Navionics n’avait pas bien protégé les données de ses utilisateurs

Bonjour,
Un base de données chez Navionics contient les informations des utilisateurs qui envoie des mises à jour des cartes que l’on trouve dans l’affichage SonarChart soit environ 270.000 personnes.
Cette base accessible par internet n’était pas bien protégée
C’est la base gérée par le logiciel MongoDB.
Nom, prénom,mail,caratéristques du bateau, position géographique, vitesse moyenne et maxi, hauteur du sondeur.
Pas trop grave.
La correction est faite, donc l’informaton est diffusée.

www.lebigdata.fr[...]xposees

L'équipage
10 oct. 2018
10 oct. 2018

Chaque personne contenue dans cette base de données et concernée par cette potentielle » a éé avisée par un mail début Octobre.
Cela a été mon cas.

10 oct. 2018

270.000 personnes font des MAJ de cartes bathymétriques en allant se promener le dimanche...... Ça laisse dubitatif.

10 oct. 2018

Il semble que oui!
En 2017, cela avait fait apparaitre un magnifique chenal entre Tatihou et la côte alors que, à marée basse, ce sont les tracteurs des ostréiculteurs qui passent...
Plus quelques autres cas du même tabac ...

10 oct. 2018

Pas facile de sonder correctement si on n'a pas la marée observée..... ni un étalonnage sondeur... ni une bonne bathycélérimétrie...

10 oct. 2018

… tu chipotes ! ;-)

10 oct. 2018

LOL J'peux vous faire un ptit topo sur la manière dont se passe un sondage hydro si vous voulez
Du moins à mon époque :langue2:

10 oct. 2018

les sondages amateurs sont pas fiables c'est un fait. la fiabilité vient de la moyenne d'un tres grand nombre de mesures pour lesquelles on peut supposer que les erreurs ne vont pas toutes dans le meme sens (sauf si deplacement rapide, et encore peut se moyenner si passage dans les 2 sens).

Apres meme le shom à ses limites en particulier dans les fonds mouvants (chenal gironde, abords de corduan) vu la frequence des releves bathymetriques ;)

10 oct. 2018

Pour savoir si l'une de vos adresses ou compte de messagerie a été piratée, il suffit d'aller ici :
monitor.firefox.com[...]/
C'est un partenariat entre le site Have I Been Pwned et le service 1Password.
Il suffit d'entrer son adresse, qui ne sera pas gardée ou utilisée, sur n'importe quel navigateur pour en savoir un peu plus et "éventuellement", changer au moins le mot de passe et en mettre un plus sérieux.

10 oct. 2018

apres je suis toujours etonné que sur ce type de données vous laissiez vos noms et mails "perso". pour moi c'est pseudo et mail anonyme (type protonmail) ou mail "poubelle" qui sert jamais pour des sites sensibles Il peuvent pirater ce qu'ils veulent, iront pas loin....

10 oct. 2018

Je plussoie totalement sailman lorsqu'il écrit qu'il est bon de ne pas y indiquer son adresse email principale.

L'inquiétude n'est pas que ceux qui ont glané ces données connaissent votre nom/prénom/email/etc (ça tout le monde s'en cogne) mais qu'ils RECOUPENT avec d'autres infos reliées à cette adresse email. Ne sous-estimez pas tout ce qui découle d'une simple adresse email glanée (je sais de quoi je parle).

C'est ainsi que je me retrouve avec une adresse email qui ne sert qu'à ce forum, une autre adresse qui ne sert qu'à PayPal, une autre adresse qui ne sert qu'aux abonnements newsletter, etc etc : CLOISONNEZ.
Oui c'est fastidieux oui, mais aujourd'hui il n'y a plus d'excuses : sur tous les ordinateurs et tous les smartphone vous pouvez mettre dans un unique logiciel l'ensemble de vos différents comptes pour que toutes vos boites emails soient automatiquement relevées en même temps. Si l'une d'entre elle est compromise, il n'y aura pas d'incidence sur les autres : vous en créez une autre juste pour ce dont vous avez besoin.

Grand merci à PhilippeG pour son lien ...... qui m'a permis de découvrir qu'une seule de mes (nombreuses) boites email est corrompue : mon adresse email principale :-( :-( :-(

11 oct. 2018

Peut-être serait-il judicieux de remettre les pendules à leur place, comme disait l'autre...

