Fuite de données chez Withings, changez votre mot de passe

Nicolas Furno | | 22:30 |  48

Si vous utilisez un produit commercialisé par Withings, vous devriez changer le mot de passe de votre compte sans tarder. Une fuite de données est à noter chez le constructeur français devenu la propriété de Nokia et une base de données de noms d’utilisateurs et de mots de passe circule actuellement sur la toile. Cela fait même plusieurs jours que c’est le cas d’après le site Zataz qui dévoile l’information.

Cliquer pour agrandir

En ne faisant rien, vous prenez le risque qu’une personne mal intentionnée accède à vos données. C’est encore plus gênant si vous utilisez une caméra connectée Withings, l’accès au flux vidéo en direct et aux archives étant alors possible. Withings a été notifié, mais l’entreprise n’a apporté aucune réponse pour le moment.

Vous pouvez modifier le mot de passe de votre compte sur le site de Withings ou bien dans l’app, en passant par le menu latéral, puis Réglages et Mot de passe. Mieux vaut choisir un mot de passe généré par une app comme 1Password et naturellement, éviter d’utiliser le même mot de passe sur plusieurs sites. Si c’était le cas pour Withings, pensez aussi à changer le mot de passe sur les autres sites.

Source : merci Thierry

Catégorie : 

Les derniers dossiers sur iGeneration

Ailleurs sur le Web


48 Commentaires

avatar sandroazerty 19/06/2017 - 22:37 via iGeneration pour iOS

Impossible de changer trop de redirection. Quelqu'un a une idée ?

avatar A884126 19/06/2017 - 23:44 via iGeneration pour iOS

@sandroazerty

?? Aucun souci pour changer le.mot de passe.

Soit dans l'application soit sur leur site
https://account.withings.com/connectionuser/account_login?appname=my2&ap...

avatar azzimov 19/06/2017 - 22:38 via iGeneration pour iOS

Thanks macG :)

avatar Yoskiz 19/06/2017 - 22:46 via iGeneration pour iOS (edité)

Merci MacGéné et merci Thierry.

avatar brian02 19/06/2017 - 22:54 via iGeneration pour iOS

Un moyen de vérifier notre présence dans la liste ?

avatar EBLIS 20/06/2017 - 00:08

Oui totalement :

haveibeenpwned.com/

Je m'en sers quand il y a des grosses fuites de données et je vérifie tous mes contacts, puis je les préviens un à un si je trouve quelque chose de suspect. Je suis le seul "techos" dans tout mon entourage et je préviens même les anciens employeurs (c'est déjà arrivé plusieurs fois).

avatar Powerdom 20/06/2017 - 10:15 via iGeneration pour iOS

@EBLIS

haveibeenpwned.com

Mort de rire ton truc. Il le dit que mon compte LinkedIn a été piraté.

J'en ai pas !
Plus deux autre totalement inconnu de moi...

avatar EBLIS 20/06/2017 - 15:51 (edité)

Il y a peut être des erreurs mais j'ai pu confirmer le piratage de plusieurs comptes via ce site. Certains comptes ont d'ailleurs été perdu définitivement. À plusieurs reprises des mails des services en question ont été reçus et une vérification là était positives mais c'était déjà trop tard. Je ne dis pas que c'est du 100%.
Juste pour info, le site a été créé par un ancien de la sécurité de Microsoft si mes souvenirs sont bons. Il ne se serait pas avancé publiquement si son but n'était pas légitime. Il récupère donc les listes suspectes afin de savoir si le mail dont on fait la demande a été compromis.

avatar C1rc3@0rc 20/06/2017 - 01:08

@brian02

Y en a plusieurs, mais ils sont tous suspects.
Lorsque tu rentres tes identifiants dans ces "listes" tes identifiants sont validés comme actifs et sur un produit specifique, donc il deviennent plus interressant a pirater et prennent plus de valeur pour la vente.

Le mieux c'est de changer d'identifiant regulierment et systematiquement lors d'une alerte.

Au-dela de l'urgence, il faut bien prendre conscience que cela peut arriver a n'importe quel site / cloud / fabricant... Whithings n'est pas un amateur et les données collectées sont sensibles.

En consequence: on est pret a accepter la fuite de quelle information?
Car chaque information que l'on met sur un site Internet, directement ou indirectement (via un enregistrement de produit, une facture, la creation d'un compte,...) va se retrouver dans la nature et dans les mains de cybercriminels.

Si la perte d'un email peut etre negligeable, des informations legales permettant d'usurper d'une identité (nom civil, numero de telephone, adresse, nº de secu, de CAF, de contribuable, de permis de conduire, d'assurance, d'EDF, ...) ou medicales ( collecté par le tracker d'activité par exemple) peuvent foutre la vie de quelqu'un en l'air.

Il faut, pour se rendre compte du niveau de danger lire l'excellent bouquin de Mitnik (dont The Art of Deception: Controlling the Human Element of Security) ou voir ce qu'on fait des escrocs celebres (Rocancourt) avec moins d'informations que ça.

Demain, un assureur refusera de vous assurer parce que des données indiquant que vous pourriez etre diabetique dans 10ans se trouverons dans un fichier "fuité". Demain, un escroc pourra vendre votre maison, vider vote compte, ouvrir un compte a votre nom pour payer des traffics, vous faire virer de votre travail,...

Tout ça parce que vous portez au poginet un petit espion qui envoient toutes les donnees qu'il collecte sur un site internet qui sera piraté.

avatar EBLIS 20/06/2017 - 01:43

Oui c'est vraiment un très gros problème quand il s'agit de telles données. Pour l'instant tous les fabricants se servent de ces données pour leurs fins commerciales.
Je serais vraiment prêt à payer plus cher tout service ou terminal dont le fabricant assuré qu'il n'utilise aucune donnée et que tout est chiffré de façon sécurisée et vérifié par une communauté de spécialistes. Je pense que la prochaine grosse boîte qui réussira bien incluera ce genre de chose : vie privée, privée à 99% car le 100% n'existe pas, chiffrée, non utilisée à des fins de marketing. Il y a bien sûr certains services qui s'y mettent mais c'est marginal.

avatar C1rc3@0rc 20/06/2017 - 02:21

@EBLIS

Il y a longtemp, losque je finissai mes etudes, lors d'un stage il fallait developper un systeme d'information dans un secteur medical. Theoriquement l'administrateur ne pouvait etre qu'un medecin, seule garantie du secret medical et les données devaient etre solidement chiffrées.

Le systeme proposé garantissait que meme si la BD etait hackée le pirate n'avait rien d'autre que des techniques de "force brute" pour dechiffrer les donnees, et comme en plus on avait separé les donnees nominatives des données d'exploitation, il fallait hacker 2 bases de donnees, sur 2 serveurs distincts. En gros, a part le social engineering, c'etait betoné.

S'est posé 3 problemes:
- payer un medecin pour faire de l'administration informatique n'etait pas acceptable au niveau budget
- le chiffrement proposé de bout en bout si a la mode aujourd'hui entrainait des restrictions dans les machines utilisables et empechaient la consultation des donnees dans les niveaux intermediaires (dans ce cas a des fins marketing ou administratives je precise)
- la securisation augmentait la facture assez sensiblement (chiffrement, redondance des archivages,...)

La logique, pour la solution, impliquait de restreindre l'acces qu'a des medecins (si cela avait ete possible et garanti) soit d'augmenter le chiffrement. Chaque solution etant exclues par une des 3 contraintes.

Alors tiens toi bien, le client a estimé que la dissociation des données nominatives et d'exploitation etait suffisante et qu'un chiffrement de type HTTPS repondait a la problematique...
Il fallait ensuite juste garantir que seul un medecin pourrait avoir acces a la BD nominative, et que seule cette bd devait etre chiffrée (ce qui etait suffisant pour l'heberger sur le meme serveur).

le personnel administratif, au contact du client disposait de l'ID, pour associer le client (patient) et la donnée… pour les mises a jours et saisie... ID consigné dans un cahier conservé a la reception.

avatar EBLIS 20/06/2017 - 15:31

@C1rc3@0rc
Wooo... Parfois je comprends absolument pas les clients qui réfléchissent aussi "simplement" au nom de l'économie qu'ils peuvent faire et des bénéfices, sachant que ça peut leur retomber dessus x1000.
Je me suis déjà sérieusement engueulé avec des ex boss en ce qui concerne ma "politique" des mots de passe trop compliqué et d'accès restreint. Certains ne comprennent pas que ces petites précautions sont absolument à prendre pour éviter le pire. Bon mon cas n'était pas aussi problématique que le tien mais il s'agissait quand même de DB de dizaines de milliers de clients. C'est très dur de responsabiliser les autres, je me fais généralement traité de parano :-)

avatar bigwiz 19/06/2017 - 23:01 via iGeneration pour iOS

Merde j'ai acheté une balance chez eux il y a à peine 1 mois !
Donc moi ma femme et ma fille auraient nos identifiants qui se baladent sur le net !
Pas très sérieux ça !

