Tentative d'usurpation d'identité

Bonjour à tous,

Ce soir, je viens de recevoir un eMail de la room UpperClassPoker.

Apparament cette eMail fait suite à une demande de je ne sais qui…
Cette personne aurait contacter UpperClassPoker en se faisant passer pour moi et leur aurait redemander le mot de passe que j’ai sur la room en leur précisant un de mes mots de passe. (Je ne sais pas encore la demande exacte qu’ils ont reçu, ni de qui)

=> un de mes mots de passe que je me sert entre autre sur divers forum de poker est tombé entre les mains de je ne sais qui.(Soit une personne de l’un des forums, soit plus probablement un forum et mot de passe mal sécurisé)

=> Heureusement, le mot de passe que j’utilise sur cette room n’est pas le même. (Sinon, quelqu’un aurait eu accès à mon compte sans que je le sache et aurait pu faire des dégats.)

=> A noter aussi que l’eMail que m’as envoyer UpperClassPoker précise qu’ils ne peuvent pas redonner le mot de passe mais contient un lien pour recréer un nouveau mot de passe (Jamais essayer, je sais pas comment ça marche.)

Heureusement pour moi, le mot de passe de ma messagerie est encore un autre. Sinon, l’usurpateur aurait eu accès à l’eMail, aurait pu cliquer sur le lien et, je suppose, recevoir par eMail un nouveau mot de passe temporaire. A partir de là il aurait eu accès à mon compte sur la room et moi je n’aurait plus cet accès ne connaissant pas ce nouveau mot de passe.

J’ai contacter UpperClassPoker pour avoir des précisions sur cet incident, actuellement sans conséquence, et trouver l’auteur ou du moins quelques indices.

Je conseil donc à tous :

• Choisir des mots de passe difficiles (Long, Minuscule et Majuscules + chiffres + autres caractères)

• Ne jamais utiliser un même mot de passe pour diverses choses (Et même un nouveau mot de passe pour chaque truc serait l’idéal…)

• Pour le poker, au minimum 3 mots de passe différents :
  1 pour la room,
  1 pour le/les forum de poker
  1 pour votre messagerie
  Et de préférence une messagerie différente par thème.

J’avais à peu près respecter tout celà est celà s’est aujourd’hui avéré efficace et m’as éviter bien des ennuis…

Bon il me reste à modifier mon mot de passe sur tous les sites où mon passe dévoilé était…
(oui, je l’ai trop utilisé, au moins sur une vingtaine de forum…)
Sniff…

Et si quelqu’un à trouver une bonne méthode pour gérer et choisir tout ces mots de passe, merci de nous donner quelques astuces…

Vous voilà prévenus !

Et si jamais certain ont les même problèmes ce serait bien de le dire afin d’essayer de trouver une éventuelle faille d’un site de poker…

Un petit rajout :
Ne pas utiliser non plus la même adresse eMail pour les rooms et pour les forums. Celà permet de bien séparer tout. Celà permet entre autre de déjouer le pishing, l’eMail qui vous semblerais venir de la room ne serait pas votre bon compte eMail.

Bonne nuit

merci pour ce mail bien utile…enfin pour moi il l’est clairement car je ne fais pas super attention à tout cela…

Bigbig écrit:

[quote]=> A noter aussi que l’eMail que m’as envoyer UpperClassPoker précise qu’ils ne peuvent pas redonner le mot de passe mais contient un lien pour recréer un nouveau mot de passe (Jamais essayer, je sais pas comment ça marche.)[/quote]Toujours faire attention au risque de phishing lié à ce genre de demande.

Je ne pense pas que ce soit le cas ici, mais a vérifier tout de meme.

Je rappel le principe du phishing, le pirate se fait passé pour la room (ou la banque…) et vous renvoi vers une vrai/fausse page ou devez taper vos identifiants.

Oui, toujours faire attention au pishing dès qu’il y a un lien dans un eMail ou que l’on vous demande des info perso. Le simple fait d’utiliser plusieurs adresse emails permet déjà de faire un tri rapide (Ex: 1 eMail pour les forum de poker, 1 email different pour les rooms. Le 1er pouvant être connu de plus ou moins nombreuses personne, le 2nd n’était connu que des rooms)

Dans mon cas, ce n’est pas du pishing, mais bien un eMail d’UpperClassPoker (entête de l’eMail complement identiques à des mails de leur part et aucune tentative de redirection sur le lien) qui fait suite à une demande d’un usurpateur (Qu’ils n’ont par contre pas vraiment décelé puisqu’ils ont répondu)

A+

Bigbig, tu nous apportes la preuve que les précautions élémentaires que tous le monde devrait suivre (même moi :S ) sont loin d’être inutiles.

