Bienvenue sur PEBKAC.fr, le site qui recense les anecdotes où l’on se moque des utilisateurs ne maîtrisant pas l’outil informatique. PEBKAC est un acronyme signifiant « Problem Exists Between Keyboard And Chair ».
Le problème se situe entre la chaise et le clavier : soumettez vos histoires, donnez votre avis !
Ce site n'est pas le site original pebkac.fr. Je publie ici la liste des PEBKAC que j'ai pu sauvegarder avant que le site original ne soit mis hors ligne.
Voulant m'inscrire sur un site pour pouvoir consulter quelques informations, je remplis le formulaire d'inscription avec quelques données complètement bidon. Lors de la validation du formulaire, je constate avec stupeur qu'on me renvoie le messages d'erreur suivant : « Ce mot de passe est déjà utilisé », ce qui n'est pas banal.

Pour m'amuser un peu, je teste différents mots de passe bidons et reçois plusieurs fois ce même message d'erreur. J'ai ainsi pu découvrir que certains utilisateurs inscrits utilisaient donc les mots de passe suivants : « table », « chaussette », « aaaaa », « azerty » et même… « admin » (je vous laisse deviner avec quel compte j'ai pu m'authentifier avec succès en utilisant ce dernier).

Après avoir contacté par e-mail l'administrateur pour lui faire part du problème, j'ai reçu une gentille réponse m'expliquant qu'il créait des sites Web depuis plus de 30 ans (?!), que je n'avais rien à lui apprendre, et que si je continuais à pirater son site, il porterait plainte.
Ah bon… PEBKAC.
PEBKAC #9203 proposé par Morrock le 02/01/2014 | 49 commentaires | 👍🏽 👎🏽 +487
Tu peux lui conseiller de postuler au gouvernement...
Commentaire #124194 écrit par hr0 le 02/01/2014 à 08h50 | 👍🏽 👎🏽
Houla ! Ca c'est du lourd !
Le bon vieux "j'ai toujours fait comme ça !".
Tu as l'adresse du site ?
Commentaire #124196 écrit par Picc le 02/01/2014 à 08h54 | 👍🏽 👎🏽
Il crée des sites web depuis plus de 30 ans !!! un vrai précurseur ....
Commentaire #124197 écrit par giz le 02/01/2014 à 08h55 | 👍🏽 👎🏽 +1
moi je reclamerais quand meme l'adresse de son site histoire de culturer mon cerveau avec son code :)
Commentaire #124198 écrit par madyaourt le 02/01/2014 à 09h02 | 👍🏽 👎🏽
Tu sais que, s'il porte plainte, on lui donnera raison, alors que c'est lui le pirate de sa propre base ! Et par deux fois : une en donnant les mots de passe utilisés, l'autre en ne protégeant pas du tout on accès admin.
Commentaire #124199 écrit par Aaargh!!! le 02/01/2014 à 09h04 | 👍🏽 👎🏽
Malheureusement, je ne m'en souviens absolument plus. C'était il y a 2 ou 3 ans (l'histoire m'était revenu en lisant un autre PEBKAC), et je n'ai jamais eu à nouveau besoin du site (d'ailleurs je n'y avais finalement même pas trouvé l'info que j'y cherchais à l'époque...)

C'était pour une recherche sur des astuces de bricolage (pour des problèmes d'électricité à l'époque), et il était nécessaire de s'inscrire pour voir les astuces données par les autres membres inscrits...
Même en cherchant, je ne parviens pas à remettre la main dessus...
Commentaire #124203 écrit par Morrock le 02/01/2014 à 09h16 | 👍🏽 👎🏽
Sauf s'il s'exprime en années lunaires.

Dans tous les cas, il mérite le titre de "Roi des comme-la-Lune"
Commentaire #124206 écrit par vualatele le 02/01/2014 à 09h18 | 👍🏽 👎🏽
Moi, si j'avais reçu un pareil tissu de conneries en guise de réponse à ce qui n'est qu'une tentative bienveillante d'aider mon prochain, je me serais immédiatement reconnecté en admin et j'aurais changé tous les mots de passe. Être incompétent, c'est déjà inacceptable, mais être mythomane en plus...
Mort aux Kissikonés ! La Nerdvolution vaincra !
Commentaire #124208 écrit par Darwin le 02/01/2014 à 09h21 | 👍🏽 👎🏽
Il a peut-être été piraté ...

"Je ne comprends pas, mon site était pourtant sécurisé comme ça depuis le début de la 1ière guerre mondiale !"
Commentaire #124214 écrit par Picc le 02/01/2014 à 09h26 | 👍🏽 👎🏽
<troll>Peut-être un easter egg ?</troll>
Commentaire #124215 écrit par k3vain le 02/01/2014 à 09h27 | 👍🏽 👎🏽
le problème si tu fais cela, là il y aurait eut intrusion d'un système informatique et c'est passible d'amendes, voir si le juge est particuliérement "com-pétent" à des peines de prison...

normalement même tester les ports d'un site peut être considérer comme une tentative d'instrusion...

Le fait qu'il ait pu se logguer dans le système avec le compte d'admin est considéré comme une intrusion.

Donc, dans le principe le "webmaster" a raison de parler de "piratage de site". Par contre, il se méprend sur les intentions... c'est là où ça devient un PEBKAC :(
(de mémoire, il me semble que des juges ont déjà condamné, en france, pour ce genre de motifs... Alors que la loi Française exige que les comptes et les accés aux données des utilisateurs soient protégés, on condamne ceux qui font remarquer que cela ne l'est pas, et on ne dit rien à ceux qui ne respectent pas cette loi... en somme... le monde à l'envers...)
Commentaire #124229 écrit par ben_kenobi le 02/01/2014 à 09h47 | 👍🏽 👎🏽
Il n'y aurait pas moyen de porter plainte pour négligence caractérisée contre les sites avec de gros problèmes de sécurité et dont les propriétaires ne veulent pas les corriger ?
Commentaire #124230 écrit par Laurent le 02/01/2014 à 09h48 | 👍🏽 👎🏽
ça a changé dernièrement, maintenant on peut divulguer des vulnérabilités sans crainte de poursuite.

http://pro.clubic.com/it-business/securite-et-donnees/actualite-608568[...]
Commentaire #124232 écrit par seb le 02/01/2014 à 10h13 | 👍🏽 👎🏽
Ne vous moquez pas de celui qui a tout appris à Christine Albanel !
Commentaire #124236 écrit par lycanth le 02/01/2014 à 10h38 | 👍🏽 👎🏽
Je repense à (son nom m'échappe) qui avait communiqué une faille d'un site à un webmaster. Réplique ? Plainte et condamnation pour être entré dans un système informatique. Facepalm ! C'est comme si tu faisais condamner ton contrôle technique parce qu'il a vu ton pneu dégonflé. Et toi tu continues à rouler avec !
Commentaire #124241 écrit par Aaargh!!! le 02/01/2014 à 12h06 | 👍🏽 👎🏽
repartout.com ?

Je connais son webmaster (ou webmestre, il est Belge). Ben... c'est un vrai censure participative ce mec. D'ailleurs, il a une sorte de blog à sa gloire.
Commentaire #124242 écrit par Aaargh!!! le 02/01/2014 à 12h08 | 👍🏽 👎🏽
jvachez.1and1.com
Commentaire #124243 écrit par Aaargh!!! le 02/01/2014 à 12h11 | 👍🏽 👎🏽
Si tu penses au webmaster de Kitetoa, il a été relaxé. Mais il s'en est fallu de peu, Georges Abitbol a d'ailleurs déclaré à propos de cette affaire : « Monde de merde. »
Commentaire #124245 écrit par Belore le 02/01/2014 à 12h27 | 👍🏽 👎🏽
@Picc : ce ne serait pas étonnant...
@ Aaargh!!! : nope, ce nom ne me dit rien...
Commentaire #124247 écrit par Morrock le 02/01/2014 à 12h55 | 👍🏽 👎🏽
Ben quoi ? C'est codé selon les recommandations de la NSA dans son cahier des charges "PRISM web". Je vois pas le problème.
Commentaire #124253 écrit par Vertical le 02/01/2014 à 13h48 | 👍🏽 👎🏽
Si ça se trouve c'est le même mec qui faisait les "sites" pour les professionnels pour le compte des pages jaunes en 2000.
Oui, 2000Fr la page html sans script, rose saumon/ vert pistache / bleu chiotte /jaune pipi-dilué et quelques gifs animés pour égayer un texte en Comic sans MS, vous l'avez déjà sûrement vu...
Commentaire #124260 écrit par Loute le 02/01/2014 à 14h05 | 👍🏽 👎🏽
Oui, j'avais lu ça dans un article de Peter et Steven.
Commentaire #124261 écrit par Loute le 02/01/2014 à 14h08 | 👍🏽 👎🏽
Tu enquilles quelques proxy avant pour être sûr et tu ne fais pas ça de chez toi ;-)
Commentaire #124262 écrit par Loute le 02/01/2014 à 14h09 | 👍🏽 👎🏽
@Loute : cette même page sur laquelle tombaient des flocons de neige le jour de noël ?
Commentaire #124263 écrit par Picc le 02/01/2014 à 14h17 | 👍🏽 👎🏽
Oui, celle-là même ^_^
Commentaire #124265 écrit par @Picc le 02/01/2014 à 14h24 | 👍🏽 👎🏽
Si ça se trouve il ne sait même pas ce qu'est un log. Alors en prenant des légères précautions comme le mentionne Loute il ne saurait même pas prouver que tu es le responsable.
Commentaire #124269 écrit par Noname le 02/01/2014 à 15h27 | 👍🏽 👎🏽
Pirater, c'est bien utiliser un moyen détourné pour entrer non ?
Considères-tu qu'entrer en possession d'un mot de passe générique "admin" est un moyen détourné ?
Commentaire #124270 écrit par mini le 02/01/2014 à 15h55 | 👍🏽 👎🏽
C'est plutôt hacker.
Commentaire #124271 écrit par Aaargh!!! le 02/01/2014 à 16h00 | 👍🏽 👎🏽
j'ai osé tester mais rien moi qui voulait un site de qualité fait sous front page par un ingénieur informaticien de renommée internationale (ou pas).
Commentaire #124273 écrit par Quelqu'un le 02/01/2014 à 16h16 | 👍🏽 👎🏽
"« Ce mot de passe est déjà utilisé », ce qui n'est pas banal."