avatar r e m y 19/06/2017 - 23:11 via iGeneration pour iOS

@bigwiz

Alors tu as dû être balancé...

avatar EBLIS 20/06/2017 - 00:09

Mdr!
Pas mieux, ça vaut 10 bons points !

avatar stefhan 19/06/2017 - 23:04 via iGeneration pour iOS

Merci pour l'info.

avatar stardyfr 19/06/2017 - 23:06 via iGeneration pour iOS

Merci pour l info Macg !

avatar Malouin 19/06/2017 - 23:21

Merci... Même si l'évolution de mon poids concerne et n'intéresse que peu de monde en fait ! Pour autant, cette fuite interroge. Quid des données et de leur circulation ? Stocker de la donnée médicale ne s'improvise pas ! Ce qui devrait faire réfléchir la "Silver Economie" !

avatar Xap 20/06/2017 - 00:10 via iGeneration pour iOS

@Malouin

Ils en n'ont rien a carrer de ton poids, c'est sûrement le couple identifiant / mot de passe qui les intéresse.

Sachant que la plupart des gens n'utilisent pas de gestionnaires de mdp, ces données leur ouvriront bien d'autres portes...

avatar C1rc3@0rc 20/06/2017 - 01:14

Pour un assureur l'evolution de ton poids vaut de l'or (ou celui de ton contrat d'assurance). Il peut reveler une future maladie (diabete, cardiaque, etc) mais il peut aussi renseigner sur tes habitudes de vie et de consommation. C'est fou tout ce que l'on peut analyser aujourd'hui avec des systemes "machine learning"...

avatar EBLIS 20/06/2017 - 01:44

Oui ça peut effectivement aller très loin.

avatar supermars 19/06/2017 - 23:33 via iGeneration pour iOS

Pareil, trop de redirections.
Des guignols !
Withings c'est fini pour moi.
Tchao

avatar eldison 19/06/2017 - 23:34 via iGeneration pour iOS

Merci MacG.
Bienvenue chez Nokia !! XD

avatar A884126 19/06/2017 - 23:42 via iGeneration pour iOS

Merci !

avatar Mikl10 19/06/2017 - 23:49 via iGeneration pour iOS

Merci, c'est étonnant que cette info ne vienne pas de withings directement, ce n'est pas sérieux!

avatar lkaritoo 19/06/2017 - 23:56 via iGeneration pour iOS

Jai modifié mon mot de passe et puis supprimé mon compte. Ça craint avec tous mes appareil withings

avatar EBLIS 20/06/2017 - 00:09

Change ton email aussi au passage.

avatar jojo5757 20/06/2017 - 00:11 via iGeneration pour iOS (edité)

Ya rien à faire, tous ces appareils connectés c'est partout des fuites en sursis. Et j'en ai aussi (pas withings). D'où l'intérêt d'un 1password pour avoir des mots de passe différents (si ils ne se font pas pirater bien sur 😂😂😂😂😂)

avatar BabyAzerty 20/06/2017 - 00:42 (edité)

Et voilà les compétences de la frenchtech. De la bonne grosse daube en perspective :)

avatar EBLIS 20/06/2017 - 01:45

C'est bon, faut pas non plus généraliser et dénigrer, c'est déjà arrivé au plus grands.

avatar ChePaki 20/06/2017 - 00:52 via iGeneration pour iOS

Honteux pour Withings.
À quand une action en justice des utilisateurs contre ces boîtes qui ont des fuites ?
La sécurité des données devrait être la priorité n°1

avatar r e m y 20/06/2017 - 07:46 via iGeneration pour iOS

@ChePaki

Quand une entreprise se fait cambrioler, tu portes plainte contre elle?

avatar Bigdidou 20/06/2017 - 07:57 via iGeneration pour iOS

@r e m y
"Quand une entreprise se fait cambrioler, tu portes plainte contre elle?"

Absolument : il devient urgent de pouvoir le faire quand il s'agit de mes données que je lui ai confiée, et qui se voient irrémédiablement dispersées du fait de sa négligence.
Les préjudices potentiels peuvent être incalculables.

avatar victoireviclaux 20/06/2017 - 07:59 via iGeneration pour iOS (edité)

@r e m y

Voyons... Réfléchissez un peu ! 😡 L'entreprise doit s'assurer de la protection des données qu'on leur confie (c'est normal, sinon pas de confiance envers la société, et donc pas de clients) !

L'entreprise doit mettre en oeuvre les moyens pour protéger l'intégralité et empêcher toute modification malveillante des données et de sa base.
Il a une grosse responsabilité, la fuite des données peuvent être préjudiciable et lourde de conséquences pour les clients/utilisateurs.

Merci les cours de droit informatique et la CNIL ! 😉

avatar r e m y 20/06/2017 - 08:30 via iGeneration pour iOS (edité)

@victoireviclaux

Il ne s'agit pas de nier toute responsabilité des entreprises concernées par ces vols de donnees, mais il faut aussi avoir conscience qu'aucune de ces entreprises ne peut garantir une securite absolue.
Toutes les protections sont faillibles ou contournables.
Les plus grandes entreprises (Apple, Google, Microsoft, Facebook, Amazon...) se sont fait pirater. Des spécialistes de la securite manipulant des donnees ultra sensibles comme le FBI, la NSA, la CIA... se sont fait pirater.
Aucune donnée dès lors qu'elle circule où est mise en ligne n'est à l'abri.

avatar Bigdidou 20/06/2017 - 13:11 via iGeneration pour iOS

@r e m y

"Toutes les protections sont faillibles ou contournables. "

Je suis d'accord, r e m y, mais on peut peut-être trouver un compromis autour d'une obligation de moyens.
Et là, des liste de logins associé aux mots de passe en clair, il y a un gros problème de moyens...

avatar r e m y 20/06/2017 - 13:46 via iGeneration pour iOS

@Bigdidou

Tu as raison.

avatar oomu 20/06/2017 - 00:59

halala, le cloud et les objets connectés. trop de complications pour pas grand chose.

avatar EBLIS 20/06/2017 - 01:46

C'est vrai en plus, tout ce petit monde connecté n'apporte pas des masses mais à un potentiel dévastateur incalculable.

avatar Bigdidou 20/06/2017 - 07:58 via iGeneration pour iOS

@EBLIS
"C'est vrai en plus, tout ce petit monde connecté n'apporte pas des masses mais à un potentiel dévastateur incalculable."

Absolument.

avatar Liena 20/06/2017 - 06:42 via iGeneration pour iOS

Pas de communication de la part de withings/Nokia ?? 🤔
Merci Macg de l'info !

avatar djgreg13 20/06/2017 - 07:52 via iGeneration pour iOS

La cnil devrait rejeter tout éditeur stockant en clair un mot de passe dans sa base

avatar victoireviclaux 20/06/2017 - 07:55 via iGeneration pour iOS

Aie aie aie... en plus d'avoir quelques produits d'une qualité moyenne, il y a désormais des données sensibles en fuite. Dommage, c'était une entreprise prometteuse !

avatar David Finder 20/06/2017 - 10:24

Merci. Mot de passe changé. Je dois le mettre ici en clair pour la/les prochaines fois ? Ça arrive tellement souvent maintenant que je sais plus...

avatar instantcook 20/06/2017 - 10:48 via iGeneration pour iOS

À quand une responsabilité légale pour toutes ces fuites de données personnelles ???

avatar LittleSushi 20/06/2017 - 13:39 via iGeneration pour iOS

Merci 😊

avatar jerome christopher 20/06/2017 - 15:36 via iGeneration pour iOS

Surement les hackers russe n'est ce pas? 😹

avatar r e m y 21/06/2017 - 13:02 via iGeneration pour iOS (edité)

En parlant de fuite de donnees....le fichier des 200 millions d'électeurs américains a été accessible publiquement durant quelques jours (nom, prénom, adresse, téléphone, âge, origine ethnique mais aussi tendance politique probable, aptitude à soutenir le programme de réformes de Trump...) la faute à un prestataire du parti républicain qui a entreposé ce fichier sur un serveur non sécurisé.