[Administration] un moyen d'identification lors de tentative d'auto-suppression

+2
MlleAlys
IvyDTyler
6 participants

Voir le sujet précédent Voir le sujet suivant Aller en bas


Êtes-vous pour ou contre ?
Pour
[Administration] un moyen d'identification lors de tentative d'auto-suppression Poll_left36%[Administration] un moyen d'identification lors de tentative d'auto-suppression Poll_right
 36% [ 5 ]
Contre
[Administration] un moyen d'identification lors de tentative d'auto-suppression Poll_left64%[Administration] un moyen d'identification lors de tentative d'auto-suppression Poll_right
 64% [ 9 ]
Total des votes : 14
 
Sondage clos

[Administration] un moyen d'identification lors de tentative d'auto-suppression Empty [Administration] un moyen d'identification lors de tentative d'auto-suppression

Message par IvyDTyler Mer 15 Mar - 13:47

Bien le bonjour !

Je viens vous parler aujourd'hui de sécurité sur nos forums, lors de tentatives d'auto-suppression de comptes. Aujourd'hui, une personne a essayé d'auto-supprimer un compte du staff modérateur (compte PNJ appartenant au forum rpg et non personnel) et nous pensons par logique (puisqu'il faut le mdp) qu'il s'agit d'un ancien membre du staff. Sauf que la personne ne devait pas s'attendre à ce que les mails aient été changés entre temps donc c'est moi qui ait reçu ce mail.

Dans le mail, il n'y avait aucune information contrairement à d'autres sites comme par exemple facebook, pour tenter d'identifier la personne ayant essayé de supprimer notre compte. D'un point de vue sécurité, je vous avouerai trouver étrange que seul un mot de passe soit possible pour supprimer un compte tout entier, sachant qu'en plus ces comptes ne peuvent pas être réactivés derrière. Si quelqu'un se fait supprimer son compte par un tiers et perd ainsi tout cela peut être dangereux sans savoir d'où ça vient, d'autant plus lorsqu'on parle de compte administrateur ou modérateur ayant une incidence sur notre forum ou/et sur nos membres.

Sur facebook lorsque cela arrive nous recevons un mail mais avec une adresse ip, un moyen de savoir si nous avons ou non été piratés, ici nous recevons juste un mail pour cliquer et voir si on peut supprimer le compte. Si je conçois que ça peut être avantageux pour beaucoup d'avoir juste cette démarche... dans d'autres cas je trouve ça bien léger.

Je mentionne voir l'ip mais cela peut être un autre moyen d'identifier une personne, aussi pour lorsque nous souhaitons poser une plainte ou main courante à l'égard de quelqu'un pour harcèlement ou pour préjudice et pouvoir prouver ce qu'il se passe, autant que pour comprendre ce qu'il se passe directement. Dans le cas où nous avons tout du moins chance de voir que quelqu'un essaie de supprimer un de nos compte via le mail et s'il ne serait pas tant de remodifier tous nos mails et mots de passe pour éviter le piratage ou suppression pour de bon.

Merci.
IvyDTyler

IvyDTyler
***

Autre / Ne pas divulguer
Messages : 109
Inscrit(e) le : 07/09/2014

https://sandcastle.forumactif.com/
IvyDTyler a été remercié(e) par l'auteur de ce sujet.

[Administration] un moyen d'identification lors de tentative d'auto-suppression Empty Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression

Message par MlleAlys Mer 15 Mar - 19:56

Bonjour,
Je n'en comprends pas exactement l'intérêt :
A partir du moment où on reçoit un mail qui demande de valider la suppression du compte, alors qu'on en a aucunement fait la démarche, c'est qu'il y a eu "piratage" non ?

Pour supprimer un compte, la personne doit avoir accès au compte en question (pseudo + mdp) et également à la boîte mail (adresse mail + mdp (voire plus si le service propose une sécurité supplémentaire du genre code sur le téléphone dès que la connexion parait inhabituelle))...
Alors dans le cas d'un compte partagé, j'imagine que c'est un risque puisque les 3 premières infos sont déjà connues (il ne reste plus que la boite mail à "pirater"), mais dans le cas d'un compte "normal", ça ne me parait pas si évident que ça ?
MlleAlys

MlleAlys
Membre actif

Messages : 5953
Inscrit(e) le : 12/09/2012

MlleAlys a été remercié(e) par l'auteur de ce sujet.

