Sujet en attente de réponse
Piratage compte et double authentification
- Nom de l'auteur
- vivelevin utilisateur
- Publié le
- 5 juin 2024
- Nombre de réponses
- 23 réponses
- Consultations
- 1037 vues
- il y a 6 mois
- sujet
- q
Bonjour,
Piratage de compte cet aprem, souscription d'options sans confirmation de ma part, comment est-ce encore possible depuis le temps que la double authentification est en place? Si j'en crois les divers sujets exprimés sur ce forum cela fait 5 ans que s'est réclamé et toujours pas en place. Il vous faut quoi chez Canal pour que ça bouge?...ça donne franchement pas envie de rester chez vous, j'espere ne pas etre débité des abonnements que j'ai annulé, encore une autre histoire ça , je suis très très mecontent
- Thème
- Compte
Réponses de la communauté
Je me suis fait pirater mon compte canal avec souscription d option
Je bénéficie de la chaîne canal en live. Via ma Freebox ultra
Suite appel service client canal pour mon piratage
Impossible de ravoir la chaîne canal en live depuis 1 mois
Je ne sais plus quoi faire je n’arrête pas d appeler canal et Free
J'ai vécu la même mésaventure et le traitement par le service client CANAL a été, je dois le dire, déplorable.
Mon compte a été piraté, je suis en Freebox Ultra, j'avais l'offre à 7 euros. ON m'a basculé sur l'offre à 19 euros (ciné séries).
Quand j'ai constaté le piratage du compte, j'ai immédiatement changé le mot de passe et j'ai recalculé sur l'abonnement à 7 euros. Seulement; ça a été interprété chez CANAL comme la résiliation d'une option, allez savoir pourquoi. Donc ils m'ont calculé des frais basés sur un forfait à 27 euros, je n'ai jamais obtenu la réponse à la question "pourquoi donc ?"
Tout ça pour dire que CANAL n'est pas efficace du tout, ils ont malgré tout consenti à un geste commercial de 10 euros.
En attendant la sécurisation de l'espace client en 2FA
il y a une astuce qui protege un peut mieux des malveillances
être abonnées à la Freebox Ultra qui apporte plusieurs intérêts
- Abonnement mensuel avec une remise permanente de -15.99€ & -5€ avec la Freebox Ultra (qui à la canal+ live) BREF ON PEUT REVENIR à l'abonnement à 0€ rapidement et dire F!!!!
- By Canal compris qui est une variante de Panorama avec les Eurosport mais la chaines Action en moins
- Email/Identifiant généré (Fortement conseillé de ne pas le changer via la Hotline)
- Du coup la connexion obligatoirement par l'identifiant & password de Free (une sorte de double facteur)
Alors oui Free Mobile à une double-authentification SMS que l'espace box na pas encore ? mais bon mieux que rien
- Enfin faire couper la VOD avec un interlocuteur qui va vous expliquer mot de pass et blablas en réponse perso : j'ai dis que j'ai déjà la VOD payante sur ma BOX (2+2 streams pour By Canal et Canal+) Attention pas l'App le player qui en plus demande un PIN pour une modif ou achat
**************************************
VOILA alors oui la Freebox Ultra coute Bombon 60€ / mois mais si l'on compare avec une BOX de Base à 30€ avec que dalle en chaines et services à qui on rajoute par exemple un Canal+ / AppleTV + Panorama = 37,99 soit total 68€ mais on à pas (Netflix, Disney , Universal , Amazon) compris avec la box...
Bonjour,
C'est quand même fou qu'un puissant groupe que celui ci est incapable de sécuriser sa plateforme, meme mon petit hebergeur chez qui je loue un serveur propose la 2FA
A défaut d'avoir une double authentification mise en place par Canal, quelques règles à mettre en place en amont afin de limiter la casse (infos provenant d'un générateur de mdp)
Pour éviter que vos mots de passe ne soient piratés par l'ingénierie sociale, la force brute ou la méthode d'attaque par dictionnaire, et pour assurer la sécurité de vos comptes en ligne, vous devez noter que :
1. N'utilisez pas le même mot de passe, la même question de sécurité et la même réponse pour plusieurs comptes importants.
2. Utilisez un mot de passe comportant au moins 16 caractères, utilisez au moins un chiffre, une lettre majuscule, une lettre minuscule et un symbole spécial.
3. N'utilisez pas les noms de vos familles, amis ou animaux de compagnie dans vos mots de passe.
4. N'utilisez pas de codes postaux, de numéros de maison, de numéros de téléphone, de dates de naissance, de numéros de carte d'identité, de numéros de sécurité sociale, etc. dans vos mots de passe.
5. N'utilisez aucun mot du dictionnaire dans vos mots de passe. Exemples de mots de passe forts : ePYHc~dS*)8$+V-' , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ. Exemples de mots de passe faibles : qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.
6. N'utilisez pas deux ou plusieurs mots de passe similaires dont la plupart de leurs caractères sont identiques, par exemple, ilovefreshflowersMac, ilovefreshflowersDropBox, car si l'un de ces mots de passe est volé, cela signifie que tous ces mots de passe sont volés.
7. N'utilisez pas quelque chose qui peut être cloné (mais que vous ne pouvez pas modifier) comme mot de passe, comme vos empreintes digitales.
8. Ne laissez pas vos navigateurs Web (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) stocker vos mots de passe, car tous les mots de passe enregistrés dans les navigateurs Web peuvent être facilement révélés.
9. Ne vous connectez pas à des comptes importants sur les ordinateurs d'autrui, ou lorsque vous êtes connecté à un point d'accès Wi-Fi public, Tor, un VPN gratuit ou un proxy Web.
10. N'envoyez pas d'informations sensibles en ligne via des connexions non cryptées (par exemple HTTP ou FTP), car les messages contenus dans ces connexions peuvent être détectés avec très peu d'effort. Vous devez utiliser des connexions cryptées telles que HTTPS, SFTP, FTPS, SMTPS, IPSec autant que possible.
11. Lorsque vous voyagez, vous pouvez crypter vos connexions Internet avant qu'elles ne quittent votre ordinateur portable, votre tablette, votre téléphone mobile ou votre routeur. Par exemple, vous pouvez configurer un VPN privé avec des protocoles comme WireGuard (ou IKEv2, OpenVPN, SSTP, L2TP sur IPSec) sur votre propre serveur (ordinateur personnel, serveur dédié ou VPS) et vous y connecter. Vous pouvez également configurer un tunnel SSH crypté entre votre ordinateur et votre propre serveur et configurer Chrome ou FireFox pour utiliser un proxy Socks. Ainsi, même si quelqu'un capture vos données lors de leur transmission entre votre appareil (par exemple, ordinateur portable, iPhone, iPad) et votre serveur avec un renifleur de paquets, il ne pourra pas voler vos données et mots de passe à partir des données de streaming cryptées.
12. Mon mot de passe est-il sécurisé ? Vous pensez peut-être que vos mots de passe sont très forts et difficiles à pirater. Mais si un pirate a volé votre nom d'utilisateur et la valeur de hachage MD5 de votre mot de passe sur le serveur d'une entreprise et que la table arc-en-ciel du pirate contient cette valeur de hachage MD5, votre mot de passe sera alors rapidement piraté.
Pour vérifier la force de vos mots de passe et savoir s'ils se trouvent dans les tables arc-en-ciel populaires, vous pouvez convertir vos mots de passe en hachages MD5 sur un générateur de hachage MD5, puis décrypter vos mots de passe en soumettant ces hachages à un service de décryptage MD5 en ligne. Par exemple, votre mot de passe est "0123456789A", en utilisant la méthode de la force brute, cela peut prendre près d'un an à un ordinateur pour déchiffrer votre mot de passe, mais si vous le déchiffrez en soumettant son hachage MD5 (C8E7279CD035B23BB9C0F1F954DFF5B3) à un site Web de décryptage MD5, comment combien de temps faudra-t-il pour le casser ? Vous pouvez effectuer le test vous-même.
