Bienvenue sur PEBKAC.fr, le site qui recense les anecdotes où l’on se moque des utilisateurs ne maîtrisant pas l’outil informatique. PEBKAC est un acronyme signifiant « Problem Exists Between Keyboard And Chair ».
Le problème se situe entre la chaise et le clavier : soumettez vos histoires, donnez votre avis !
Ce site n'est pas le site original pebkac.fr. Je publie ici la liste des PEBKAC que j'ai pu sauvegarder avant que le site original ne soit mis hors ligne.
Se connecter | Aléatoire | Soumettre
Suite au piratage de l'opérateur fruitier survenu récemment, je décide de changer mon mot de passe de messagerie et ce malgré les affirmations de l'opérateur, qui se veut rassurant auprès de ses clients à ce sujet.

Je change donc mon mot de passe et tout fonctionne. Aujourd'hui, je reçois un courrier par la Poste provenant de l'opérateur en question, et m'indiquant que ma demande a été prise en compte. Sur le document figure mon adresse e-mail et mon nouveau mot de passe. Alors, il y a deux solutions : soit ils ont inventé un cryptage papier qui fait que seuls les yeux du destinataire sont en mesure de lire le document, soit de c'est de l'incompétence caractérisée.

Faire croire que les mots de passes n'ont pas pu être piratés alors que les noms, adresses e-mail et postales, ainsi que les numéros de téléphone l'ont été, c'est déjà une belle bourde, et envoyer un courrier avec les identifiants de connexions alors que l'utilisateur les a déjà en sa possession, c'en est une autre. Double PEBKAC.
PEBKAC #9565 proposé par Adrien74 le 04/03/2014 | 32 commentaires | 👍🏽 👎🏽 +180
Faire croire que les mots de passes n'ont pas pu être piratés
S'ils piratent uniquement les hashs des mots de passe, ils vont avoir encore du boulot, même si ce n'est pas impossible.

les identifiants de connexions alors que l'utilisateur les a déjà en sa possession
Ça ne me choque pas tant que ça : si tu reçois ce courrier alors que 'u n'as pas fait de changement de mot de passe, ça te mets un peu la puce à l'oreille, et en plus c'est mieux que de te les envoyer en clair sur une boite mail alternative.
Commentaire #132372 écrit par val070 le 04/03/2014 à 08h38 | 👍🏽 👎🏽
Pour ton deuxième point, il faut alors au moins l'envoyer en recommandé...
Adrien74, c'était le cas ?
Commentaire #132375 écrit par Limeila le 04/03/2014 à 08h42 | 👍🏽 👎🏽
Ça serait mieux en effet, même si le risque est faible.
Commentaire #132376 écrit par val070 le 04/03/2014 à 08h50 | 👍🏽 👎🏽
J'ajouterai que si seule la base de données contenant les coordonnées des abonnés a été volée, il est possible que les mots de passe des comptes n'aient pas été impactés. Ceci dit, il est évident que par sécurité, j'aurais fait comme Adrien, j'aurais immédiatement changé le mot de passe.
Commentaire #132384 écrit par val070 le 04/03/2014 à 09h12 | 👍🏽 👎🏽
J'espère au moins que le papier a été imprimé automatiquement dès la modification, et que les mots de passe ne sont pas stockés en clair dans leur base de données. Ils en seraient bien capables...
Commentaire #132396 écrit par Acorah le 04/03/2014 à 10h08 | 👍🏽 👎🏽
Je ne vois pas trop de PEBKAC la dedans, à part l'auteur au vu de son raisonnement.
Commentaire #132398 écrit par trefle le 04/03/2014 à 10h11 | 👍🏽 👎🏽
Il y a ce qui est probable, puis ce qui n'est pas impossible.
Et vu le prix d'une telle base je craindrais qu'ils ne cherchent effectivement à tout faire pour récupérer ces fameux mots de passe. Adrien74 a donc eu le bon réflexe.
Après concernant l'envoi, je ne crois pas tant que cela qu'il s'agisse d'un pebkac -il n'y a pas de colis cher dedans, donc peu de risque de vol.
Commentaire #132408 écrit par H. Finch le 04/03/2014 à 10h40 | 👍🏽 👎🏽
Désolé si je te choque, mais ton commentaire pourrait être essuyé avec ton pseudo. Enfin, c'est mon avis et je le partage.
Commentaire #132411 écrit par ygnobl le 04/03/2014 à 10h43 | 👍🏽 👎🏽
Là est toute la question: De quelle manière ce courrier est généré? Dans tous les cas, le mot de passe transit en clair, et on espère juste qu'il n'est pas stocké dans une BDD obscure au fond de leur serveur.
Commentaire #132416 écrit par titouille le 04/03/2014 à 11h15 | 👍🏽 👎🏽
Sauf que si tu reçois par courrier ton mot de passe en clair, c'est qu'il n'est pas hashé.
Commentaire #132424 écrit par hr0 le 04/03/2014 à 12h17 | 👍🏽 👎🏽
Pas besoin de vol! Par exemple dans mon nouvel immeuble le facteur se base sur des critères étranges pour distribuer le courrier puisqu'il est répartit aléatoire entre les bals (on reçoit même le courrier des voisins).

Lorsque tout les voisins sont honnêtes ça va mais c'est souvent que le courrier arrive chez une autre personne.

Et dans ce cas là si toutes les infos permettant la connexion sont sur le courrier c'est problématique.
Commentaire #132429 écrit par Millman le 04/03/2014 à 12h41 | 👍🏽 👎🏽
Je chipote mais ce n'est pas tout à fait correct, il y a toujours un moment où le mot de passe non hashé existe quelque part, ne serait-ce qu'à sa génération ; à partir de ce moment-là on peut l'envoyer par mail, l'imprimer etc.

Alors oui le mot de passe n'est pas hashé sur le papier et il est probable que le PDF (par exemple) d'origine soit stocké sur un disque dur quelconque, mais je pense (et j'espère) que le mot de passe est bien hashé dans la base.
Commentaire #132445 écrit par aDev le 04/03/2014 à 13h15 | 👍🏽 👎🏽
trefle ne pensent pas qu'un mot de passe se pique.
Commentaire #132449 écrit par aDev le 04/03/2014 à 13h21 | 👍🏽 👎🏽
Non, je réfute ton argument, ygnobl. Un trèfle est rarement assez grand pour ne pas se salir les doigts, au vu de ce que tu veux en faire.
Commentaire #132463 écrit par Aaargh!!! le 04/03/2014 à 13h34 | 👍🏽 👎🏽
Aaargh!!! je pensais à celui vendu en supermarché...
Commentaire #132473 écrit par ygnobl le 04/03/2014 à 13h52 | 👍🏽 👎🏽
Aaargh!!! achète de véritables feuilles de trèfle pour cela.
Commentaire #132481 écrit par H. Finch le 04/03/2014 à 13h59 | 👍🏽 👎🏽
Tu me corriges cette conjugaison TOUT DE SUITE. AAAAACCCCHHHHH !
Commentaire #132484 écrit par Grammar Nazi le 04/03/2014 à 14h01 | 👍🏽 👎🏽
@Ygnobi

Bien qu'il l'ait écrit rapidement, il a plutôt raison:

il y a pas mal de moyens pour que les pirates ait eu accès aux données perso mais pas au mots de passe:
- accès au cms, à des endroits où les mots de passes ne sont pas forcément.
- accès à la base de données des informations utilisateurs qui n'a pas de lien avec celle des comptes utilisateurs

Si ils s'étaient fait piraté la base de mot de passe, ils ont l'obligation de le déclarer (CNIL), donc à priori, les mots de passe sont en sécurité.

L'envoyer au format papier, peut être, mais on reçoit bien sa carte bancaire et son code secret (sic) par ce moyen là.

Bref, plutôt un PEBKAC pour l'auteur qui pense qu'un site ne peut avoir qu'une seule base de données.
Commentaire #132515 écrit par Rou le 04/03/2014 à 15h22 | 👍🏽 👎🏽
Ayez un peu de cœur cher GN, ne l'envoyez pas sur le carreau pour cette faute !
Commentaire #132521 écrit par Youplà le 04/03/2014 à 15h57 | 👍🏽 👎🏽
@Rou Quelques petits points : Il est toujours possible d'envisager une attaque man in the middle, même par courrier. L'envoi en clair d'une information de sécurité alors qu'on la détient déjà est une faille de sécurité. Pour l'envoi de la carte et du code, il me semble que les deux sont envoyés séparément, ce qui limite d'autant le risque. Si l'envoi ne se fait pas par recommandé, il existe toutefois un risque, mais j'ai du mal à imaginer l'envoi de la carte par courrier électronique...
Commentaire #132529 écrit par ygnobl le 04/03/2014 à 16h32 | 👍🏽 👎🏽
Ca limite le risque mais pour quelque chose de beaucoup plus important. Enfin, honnêtement, je préfère avoir 1% de chance de me faire pirater mon mot de passe qu'1 pour 10 000 de me faire prendre carte bleue + code.

