'entrée en vigueur des sanctions américaines , le géant technologique chinois Huawei développe son propre système d'exploitation, HarmonyOS. Si les premières versions reposaient encore sur le projet open source Android, Huawei n'a plus utilisé de code Google depuis HarmonyOS Next. Par conséquent, les smartphones et montres connectées du fabricant, du moins ceux destinés au marché chinois, n'intègrent aucun logiciel américain. HarmonyOS 5 va désormais remplacer Windows sur les ordinateurs portables et de bureau. Le système d'exploitation du PC reprend la structure de celui du smartphone et intègre le noyau HarmonyOS, le logiciel de sécurité StarShield et le moteur Ark, censés offrir de bonnes performances. Huawei affirme que le système d'exploitation est « plus rapide que Windows », sans toutefois fournir de détails précis à l'appui. L'interface utilisateur rappelle toutefois celle du système d'exploitation Microsoft, leader du marché, avec une barre des tâches en bas de l'écran et un bureau avec applications, documents et widgets.   Les applications épinglées se trouvent au centre de la barre des tâches, tandis que des informations importantes comme l'heure et le niveau de batterie sont visibles sur le côté droit. Cliquer sur ces icônes ouvre un menu de configuration rapide rappelant HarmonyOS sur les smartphones. Le bouton à l'extrême droite ouvre la fonctionnalité IA, qui apparaît alors sous forme de fenêtre sur le bord droit de l'écran et fonctionne comme un chatbot. Elle peut également interagir avec les documents et les applications, à la manière de Microsoft Copilot .   HarmonyOS 5 propose également de nombreuses fonctionnalités multitâches, comme la possibilité d'afficher côte à côte toutes les fenêtres ouvertes en glissant trois doigts vers le haut sur le pavé tactile. Pour un look plus moderne, Huawei a systématiquement intégré des effets d'éclairage dynamiques qui réagissent au curseur de la souris, ainsi que des fonds d'écran animés. Semblable à macOS et iOS, HarmonyOS 5 permet de connecter facilement les ordinateurs aux smartphones et tablettes fonctionnant sous la version mobile d'HarmonyOS. Par exemple, les utilisateurs peuvent écrire un message sur leur smartphone à l'aide du clavier de leur ordinateur portable, ou copier un fichier depuis une tablette et le coller sur leur ordinateur portable. Huawei promet également une prise en charge étendue des applications par des développeurs tiers. Tout comme HarmonyOS Next, il est peu probable qu'HarmonyOS 5 fonctionne un jour sur des appareils destinés aux marchés occidentaux.
×
×
  • Créer...