13. Il est recommandé de changer vos mots de passe toutes les 10 semaines.
14. Il est recommandé de mémoriser quelques mots de passe principaux, de stocker d'autres mots de passe dans un fichier texte brut et de chiffrer ce fichier avec 7-Zip, GPG ou un logiciel de chiffrement de disque tel que BitLocker, ou de gérer vos mots de passe avec un logiciel de gestion de mots de passe.
15. Chiffrez et sauvegardez vos mots de passe à différents emplacements. Si vous avez perdu l'accès à votre ordinateur ou à votre compte, vous pourrez récupérer rapidement vos mots de passe.
16. Activez l’authentification en deux étapes chaque fois que possible.
17. Ne stockez pas vos mots de passe critiques dans le cloud.
18. Accédez aux sites Web importants (par exemple Paypal) directement à partir des favoris, sinon vérifiez attentivement son nom de domaine, c'est une bonne idée de vérifier la popularité d'un site Web avec la barre d'outils Alexa pour vous assurer qu'il ne s'agit pas d'un site de phishing avant de saisir votre mot de passe.
19. Protégez votre ordinateur avec un pare-feu et un logiciel antivirus, bloquez toutes les connexions entrantes et toutes les connexions sortantes inutiles avec le pare-feu. Téléchargez des logiciels à partir de sites réputés uniquement et vérifiez la somme de contrôle MD5 / SHA1 / SHA256 ou la signature GPG du package d'installation dans la mesure du possible.
20. Maintenez les systèmes d'exploitation (par exemple Windows 7, Windows 10, Mac OS X, iOS, Linux) et les navigateurs Web (par exemple FireFox, Chrome, IE, Microsoft Edge) de vos appareils (par exemple PC Windows, PC Mac, iPhone, iPad, tablette Android) à jour en installant la dernière mise à jour de sécurité.
21. S'il y a des fichiers importants sur votre ordinateur et que d'autres personnes peuvent y accéder, vérifiez s'il y a des enregistreurs de frappe matériels (par exemple, un renifleur de clavier sans fil), des enregistreurs de frappe logiciels et des caméras cachées lorsque vous le jugez nécessaire.
22. S'il y a des routeurs WIFI dans votre maison, alors il est possible de connaître les mots de passe que vous avez tapés (dans la maison de votre voisin) en détectant les gestes de vos doigts et de vos mains, puisque le signal WIFI qu'ils ont reçu changera lorsque vous bougez vos doigts et mains. Vous pouvez utiliser un clavier à l'écran pour saisir vos mots de passe dans de tels cas. Il serait plus sûr que ce clavier virtuel (ou clavier logiciel) change de disposition à chaque fois.
23. Verrouillez votre ordinateur et votre téléphone portable lorsque vous les quittez.
24. Cryptez l'intégralité du disque dur avec VeraCrypt, FileVault, LUKS ou des outils similaires avant d'y placer des fichiers importants, et détruisez physiquement le disque dur de vos anciens appareils si cela est nécessaire.
25. Accédez à des sites Web importants en mode privé ou incognito, ou utilisez un navigateur Web pour accéder à des sites Web importants, utilisez un autre navigateur pour accéder à d'autres sites. Ou accédez à des sites Web sans importance et installez un nouveau logiciel dans une machine virtuelle créée avec VMware, VirtualBox ou Parallels.
26. Utilisez au moins 3 adresses e-mail différentes, utilisez la première pour recevoir des e-mails de sites et d'applications importants, tels que Paypal et Amazon, utilisez la seconde pour recevoir des e-mails de sites et d'applications sans importance, utilisez la troisième (d'un autre fournisseur de messagerie, tel qu'Outlook et GMail) pour recevoir votre e-mail de réinitialisation de mot de passe lorsque le premier (par exemple Yahoo Mail) est piraté.
27. Utilisez au moins 2 numéros de téléphone différents, ne dites PAS aux autres le numéro de téléphone que vous utilisez pour recevoir des messages texte contenant les codes de vérification.
28. Ne cliquez pas sur le lien dans un e-mail ou un SMS, ne réinitialisez pas vos mots de passe en cliquant dessus, sauf si vous savez que ces messages ne sont pas faux.
29. Ne communiquez vos mots de passe à personne dans l'e-mail.
30. Il est possible que l'un des logiciels ou applications que vous avez téléchargés ou mis à jour ait été modifié par des pirates informatiques. Vous pouvez éviter ce problème en n'installant pas ce logiciel ou cette application la première fois, sauf s'il est publié pour corriger des failles de sécurité. Vous pouvez utiliser des applications Web à la place, qui sont plus sûres et portables.
31. Soyez prudent lorsque vous utilisez des outils de collage en ligne et des outils de capture d'écran, ne les laissez pas télécharger vos mots de passe sur le cloud.
32. Si vous êtes un webmaster, ne stockez pas les mots de passe des utilisateurs, les questions de sécurité et les réponses sous forme de texte brut dans la base de données, vous devez plutôt stocker les valeurs de hachage salées (SHA1, SHA256 ou SHA512) de ces chaînes. Il est recommandé de générer une chaîne de sel aléatoire unique pour chaque utilisateur. De plus, c'est une bonne idée d'enregistrer les informations sur l'appareil de l'utilisateur (par exemple, la version du système d'exploitation, la résolution de l'écran, etc.) et d'en enregistrer les valeurs de hachage salées, puis lorsqu'il essaie de se connecter avec le mot de passe correct mais son appareil les informations ne correspondent PAS à celles enregistrées précédemment, laissez cet utilisateur vérifier son identité en saisissant un autre code de vérification envoyé par SMS ou par e-mail.
33. Si vous êtes un développeur de logiciels, vous devez publier le package de mise à jour signé avec une clé privée à l'aide de GnuPG et vérifier sa signature avec la clé publique publiée précédemment.
34. Pour assurer la sécurité de votre activité en ligne, vous devez enregistrer votre propre nom de domaine et créer un compte de messagerie avec ce nom de domaine. Vous ne perdrez alors pas votre compte de messagerie et tous vos contacts, puisque vous pouvez héberger votre courrier. serveur n'importe où, votre compte de messagerie ne peut pas être désactivé par le fournisseur de messagerie.
35. Si un site d'achat en ligne permet uniquement d'effectuer des paiements par carte de crédit, vous devriez plutôt utiliser une carte de crédit virtuelle.
36. Fermez votre navigateur Web lorsque vous quittez votre ordinateur, sinon les cookies peuvent être interceptés facilement avec un petit périphérique USB, ce qui permet de contourner la vérification en deux étapes et de vous connecter à votre compte avec des cookies volés sur d'autres ordinateurs.
37. Méfiez-vous et supprimez les mauvais certificats SSL de votre navigateur Web, sinon vous ne pourrez PAS garantir la confidentialité et l'intégrité des connexions HTTPS qui utilisent ces certificats.
38. Chiffrez toute la partition système, sinon veuillez désactiver les fonctions pagefile et hibernation, car il est possible de trouver vos documents importants dans les fichiers pagefile.sys et hiberfil.sys.
39. Pour éviter les attaques de connexion par force brute sur vos serveurs dédiés, serveurs VPS ou serveurs cloud, vous pouvez installer un logiciel de détection et de prévention des intrusions tel que LFD (Login Failure Daemon) ou Fail2Ban.
40. Si c'est possible, utilisez un logiciel basé sur le cloud au lieu d'installer le logiciel sur votre appareil local, car il existe de plus en plus d'attaques de la chaîne d'approvisionnement qui installeront des applications malveillantes ou des mises à jour sur votre appareil pour voler vos mots de passe et accéder à des informations top secrètes. données.
