Connexion non-sécurisée

Salut le monde.J'ai remarqué hier lorsque je me suis connecté sur le forum que dans la section où l'on entre notre nom ca me disait que le site n'est pas sécurisé et y'a pas de HTTPS:// marqué dans la barre du haut du navigateur.Ca me le fait encore maintenant et pas seulement sur ce forum.C'est quoi qui se passe et que dois-je faire pour re-sécuriser mes comptes sur les forums?Firefox suggère de contacter les responsables de chaque forum pour que eux sécurise leurs site.Quelqu'un à la même problématique?

@martin32 :

Alors déjà, je tiens à te rassurer : le forum n'est pas moins sécurisé qu'avant.   Techniquement, rien n'a changé. En fait, si j'en crois notre hébergeur, Forumactif, il semblerait que Google ait décidé de faire du https une norme notamment pour les pages qui exigent une connexion avec mot de passe alors qu'avant le https n'était utilisé que pour les règlements d'argent.
Mais je te rassure, on ne va pas voir tes comptes ni lire tes MP.
Forumactif travaille actuellement afin de faire passer ces pages de connexion en mode https. Dès que forumactif proposera cette option, nous ferons le nécessaire pour l'intégrer au forum, évidemment.
A priori seuls les utilisateurs de Google Chrome ont affaire à cette alerte de sécurité. Pour ceux qui utilisent d'autres navigateurs, c'est transparent.

Si cela t'intéresse, tu trouveras plus d'infos ici.

Merci de m'avoir éclairé Franck.J'avais remarqué que sur les sites où j'achète du matos de vape y'a toujours le HTTPS:// qui a pas changer,qui est rassurant.Avec ton lien j'ai mieux compris apropos des forumactif.

C'est aussi le cas pour Firefox depuis la mise à jour d'hier. Le message apparait dans la fenêtre de connexion.

@L'Histrion :

Merci pour l'info :-)
Si cela vous inquiète, n'hésitez pas à sécuriser vos mots de passe. C'est à dire éviter les mots de passe style "1 2 3 4" ou "0 0 0 0". C'est sûr c'est facile à se rappeler mais bon... ;-)

@L'Histrion a écrit:C'est aussi le cas pour Firefox depuis la mise à jour d'hier. Le message apparait dans la fenêtre de connexion.

+1

Pareil pour moi, merci pour les précisions Franck !

...en même temps je n'ai pas l'intention d'acheter, ni même de louer un admin du forum, alors qu'il ne soit pas "sécurisé"

Bin, pareil pour moi aujourd'hui

Le sujet "connexion non sécurisée" a été téléportée de la section "bar" à la section "les news"

Salut à tous

Je voudrais apporter quelques précisions à ce sujet sous forme de questions / réponses :

1/ Est-ce que ces changements sont particuliers au forum?
Non, les raisons de ce changement ne sont pas spécifiques au forum, c'est un choix des concepteurs des navigateurs, ce choix impacte tous les sites existants.
Dès qu'une page internet nécessite la saisie d'un mot de passe, si la connexion n'est pas sécurisée alors un avertissement est affiché par le navigateur.

2/ C'est quoi une connexion sécurisée?
Une connexion sécurisée, c'est une connexion qui utilise le protocole HTTPS et non le protocole HTTP.
Concrètement, la conséquence est que lorsque vous envoyez un message en HTTPS, le message est chiffré, seul celui qui possède la bonne clé peut déchiffrer le message.
Même si votre message est intercepté par une tierce personne, elle ne pourra pas lire ce que vous avez envoyé (dans notre cas, il s'agit du couple nom d'utilisateur / mot de passe)

3/ Comment voir si la connexion est sécurisée?
Très souvent, sur votre navigateur, cela se manifeste par la présence d'une icone de petit cadenas visible à gauche dans la barre d'adresse

4/ Pourquoi est-ce que les concepteurs des navigateurs ont décidé d'afficher cet avertissement?
Ils considèrent que du moment où une connexion nécessite une identification par mot de passe, il s'agit d'une donnée sensible qui doit être protégée contre une interception.

5/ Est-ce que cet avertissement est vraiment important dans le cas du forum?
Cela signifie simplement que vos identifiants circulent en clair sur le réseau, ils peuvent donc être interceptés lorsque vous vous connectez sur le forum.
Ce risque est accentué si vos utilisez un hot spot public (wifi de magasin, de mairie...).
Bon, encore faut-il que quelqu'un cherche effectivement à "sniffer" les messages circulant sur le réseau et s'intéresse au votre.

