Bienvenue sur PEBKAC.fr, le site qui recense les anecdotes où l’on se moque des utilisateurs ne maîtrisant pas l’outil informatique. PEBKAC est un acronyme signifiant « Problem Exists Between Keyboard And Chair ».
Le problème se situe entre la chaise et le clavier : soumettez vos histoires, donnez votre avis !
Ce site n'est pas le site original pebkac.fr. Je publie ici la liste des PEBKAC que j'ai pu sauvegarder avant que le site original ne soit mis hors ligne.
Il y a quelques temps, alors que j'étais apprentie, je travaillais sur l'Extranet de ma société. Incidemment, ce portail avait un nom similaire à celui d'un autre groupe. De fait, quand l'utilisateur lambda du site de l'autre société tapait le nom de celle-ci dans Google (ignorant visiblement l'utilité des favoris / marque-pages / signets), il tombait très souvent chez nous. Pas dérangés pour si peu, ils étaient alors nombreux à entrer leur identifiant et mot de passe... que nous retrouvions alors dans nos logs.

Pour ces utilisateurs qui ne font même pas attention au site sur lequel ils tentent de s'identifier : PEBKAC.
PEBKAC #7242 proposé par Chymaille le 18/03/2013 | 19 commentaires | 👍🏽 👎🏽 +99
Ça logue les mots de passe, et ça se permet de critiquer…
Commentaire #83873 écrit par BSK le 18/03/2013 à 17h36 | 👍🏽 👎🏽 +1
Par contre, quand vous utilisateurs à vous se logguent correctement sur votre portail, c'est normal que leurs mots de passe soient dans vos logs, eux.

Vous vous en foutiez parce qu'ils étaient stockés en clair de base dans la DB, probablement ?

CTLP
Commentaire #83875 écrit par b0fh le 18/03/2013 à 17h38 | 👍🏽 👎🏽 +1
Je suppose que sa ne log que les échecs de connexion a des fin d'analyse pour éviter les attaques brute de force entre autre :)
Commentaire #83876 écrit par Dr Graph le 18/03/2013 à 17h44 | 👍🏽 👎🏽
M'enfin, entrer son login/mot de passe sur un site qui n'a visuellement rien à voir avec le sien, faut quand même y aller sévère. Je n'ose imaginer ce que donnerait une véritable tentative de phishing sur ces gens.

En l'occurrence, je suis arrivée en cours de projet, c'est un truc que j'ai constaté complètement par hasard vu que je ne travaillais pas sur la partie connexion (codée depuis bien longtemps à cette époque). Aurais-je dû objecter, aucune idée, à l'époque je débutais et ce que dit Dr Graph plus bas à ce sujet se tient plutôt pas mal (parce que oui effectivement, on n'enregistrait que les tentatives ratées).
Commentaire #83881 écrit par Chymaille le 18/03/2013 à 18h03 | 👍🏽 👎🏽
Nope, et nope. Autres présomptions foireuses ?
Commentaire #83882 écrit par Chymaille le 18/03/2013 à 18h07 | 👍🏽 👎🏽
Ca reste une mauvaise pratique de securité.

si quelqu'un s'introduit sur leurs serveur, si il remonte au nom de l'utilisateur il a des mots de passes valides qu'il n'a plus qu'a essayer sur d'autre services et avec un peu de chance ca marche, et paf.
En fait c'est pas mieux que de garder les mots de passe en clair.
Commentaire #83885 écrit par aaa le 18/03/2013 à 18h37 | 👍🏽 👎🏽
Enfin si c'est mieux pour TES utilisateurs. Pour les autres par contre c'est pareil... Dejà qu'ils sont pas doués...
Commentaire #83887 écrit par aaa le 18/03/2013 à 18h38 | 👍🏽 👎🏽
Il ne faut jamais sous estimer la stupidité d'un utilisateur !

Un autre exemple : un article sur RWW à propos de facebook et de l'utilisation des profils pour se connecter à des sites tiers. L'article (en anglais) : http://readwrite.com/2010/02/10/facebook_wants_to_be_your_one_true_log[...]

Et ce qui devait arriver, arriva. Le trafic a explosé, et les commentaires ont commencé à pleuvoir : « comment je fais pour me connecter ? » En fait, la simple recherche de « facebook login » sur google avait cet article en premier résultat... Un résumé de cette histoire est disponible (en anglais) : http://readwrite.com/2010/02/11/how_google_failed_internet_meme
Commentaire #83889 écrit par Acné le 18/03/2013 à 19h24 | 👍🏽 👎🏽
Mouais, enfin toute personne qui voit dans les logs Echec de connexion : "machin" a tenté de se loguer avec le mot de passe "TRUC&é" sait que « machin » a pour mot de passe « truc12 »…
Commentaire #83891 écrit par BSK le 18/03/2013 à 19h32 | 👍🏽 👎🏽 +1
"Le site de ma boite fait du phishing, et il y a des gens qui tombent dans le panneau, PEBKAC"
Commentaire #83900 écrit par Enkimy le 18/03/2013 à 21h14 | 👍🏽 👎🏽
Tout à fait d'accord avec la première phrase, mais malgré ce que dit Dr Graph plus bas, enregistrer dans les logs les mots de passe est non seulement une mauvaise pratique, mais également un non-respect du droit à la confidentialité des données personnelles de vos utilisateurs et des autres.