[Administration] un moyen d'identification lors de tentative d'auto-suppression Empty Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression

Message par IvyDTyler Mer 15 Mar - 19:57

Bonsoir Smile

J’ai contacté les seules personnes ayant eu accès à ce mot de passe et aucune n’a essayé de supprimer ledit compte, donc nous ignorons d’où cela vient, une preuve avec l’ip pour confirmer qui a fait la démarche aiderait donc à confirmer. Et donc comment réagir derrière plutôt que faire face à .. rien justement haha.

Si c’est vous qui faites la démarche alors aucun problème, dans le cas présent où nous recevons un mail que quelqu’un essaie de nous "pirater" il serait bon de savoir d’où ça vient. Surtout que supprimer un compte est très facile, le réactiver impossible (en soit tant mieux pour les personnes qui veulent supprimer leur compte volontairement, dans notre cas où on veut nous supprimer des comptes staff... ça paraît limite trop simple).

Je pense l'avoir hélas mal exprimé mais ma demande était simplement de, à l'instar de facebook ou gmail (pour des exemples populaires / facilement accessible) que l'on puisse avoir une trace dans ces moments de ce qu'il se passe, comme dis, si vous faites la démarche par vous-même cette information ne vous sera pas utile, pour nous qui risquons de perdre d'autres comptes (surtout dans ce cas où visiblement aucune des deux autres personnes n'est à l'origine de la suppression (ou si une l'est, avoir la confirmation directe)) savoir comment réagir directement. S'il faut donc retirer quelqu'un du staff qui essaie de saboter ou si ce n'est pas quelqu'un d'autre encore, etc. Mais sinon oui vu ce qui est demandé, impossible que ce soit une erreur en tout cas.

J'ai été très surprise quand j'ai reçu ce mail cet après-midi, nous nous sommes demandés si la personne n'espérait pas supprimer le compte si facilement ou si un autre mail lié au compte n'était pas espéré (puisque nous avons changés les adresses mails). Mais si la personne a justement le mot de passe pour l'auto suppression, il l'aurait également pour se connecter au forum et modifier / supprimer des choses mais ça c'est, j'imagine, un autre sujet (qui avait déjà été relevé il me semble ? avec une suggestion d'authentification à multiples facteurs ?). On a eu "la chance" qu'il n'ait pas essayé de se connecter mais du coup, on fait juste face au vide.
IvyDTyler

IvyDTyler
***

Autre / Ne pas divulguer
Messages : 109
Inscrit(e) le : 07/09/2014

https://sandcastle.forumactif.com/
IvyDTyler a été remercié(e) par l'auteur de ce sujet.
  • 0

[Administration] un moyen d'identification lors de tentative d'auto-suppression Empty Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression

Message par Bad_girls Mer 15 Mar - 21:01

POUR
Bad_girls

Bad_girls
*****

Féminin
Messages : 890
Inscrit(e) le : 21/09/2010

http://creations-offertes.1fr1.net/
Bad_girls a été remercié(e) par l'auteur de ce sujet.
  • 0

[Administration] un moyen d'identification lors de tentative d'auto-suppression Empty Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression

Message par chattigre Mer 15 Mar - 21:23

Bonjour,

Citation :
Panneau d'administration  Général  Forum - Sécurité
Actions d'administration.

Toute suppression de compte, même normalement par l'utilisateur lui-même, est loguée accompagnée de l'IP associée à la suppression effective. Les demandes de suppressions, en revanche, ne le sont effectivement pas tant que le compte est encore présent.

Par ailleurs, je ne comprends pas... la personne avait le mot de passe du compte ? Il parait évident dans ce cas qu'il s'agit de la personne qui a la main sur le compte, non ? Lors de départs staff litigieux ou potentiellement problématiques, une mise à jour des mots de passe de tous les comptes partagés, en particulier ayant des accès spécifiques, me semble logique et indispensable. Je ne dis pas ça pour votre cas personnel spécifiquement, mais je ne pense pas non plus que ce soit de la faute des procédures de Forumactif dans un tel cas.

