InfoMars.fr

Bonjour,

Le lien de l'iso de linux mint indiqué au niveau du wordpress blog.linuxmint.com aurait été corrompu (image comportant une porte dérobée).

http://linuxfr.org/u...depuis-le-20-02

La plus grande prudence donc !!

Linux Mint : Site piraté, données à vendre et ISO infecté !

L’annonce est catastrophique pour le projet Linux Mint. Dans une toute récente annonce officielle, Clément Lefebvre, le responsable du projet, a déclaré que le site officiel a été compromis et que les pirates ont réussi à y introduire un lien vers un ISO malveillant de Linux Mint 17.3 durant la journée du samedi 20 février.

Le projet Linux Mint a le vent en poupe et est largement recommandé pour tout ceux qui souhaitent passer à un Linux pour remplacer leur OS Microsoft Windows 10 ou encore Mac OS X. Linux Mint 17.3 est désigné comme le meilleur système d’exploitation Linux actuel pour poste de travail (basé sur Ubuntu). Le site officiel permet en outre de télécharger les ISO officiels de plusieurs versions et de rejoindre la communauté. Il est hors ligne et complètement inaccessible au moment au cet article est rédigé…
[...]
En attendant, les information, le contrôle du backdoor ainsi que le base de données complète est à vendre sur le marché noir pour 85 dollars…

pour 85 dollars...

Aie..

Ils ont chopé aussi la BDD du forum alors?

EDIT:

Je m'auto-répond

 

Ils viennent d'annoncer que le forum a également été complètement troué. Ils demandent à tous leurs utilisateurs de changer leur passwords d'urgence : http://blog.linuxmint.com/?p=3001

Comme quoi, sur les forums, faut pas trop en mettre

Bah c'est surtout pour ceux qui utilisent le même mot de passe sur plusieurs sites (et ici, notamment, si ils ont utilisé le même sur le forum que pour leur adresse mail, elle aussi sur le forum).

Du coup, le principe de précaution, toujours: Ne jamais utiliser les mêmes partout

Au au moins activer l'authentification en 2 étapes. C'est vraiment "tout con", mais dans un cas comme celui-là, ça peut "sauver la vie".

..

Selon le site officiel de Linux Mint, le piratage a touché uniquement la Linux Mint Cinnamon 17.3 avec l'environnement de bureau Cinnamon pendant la seule journée du 20 février 2016.

Les autres versions (environnement Mate et LMDE 2) ne devraient donc pas être en cause. Le téléchargement est de nouveau disponible.

@+

Un peu plus d'infos !!!

https://linuxfr.org/...-ete-compromise

"Néanmoins quelqu'un avait déjà remarqué le 16 janvier 2016, plus d'un mois auparavant, que plusieurs bases de données de Mint étaient déjà en vente sur d'autres forums, depuis au moins le 2 janvier 2016"

Ouep, ben du coup j'ai vérifié sur https://haveibeenpwned.com/ (un truc géré par un gars de la sécurité chez Microsoft, un truc sérieux) et effectivement, mon adresse mail principale est dans le lot

Heureusement l'accès n'est pas limité au seul mot de passe, mais j'entame quand même un changement de mdp un peu partout, et surtout sur mes comptes (mails, forum, etc) "principaux", les plus importants.

Ouep, ben du coup j'ai vérifié sur https://haveibeenpwned.com/ (un truc géré par un gars de la sécurité chez Microsoft, un truc sérieux) et effectivement, mon adresse mail principale est dans le lot

 

Heureusement l'accès n'est pas limité au seul mot de passe, mais j'entame quand même un changement de mdp un peu partout, et surtout sur mes comptes (mails, forum, etc) "principaux", les plus importants.

Rooo !! Principe de base, la principale en dehors de tout forum ou autre. En crée plusieurs pour cela...

Je pense que tu as bien fait, de modifié tes mots de passe.

J'en ai plusieurs, dont celle de "secours", qui sert justement à récupérer les comptes éventuellement corrompus, mais la "principale" (en fait, c'est mon compte Gmail), est plus pratique: j'y reçois mes mails, mes notifications diverses (forums, infos, commandes), et surtout,  tout ça en "direct" sur mon smartphone (puisque je tourne sous Android), et que j'ai de toute façon besoin d'un compte Google pour mon smartphone Android

C'est aussi pour ça qu'elle a plusieurs niveaux de sécurisations: le mot de passe (relativement complexe mais que je peux retenir facilement: minuscules, majuscules, chiffres, caractère spécial), ensuite l'authentification (je reçois un code par SMS pour valider la connexion, ce qui fait que sans mon téléphone...) et, dans le pire des cas, celui où non seulement on aurait récupérer mon mot de passe ET mon téléphone, les codes de récupérations générés depuis mon compte Google et planqués dans un container crypté (veracrypt).

Et j'active cette authentification partout où elle est disponible (outlook.com, par exemple, pour mes mails made in Microsoft).

Bon, il y a toujours moyen de faire mieux, mais là déjà, avec "si peu" et pas trop contraignant, je dois être au moins 80% plus sécurisé que 75% de la population utilisant un compte mail

Trouver le compromis entre sécurité et confort, ce n'est pas simple. Pendant tout un moment, je m'étais lancé dans les mots de passes complexes, aléatoires, "gérés" via une application sur le PC (comme tu le faisais il me semble, avec Keepass). C'est super, mais dès que tu quittes ton environnement de travail... t'es vu. Il existe bien sur des portages de ces applications pour smartphone, mais pas toujours top intégrés. Et les mots de passe dans le cloud, ce n'est même pas la peine de m'en parler, pour moi cela DOIT rester en local.

Du coup, machine arrière, en essayant de trouver quelque chose de complexe tout en étant facile à retenir pour moi. J'y sacrifie un peu la sécurité pour le confort, et je ne le devrais pas, on ne devrait pas avoir à le faire... Mais actuellement, pratiquement, c'est nécessaire.

Si j'ai tout de même modifié mes mots de passe sur Gmail, IM, Amazon, et les "gros" forums que je fréquente (et encore, ce n'était pas le même partout) c'est vraiment pour maximiser les chances de ne pas me les faire choper.

Au passage, je note qu'Amazon est le pire élève de la classe: à moins de l'avoir raté, aucune authentification en 2 étapes, pour un site de cette envergure.. Heureusement, je n'y enregistre JAMAIS mes coordonnées bancaires, mais ça la fout mal quand même..

... je dois être au moins 80% plus sécurisé que 75% de la population utilisant un compte mail ...

J'adore !