Entre pirater un compte email, et donc voir les messages et autres données qui y correspondent, et vendre une adresse email à des fins commerciales, il y a un monde.

Comme le dit fort justement Steph753, ceux qui vendent votre adresse email disposent de vos nom, prénom et éventuellement adresse postale. Et alors ??? Vous commencez à recevoir de la merde ? Un temps d'adaptation, le temps de passer les adresses en spam, et on n'en parle plus.

Pour le piratage... Ben faut mettre de vrais mots de passe, les petits, et quand je dis de vrais mots de passe... Le mien fait 15 caractères, minuscules, majuscules, chiffres et caractères spéciaux. Même en calcul partagé, je peux vous assurer que ça prendrait un peu de temps pour le cracker, et vu ce qu'il y a à cracker, les gaziers seraient un poil déçus...

Pour vous donner un petit ordre d'idée, si on prend mon mot de passe sans caractères spéciaux :

  • premier caractère : 26 lettres minuscules x 26 lettres majuscules x 10 chiffres possibles : 6760 possibilités.
  • deuxième caractère : pareil

etc...

Donc... Nombre de possibilités pour trouver mon mot de passe = 6760 exposant 15. Voilou... Avec les caractères spéciaux, je vous laisse imaginer... Ah ben c'est sûr, c'est pas le nom du chien ou la date de naissance du petit dernier...

J'utilise Internet depuis que ça existe chez nous, donc en gros, depuis 1990. Jamais je ne me suis fait pirater un compte, et j'en ai eu des tas.

Alors... Utiliser vos données perso ? Votre grande surface préférée, votre vendeur de meubles, et même votre propre maîtresse (ben oui, la méchante), le font au quotidien. Pirater vos données personnelles ? Là, ça dépend de vous et de vous uniquement !

Bon vent et mer belle à tous

11 oct. 2018

Je suis toujours surpris quand je vois certains mettre leur adresse en clair sur le forum, au lieu de la communiquer en MP ...
Mais c'est vrai qu'ici on est entre nous :mdr:

11 oct. 2018

Non bugcrusher avec 15 caractères cela ne mets plus longtemps non plus, car aujourd'hui il existe des bases de données md5 et sha1 jusqu’à 25 caractères. Donc on capte ton joli mdp crypté et on le compare à la base, c'est pas très long. La base fait plusieurs dizaines de Tera, elle a été longue à calculer sur des ordinateurs très puissants d'université américaines pas très regardantes qui ont juste louées leur temps de calcul, mais ces bases existent !
Bien sûr la mise en oeuvre n'est pas simple, mais ce genre de personnes agissent quelque fois dans des groupes très bien organisés

Il faut donc pour ce qui est sensible utiliser la double validation (2 étapes)

11 oct. 2018

@ Bruno : je plussoie pour la validation en 2 étapes.

le problème c'est, combien savent ce que ça veut dire ? Ce serait plus clair de dire connexion au compte en 2 étapes.

On est habitué à zapper d'un site à l'autre. On est comme des lapins (des mômes même) insouciants au milieu d'un champ de tir, se croyant dans un monde sûr. Alors la validation en 2 étapes !

J'ai découvert internet avec Hisse et oh, et c'était mon seul site. A l'époque, pas besoin de mot de passe, ni d'Email, même pas de pseudo.

Puis il a fallu un mail. A l'époque toujours, pour un mail chez free, un mot de passe de 6 caractères suffisaient. J'ai gardé ce mot de passe jusqu'à l'année dernière. Et j'ai créé ma chaine Youtube il y a 9 ans avec ce mot de passe. Jamais eu de problème.

Puis mon brave site Youtube qui ne demandait rien à personne s'est faut absorber par Google, et mon avatar Youtube est arrivé en haut de mon écran Chrome, et c'est là que ça a commencé. Mon mot de passe Youtube s'est donc retrouvé dans la base de donnée de Google.

J'aimais pas trop voir mon avatar Youtube à chaque allumage de l'ordi. Un jour, chouette, il a disparu. Ne disons rien à personne, restons caché.

puis un jour je me rend compte que ça fait un moment que je ne reçois plus de commentaires de mes vidéos (7.000 abonnés). Je veux aller sur ma chaîne, la connexion auto n’est plus possible. Et mot de passe refusé, « vous l’avez changé à telle date ». Je n’ai plus accès non plus à mon Google Drive où je partage des docs.

Je cherche dans ma messagerie un message de Youtube m’informant du changement de mot de passe. Or je n’ai plus aucun message en provenance de Youtube, même les commentaires des internautes disparus. Le tout probablement effacé le jour même par le pirate pour que je ne vois pas le message informant du changement de mot de passe.

et la galère commence. Tapez l’ancien mot de masse dont vous vous souvenez. Mais ça ne suffit pas, ils posent d’autres questions, genre garde à vue « vous faisiez quoi le 5 octobre 2012 à 10 h du matin ? ». Et la moindre erreur, vous êtes boulé.

Ou message du genre, « taper le code qu’on vous a envoyé sur votre téléphone Machin ». Modèle que bien sûr je ne possède pas.

Je parcours les forums Google, où pour résoudre votre perte de mot de passe, on vous donne le conseil qui en sert à rien : « Avez-vous activé la validation en 2 étapes »

Mais c’est quoi ce truc ?

J’ai mis 6 mois à récupérer ma chaine, les mail à Google sont inutiles, 2 courriers au siège de Paris, probablement inutiles aussi, car ils n’ont jamais répondu

Je crois que c’est plus par mon insistance à retaper sans cesse mon mot de passe, qui a mis la puce à l’oreille d’un robot, et a déclenché une procédure automatique posant d’autres questions.

Du coup j’ai un mot de passe différent, pour mon mail, pour Youtube, et pour facebook. Et bien sûr la double activation. C'est-à-dire qu’en cas de connexion par une machine inconnue, on vous demande confirmation sur votre téléphone.

Ca n’a pas raté, je reçois quelques mois plus tard un message de facebook : voici votre code de validation. Pas de pot pour le pirate, il n’a plus accès à mon mail.

11 oct. 2018

Y'a encore des sites qui utilisent md5 ou sha1 ?

11 oct. 2018

les bases de données ne contiennent pas tous les mots de passe, mais sont des sortes de dictionnaires contenant des mots courants et leurs combinaison. En effet, 6760^15 ? 10^57 soit a peu près le nombre d'atomes dans le soleil. Inutile de dire que c'est matériellement impossible d'avoir une base de données de cette taille. Sans parler du fait que tous les (bons) système d'encryption utilisent le salage ("salting"), qui consiste en gros à rajouter une chaine aléatoire constante à tous les mots de passe de telle manière que leurs hash crypto soient différents de site en site.

Pour finir, beaucoup plus important que de multiplier les adresses email (qui à mon sens ajoute peu de sécurité et a un coût certain), il est crucial de ne jamais réutiliser le même mot de passe sur des sites différents.

11 oct. 2018

Le fait étonnant est que Navionics publie des données aussi cruciales que des relevés de sonde à partir de mesures dont l'origine est aussi discutable.

11 oct. 2018

C'est effectivement plus que douteux et dangereux.
Quelques risques d'erreur de données issues de mon sondeur de plaisancier très moyen:
- l'étalonnage du sondeur.
- la lecture en fonction de la position de la sonde et l'erreur qui peut s'y ajouter.
- la connaissance de la hauteur d'eau au dessus du zéro en fonction de l'heure de la marée. Elle peut être entachée d'erreur même à partir des tables du SHOM. Par exemple, le port de Courseulles a rétabli les hauteurs et heures réelles car les tables du SHOM basées sur des positions à 10 milles de la côte, je crois, s'avèrent inexactes.
- l'influence de phénomènes locaux sur cette hauteur d'eau : direction du vent, réflexion de l'onde marée sur un obstacle et last but not least, la pression barométrique.

Et sans doute quelques autres que j'oublie.

Dans notre vie quotidienne, ces incertitudes entraînent la vieille nécessité du pied de pilote dont la pointure augmente en fonction de l'âge du capitaine.

11 oct. 2018

Oui, c'est leur modèle économique.

Phare du monde

  • 4.5 (180)

2022