Cordialement
chattigre

chattigre
Aidactif
Aidactif

Masculin
Messages : 3682
Inscrit(e) le : 17/04/2019

https://test1-chattigre.forumactif.fr
chattigre a été remercié(e) par l'auteur de ce sujet.

[Administration] un moyen d'identification lors de tentative d'auto-suppression Empty Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression

Message par IvyDTyler Mer 15 Mar - 21:49

Bonjour chattigre,

Nous étions trois, puis deux, une personne est partie mais m'assure ne rien avoir touché (cela va faire un an bientôt qu'elle est partie et n'a pas de raison particulière de vouloir supprimer un compte modérateur sur trois), avoir un moyen d'identification permettrait d'affirmer si c'est bien cela ou si c'est l'autre personne (mais elle a accès au panneau administrateur donc serait passé directement par le panneau administrateur si tel était le cas et elle n'a aucune raison de le faire). Il nous avait semblé avoir modifié le mot de passe au départ de la troisième personne en plus d'avoir modifié les adresses mails, mais nous avons eu tout de même un doute sur la personne étant partie et si nous n'avions finalement pas modifiés ce mot de passe, quelle explication sinon ? Avoir un moyen d'identification permettrait donc de savoir si le problème vient de cette ancienne membre du staff (partie), la nouvelle et donc comment agir ou s'il s'agit encore de quelqu'un d'autre et donc une autre façon d'agir.

Et bon en soit effectivement c'est du domaine du litige entre nous, l'histoire ne fait qu'illustrer un problème que j'ai pu constater cet après-midi en étant concernée directement par la démarche. J'ai relu les anciennes suggestions et j'ai cru voir que le problème revenait assez souvent sur les auto-suppressions mais personnellement c'est plutôt l'aspect sécurité qui, pour le coup, m'inquiète.
IvyDTyler

IvyDTyler
***

Autre / Ne pas divulguer
Messages : 109
Inscrit(e) le : 07/09/2014

https://sandcastle.forumactif.com/
IvyDTyler a été remercié(e) par l'auteur de ce sujet.

[Administration] un moyen d'identification lors de tentative d'auto-suppression Empty Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression

Message par Ganthille Jeu 16 Mar - 1:13

Je suis entièrement d'accord avec chattigre, la sécurité d'un compte est de l'affaire de ses utilisateurs/propriétaires sur le forum et non de Forumactif. Si vous donnez les informations à quelqu'un, ce n'est pas à Forumactif de couvrir les erreurs dûes à vos choix.

Changez régulièrement les mots de passe des comptes partagés, changez tout lors d'un départ d'un membre de l'administration ayant ces accès. De plus, pourquoi donner tous les accès à un nouveau membre du staff ça me dépasse un peu, à moins que vous ne connaissiez cette personne de longue date.

Personnellement j'ai voté contre. Je préfère que Forumactif se concentre sur des améliorations ayant réellement de la valeur pour les utilisateurs plutôt que pour une fonctionnalité qui ne servira que de manière anecdotique.
Ganthille

Ganthille
*

Messages : 48
Inscrit(e) le : 26/03/2021

https://frost.forumactif.com/
Ganthille a été remercié(e) par l'auteur de ce sujet.

[Administration] un moyen d'identification lors de tentative d'auto-suppression Empty Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression

Message par Bipo Sam 15 Avr - 3:04

[Administration] un moyen d'identification lors de tentative d'auto-suppression DeXXKqFBonjour à toutes et à tous,

Eu égard au règlement des suggestions, nous avons le regret de vous annoncer que cette suggestion est refusée (36% Pour et 64% contre).

Nous remercions IvyDTyler pour cette suggestion.

A très bientôt pour d'autres suggestions.
L'équipe Forumactif.
Bipo

Bipo
Rédactif
Rédactif

Messages : 3900
Inscrit(e) le : 22/09/2010

Bipo a été remercié(e) par l'auteur de ce sujet.

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum