Faille de sécurité "le bon coin" malgré 2FA - Sécurité - Windows & Software
Marsh Posté le 13-05-2021 à 16:34:15
Eddy_60 a écrit : Bonjour, |
Si tu es vérolé à la base, ou que tu as utilisé un jour le meme login et mot de passe sur un autre site et qu'il y a eu vol de données et qui a servi pour celui du bon coin ensuite, Il ne te sert à rien de changer le mot de passe
L'envoi du SMS peut fonctionner sauf si ton portable est aussi vérolé
Marsh Posté le 13-05-2021 à 18:28:10
J'ai changé mot de passe mail / leboncoin, reste le téléphone mais comment un portable peut être vérolé ?
Marsh Posté le 14-05-2021 à 00:41:33
Eddy_60 a écrit : |
Par le fait d'applis, pas le fait de SMS vérolé (si tu y réponds), ne pas négliger la synchro, ...
Là tu dis avoir changé le mot de passe avec la double authenfication par SMS. Le problème persiste ?
Il te faudrait faire analyser le PC avec FRST et le soumettre à des sites où des helpeurs pourraient te prendre en charge. Cela écarterait un soucis
L'autre (mais tu n'a pas réagi) c'est le fait du login/mot de passe utilisé à l'identique sur divers sites ou réseaux sociaux, messagerie, avec vol de données
Marsh Posté le 14-05-2021 à 01:34:37
J'ai un téléphone à 10€ avec des touches donc les applis c'est pas possible.
C'est vrai que j'utilisais des mails poubelle avec le même mot de passe mais j'ai changé cette fois avec le code sms obligatoire à chaque connexion.
Mon pc a une installation vierge et j'ai un message d'un supposé acheteur me demandant de me connecter..
Est ce qu'il peut à distance chopper mon nouveau mot de passe si je me connecte (je déconnecte systématiquement maintenant).. ?
si tu peux me recommander un lien en mp si nécessaire ?
Merci.
Marsh Posté le 14-05-2021 à 07:30:50
Eddy_60 a écrit : J'ai un téléphone à 10€ avec des touches donc les applis c'est pas possible. C'est vrai que j'utilisais des mails poubelle avec le même mot de passe mais j'ai changé cette fois avec le code sms obligatoire à chaque connexion. Mon pc a une installation vierge et j'ai un message d'un supposé acheteur me demandant de me connecter.. Est ce qu'il peut à distance chopper mon nouveau mot de passe si je me connecte (je déconnecte systématiquement maintenant).. ? |
Eddy_60 a écrit :
si tu peux me recommander un lien en mp si nécessaire ? Merci. |
Commentcamarche, CNETfrance et malekal
Marsh Posté le 14-05-2021 à 12:36:56
Eddy_60 a écrit : J'ai un téléphone à 10€ avec des touches donc les applis c'est pas possible. |
Eddy_60 a écrit : |
Ce que j'ai indiqué en rouge suffit pour ce qui t'arrives
Ce que j'ai indiqué en bleu peut suffire suivant le message, son contenu ou sa redirection (.js, faux/vrai site, etc) à du vol de données (rien ne vaut une connexion directe et ensuite aller sur le boncoin)
Pour la dernière question leroimerlinbis t'as répondu, et que ton installation de windows soit fraiche ou pas, je doute que tu utilises également un ou des navigateurs en installation vierge également (et cela peut suffire)
Je te donne la procédure de Malekal qui est la meme pour tous les sites d'analyse/désinfection et où tu pourras donner les liens
La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case
* Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Marsh Posté le 15-05-2021 à 21:01:01
Merci, effectivement plus aucun problème depuis que j'utilise plus les mails poubelles..
Je me demande comment on a plus choppé mon mot de passe assez complexe pourtant..
Marsh Posté le 15-05-2021 à 21:09:31
Eddy_60 a écrit : Je me demande comment on a plus choppé mon mot de passe assez complexe pourtant.. |
Un mot de passe complexe ne sert à rien si on est mal protégé ou si on fait n'importe quoi. On peut aussi tomber sur une faille ou un piratage. Ne jamais utiliser le même mot de passe 2 fois.
Perso j'ai des mots de passe relativement simples à très simples, et aucun problème depuis 20 ans.
En mode parano, j'ouvre tous mes mails au format texte.
Marsh Posté le 15-05-2021 à 21:29:19
mais qu'est ce que j'ai bien pu faire comme connerie, j'ouvre pas les liens de mail douteux ça devrait être suffisant
Marsh Posté le 15-05-2021 à 21:33:03
Eddy_60 a écrit : |
Je sais pas... Une extension vérolée, un jeu à la con sur Facebook, et ça peut suffire
Marsh Posté le 15-05-2021 à 22:31:34
si la personne publie une annonce sur mon compte, c'est clairement intentionnel..
Un harceleur sans doute que j'ai rembarré..
Marsh Posté le 15-05-2021 à 22:35:21
Eddy_60 a écrit : |
Si l a base est volée sur un site, du moins certains sites, je peux t'assurer que la longueur et complexite du mot de passe n'y change rien
J'ai vu des mots de passe de 24 caractères "en clair" avec des caractères spéciaux etc qui apparaissait dans les bases volées
Tu peux déjà vérifier ce que cela raconte https://www.malekal.com/haveibeenpw [...] -de-passe/
Et pour bien voir les dégats https://forum.malekal.com/viewtopic [...] 0&start=30 (et je suis en retard de plusieurs semaines pour l'actualisation, mais déjà c'est monstrueux)
Marsh Posté le 15-05-2021 à 23:27:27
Une base volée du bon coin ?
C'est déjà arrivé à quelqu'un d'avoir une de ses annonces publiées sur son compte par quelqu'un en copier coller avec pour seule différence le prix que je ne mettais pas ?
Marsh Posté le 16-05-2021 à 00:51:38
Eddy_60 a écrit : |
Je n'ai pas dit que c'était le boncoin
Du reste tu dis toi meme "C'est vrai que j'utilisais des mails poubelle avec le même mot de passe "
Tu as testé le site mis dans le lien ?
Marsh Posté le 17-05-2021 à 12:49:50
Eddy_60 a écrit : |
Non une base volée sur un autre site...
Si tu as le même mot de passe partout c'est facile.
Marsh Posté le 17-05-2021 à 13:07:35
Le bon coin sur le vieux ordi, je ne peux plus y aller (erreur de déboguage)..
Facile à voler un mot de passe gmail, je me demande comment.
Marsh Posté le 17-05-2021 à 14:49:46
Des bases de mots de passes volés, il y en a quelques unes, certaines contenant plusieurs centaines de millions de données.
Dont certaines contiennent des mots de passe de comptes mails (gmail/outlook/...).
Le site https://haveibeenpwned.com/ permet de voir si ton adresse ou ton mot de passe se trouvent dans ces bases volées et diffusées connues.
Souvent ce sont des login/mot de passe de sites qui ont été piratés et qui sont identiques à ceux utilisés pour l'accès au compte mail.
Marsh Posté le 17-05-2021 à 16:24:54
nex84 a écrit : Des bases de mots de passes volés, il y en a quelques unes, certaines contenant plusieurs centaines de millions de données. |
Le seul soucis du site, bien que complet et surtout sécure (il ne capte pas nos données au passage), c'est que pour les bases purement FR, il est loin de tout avoir (malgré ce qu'on lui envoie)
Donc cela reste indicatif
Lorsque je vois tout ce que j'ai trouvé sur les vols de sites FR en janvier par ex, (qui ne plus ne réagissent pas lorsqu'on les prévient, et/ou qui n'avertissent pas la CNIL) on est TRES loin du compte
Marsh Posté le 17-05-2021 à 16:58:25
C'était juste un exemple.
Marsh Posté le 17-05-2021 à 17:32:50
nex84 a écrit : |
Non mais tu as raison et en plus on n'a pas mieux, donc on fait avec :-)
Marsh Posté le 19-05-2021 à 09:36:10
nex84 a écrit : Des bases de mots de passes volés, il y en a quelques unes, certaines contenant plusieurs centaines de millions de données. |
Citation : |
Je connaissais pas, intéressant.
Quand on a le login d'une personne et/ou son téléphone et qu'on fait la procédure pour récupérer le mot de passe, y a moyen pour un individu malveillant de le voler ?
Mp si nécessaire, faut pas non plus donner un mode d'emploi aux escrocs
Marsh Posté le 19-05-2021 à 12:28:01
Il y a pleins de moyens.
Le social engineering est un domaine vaste.
En plus de ça il y a aussi moyen d'exploiter les technologies non sécurisées.
Par exemple, il ne faut pas oublier que les SMS ne sont pas chiffrés et sont lisible par n'importe qui de débrouillard.
Bref, ...
Pour répondre à ta question "y a moyen ?", la réponse est oui.
Il y a pleins de moyens, plus ou moins complexes, de récupérer ces infos de personnes peu attentives ou qui ont de mauvaises habitudes.
La bonne question maintenant est de prendre de bonnes habitudes, de changer ses mots de passes, de mettre du 2FA quand c'est possible, etc...
Histoire de coller au plus près à la règles des 3 :
- ce que je connais (ex : mot de passe)
- ce que je possède (ex : 2FA)
- ce que je suis (ex : biométrie pour accéder au 2FA)
Marsh Posté le 02-06-2021 à 19:25:25
J'ai l'activation avec code par téléphone, comment c'est possible que quelqu'un publie une annonce sur mon compte ?
Les mots de passe sont changé, je comprends rien..
Le bon coin est une passoire en sécurité ?
Marsh Posté le 02-06-2021 à 20:51:09
Tu as regardé la liste des appareils pour voir s'il y avait des connexions suspectes :
https://www.leboncoin.fr/compte/connexion-securite
?
Marsh Posté le 02-06-2021 à 21:01:47
Oui j'ai des appareils que je connais c'est ça le plus étrange, là j'ai :
Changer le mot de passe mail
Changer le mot de passe du bon coin
Simuler une récupération mot de passe mail, j'ai un numéro que je suppose être mon fixe et j'arrive pas à le supprimer pour ne laisser que mon mobile.
Je vois aucune faille et pourtant ce matin une annonce a été publié vers 8h00 et j'étais pas devant l'ordi, c'est pas moi..
Ma solution c'est de me déconnecter systématique après fin d'utilisation, à moins de piquer ma connexion le bon coin à distance, je ne vois que ça
Marsh Posté le 03-06-2021 à 08:06:21
Le numéro de fixe apparait, comment le supprimer d'un gmail ?
Peut être je dois utiliser un mail la poste, plus sûr ?
Marsh Posté le 03-06-2021 à 08:59:39
Quand tu as changé ton mot de passe, tu as bien coché la case "Me déconnecter partout où je suis connecté avec mon ancien mot de passe" ?
Si tu ne l'as pas fait, n'importe lequel des appareils déjà connecté avant le changement peut encore accéder à ton compte.
Marsh Posté le 03-06-2021 à 12:43:27
Eddy_60 a écrit : |
Je vais te parler d'un truc avec gmail en MP (pou éviter de donner de mauvaises idées à certains :-)
Tu vas comprendre le problème
Marsh Posté le 04-06-2021 à 12:51:41
Il a réussi malgré l'identification téléphone a posté une annonce sur mon compte, c'est pour ça que j'ai changé le mail et les mots de passe (mail et boncoin).
J'arrive pas à comprendre comment il a identifié mon mail.. ou alors il a appelé le bon coin en se faisant passer pour moi et je vais recevoir une facture.
Marsh Posté le 08-06-2021 à 19:23:57
Après réflexion, il utilise mon téléphone pour poster une annonce sur mon compte.
Il n'y a aucun appareil nouveau connecté donc il peut très bien appeler le bon coin et poster son annonce en se faisant passer pour moi avec mon téléphone et la ville où j'habite, le reste il ne sait rien.
Il a pas accès à mon mail, car je n'ai de confirmation de publication de son annonce.
Après avoir changé mail et mot de passe du bon coin, j'ai changé le numéro de téléphone..
Logiquement il est cuit et ne peut plus publier d'annonce sur mon compte.
Donc si quelqu'un a votre numéro de téléphone, il peut très bien publier sur votre compte une annonce en se faisant passer pour vous.
Pas très pro, le bon coin sur ce coup là, j'espère qu'ils leurs ont pas filé mon identité..
Marsh Posté le 08-06-2021 à 19:25:49
Leboncoin n’est pas joignable par téléphone. Ils n'ont pas de service de postage d'annonces par téléphone, je sais pas où tu as vu jouer ça.
Marsh Posté le 08-06-2021 à 19:27:21
Peut être qu'il utilise un formulaire en disant qu'il n'arrive pas à poster une annonce..
Il me semblait qu'un service client existe par téléphone car il a que ça..
Il insistait bien pour avoir mon numéro donc il doit en faire quelque chose...
Marsh Posté le 08-06-2021 à 20:34:45
Eddy_60 a écrit : Il insistait bien pour avoir mon numéro donc il doit en faire quelque chose... |
Tu parles de ton pirate ? Comment tu sais ça ?
Marsh Posté le 08-06-2021 à 23:13:32
Trit' a écrit : |
Oui, je sais ça car il crée des comptes en insistant pour avoir mon téléphone avec plusieurs comptes leboncoin.
Il a dû penser à un moment que j'avais changé pour son plan de mettre une annonce sur mon compte.
Donc en changement mon numéro de téléphone, il pourra plus j'espère et j'utiliserais un ordinateur avec W10 spécialement pour le bon coin. D'habitude c'est W7 voir Xp.
Marsh Posté le 09-06-2021 à 08:50:47
Comment ça, il "insiste pour avoir ton téléphone" ?
Ce serait pas des notifications de tentatives de connexion 2FA justement ?
Auquel cas ça veut dire que c'est efficace car le "pirate" a ton mot de passe mais ne peut pas se connecter.
Et oublie Windows 7 et XP (!!?) ...
Définitivement.
Marsh Posté le 09-06-2021 à 12:55:10
Il crée un compte le bon coin et se fait passer pour un acheteur dès le premier message à demander mon téléphone.
Qu'est ce que t'entend par "notifications de tentatives de connexion 2FA" ?
Aucun appareil nouveau ne s'est connecté quand j'ai regardé et l'annonce qu'il a mise n'est même pas confirmé mise en ligne sur mon mail.
Pour moi il publie l'annonce sur mon compte en signalant un faux problème avec le lien de son annonce avec une autre adresse mail dans le formulaire...et mon téléphone.
J'ai repéré ses annonces et je le signale mais ça ne suffit pas toujours, parfois son compte saute..mais ça prend du temps car pas du tout réactif aux signalement le bon coin..
Marsh Posté le 09-06-2021 à 13:09:08
Mais elles sont sur ton compte ces annonces ?
J'ai l'impression que tu parles d'un autre compte sans relation avec le tien.
Marsh Posté le 13-05-2021 à 16:14:02
Bonjour,
Malgré avoir changé mon mot de passe, sur mon compte quelqu'un publie une annonce.
Je passe au 2FA avec le mail et ça recommence.
Là j'ai choisi l'envoi du SMS, j'ai changé mot de passe, est ce que ça va suffir ?
Ce qui m'amène à cette question, faut-il déconnecter du bon coin après chaque usage pour éviter une fraude à distance
avec logiciel pour voler des données pc à distance ?
Merci.