Oué

Oué

Oué

Oué

Oué

Merci à toi ! 😎

Mais un cookie est invalidé quand on change le mot de passe... Je ne comprends pas comment un vol de cookie lock un compte

La suppression d’une chaîne KZbin n’est pas définitif, il me semble qu’il y as un délai de 7-14 avant la suppression donc c’est plus considéré comme une désactivation qui mène à une suppression

Je pense qu'il y a 2 poids 2 mesures chez KZbin. Une petite chaine littéraire que je suis (7 000 abonnés) a été supprimé suite à un piratage. Et sa propriétaire n'a rien obtenu de KZbin. Ni la restitution de la chaine ni les vidéos. Elle a perdu plusieurs centaines de vidéos. Elle a dû repartir avec une nouvelle chaine. Quand on s'appelle "Michou" avec la puissance de Webedia, c'est pas la même chose que quand on est un youtubeur sans importance...

@@Cynthia-vm3ee sans importance ??

@@ghilessaidani3929 KZbin se fiche complètement d'une chaîne non monétisée à 8000 abonnés.

@@ghilessaidani3929 Comme toi, probablement...

je cherche à contacter YT en urgence

@@LeJournaldelEspace ta réussi à récupérer ta chaine ?

Oe j'ai vue ça hier c'était chaud en vrai ça fait flipper

Nocookie ou VM et vous êtes protégés ;)

@@LeJournaldelEspace moi aussi ça m'est arrivé, j'ai cliqué sur un lien discord comme un con je n'avais pas fait gaffe, et rien ne s'est passé à part une fenetre cmd qui s'ouvre et se referme en un éclair. Jme dit oula je me suis mit un beau virus là. Du coup je fais un scan et rien. Je me sens safe et 1 mois plus tard j'ai une chance monumentale, j'étais en train de jouer sur steam quand soudain je me fais déconnecter de ma session. Je comprends tout de suite que je me suis fait hack. Jessaie de me reconnecter, mot de passe incorrect. J'essaie de lancer une modification de mot de passe mais ça m'affiche 'trop de modifications récentes, veuillez attendre pour la prochaine. Je vais voir mes mails et ils etaient tous dérangés de sorte à ce que je me perde. Là je tilt, mais wtf comment le mec à reussi a se connecter à mon adresse mail (cest là où jai été chanceux car il aurait pu tellement niquer ma vie en faisant n'importe quoi avec mon mail ou je sais pas enfin bref) Je vais voir dans mes mails supprimés et là bordel je vois une quizaine de mails du support steam et aussi du support epic games et ubisoft du genre 'vous avez bien supprimé le num de telephone associé au compte' ou encore vous avez bien changé votre mot de passe' Là je me dis cest fini mdr. Au bout de 10 min de lecture je trouve un mail ou il y avait un lien pour sauver son compte steam qui contourne l'attente pour le changement de mot de passe. Je change direct le mdp et je met le double authentificateur. Là dans la panique je me rends compte que jai pas changê le mdp de mon mail. Je le change direct. Et à partir de ce moment, jai du faire les memes actions pour recuperer mes autres comptes et mettre la double authentification sur tout mes comptes de nimporte quel appli ou jeu. Ensuite jai reintialisé mon pc en esperant que ca suffise pour enlever le malware. Jai été chanceux que le mec n'ai pas supprimé les mails au lieu de juste les rendre introuvables sauf si on s'y connait un peu. L'erreur que jai fait est que ma boite mail était rangée par date mais comme ce n'etait que des mails de 2020, jai cru que le hackeur avait supprimé tous mes mails et que c'était peine perdu, je n'avais meme pas pensé à réorganiser les mails puisque je partais du principe quils n'existaient plus. Jai aussi été chanceux d'être present en direct au hack car si c'était pendant la nuit, le mec aurait pu faire quoi que ce soit ou simplement detruire tous mes comptes. Moralité, je jamais avoir le meme mot de passe sur tous ses comptes car cest juste en volant mon compte discord au depart que le mec a eu mon mot de passe et mon adresse mail. Donc il a tenté sur les autres trucs et comme javais le meme partout. Je me la suis fait bien mettre. Deuxieme morale, toujours avoir le double authentification sur tout. Meme si le mec arrive à voler les tokens ou les cookies de votre compte, avec des mots de passe differents, un seul compte pourra être piraté.

