Sulley
/
grimboite
1
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity
grimboite/articles/securité+intimité/it-does-not-only-happen-to-...

2.4 KiB
Raw Blame History

Title Tags
Compte hacké! securité, 2fa, vps

Il y a quelques temps, j'ai reçu un mail de DigitalOcean m'indiquant que ma carte de crédit était arrivée à expiration. On était en mai; ma carte était arrivée à expiration en février; je le savais et je ne m'en inquiétais pas, puisque je n'avais pas besoin de leurs services dans l'immédiat.

En fouillant un peu parmi les informations de mon compte, je remarque malgré tout qu'il y a un truc louche sur ma dernière facture. En fait, je leur devais 176$ pour avoir réserver plusieurs (gros) serveurs. Serveurs que je n'avais jamais commandé, puisque je me suis toujours limité au strict minimum pour faire tourner deux-trois services, sans plus.

En plus de la sécurité de vos serveurs, il y a donc une donnée supplémentaire à prendre en considération: la sécurité de vos comptes utilisateurs. Le problème ici était simplement que le mot de passe que j'avais utilisé avait déjà été associé à un autre compte, sur une plateforme qui s'était vue piratée (DropBox?). De plus, la politique de DigitalOcean est assez claire (quand on prend le temps de lire les caractères du contrat): vous pouvez approvisionner votre compte avec l'un des moyens de paiement acceptés, et si ce moyen de paiement est refusé, vous pouvez malgré tout continuer à utiliser leurs services. Le reste devra leur être remboursé à la fin du mois.

J'ai juste eu super chaud: si mon compte n'avait pas été piraté à la fin du mois, les dégâts financiers auraient pu être beaucoup plus importants. Les 176$ s'étalaient sur une période de trois jours maximum. Je me suis arrangé avec eux et ils ont passé l'éponge, en plus de me donner quelques conseils.

Donc:

  1. N'utilisez pas le même mot de passe sur deux plateformes différentes. Si la première se fait pirater, les vils plaisantains pourront essayer les données qu'ils auront grapiller sur tous les canaux connus. Et il suffit d'avoir la même association (identifiant + mot de passe) pour être franchement dans la mouise.
  2. Quand c'est possible, activez le 2-forms authentication: en plus de connaître vos identifiants, ce mécanisme suppose également que vous avez un accès physique sur un périphérique que vous avez identifié comme étant le vôtre.
  3. https://haveibeenpwned.com/