Ah si, ça a l'air relativement courant, malheureusement. Mais je comprendrai jamais l'intérêt de signaler à l'utilisateur que quelqu'un d'autre utilise déjà tel ou tel mdp. En plus d'être un problème de sécurité, c'est parfaitement inutile.
Commentaire #124274 écrit par Siggy le 02/01/2014 à 16h33 | 👍🏽 👎🏽
@Aaargh!!! : nan mais lui ça compte pas ! Il est HORS CATÉGORIE !!
Commentaire #124275 écrit par Ishido le 02/01/2014 à 16h45 | 👍🏽 👎🏽
Il ne faut jamais aider les gens qui ont des failles de sécurité. Ils considèrent souvent que tu es responsable du piratage simplement pour avoir essayé. Le journal ZATAZ recommande d'ailleurs de passer par leurs services pour signaler les failles de sécurité aux sites, ceci afin de protéger le découvreur de la bêtise de certaines sociétés ou webmaster.
Commentaire #124280 écrit par OzoneGrif le 02/01/2014 à 17h17 | 👍🏽 👎🏽
Toi tu n'as visiblement jamais vu de modélisation BDD dont la clé de la table membre est l'association "nom d'utilisateur + mot de passe". :)
Commentaire #124291 écrit par xTG le 02/01/2014 à 20h42 | 👍🏽 👎🏽
Justement... Si le couple "nom d'utilisateur + mot de passe" doit être unique, où est le problème de réutiliser un mot de passe (voire même un nom d'utilisateur...) ? En général, la clé c'est le nom d'utilisateur (ou bien c'est au moins un champ unique) et le pass est hashé et salé, donc il est même impossible de savoir que deux utilisateurs ont le même pass...
Commentaire #124292 écrit par Mwyann le 02/01/2014 à 20h48 | 👍🏽 👎🏽
@seb : La modification ne dit pas que tu as le droit de rentrer sur le site mais de communiquer une faille de sécurité pour correction.
ce qui sous entend :
1) qu'il ne faut pas entrer parce que le webmaster est un PEBKAC,
2) la faille doit être inconnue à ce jour, donc si le site n'a pas patché, je ne crois pas que ça fonctionne...

Dans le cas présent, ce n'est pas un bug mais bien un PEBKAC. La loi condamnerait forcément une intrusion en utilisant des informations récupérées par la logique. (c'est comme si tu va dans les poubelles d'une personne, tu récupères les infos jetées et tu rentres dans les sites que gère cette personne.)

La loi parle bien de cas de sécurité et de recherches, pas de vengeance ou d'utilisation de la bêtise d'autrui.
Commentaire #124297 écrit par ben_kenobi le 02/01/2014 à 21h54 | 👍🏽 👎🏽
c'est probablement ce qui me gène le plus ici. Si on sait qu'un mot de passe a déjà été utilisé, c'est que les mots de passes sont connus !
donc en clair !

pas top...
Commentaire #124298 écrit par ben_kenobi le 02/01/2014 à 21h55 | 👍🏽 👎🏽
Pas nécessairement, ben_kenobi. On peut détecter une duplication avec un hashage sans sel. Mais c'est probablement en clair dans ce cas-ci, bien entendu.
Commentaire #124301 écrit par FlashSoul le 02/01/2014 à 23h31 | 👍🏽 👎🏽
@Siggy : Ce que je qualifiais de "pas banal", c'est le fait qu'il soit indiqué comme message d'erreur que le mot de passe existe déjà, pas en soi le fait qu'il existe.