Il y a effectivement des problèmes graves au niveau de la gestion des mots de passe. Ce problème se situe à 2 niveaux : la transmission du mot de passe et le stockage du mots de passe.

Si le mot de passe est transmis en clair ou presque en clair lorsque que le site demande l’authentification de l’utilisateur, quelqu’un à l’écoute de cette échange peut l’intercepter et l’utiliser.

Si le mot de passe est transmis via un protocole qui crypte les échanges il devient bien plus difficile pour un espion d’intercepter le mot de passe. Sa meilleure chance est de se faire passer lui même pour le site qui demande l’authentification (Attaque the man in the middle) Il faut donc rester vigilant sur l’adresse de la page que demande de s’authentifier.

Si le mot de passe est stoké en clair par le service, si le service est piraté ou que des personnes qui gèrent le service ne sont pas règlos le mot de passe peut être facilement corrompu. Si lorsque vous recevez votre confirmation d’inscription ou en utilisant la fonction j’ai oublier mon mot de passe vous recevez email avec votre mot de passe alors c’est que clairement votre mot de passe est stocké en clair sur le serveur. Cela rajoute en plus des risques liés à l’intégrité du service de mail.

Si le mot de passe n’est pas stoker en clair mais subi un transformation qui n’est pas réversible (hash) alors il devient très difficile pirater le mot de passe. En général les sites de ce type vous envoient un nouveau mot de passe tiré hazard, soit un lien avec une très grande chaine à la fin si vous activez la fonction « j’ai oublié mon mot de passe ».

Dans le doute il est tout a fait possible d’appliquer sois même la transformation sur le mot de passe et d’utiliser un mot de passe légèrement différent pour chaque site. De cette façon on évite d’avoir des milliers de mot de passe à se souvenir tout en réduisant les chances de se faire pirater tout ses compte suite à la compromission d’un seul.

Voila la méthode que je vous suggère pour avoir des mots de passe robuste.

[ol][li]Choisissez un mot clef qui sera commun à tout vos mot de passe : par exemple le nom de votre chien nanouk[/li]
[li]ajouter les 4 premières consonnes après le www. du site sur lequel vous voulez avoir un compte. Pour poker académie ce sera pkr-. Ce qui donne nanoukpkr-.[/li]
[li]utiliser une fonction de hash type md5sum pour brouiller le mot de passe et gardez les 8 premiers caractères. C’est pas facile de trouver un moyen de calculer un hash depuis n’importe quel ordinateur[/li]
[li]sélectionner les 10 premiers caractères du résultat du hash et voila votre mot de passe[/li][/ol]

Voici un embryon d’astuce que j’utilise :

J’ai mon propre nom de domaine (ca coute $12 par an, c’est pas la mer à boire). Grace a ca, je peux créer des redirections mails facilement, et à l’infini.

J’ai une boite mail que j’utilise sur un webmail (genre Yahoo / Gmail / Hotmail / …) avec une adresse mail que je ne donne jamais à personne.

Lorsque je file mon mail à un pote, je donne "mon_vrai_nom@mon_domaine.com". Quand je m’inscris à un forum, je donne "login@mon_domaine.com". Quand je m’inscris sur une newsletter, je donne l’email "newsletter@mon_domaine.com". Pour les sites qui vont me spamer "spam@mon_domaine.com".
Tous ces alias pointent en réalité sur ma vraie boite mail.

Grace a ca, je recois tous mes mails au meme endroit, mais personne ne sait où est cet endroit
Du coup, meme si tu sais que mon adresse mail c’est "login@mon_domaine.com", tu ne sais pas sur quel webmail aller, ni meme quel login essayer de cracker

En réalité, ma vrai adresse mail est du genre "hkgdslkfqjfvhjgsdfkjhsncfbvdshbvdsqcs@yahoo.fr", mais comme personne ne la connait, et que je ne la donne jamais, je n’ai meme pas besoin de la retenir par coeur :lol: