31
Commentaires

Mails piratés par Wikileaks : Podesta utilisait-il le mot de passe "password" ?

Le directeur de campagne d'Hillary Clinton a-t-il été piraté à cause de sa propre incompétence ? C'est ce que soutient le fondateur de Wikileaks Julian Assange. Son organisation avait publié au cours de la campagne des milliers de mails piratés provenant du compte de John Podesta. Des mails qui n'ont pas donné lieu à de grandes révélations, mais ont alourdi la campagne Clinton . Alors que les services de renseignement américains accusent la Russie d'avoir pris part au piratage, Assange affirme que Podesta avait un mot de passe bien trop simple, ce qui aurait permis à n'importe qui de pirater l'adresse mail. Une affirmation qui reste difficile à prouver.

Derniers commentaires

Ah, ce pauvre Podesta n'est pas le seul.

Les mots comme "password", "mdp", etc. sont les premiers testés par les logiciels de piratages (et les pirates), parce que 85% des gens (au pifomètre) ont la flemme de changer de mot de passe. D'où le fait que les programmeurs de google aient été obligés de forcer les gens à ne pas choisir un mot de passe stupide. Triste.

C'est ce qui différencie les techniques de piratage basées sur le social engineering des techniques basées sur le code.
Souvent le premier marche très bien. La connerie humaine et sa fainéantise sont phénoménales. Et exploitables.
A part ça un truc qui m'a fait éclater de rire au détour d'un article : Podesta quand il a commencé sa carrière comme conseiller de Bill Clinton (avant de devenir son chef de staff en 98) avait pour attribution "senior policy adviser on government information, privacy, telecommunications security". :D
Je me demande ce qui a fait choisir à @si de résumer "mails piratés par des hackers inconnus considérés aux ordres du gouvernement russes par les services secrets américains et publiés par Wikileaks"
par "mails piratés PAR Wikileaks", Wikileaks se chargerait donc directement des piratages !? c'est le scoop du siècle coco !!!
"mails piratés par des hackers suspectés d'être russes et publiés par Wikileaks" c'était encore trop long ?
"mails piratés POUR wikileaks", pourquoi pas à la limite...? (mais non ils ont aussi été publiés par Gucifer et DCLeaks)
"mails PUBLIES par wiikileaks", ou
"mails piratés publiés par wikileaks", ç'aurait pas été le mieux ?
Et pendant que l'audience distraite regarde la main droite du prestdigitateur...
https://twitter.com/robn1980/status/817707332943613954
Article encore très décevant.

-Reprise du story telling US qui voudrait que le problème majeur soit le piratage et non le contenu des messages (que le piratage a permis de mettre à jour)

- Reprise d'un mensonge médiatique qui voudrait que le piratage n'ai pas donné lieu à de grandes révélations alors qu'il a permis de révéler la connaissance par Clinton du financement de DAESH par les monarchies alliés des US (un énorme scandale totalement éludé par l'ensemble des médias) et surtout il a révélé au grand public la triche du camp Clinton lors de la primaire contre Sanders

- Reprise d'un micro mini polémique qui voudrait que le nœud de l'affaire soit le mot de passe utilisé par Podestat

Par ses nombreux articles sur le sujet mais qui évitent d'aborder le cœur du sujet Asi participe à l’esbroufe.
L'élément suivant me semble clairement manquer dans l'article:

http://www.inquisitr.com/3628787/wikileaks-clintons-campaign-chairman-lost-his-cell-phone-getting-out-of-cab-leaked-podesta-email-shows/

Podesta a perdu son portable dans un taxi. Même s'il l'a récupéré, tout l'épisode montre une quasi absence de gestion de la sécurité et d'énormes failles multiples, avec des assistants qui connaissent le mot de passe, aucun responsable sécurité prévenu, aucun changement de mot de passe et encore moins d'opération basique pour bloquer le téléphone à distance.

Le contraste est grand avec les pratiques observées dans n'importe quelle grande entreprise.

Ce message a été supprimé suite à la suppression du compte de son auteur

Le gars qui a validé le mail de phishing nous prend pour des nazes, il écris 'C'est un mail valable. John doit changer son mot de passe immédiatement' il n'a pas fait une erreur de 'pas' mais d'une phrase entière , le 'pas' pourrait être oublier dans le début de phrase , mais la suite 'changer le mot de passe immédiatement' ne laisse aucun doute . Il est nul et en plus il ment et nous prend pour des nuls.
Ces gens-là sont bizarres, ils écrivent en anglais états-unien. Le mail originel de Delavan : https://static01.nyt.com/images/2016/12/14/us/14HACK-tear1/14HACK1-master675.jpg

Il manque 2 lettres (« i » et « l »), sa réponse fait penser qu'il croit vraiment que le mot de passe est connu par quelqu'un d'autre MAIS il donne le lien correct pour changer le mot de passe, lien qui semble-t-il n'a donc pas été celui utilisé pour changer le mot de passe.
Pour info, contrairement à ce que le NYT a rapporté, Delavan a précisé que la faute n'était pas d'avoir écrit "legitimate" au lieu de "illegitimate" (auquel cas sa défense était suspecte à cause de l'article indéfini qui précède l'adjectif - en anglais "a" au lieu de "an"), mais que la faute consistait en l’oubli de la négation "not" : au lieu de « This is a legitimate email », il avait voulu écrire « This is not a legitimate email. »
Merci pour la précision. Au moins, c'est clair.
Non, changer son mot de passe (en utilisant le lien valide évidemment, pas celui de l'email) n'est pas une mauvaise recommandation suite à une tentative de phishing. Et surtout, le technicien lui demande d'activer la double authentification, ce qui n'a manifestement pas été fait...
L'oubli d'une négation, c'est une erreur que je fais souvent. Si Delavan avait estimé que le message initial était sans danger, pourquoi se serait-il donné la peine d'ajouter un lien dans son propre message ?
Son explication me parait crédible.
Cela fait écho au roman d'Umberto Eco, Le Pendule de Foucault.
Juste une petite remarque : si vous relisez bien ce qu'a dit Assange, il n'a pas fait explicitement de lien entre la facilité de l'opération et le fait d'utiliser le mot "password". Il dit bien que Podesta a répondu à un email de phishing et qu'il a lui-même donné son mot de passe.
L'un des problèmes également a été que le contact entre John Podesta et l'ingénieur qui a validé l'email a été indirect, et est passé par un intermédiaire (Sarah Latham), d'où une perte d'information : http://fairing.canalblog.com/archives/2017/01/06/34774082.html

DÉCOUVRIR NOS FORMULES D'ABONNEMENT SANS ENGAGEMENT

(Conditions générales d'utilisation et de vente)
Pourquoi s'abonner ?
  • Accès illimité à tous nos articles, chroniques et émissions
  • Téléchargement des émissions en MP3 ou MP4
  • Partage d'un contenu à ses proches gratuitement chaque semaine
  • Vote pour choisir les contenus en accès gratuit chaque jeudi
  • Sans engagement
Devenir
Asinaute

5 € / mois
ou 50 € / an

Je m'abonne
Asinaute
Généreux

10 € / mois
ou 100 € / an

Je m'abonne
Asinaute
en galère

2 € / mois
ou 22 € / an

Je m'abonne
Abonnement
« cadeau »


50 € / an

J'offre ASI

Professionnels et collectivités, retrouvez vos offres dédiées ici

Abonnez-vous

En vous abonnant, vous contribuez à une information sur les médias indépendante et sans pub.