Fuite de données chez Withings, changez votre mot de passe
Si vous utilisez un produit commercialisé par Withings, vous devriez changer le mot de passe de votre compte sans tarder. Une fuite de données est à noter chez le constructeur français devenu la propriété de Nokia et une base de données de noms d’utilisateurs et de mots de passe circule actuellement sur la toile. Cela fait même plusieurs jours que c’est le cas d’après le site Zataz qui dévoile l’information.
En ne faisant rien, vous prenez le risque qu’une personne mal intentionnée accède à vos données. C’est encore plus gênant si vous utilisez une caméra connectée Withings, l’accès au flux vidéo en direct et aux archives étant alors possible. Withings a été notifié, mais l’entreprise n’a apporté aucune réponse pour le moment.
Vous pouvez modifier le mot de passe de votre compte sur le site de Withings ou bien dans l’app, en passant par le menu latéral, puis Réglages et Mot de passe. Mieux vaut choisir un mot de passe généré par une app comme 1Password et naturellement, éviter d’utiliser le même mot de passe sur plusieurs sites. Si c’était le cas pour Withings, pensez aussi à changer le mot de passe sur les autres sites.
@sandroazerty
?? Aucun souci pour changer le.mot de passe.
Soit dans l'application soit sur leur site
https://account.withings.com/connectionuser/account_login?appname=my2&appliver=9855c478&r=https%3A%2F%2Fhealthmate.withings.com%2Fsettings
Merci MacGéné et merci Thierry.
Un moyen de vérifier notre présence dans la liste ?
Oui totalement :
haveibeenpwned.com/
Je m'en sers quand il y a des grosses fuites de données et je vérifie tous mes contacts, puis je les préviens un à un si je trouve quelque chose de suspect. Je suis le seul "techos" dans tout mon entourage et je préviens même les anciens employeurs (c'est déjà arrivé plusieurs fois).
@EBLIS
haveibeenpwned.com
Mort de rire ton truc. Il le dit que mon compte LinkedIn a été piraté.
J'en ai pas !
Plus deux autre totalement inconnu de moi...
Il y a peut être des erreurs mais j'ai pu confirmer le piratage de plusieurs comptes via ce site. Certains comptes ont d'ailleurs été perdu définitivement. À plusieurs reprises des mails des services en question ont été reçus et une vérification là était positives mais c'était déjà trop tard. Je ne dis pas que c'est du 100%.
Juste pour info, le site a été créé par un ancien de la sécurité de Microsoft si mes souvenirs sont bons. Il ne se serait pas avancé publiquement si son but n'était pas légitime. Il récupère donc les listes suspectes afin de savoir si le mail dont on fait la demande a été compromis.
@brian02
Y en a plusieurs, mais ils sont tous suspects.
Lorsque tu rentres tes identifiants dans ces "listes" tes identifiants sont validés comme actifs et sur un produit specifique, donc il deviennent plus interressant a pirater et prennent plus de valeur pour la vente.
Le mieux c'est de changer d'identifiant regulierment et systematiquement lors d'une alerte.
Au-dela de l'urgence, il faut bien prendre conscience que cela peut arriver a n'importe quel site / cloud / fabricant... Whithings n'est pas un amateur et les données collectées sont sensibles.
En consequence: on est pret a accepter la fuite de quelle information?
Car chaque information que l'on met sur un site Internet, directement ou indirectement (via un enregistrement de produit, une facture, la creation d'un compte,...) va se retrouver dans la nature et dans les mains de cybercriminels.
Si la perte d'un email peut etre negligeable, des informations legales permettant d'usurper d'une identité (nom civil, numero de telephone, adresse, nº de secu, de CAF, de contribuable, de permis de conduire, d'assurance, d'EDF, ...) ou medicales ( collecté par le tracker d'activité par exemple) peuvent foutre la vie de quelqu'un en l'air.
Il faut, pour se rendre compte du niveau de danger lire l'excellent bouquin de Mitnik (dont The Art of Deception: Controlling the Human Element of Security) ou voir ce qu'on fait des escrocs celebres (Rocancourt) avec moins d'informations que ça.
Demain, un assureur refusera de vous assurer parce que des données indiquant que vous pourriez etre diabetique dans 10ans se trouverons dans un fichier "fuité". Demain, un escroc pourra vendre votre maison, vider vote compte, ouvrir un compte a votre nom pour payer des traffics, vous faire virer de votre travail,...
Tout ça parce que vous portez au poginet un petit espion qui envoient toutes les donnees qu'il collecte sur un site internet qui sera piraté.
Oui c'est vraiment un très gros problème quand il s'agit de telles données. Pour l'instant tous les fabricants se servent de ces données pour leurs fins commerciales.
Je serais vraiment prêt à payer plus cher tout service ou terminal dont le fabricant assuré qu'il n'utilise aucune donnée et que tout est chiffré de façon sécurisée et vérifié par une communauté de spécialistes. Je pense que la prochaine grosse boîte qui réussira bien incluera ce genre de chose : vie privée, privée à 99% car le 100% n'existe pas, chiffrée, non utilisée à des fins de marketing. Il y a bien sûr certains services qui s'y mettent mais c'est marginal.
@EBLIS
Il y a longtemp, losque je finissai mes etudes, lors d'un stage il fallait developper un systeme d'information dans un secteur medical. Theoriquement l'administrateur ne pouvait etre qu'un medecin, seule garantie du secret medical et les données devaient etre solidement chiffrées.
Le systeme proposé garantissait que meme si la BD etait hackée le pirate n'avait rien d'autre que des techniques de "force brute" pour dechiffrer les donnees, et comme en plus on avait separé les donnees nominatives des données d'exploitation, il fallait hacker 2 bases de donnees, sur 2 serveurs distincts. En gros, a part le social engineering, c'etait betoné.
S'est posé 3 problemes:
- payer un medecin pour faire de l'administration informatique n'etait pas acceptable au niveau budget
- le chiffrement proposé de bout en bout si a la mode aujourd'hui entrainait des restrictions dans les machines utilisables et empechaient la consultation des donnees dans les niveaux intermediaires (dans ce cas a des fins marketing ou administratives je precise)
- la securisation augmentait la facture assez sensiblement (chiffrement, redondance des archivages,...)
La logique, pour la solution, impliquait de restreindre l'acces qu'a des medecins (si cela avait ete possible et garanti) soit d'augmenter le chiffrement. Chaque solution etant exclues par une des 3 contraintes.
Alors tiens toi bien, le client a estimé que la dissociation des données nominatives et d'exploitation etait suffisante et qu'un chiffrement de type HTTPS repondait a la problematique...
Il fallait ensuite juste garantir que seul un medecin pourrait avoir acces a la BD nominative, et que seule cette bd devait etre chiffrée (ce qui etait suffisant pour l'heberger sur le meme serveur).
le personnel administratif, au contact du client disposait de l'ID, pour associer le client (patient) et la donnée… pour les mises a jours et saisie... ID consigné dans un cahier conservé a la reception.
@C1rc3@0rc
Wooo... Parfois je comprends absolument pas les clients qui réfléchissent aussi "simplement" au nom de l'économie qu'ils peuvent faire et des bénéfices, sachant que ça peut leur retomber dessus x1000.
Je me suis déjà sérieusement engueulé avec des ex boss en ce qui concerne ma "politique" des mots de passe trop compliqué et d'accès restreint. Certains ne comprennent pas que ces petites précautions sont absolument à prendre pour éviter le pire. Bon mon cas n'était pas aussi problématique que le tien mais il s'agissait quand même de DB de dizaines de milliers de clients. C'est très dur de responsabiliser les autres, je me fais généralement traité de parano :-)
Merde j'ai acheté une balance chez eux il y a à peine 1 mois !
Donc moi ma femme et ma fille auraient nos identifiants qui se baladent sur le net !
Pas très sérieux ça !
@bigwiz
Alors tu as dû être balancé...
Mdr!
Pas mieux, ça vaut 10 bons points !
Merci pour l'info.
Merci pour l info Macg !
Merci... Même si l'évolution de mon poids concerne et n'intéresse que peu de monde en fait ! Pour autant, cette fuite interroge. Quid des données et de leur circulation ? Stocker de la donnée médicale ne s'improvise pas ! Ce qui devrait faire réfléchir la "Silver Economie" !
@Malouin
Ils en n'ont rien a carrer de ton poids, c'est sûrement le couple identifiant / mot de passe qui les intéresse.
Sachant que la plupart des gens n'utilisent pas de gestionnaires de mdp, ces données leur ouvriront bien d'autres portes...
Pour un assureur l'evolution de ton poids vaut de l'or (ou celui de ton contrat d'assurance). Il peut reveler une future maladie (diabete, cardiaque, etc) mais il peut aussi renseigner sur tes habitudes de vie et de consommation. C'est fou tout ce que l'on peut analyser aujourd'hui avec des systemes "machine learning"...