Si on prend toutes les tentatives de connexion ratées à un caractère près, ça donne de nombreuses possibilités de connaître les vrais mots de passe.

Loguez les tentatives ratées, oui, les noms d'utilisateurs associés, oui, mais jamais les mots de passe utilisés.

Bien sûr, les boulets d'en face n'en sont pas moins des PEBKAC ^^.
Commentaire #83902 écrit par Morrock le 18/03/2013 à 21h46 | 👍🏽 👎🏽
Un bon moyen de faire du phishing serai de faire une page de connexion du "genre" Facebook mais pas une simple copie. Comme ça les victimes enervervés par la nouvelle interface perdent leur sens critique et se loguent...
Commentaire #83908 écrit par Geek-garou le 18/03/2013 à 22h17 | 👍🏽 👎🏽
Du point de vue responsabilité, écrire « ma boite fait du phishing » eût été pareil.
Commentaire #83914 écrit par Kebukai le 18/03/2013 à 23h23 | 👍🏽 👎🏽
Quelles présomptions foireuses ?

Vous logguez les échecs avec le pass en clair. Comme mentionné plus bas, à la moindre typo ou erreur de capslock, il y aura des vrais mots de passe utilisables dans vos logs. Ose me dire que ce genre d'erreurs ne t'es jamais arrivé.

Logger des mots de passe, c'est irresponsable et ça annule tout l'intéret de stocker des hashes. Même si ça ne concerne que les échecs.
Commentaire #83915 écrit par b0fh le 18/03/2013 à 23h35 | 👍🏽 👎🏽
C'est pas faux Morrock, de plus c'est pas un truc auquel j'ai été confrontée après ça, et ça ne m'est jamais venu à l'esprit de le faire dans mes sites persos :)
Commentaire #83939 écrit par Chymaille le 19/03/2013 à 09h49 | 👍🏽 👎🏽
Ah non mais bien sûr que j'ai déjà fait l'erreur, il y a même un site sur lequel je la fais trois ou quatre fois par jour. Comme je disais, ce n'est pas moi qui ai mis ce truc en place et ça ne m'est jamais venu de le faire par la suite. Disons que sur le coup, en tant que grande débutante, quand je suis tombée sur cette "fonctionnalité" c'est surtout du point de vue phishing que j'ai tiqué.
Commentaire #83940 écrit par Chymaille le 19/03/2013 à 09h51 | 👍🏽 👎🏽
Ah euh, non non, on avait juste des noms de domaine similaires. Le design n'avait RIEN à voir, d'où ma perplexité de voir les gens de l'autre société tenter de se loguer chez nous quand même, sereinement. Généralement, dans les tentatives de phishing c'est plus souvent l'inverse : design identique, nom de domaine différent (enfin ça saute pas toujours aux yeux, c'est sûr). Comme l'utilisateur moyen ne regarde pas toujours l'URL...
Commentaire #83942 écrit par Chymaille le 19/03/2013 à 09h54 | 👍🏽 👎🏽
Sinon, les utilisateurs de l'autre site ne sont pas forcément très à l'aise avec l'informatique en général.

Si on leur a dit qu'ils pouvaient utiliser le site XXX avec soit leur identifiant interne de la boîte, soit des identifiants qu'on leur fournit, il n'est pas très étonnant qu'ils ne se rendent pas compte que c'est pas le bon site.

Sinon, il y a surement beaucoup de gens pas très à l'aise qui doivent juste se dire que vous avez changer le thème du site.

Par contre, c'est vraiment inquiétant que vous enregistrer les essais de connexions O_O
Commentaire #83952 écrit par Anne Ô Nymes le 19/03/2013 à 11h12 | 👍🏽 👎🏽
" Le design n'avait RIEN à voir, d'où ma perplexité de voir les gens de l'autre société tenter de se loguer chez nous quand même, sereinement."
Ça ne me surprend pas.
Dans la société où je travaille, les différents sites de l'intranet n'ont pas tous le même design.
Et ils ne sont pas tous sur le même nom de domaine.
Commentaire #83980 écrit par Shirluban le 19/03/2013 à 13h39 | 👍🏽 👎🏽