always been

Ils l'ont tjrs été en fait lol

Le phishing c'est loin d'être une nv technique

@@azeur3659 fishing*

@@joshua_sauv non c'est bien phishing

Arrête mdr, je me suis fait avoir une fois quand j'étais gosse j'ai pleuré ma race.

Ou le faire dans une VM diffeente piur chaque tâche : upload KZbin sur une vm encryptée et une autre pour lire les mails et télécharger des trucs pas ouf Et d'ailleurs nocookie c'est bien aussi pour le tracking

Je suis arrivé sur cette vidéo pour comprendre justement 👌🏻 cool de voir de vrai abonnés 🙏🏻

Dans la logique il suffit de changer ton mdp du mail en premier puis celui de la chaîne yt SAUF si le pirate pense à changer le mail direct

Oui changer le mdp invalide les cookies. Je ne comprends pas non plus. Perso mon mdp change toute les heures et j'ai nocookie donc aucun risque heureusement

@@blacksharck52 on a pas besoin du mdp d'origine pour changer l'adresse mail du compte ?

@@yohanncoupannec9837 le hack ici contaminé en premier l'adresse mail donc le problème se pose pas

@@blacksharck52 à oui, bien vu.

non on peut créer un moyen de d'associer une IP a un cookie après ça demande un peu plus de stockage mais pour des grosse chaine ça me parait pas déconnant de mettre en place ce genre de mesure de sécurité après si le hacker arrive a choper le cookie l'IP n'est pas beaucoup plus dure a chopé (c'est même plus simple que le cookie une fois que tu as les accès).

Effectivement ça rendrait la tâche plus difficile. Mais le hackeur pourrait toujours usurper l'IP de sa victime à l'aide d'un reverse proxy. Ca demanderait juste plus d'effort.

Suffit d'ajouter un mode proxy dans le malware et donc on passe par le pc infecté...

Comment on fait?

Ou juste ne pas utiliser de cookies. Pas compliqué

Virtual machine ou sur un autre ordi non connecté au net (et bien protégé/paramétré).

Oui, il est possible de "cacher" un script sur UN seul pixel d'une image. Comme ils l'ont dit, même un .pdf peut contaminer. Ouvrir un .jpg/.png ou.gif peut présenter des risques. Ne pas ouvrir les pièces jointes des adresses douteuse. Les bon antivirus, mêmes gratuits (avira, etc), proposent un menu contextuel avec le click droit pour analyser un fichier avant de double click dessus mais attention à ce qui s’exécute automatiquement.

En vrai pas si simple que ça ! L'IP peut changer régulièrement et peut être différente en fonction de tes appareils. Pour ma part par exemple, quand je suis en 4G mon IP est localisée à Paris, ce qui n'est pas du tout le cas. Pas sûr que l'IP soit si pertinente :)

TOUJOURS utiliser soit une VM pour tester ce genre de chose OU à défaut utiliser le mode SandBox de Windows. C'est mon conseil en tout cas.

Nord VPN!!!

Ou une coque rinoshield pour jouer a RAID.

Une adresse IP n’est pas forcement constante: - voyage ; - ton FAI peux changer ton IP à tout moment ; - utiliser le même appareil à plusieurs endroits (e.g. boulot, café, maison, chez quelqu'un d’autre) ; - et le pire de tous, connecté sur un réseau mobile (4g par exemple) ton IP change constamment.

Ou le fingerprint du browser

Je pense que le problème surtout c'est que ces lives sont en anglais. Pour quelqu'un qui ne comprend pas l'anglais, il voit Elon Musk parler il voit que c'est écrit qu'il faut envoyer de l'argent (ça il peut le traduire avec Google Traduction) et il y croit. Bon j'avoue c'est l'arnaque la plus vieille d'internet j'y aurais pas cru mais y a des encore gens naïfs et ça se voit vu les sommes volées.

déjà il faudrait que michou ou les mec qui gère les chaine youtube en générale et un minimum de connaissance en cyber sec/ informatique; perso je pense pas que michou sache ce qu'est une machine virtuelle

@@ledevin34 Ce qui en soi est problématique car quand on est une personne avec de la notoriété, il faudrait avoir le réflexe de se former sur ces sujets et/ou de faire appel à un professionnel de la cyber sécurité pour acquérir les bases.

@@ematumVG je suis complétement d'accord. La veille c'est important. Mais quand ils voient le coup ils comprennent pas que ça leurs couteras plus de pas le faire que de faire les atelier de cyber sec ou autre.

Pas si c'est toi qui click sans analyser le lien avant (ou faire une recherche antivirus/google sur le fichier que tu apprenantes à lancer au moindre doute).

Non

T'as pas regardé la vid jusqu'au bout ;)

pas drole le time code

@@wen1171 personne t'as demandé, mais ok cool mec

@@littleice2987 tu flop la

@@wen1171 euh, ok ? J'imagine ?

@@wen1171 ok mec, es l'air moins con stp

@Rathmox c'est vrai, j'avais pas pensé à ça, cela dit ça éviterait déjà la revente de cookies

1. Une adresse IP n’est pas forcement constante: - voyage ; - ton FAI peut changer ton IP à tout moment ; - utiliser le même appareil à plusieurs endroits (e.g. boulot, café, maison, chez quelqu'un d’autre) ; - et le pire de tous, connecté sur un réseau mobile (4g par exemple) ton IP change constamment. 2. l’adresse MAC n’est pas une info accessible par un site web 3. La “version” de ton navigateur (e.g. Chrome sur Windows) est possiblement vérifiée lors de l’utilisation du cookie mais n’est en aucun cas pertinente dans ce cas, les pirates ayant accès à l’appareil de la victime connaissent cette info et peuvent la répliquer.

@@Kayaco10 l'idée de mon commentaire, c'est plus pourquoi il existe pas un système d'identifiant peu importe le moyen, je citais des idées qui me passait par là tête. Je trouve ça vraiment étonnant qu'on puisse prendre un cookie de connexion, le foutre sur une autre machine et hop ça fonctionne comme si de rien était. Mais tu as raison concernant les solutions que j'ai cité

@@ThePyroCr4ft "pourquoi il existe pas un système d'identifiant peu importe le moyen" Le premier problème en matière de web c'est la "privacy", si un site est capable d'identifier un appareil, l'utilisateur ne peux plus avoir de vie privée, absolument tout ce que tu fait sera trackable par n'importe qui. Deuxièmement le problème plus général est: Sécurité VS simplicité d'utilisation, on peux faire mieux en terme de sécurité mais ça a un coût sur la difficulté d'utilisation du service.

@@Kayaco10 ah ouais effectivement j'avais pas vu ça par ce prisme là Et puis c'est vrai que ça implique d'avoir accès à la machine de pouvoir récupérer le cookie et à ce moment là y a d'autres soucis 😅

non mais la chaine est renomé et difuseu truc totallment hors sujet par rapport d habitude, tu te pose quelque question quand meme ...

@@f-trt si t'es pas attentif tu pense que c'est une chaine a laquelle tu t'es abonné il y as longtemps et que t'as oublié et franchement sur KZbin j'y suis pas toujours pour réfléchir et pour un contenue comme la chaine de michou qui a l'air de ressembler a du mc fly et carlito (ouais je fait avec mes ref) je pense pas que KZbin te la recommande au moment ou tu réfléchie le plus t'ajoute a ça une audience plutôt jeune et oups ça fait un sacré combos déjà (et je pense que tu peut en rajouté un peu plus en cherchant deux minutes).