Oui ça peut effectivement aller très loin.
Pareil, trop de redirections.
Des guignols !
Withings c'est fini pour moi.
Tchao
Merci MacG.
Bienvenue chez Nokia !! XD
Merci !
Merci, c'est étonnant que cette info ne vienne pas de withings directement, ce n'est pas sérieux!
Jai modifié mon mot de passe et puis supprimé mon compte. Ça craint avec tous mes appareil withings
Change ton email aussi au passage.
Ya rien à faire, tous ces appareils connectés c'est partout des fuites en sursis. Et j'en ai aussi (pas withings). D'où l'intérêt d'un 1password pour avoir des mots de passe différents (si ils ne se font pas pirater bien sur ?????)
Et voilà les compétences de la frenchtech. De la bonne grosse daube en perspective :)
C'est bon, faut pas non plus généraliser et dénigrer, c'est déjà arrivé au plus grands.
Honteux pour Withings.
À quand une action en justice des utilisateurs contre ces boîtes qui ont des fuites ?
La sécurité des données devrait être la priorité n°1
@ChePaki
Quand une entreprise se fait cambrioler, tu portes plainte contre elle?
@r e m y
"Quand une entreprise se fait cambrioler, tu portes plainte contre elle?"
Absolument : il devient urgent de pouvoir le faire quand il s'agit de mes données que je lui ai confiée, et qui se voient irrémédiablement dispersées du fait de sa négligence.
Les préjudices potentiels peuvent être incalculables.
@r e m y
Voyons... Réfléchissez un peu ! ? L'entreprise doit s'assurer de la protection des données qu'on leur confie (c'est normal, sinon pas de confiance envers la société, et donc pas de clients) !
L'entreprise doit mettre en oeuvre les moyens pour protéger l'intégralité et empêcher toute modification malveillante des données et de sa base.
Il a une grosse responsabilité, la fuite des données peuvent être préjudiciable et lourde de conséquences pour les clients/utilisateurs.
Merci les cours de droit informatique et la CNIL ! ?
@victoireviclaux
Il ne s'agit pas de nier toute responsabilité des entreprises concernées par ces vols de donnees, mais il faut aussi avoir conscience qu'aucune de ces entreprises ne peut garantir une securite absolue.
Toutes les protections sont faillibles ou contournables.
Les plus grandes entreprises (Apple, Google, Microsoft, Facebook, Amazon...) se sont fait pirater. Des spécialistes de la securite manipulant des donnees ultra sensibles comme le FBI, la NSA, la CIA... se sont fait pirater.
Aucune donnée dès lors qu'elle circule où est mise en ligne n'est à l'abri.
@r e m y
"Toutes les protections sont faillibles ou contournables. "
Je suis d'accord, r e m y, mais on peut peut-être trouver un compromis autour d'une obligation de moyens.
Et là, des liste de logins associé aux mots de passe en clair, il y a un gros problème de moyens...
@Bigdidou
Tu as raison.
halala, le cloud et les objets connectés. trop de complications pour pas grand chose.
C'est vrai en plus, tout ce petit monde connecté n'apporte pas des masses mais à un potentiel dévastateur incalculable.
@EBLIS
"C'est vrai en plus, tout ce petit monde connecté n'apporte pas des masses mais à un potentiel dévastateur incalculable."
Absolument.
Pas de communication de la part de withings/Nokia ?? ?
Merci Macg de l'info !
La cnil devrait rejeter tout éditeur stockant en clair un mot de passe dans sa base
Aie aie aie... en plus d'avoir quelques produits d'une qualité moyenne, il y a désormais des données sensibles en fuite. Dommage, c'était une entreprise prometteuse !
Merci. Mot de passe changé. Je dois le mettre ici en clair pour la/les prochaines fois ? Ça arrive tellement souvent maintenant que je sais plus...
À quand une responsabilité légale pour toutes ces fuites de données personnelles ???
Merci ?
Surement les hackers russe n'est ce pas? ?
En parlant de fuite de donnees....le fichier des 200 millions d'électeurs américains a été accessible publiquement durant quelques jours (nom, prénom, adresse, téléphone, âge, origine ethnique mais aussi tendance politique probable, aptitude à soutenir le programme de réformes de Trump...) la faute à un prestataire du parti républicain qui a entreposé ce fichier sur un serveur non sécurisé.