6/ Quelles sont les conséquences en cas d'interception de mes identifiants?
Comme certains membres l'ont déjà fait remarquer, les impacts sont limités.
Tout ce que peut faire la personne malveillante dans ce cas, c'est usurper votre identité sur le forum.
Il connait également l'adresse email que vous avez utilisé puisqu'elle est dans votre profil.

Mais si certaines précautions n'ont pas été prises, les conséquences peuvent-être plus importantes :

• Si vous utilisez le même mot de passe pour votre compte de forum et votre adresse email sur le forum, l'usurpateur peut alors avoir un accès direct à votre boite email.
  
• Si vous utilisez la même adresse email et le même mot de passe sur d'autres sites, il peut alors se connecter avec votre compte sur ces sites. Cela peut alors avoir des conséquences importantes s'il s'agit du site de votre banque, de Paypal...
  
• En cumulant les deux points précédents, la personne malveillante peut connaitre les sites que vous fréquentez grâce à votre boite email et peut s'y connecter avec les identifants de votre compte.
  

7/ Quelles précautions peut-on prendre?
Voilà à mon avis les deux protections minimales à prendre :

• La première précaution est de ne pas utiliser le même mot de passe pour votre boite email et votre compte sur le forum.
  
• La seconde précaution est d'utiliser un mot de passe différent (voire également une adresse email différente) pour tous les sites qui sont vraiment sensibles (sites bancaires, ...).
  

@Loki :

Je rajouterai à ton chapitre 7, essayer d'avoir un mot de passe assez complexe avec des chiffres et des lettres et éventuellement des signes spéciaux mais qui ne soit pas difficile à se souvenir. Genre sa ville et sa date de naissance. Genre : @miens1920

le problème est que nous vivons avec des mots de passe (CB, site internet, connexion ordinateur, portable, etc). Difficile d'avoir à chaque fois des mots de passe différents, assez complexes pour éviter des problèmes et pas suffisamment pour s'en souvenir sans y passer deux heures !

En plus de la connexion non sécurisée, moi j'ai la case profil qui a changé

@leanouk :

Heu, non, ça c'est moi qui ait fait des petits tests Bizarre, ce carré rouge n'apparaît pas chez moi.
Il y en a d'autres qui ont ce rectangle rouge ?

@Franck a écrit:Je rajouterai à ton chapitre 7, essayer d'avoir un mot de passe assez complexe avec des chiffres et des lettres et éventuellement des signes spéciaux mais qui ne soit pas difficile à se souvenir. Genre sa ville et sa date de naissance. Genre : @miens1920

Si un hacker intercepte le mot de passe d'un membre au moment de sa connexion, qu'il soit complexe ou non ne fait aucune différence puisqu'il l'aura en clair sous les yeux !

Pour ce qui concerne le fait que Forumactif puisse implémenter un mécanisme qui sécuriserait la page de connexion, permets-moi d'en douter... Je me suis déjà livré à cet exercice sur un site avant de le passer en https : il faut que le mot de passe soit crypté (en md5 par exemple) par un script javascript AVANT d'être envoyé au serveur.

@Franck a écrit:@leanouk :

Heu, non, ça c'est moi qui ait fait des petits tests Bizarre, ce carré rouge n'apparaît pas chez moi.
Il y en a d'autres qui ont ce rectangle rouge ?

PFFFF..... alors toi hein le rectangle rouge est l'outil capture d'écran

Par contre, j'ai l'impression que la barre de notification tout en haut à changé de couleur, il me semble bien qu'elle était bleue avant

Je crois bien que tu as raison! Franck fait des essais

@Pascal1969 a écrit:Par contre, j'ai l'impression que la barre de notification tout en haut à  changé de couleur, il me semble bien qu'elle était bleue avant

^^

@Franck a écrit:
le problème est que nous vivons avec des mots de passe (CB, site internet, connexion ordinateur, portable, etc). Difficile d'avoir à chaque fois des mots de passe différents, assez complexes pour éviter des problèmes et pas suffisamment pour s'en souvenir sans y passer deux heures !

Certes, si on a beaucoup de mots de passe, cela peut devenir un vrai casse-tête.  

Mais on peut déjà s'en sortir avec un minimum de 5 mots de passe différents et surtout penser à ne JAMAIS se servir du même mot de passe pour le compte utilisateur et l'adresse email qu'on a donné.

On peut faire par exemple :
- Mot de passe 1 pour l'adresse email officielle (dont on se sert sur des sites sensibles / très sensibles)
- Mot de passe 2 pour l'adresse email secondaire (dont on se sert sur des forums, réseaux sociaux...)
- Mot de passe 3 pour sites à données peu sensibles (forums, réseaux sociaux...)
- Mot de passe 4 pour sites à données sensibles (shops en ligne,...)
- Mot de passe 5 pour sites à données extrêmement sensibles (site bancaire, Paypal,...)

Pour les mots de passe 1 et 2, on n'est même pas obligé de les connaitre par cœur, on ne les tape que rarement (en principe, on les configure une seule fois dans Outlook, Thunderbird, son téléphone portable,...)
Pour les mots de passe de session ordinateur, on peut réutiliser par exemple le mot de passe 3 ou 4.

Enfin, le mieux est de conserver les mots de passe qu'on utilise sur papier chez soi en cas d'oubli  

@erwan a écrit:

@Franck a écrit:Je rajouterai à ton chapitre 7, essayer d'avoir un mot de passe assez complexe avec des chiffres et des lettres et éventuellement des signes spéciaux mais qui ne soit pas difficile à se souvenir. Genre sa ville et sa date de naissance. Genre : @miens1920

Si un hacker intercepte le mot de passe d'un membre au moment de sa connexion, qu'il soit complexe ou non ne fait aucune différence puisqu'il l'aura en clair sous les yeux !

Pour ce qui concerne le fait que Forumactif puisse implémenter un mécanisme qui sécuriserait la page de connexion, permets-moi d'en douter... Je me suis déjà livré à cet exercice sur un site avant de le passer en https : il faut que le mot de passe soit crypté (en md5 par exemple) par un script javascript AVANT d'être envoyé au serveur.

Le conseil de Franck reste un bon conseil.
Effectivement, la robustesse du mot de passe n'a aucune importance dans une interception de message en clair (attaque "man in the middle").
Mais la robustesse est par contre essentielle pour résister à des attaques par force brute, dictionnaire...

Quant à la réaction de Forumactif, j'ai envie de dire "wait and see".
L'achat d'un certificat signé par une autorité de certification et la mise en place d'une connexion HTTPS, ça a un coût. Mais je trouve que ce n'est quand même pas la mer à boire non plus.

Ces messages d'avertissement des navigateurs mettent quand même une certaine pression sur les sites, cela inquiète les utilisateurs et des utilisateurs inquiets, ce n'est pas bon pour le business

Ce n' est peut être pas le bon post ? Mais aujourd' hui à chaque fois que je me connectais j' avais une page blanche sur la page d' accueil et juste la bande déroulante sur le coté gauche visible mais on ne pouvait agir dessus. Je suis sur free est ce la cause ?

@Pascal1969 a écrit:Par contre, j'ai l'impression que la barre de notification tout en haut à  changé de couleur, il me semble bien qu'elle était bleue avant

Je confirme, et maintenant elle est noire pour moi...

Une autre solution est d'utiliser un gestionnaire de mot de passe
Pour moi, dashlane (payant pou la synchro sur plusieurs machines)
Y'n a d'autres : lastpass, keepass (ou keepass2, keepass x) , etc ...

@Loki a écrit:L'achat d'un certificat signé par une autorité de certification et la mise en place d'une connexion HTTPS, ça a un coût. Mais je trouve que ce n'est quand même pas la mer à boire non plus.

Il existe une solution gratuite, comme Let's Encrypt : http://letsencrypt.fr/

C'est celle qu'Ovh propose à ses clients. Il suffit de cliquer sur un bouton dans son manager, un par domaine hébergé, pour l'activer gratuitement. Ovh va même jusqu'à s'occuper du renouvellement périodique du certificat.

Beaucoup de forums Forumactif ont une adresse du type "http://monforum.forumactif.com/", c'est-à-dire un sous-domaine de Forumactif. Celui-ci possède son propre domaine, "ecigarette-public.com", dont le registrar est Godaddy.com. Par contre je ne sais pas qui héberge le site, mais Franck doit pouvoir le trouver. Si l'hébergeur dispose de l'offre Let's Encrypt, alors transformer "https://www.ecigarette-public.com" en "https://..." ne prendrait que quelques minutes, avec bien entendu un ou deux changements mineurs dans le panneau d'administration du forum puisque PhpBB prend en charge le protocole (du moins les versions récentes, pour la 3.0 je ne suis pas sûr).

Il est possible que ce soit un peu plus compliqué que ça, à cause de l'organisation des forums par Forumactif, mais la question mérite de leur être posée.