Hello


Pour que vous puissiez bien comprendre mon problème je vais me permettre de vous raconter en détail mon histoire.
Je suis leader d'un team d'un jeu en ligne, je suis aussi à ce titre : administrateur technique (site web, forum, serveur de jeu).
De manière à avoir un hébergeur gratuit nous nous sommes dirigés vers Free.
Afin de faciliter les échanges de vidéos du jeu auquel nous jouons, résultats de matchs, et autre données internes à l'équipe... nous avons une section privée dans notre forum.

Dans cette section privée j'ai eu la naïveté de croire que l'on pouvait avoir confiance dans les gens avec qui nous étions : il y avait un tuto pour pouvoir utiliser le FTP...Et comme vous le savez chez Free le password du FTP est le même que celui de la base de donnée. Je savais que cela était risqué et que le premier truc que vous êtes en train de vous dire en lisant ce message c'est :
« Ha ben forcément s'il avait le password de la base de donnée faut pas venir pleurer...»
Le débat sur la confiance des accès aux mots de passe est un autre débat, je ne viens pas pleurer à ce sujet, je suis déjà très affecté par le fait qu'un ancien membre nous ai fait un coup pareil.
S'il vous plaît je vous demande juste de ne pas répondre à ce topic pour remuer le couteau dans la plaie (la confiance, les passwords) mais plutôt...s'il vous plaît... pour me donner un coup de main sur le plan technique.

Donc comme vous l'avez compris un ancien membre de l'équipe qui est parti pour des raisons personnelles a fait un backup de la base de donnée du forum. Suite à ce backup il au eu visiblement accès à une section très privée du forum, réservé aux leaders de l'équipe. Il a donc rendu public (sur un autre forum) des infos et des discussions très personnelles que nous avions eu entre leader.
Ma question est la suivante : Comment peut on lire une section dont on ne possède pas les droits avec un backup de la BDD ? A t il été obligé de tout éplucher à la main ? Si je récupère une BDD d'un autre forum FSB, comment pourrais je, par exemple, avoir tout les droits d admins dessus ? Les comptes d'administrateur du forum ne sont ils pas protégés par mot de passe ?

A propos des passwords :

Le password est maintenant changé (celui du FTP et de la BDD Free) mais je me pose beaucoup de questions sur le fait qu'un ancien membre (visiblement pas content) possède cette source d'infos (la BDD).
Quels sont les risques d'après vous maintenant ? Les admins doivent t ils changer leur password ? Comment sont stockés les password dans la BDD, j'ai cru comprendre qu'ils étaient cryptés non ? Ce décryptage est il facile à faire ?

Merci d'avance pour vos réponses d'ordre technique.

Cordialement,

Pour les mots de passe de tes membres, ça va pas trop de risque, c'est hashé (impossible de décrypter).

Tes messages et sujets, aussi secrets soient-ils sont stockés dans la base de données. Et donc si il a acces à cette base, il peux tout voir. Il lui suffit de changer son status de membre à admin ou fondateur et op il à acces à tout. C'est vraiment pas dur. Acces à la base de donnée = Tous les pouvoirs !

ça se décrypte les MD5... ;-)

Surement, mais comme dit Korko, c'est plus rapide de se mettre en admin ou fondateur, pour avoir accès à la totalité du forum.

Non le md5 est indéchiffrable.
Mot clair -> Mot hashé.
Le chemin retour est IMPOSSIBLE car il y perte de donnée entre les 2 points.

Le seul moyen de connaitre un mot de passe est de tester TOUTES les combinaisons possible de caractères, de les hasher (car le hashage est unique pour une chaine donnée) et de comparer.

oui, donc on sais le retrouver (je pense que c'est ce que Ohax voulait dire) tout comme le sha1 etc ...

bref tu as du temps cependant recommande à tes utilisateurs de changer de mot de passe au cas où!

On peut toujours tout retrouver, ça dépend juste de la puissance de calcul et du temps qu'on a à disposition.

oui enfin bon sans aucune idée du mot de passe, un mot de 8 caractères alpha numérique ça représente quand meme (26+10)^8 possibilités... Soit quand meme 2821109907456 possibilités... Sans compter les majuscules/minuscules, les caractères non alpha numérique comme l'espace, l'accent, la cédille, le tilda et j'en passe.

MD5 : Euh pour avoir déjà creusé le sujet, même avec un pc puissant, un algorithme correcte et de la patience, un hash md5 en brute force, c'est pas viable au dessus de 5 caractères, à moins d'avoir accès aux ressources de centaines d'ordinateurs, et même si j'ai plus mes calculs sous la main, il me semble que c'était de l'ordre des 2000000 d'ordinateurs pour un hash d'un mot de 8 caracteres en moins de deux heures, autant dire que le md5 est "incassable".

TA BDD : Pour ce qui est du comment on peut lire les parties privées, ben elle sont pas cryptées dont il peut les lire directement dans la sauvegarde, ce qui est pénible, les lire dans phpmyadmin, ce qui est plus simple mais tout de même long et pénible ( pour s'y retrouver ), le plus probable c'est que le type ait installé un nouveau forum en utilisant la sauvegarde, c'est pas très compliqué, et vu qu'il aura accès à la bdd, il peut se donner les droits admin facilement. A partir de là le mec voit tout ton forum comme il veut...

Pour ce qui est des mot de passe, si je me trompe pas, Genova rajotue un grain au hash du mot de passe, donc là c'est un peu compliqué de trouver ton mot de passe, par contre quand il s'agit d'un simple hash md5 il suffit de le comparer dans un dictionnaire, tu en trouveras plusieurs en ligne, en gros on ne stocke que des hash de mots du dico, voilà pourquoi on conseille tjs d'utiliser des chiffres et des lettres, Bordeaux, vampire, 141285, amour, confiance, manson, tout ça c'est "retrouvable" avec un accès à la BDD....

De façon plus rationelle, y'a toutes les chances que ton "hacker" soit pas très doué, c'est peut être un de tes co-admin, ou ancien admin ou quelqu'un que tu connais, tu as ptet saisi ton mot de passe sur son pc et il avait un keylogger, ou tu t'es inscrit sur un forum avec ce même mot de passe, et le mec les enregistrait en clair, l'un de vos comptes admin dépend ptet d'un compte hotmail et le mec a trouvé la réponse à la question secrète...

Grosso modo tout ça pour dire que ça ne sert a rien de te poser mille questions, soit c'est un pas doué qui a eu du bol, soit c'est un génie qui saura le refaire ....

Tout ceux qui ont des droits devraient changer leur mot de passe, et utiliser un mot de passe qui ne servira uniquement qu'à ton forum et un mot de passe du genre djD-34kfo;OL

Les mots sont faillibles, mettre un meme mot de passe pour différents sites est une erreur, encore plus si tu as différents droits suivant les forums, dans l'absolu, tu dois avoir un mot de passe différent par site et à la limite garder un mot de passe simple pour les sites pas importants. Accesoirement il convient de changer de mot de passe à chaque fois que tu as un doute, genre si tu te connecte de chez une "connaissance"...

si tu cherche sur le net tu verra que entre quelques minutes et 1 heures suivant la puissance de ton ordi le md5 est reouvert ...

sinon fsb2 est en sha1 et cela ça demande beacoup plus de temps que le md5....

sinon de toute manière il y a toujorus un risque, donc mieux vaux avoir des copies ....

Pour ce qui est du bruteforce il y a quand même des belle source d'erreur dans la mesure ou il y a des collision : 2 texte initiaux peuvent avoir le même MD5.
Les limitations viennent souvent du nombre de caractère utilisés par les mots de passe et ca il n'y a pas grand chose a y faire car pas grand monde a envi d'avoir un mot de passe a 2000 caractère

Merci pour toutes vos réponses.
J'ai invité tout mes membres a changer leur mot de passe.

Merci encore pour toutes ces précisons autour des mots de passe.

Euh Grummfy, j'veux bien que tu me montre une page où l'on explique comment forcer un md5 en moins d'une journée ^^

tu veux oki http://www.openwall.com/john/

Comme le dit BJ, sur FSB2 les mots de passes sont d'une part en sha1, d'autre part hashé avec un grain unique au forum. Donc même en ayant le hash, par brute force le hackeur ne trouvera jamais le mot de passe d'origine. La seule possibilité qu'à un hackeur en ayant le mot de passe crypté d'un membre : se connecter à sa place sur le forum avec le cookie d'autologin, ce qui ne sert à rien à partir du moment où il a déjà accès à la base de donnée ...

Donc pour régler ton problème de hack c'est simple :
1) Changer les mots de passe administrateurs (et conseiller aux membres de changer les leur)
2) Porter plainte ?