Pour la carte, le mieux serait de la récupérer à la banque par exemple.

Du coup, évidemment, man in the middle par courrier, c'est possible, mais vu ce que tu vas pouvoir récupérer comparé au risque, c'est pas super (adresse, nom, prénom de la boite au lettre? Nombre d'enfants et cie, etc. boah) + mot de passe qui va changer si l'utilisateur était avertie que ladite lettre devait arrivé mais ne la voit pas.


Mais du coup, on est d'accord qu'il n'y a rien de PEBKAC en fin de compte?
Commentaire #132539 écrit par Rou le 04/03/2014 à 17h33 | 👍🏽 👎🏽
@Rou Une boîte aux lettres ça s'ouvre plus facilement qu'une porte blindée, et l'accès au hall d'immeuble est "relativement" simple. En plus, tu retrouves facilement la boîte aux lettres qui correspond à une personne. Enfin, pour moi, le fait qu'on envoie inutilement une information de sécurité non sollicitée par un canal non sécurisé, aussi faible que soit le risque, c'est un PEBKAC.
Commentaire #132570 écrit par ygnobl le 04/03/2014 à 18h51 | 👍🏽 👎🏽
> il est probable que le PDF (par exemple) d'origine soit stocké sur un disque dur quelconque

Il est forcément stocké en clair quelque part pour envoyer la lettre.
Il suffit de se procurer ces fichiers et ça revient au même que de pirater la BDD.

C'est un énorme PEBKAC, surtout venant d'une grande société comme "fruit".
Commentaire #132573 écrit par OzoneGrif le 04/03/2014 à 19h31 | 👍🏽 👎🏽
J'ai eu la même réaction: sauf que j'ai testé la fonction mot de passe oublié avant de changer de mot de passe. J'ai reçu un joli mail avec mon ancien mot de passe en clair, preuve qu'il n'est pas hashé en BDD... Une honte...
Commentaire #132615 écrit par Gafa le 05/03/2014 à 00h48 | 👍🏽 👎🏽
Personne n'a ralé pour l'emploi du mot "cryptage" ?
Bon je me dévoue.
Arrêtez d'utiliser ce mot, par pitié !
Commentaire #132693 écrit par Kadcom le 05/03/2014 à 10h39 | 👍🏽 👎🏽
Nom il n'a pas besoin d'etre stocké qq part, il ajuste besoin d'être imprimer directement à la generation
Mais bon c'est probable qu'il soit stocké.
Commentaire #132733 écrit par aaaa le 05/03/2014 à 12h14 | 👍🏽 👎🏽
Ça alors, je n'en crois pas mes yeux... Quelqu'un aurait-il piraté mon compte pour éditer mes posts ?
Commentaire #132752 écrit par aDev le 05/03/2014 à 13h01 | 👍🏽 👎🏽
Salut, non lettre simple, pas de recommandé.
Commentaire #132832 écrit par Adrien74 le 05/03/2014 à 18h59 | 👍🏽 👎🏽
@H. Finch Pas de choses ayant de valeur dans la lettre non, mais un très beau logo "fruit" sur l'enveloppe à la vue de tous, heureusement, chez moi il n'y que très très rarement des erreurs de distribution de courrier mais j'imagine bien mon voisin avec ce courrier allant voir mes mail et même pire. Il y avait aussi le FTI et toutes les infos de connexion, il aurait suffit à un abonné du même opérateur de réinitialiser ça box.
Commentaire #132834 écrit par Adrien74 le 05/03/2014 à 19h07 | 👍🏽 👎🏽
Pas mal, c'était chez le même opérateur ?
Commentaire #132838 écrit par Adrien74 le 05/03/2014 à 19h20 | 👍🏽 👎🏽
Chiffrement alors à la place de cryptage ?
Commentaire #132840 écrit par Adrien74 le 05/03/2014 à 19h22 | 👍🏽 👎🏽
Beaucoup mieux.
http://www.ryfe.fr/2011/08/les-mots-crypter-et-cryptage-n%E2%80%99exis[...]
Commentaire #132939 écrit par Kadcom le 07/03/2014 à 07h39 | 👍🏽 👎🏽