41. C'est une bonne idée de générer les sommes de contrôle MD5 ou SHA1 de tous les fichiers de votre ordinateur (avec un logiciel comme MD5Summer) et d'enregistrer le résultat, puis de vérifier l'intégrité de vos fichiers (et de trouver les fichiers troyens ou les programmes avec porte dérobée injectée) tous les jours en comparant leurs sommes de contrôle avec le résultat enregistré précédemment.
42. Chaque grande entreprise devrait mettre en œuvre et appliquer un système de détection d’intrusion basé sur l’intelligence artificielle (y compris des outils de détection d’anomalies de comportement du réseau).
43. Autorisez uniquement les adresses IP figurant sur la liste blanche à se connecter ou à se connecter aux serveurs et ordinateurs importants.
Perso je rajoute un autre conseil, créer un mail qui ne contient pas vos noms et prénom, et éviter les adresses mail connus du type hotmail, gmail, yahoo etc...
Bonjour,
Petit retour concernant le piratage de mon compte.
J'ai subi une souscription à Netflix et Ciné+ par piratage. Après avoir reçu les mails de modification de mon abonnement par Canal+, j'ai immédiatement changé mon mot de passe puis annulé ces abonnements. J'ai ensuite contacté canal+ comme préconisé par JM0805 ("Contactez rapidement le service client via ce numéro non surtaxé : 09 70 82 08 15 ou en vous faisant rappeler via Espace Client/Contacts"). Mon interlocuteur a géré la situation en 5 minutes en me confirmant que mon compte serait "remis à zéro" et que je ne serais pas prélever des abonnements abusifs.
Comme préconisé par JM0805, agir vite et contacter canal+ et tout se règle rapidement !
Bonjour JM0805,
Oui je l'ai fait immédiatement. Cependant, j'ai déjà eu des prélèvements correspondant à des options souscrites par le pirate.
J'espère pouvoir contacter le service clients aujourd'hui.
Cordialement
Bonjour zewolk et LAURENT,
Avez vous suivi les conseils que je donne dans ma réponse du 22 juin en dessous des vôtres ?
Idem pour moi
Piratage du compte cet après midi également ! que faire ? J ai annulé une option il y a un mois à peine et rebelote ce 24 juin ! ras le bol ! que fait canal ? J' espère également ne pas être débité de cette option d' abonnement dont je n' ai pas profité !
Bonjour Abonne-804111AB,
Si le "piratage" a modifié votre offre, commencez par modifier au moins votre mot de passe en en prenant robuste, au moins 14 caractères mêlant des minuscules, des majuscules; des chiffres et caractères spéciaux.
https://www.francenum.gouv.fr/magazine-du-numerique/combi...
Contactez rapidement le service client via ce numéro non surtaxé : 09 70 82 08 15 ou en vous faisant rappeler via Espace Client/Contacts
Ensuite si le contact ne donne rien passez a la première étape de la Réclamation
Apres pour mieux sécuriser votre compte voir ces sujets :
https://assistance.canalplus.com/questions/2468341-compte-canal-pirate-faire
https://assistance.canalplus.com/questions/3366108-connexion-abusive-exterieure-compte
Bonjour,
Je viens de me faire pirater mon compte canal. Que dois je faire ?
Cordialement,
Frank.
Ce n'est pas votre faute.
Sauf erreur** de ma part, il n'y a que les habitués du forum qui ont connaissance de cette sécurisation.
** info en dehors du forum que j'ai raté.
Claude.
J'ignorais l'existence de cette option de sécurisation. Désormais, c'est en place..., mais un peu tard
Bonjour chimelnav.
Vous aviez activé la sécurisation de vos achats VOD selon cette FAQ ?.
https://assistance.canalplus.com/questions/3334063-code-achat-canal-vod
Claude.