@Mwyann et ben_kenobi : Pour l'histoire des mots de passe en clair, il y a deux possibilités :
- Soit il les a en effet mis en clair, et la faille de sécurité se confirme
- Soit il compare le hash stocké avec le hash du mdp saisi, ce qui est une aberration puisqu'il risque un faux positif.

Dans le deux cas, on a bien un PEBKAC en puissance.

Et @ xTG : une clé primaire sur l'association nom d'utilisateur + mot de passe est une aberration en soi. La clé primaire doit permettre l'indexation et l'unicité des enregistrement. Si l'unicité est garantie par le couple, alors rien ne garantit l'unicité du nom d'utilisateur (à moins d'ajouter une contrainte supplémentaire et de surcharger la table), ce qui peut créer des conflits ultérieurs (lors d'un changement de mot de passe par exemple)..
Commentaire #124302 écrit par Morrock le 02/01/2014 à 23h31 | 👍🏽 👎🏽
@Aaargh!!! : peut-être lʼhistoire de Guillermito, qui avait montré les failles de lʼantivirus ViGUARD (éditeur : Tegam) et sʼest mangé un procès et une condamnation en retour, avec quelques chefs dʼaccusation croustillants, style contrefaçon, etc.
Commentaire #124315 écrit par /etc/passwd le 03/01/2014 à 09h12 | 👍🏽 👎🏽
@ben_kenobi
C'est subtile, mais je crains que tu ais raison (surtout quand on voit des magistrats jugeant des affaires liées à l'informatique en utilisant des mots comme "lojin" et "gogleu")
Commentaire #124316 écrit par seb le 03/01/2014 à 10h07 | 👍🏽 👎🏽
Un problème avec moi?
Commentaire #124317 écrit par JVachez le 03/01/2014 à 11h12 | 👍🏽 👎🏽
"qu'il créait des sites Web depuis plus de 30 ans (?!)" WTFfffffffffffffffffffffffff

Rodriguez bruiteurs de père en fils depuis plus de 200 ans.

En plus se dire que le mec s'est fait ch*** a faire une condition sur la validité des MDP autres que pour le nb des caractères ou le type.

Une bonne petite modif du mdp admin ne serait pas de trop.

T'as pas le lien ?
Commentaire #124320 écrit par ctrl+alt+suppr le 03/01/2014 à 12h44 | 👍🏽 👎🏽
Pour les bruiteurs ça devait peut-être exister au théâtre non?
Commentaire #124324 écrit par Partux le 03/01/2014 à 16h17 | 👍🏽 👎🏽
@Seb : sachant qu'aujourd'hui encore il est difficile de se faire rembourser son Windows alors que c'est indiqué dans les CLUFs !
Tout ça car bien trop de juges ne savent pas trop quoi faire avec ça...
combien donneront un jugement en fonction de leur vision et non de la loi ("si tu ne veux pas de windows c'est pour mieux le pirater mon enfant... Condamné" ou "j'ai des enfants, des neveux, des cousins, des petits-enfants, et tous téléchargent sans vergogne... acquitté !")
et ça n'est pas d'hier que ça date (déjà du temps des nintendo avec des cartouches (la supernes de mémoire) le fait de posséder un outil de sauvegarde te valait l'étiquette de pirate...

bref...
Commentaire #124332 écrit par ben_kenobi le 03/01/2014 à 20h59 | 👍🏽 👎🏽
C'est "de Père en pils" non ?
Commentaire #124359 écrit par aDev le 06/01/2014 à 12h57 | 👍🏽 👎🏽
Cette URL me donne une erreur 404, il y a pas une erreur ?
Commentaire #124405 écrit par 404 le 06/01/2014 à 17h42 | 👍🏽 👎🏽
J'en ai rêvé, il l'a fait.
Commentaire #124488 écrit par neemzy le 07/01/2014 à 09h20 | 👍🏽 👎🏽
Parce que tu as essayé ? o_O
Commentaire #125351 écrit par Aaargh!!! le 13/01/2014 à 23h53 | 👍🏽 👎🏽
Voilà, c'est tout à fait ça.
Commentaire #125353 écrit par Aaargh!!! le 13/01/2014 à 23h54 | 👍🏽 👎🏽