Bonjour ! La mésaventure vient de m'arriver avec la réception d'un mail pour l'achat d'un VOD qui me sera facturé 14,99€. Je viens de changer mon mdp mais bon.. Rendez vous téléphonique demain matin suite au dépôt d'une réclamation.. Je vois donc avec cette mésaventure que la double identification n'est pas en place chez Canal et au vu du nombre de plaintes d'abonnés, çà démontre un peu la légèreté de la maison Canal à ce stade
Bonjour Arnaud.
Je reprends votre question :
"Je ne comprends comment cela est encore possible"
Une des réponses possible (05 juin 2024) :
https://www.01net.com/actualites/361-millions-comptes-pir...
Depuis plusieurs mois, le piratage des bases de données n'a plus de limite d'où la montée en puissance progressive de la double authentification (gaz, assurance etc.) ainsi qu'au niveau des banques (recommandée puis obligatoire DSP2).
Claude.
Bonjour,
Piratage de compte exactement comme le votre cet après-midi.
J'ai pu revenir en arrière après changement de mot de passe mais Canal veut me prélever 15 euros sur le mois de juin.
Je ne comprends comment cela est encore possible
Cordialement
J'ai juste rebondi à ta réponse, sinon concernant la proposition d'ouvrir un sujet qui disparaitra dans la journée et que tout le monde oublie le lendemain et comme je pense connaitre la réponse de Canal "c'est en cours, on a pas oublié etc." c'est inutile.
De tout façon, j'avais prévu de ne plus participer à ce forum (aucune recherche des abonnés même la plus simple, aucun suivi sur la résolution d'un sujet posté etc.) de plus 95 % des sujets concernent le service clients donc l'équipe canal de ce forum.
Maintenant si grosse magouille ou arnaque, juste un petit coup d'œil.
Claude.
Bonjour,
Merci 109060, comme je viens de fêter le 08/05 mon "débarquement" dans la vie, et un peu las de me battre contre "des moulins à vent" je te propose de prendre le relais donc d'ouvrir ton sujet sur ce thème, ou bien entendu je participerais.
Je fermerais le mien ensuite.
Bonjour JM0805.
Le titre proposé "Piratage de nos identifiants pourquoi Canal ne veut rien faire ?" indique un choix délibéré du groupe Canal + (pour s'en mettre plein les poches ?).
"Piratage de nos identifiants pourquoi cette difficulté de mettre en place la double authentification" me semble plus approprié.
Et en préambule le message de Remy sur les travaux en cours et bien avancé de 2019 et l'actualisation d'Olivier de février 2024.
A mon avis.
Claude.
Bonjour vivelevin,
...Il vous faut quoi chez Canal pour que ça bouge?
Comme vous le dites ce n'est pas force de l'avoir réclamé sur de multiples sujets que j'ai par exemple relayé par ce sujet d'octobre 2020 :
https://assistance.canalplus.com/questions/2474287-piratage-identifiants-canal-devrait-bouger
Et celui-ci de janvier 2024 :
https://assistance.canalplus.com/questions/3290198-piratage-identifiants-canal-enfin-bouge
Va t'il va falloir que je ferme aussi ce sujet ou j'étais trop optimiste pour en ouvrir un avec ce titre : "Piratage de nos identifiants pourquoi Canal ne veut rien faire ?"
exactement la même situation
Bonjour.
Vérifiez auprès du service réclamation de l'impact du piratage de compte via le numéro non surtaxé : 09.70.82.08.15
Concernant la double authentification, elle n'est pas obligatoire sauf au niveau des banques.
Pour l'instant au niveau de Canal, c'est compliqué, les travaux ont commencé et bien avancé en décembre 2019 et confirmé en février 2024 par l'équipe Canal.
chi va piano va sano
Il y a déjà eu la mise en place des mails d'alerte.
En lien la situation actuelle au niveaux des réseaux sociaux.
https://www.info.gouv.fr/marque-de-letat/securite-des-com...
Claude.