Souhaitez-vous participer à la création d'un jeu vidéo inspiré de Stardew Valley, ou le tester lorsque la version bêta sera disponible ? Remplissez notre sondage ou inscrivez-vous à notre lettre d'information (en bas de page)
1

Comment éviter de se faire voler son mot de passe ?

Il me semble intéressant de faire le point sur l’utilisation des mots de passe. Avoir un mot de passe trop trivial est l’équivalent de ne pas en avoir du tout, et cela peut entrainer des conséquences très fâcheuses.



Le vol de mot de passe



Vous ne pouvez pas faire grand chose contre les failles de votre système d'exploitation ou le piratage de la base de donnée qui contient vos identifiants. Par contre il y a quatre méthodes classiques pour voler un mot de passe sur lesquelles vous avez un pouvoir : la force brute, les keyloggers, le sniffing, et le social engineering.

La force brute



La force brute consiste simplement à tester toutes les possibilités une par une, éventuellement en utilisant un dictionnaire de mots pour limiter les tentatives nécessaires. Pour un mot de passe suffisamment long et complexe, cette méthode devient rapidement inexploitable.

Les keyloggers



Les keyloggers sont des chevaux de Troie qui « écoutent » tout ce que vous tapez au clavier, y compris vos identifiants et mots de passe donc, et les envoient généralement sur un canal IRC où ils pourront être récupérés anonymement.

Il existe des claviers encryptés qui protègent théoriquement de telles attaques. Le clavier envoie alors un code incompréhensible qui sera décrypté par le pilote. Le problème c'est que les keyloggers modernes peuvent infecter le navigateur, s'établir en tant que proxy ou lire le contenu des fenêtres, auquel cas cela ne sert plus à rien.

La meilleure protection contre les keyloggers est un antivirus récent, et régulièrement mis à jour, ainsi qu'une grande prudence (ne pas exécuter un programme de source douteuse (p2p), transmis par email, logiciel de tchat ou réseau social)

Le sniffing



Les protocoles de l'internet sont souvent très anciens et ils n'étaient pas prévus pour être sécurisés. Ainsi, les mots de passe des emails ou des sites web sont la plupart du temps envoyés en clair sur le réseau. Si votre réseau est compromis, par exemple en cas de connexion sur un point d'accès WiFi public, un utilisateur malveillant pourrait le sniffer, c'est-à-dire le capturer lorsqu'il passe sur le réseau.

Il est donc important de vous assurer que vos connexions sur les sites d'e-commerce se font toujours en HTTPS, et que votre logiciel de courrier électronique est configuré pour se connecter de manière sécurisée (p.ex SSL/TLS), tout comme vos connexions FTP.

Le social engineering



Le social engineering est plus vicieux, puisqu’il s’agit d’obtenir accès à votre compte en abusant de votre confiance. Cela va de la demande directe (peux-tu me prêter ton compte?) à la découverte d’informations personnelles permettant de trouver votre mot de passe ou de se faire passer pour vous.

C’est d’autant plus dangereux que ça semble généralement anodin. Par exemple, si votre question secrète de MSN, choisie il y a quelques années lors de la création du compte, est « Quel est mon animal favori? » et que quelqu’un vous contacte et vous amène au fil de la discussion à parler de votre chat, vous ne ferez probablement pas le rapprochement. Il est donc important de ne pas utiliser de réponse simple à ce genre de question secrète.

Un mot de passe volé, 10 de trouvés



Une fois qu’un de vos comptes est volé, d’autres peuvent l’être en cascade (même mot de passe, ou envoi du mot de passe vers l’adresse email volée, etc.), sans compter la possibilité d’abuser de la confiance de vos contacts en se faisant passer pour vous. C'est pourquoi il est important d'utiliser des mots de passe différents. Au minimum il faudrait en avoir un pour les choses peu importantes, et un autre pour la banque et les boutiques.

Choisir un bon mot de passe



Les mots de passe courts



Pour résister aux attaques par force brute, le mot de passe doit être long (3 caractères alphabétiques : 17.000 possibilités à tester, 6 caractères : 300 millions de possibilités à tester!). On recommande donc généralement 8 caractères, voir plus. Le web étant plus lent que la plupart des systèmes, cela vous assure qu’une attaque par force brute prenne quelques centaines d’années!

Pour résister aux attaques par dictionnaire, le mot de passe ne doit pas contenir de mot (peu importe la langue), de prénom, etc. Surtout pas de date de naissance (très facile à obtenir en discutant avec vous!) ou de numéro de téléphone, etc.

Les mots de passe générés automatiquement par les sites sont normalement suffisants. L’idéal est une combinaison de chiffres, lettres et caractères alphanumériques (#@&()_-+=*/...) n’ayant aucune signification.

Évidemment, il vaut mieux être capable de retenir le mot de passe sans avoir à le noter. Si cela vous pose problème, utilisez une méthode mnémotechnique. Par exemple imaginer une phrase facile à retenir p.ex : « Maitre corbeau, sur son arbre perché, tenait en son bec un fromage » et utilisez une règle pour en extraire les lettres de votre mot de passe : p.ex avant dernier caractère de chaque mot : rauorhieoeug

Les mots de passe longs



Certains logiciels ou sites permettent d'utiliser des mots de passe plus longs, par exemple jusqu'à 32 caractères. Il devient alors possible d'obtenir un mot de passe très fort rien qu'en utilisant des mots. Si vous prenez 4 mots aléatoires dans un dictionnaire, vous obtenez un mot de passe qui peut se révéler plus fort qu'une suite de 10 chiffres, lettres et caractères spéciaux, mais bien plus simple à mémoriser, comme le résume fort bien xkcd :



Se protéger des sites peu sécuritaires



Vos mots de passe ne sont pas stockés dans la plupart des bases de données. Seule une version encryptée par une fonction à sens unique est conservée, afin justement qu'il soit impossible de les voler. Aux débuts du web, c'était suffisant pour dissuader les hackers. Malheureusement certains sites utilisent des fonctions trop simples, comme le MD5 ; or il existe à présent des dictionnaires de MD5 qui permettent de retrouver les mots et mots de passe courants à partir de la version encryptée. Si votre mot de passe est complexe, ça reste peu probable, mais c'est un risque.

Une raison supplémentaire pour utiliser des mots de passe différents à chaque fois, ou de garder le mot de passe par défaut s'il est généré aléatoirement. Mais surtout, ne jamais utiliser votre mot de passe de compte email pour un autre service. Si ce service était compromis, votre compte email le serait aussi, et par conséquent tous les services qui permettent de recevoir un nouveau mot de passe par email!

Que faire si un site a été piraté ?



Même si c'est rare, il arrive de temps à autre que la base de données d'un site se fasse pirater (comme celle de Steam, en 2011). Le site fait en général un mea culpa, et rappelle les recommandations d'usage. Il est important dans ce cas de changer son mot de passe, mais aussi de s'assurer qu'on ne l'a pas utilisé ailleurs, en particulier dans les sites pour lesquels on s'identifie avec la même adresse électronique (Facebook, Twitter, World of Warcraft, ...) Si c'est le cas, il faut les changer également, aussi rapidement que possible.

Pour les mêmes raisons, il est important de rester à l'écoute afin d'être informé lorsque cela arrive. Vous pouvez également de vous même modifier vos mots de passe sur une base régulière.

Prudence avec les logiciels



Inutile de dire que vous ne devriez jamais soumettre votre mot de passe dans un logiciel douteux. Mais c'est également le cas avec certains logiciels sérieux. Filezilla est un exemple classique. Ce logiciel de transfert FTP très commun sauvegarde les informations en clair, certains malwares en profitent donc pour voler les mots de passe et se propager automatiquement sur tous les sites web auxquels cela donne accès, ce qui peut rapidement virer au cauchemar.

On pourrait se demander pourquoi Filezilla n'encrypte pas les données. En réalité c'est tout simple, étant Open Source, les développeurs de malware n'auraient qu'à lire le code pour savoir comment décrypter le mot de passe. Donc à moins d'être sur un intranet (et même là ...) vous ne devriez pas sauvegarder vos mots de passe dans ce type de logiciel.

La nécessité d'un antivirus



C'est une évidence, mais c'est toujours bon de le répéter: il faut absolument avoir un antivirus récent et mis à jour quand vous surfez sur le Net. Même si vous êtes prudent, vous pouvez toujours être victime d'une faille dans un logiciel ou plug-in. D'autant qu'il en existe des gratuits, comme Avast ou Avira, qui font très bien l'affaire.

Réutiliser cette fiche

Sur SLT vous pouvez insérer cette fiche dans un message en y collant le BBCode [fiche]53[/fiche]

Pour les autres sites:

HTML:
BBCode:
Wiki:
URL:




le 12-12-2012 à 20:22 #
Il faut absolument que les webmasters comprennent que maintenant, stocker un md5 en base de donnée n'est pas du tout plus sécurisé que de stocker le mot de passe en clair
Re: Comment éviter de se faire voler son mot de passe ?
le 12-12-2012 à 20:47 #
tout dépend comment il est salé

Ben tu peux rajouter le piratage de base de données

(Modifié par tigzy le 12-12-2012 à 20:48)
Re: Comment éviter de se faire voler son mot de passe ?
le 12-12-2012 à 20:52 #

Le 12-12-2012 à 20:22, @Drakke :
Il faut absolument que les webmasters comprennent que maintenant, stocker un md5 en base de donnée n'est pas du tout plus sécurisé que de stocker le mot de passe en clair

Dans ce contexte ça l'est, même avec les rainbow tables ça le reste si le mot de passe est fort. Mais comme on ne peut pas compter là dessus, on y ajoute un grain de sel aléatoire différent pour chaque utilisateur, ce qui empêche de précalculer les md5. Une méthode qui est encore utilisée par certaines saveurs de Linux.

Ajout du 12-12-2012 à 21:05:


Le 12-12-2012 à 20:47, @tigzy :
Ben tu peux rajouter le piratage de base de données


J'ai ajouté « Que faire si un site a été piraté ? »

Tu vois autre chose ?
Re: Comment éviter de se faire voler son mot de passe ?
le 12-12-2012 à 21:32 #
Si il est ne serait-ce que salé, c'est amplement suffisant. Mais je croise trop souvent des md5($password);

Et entre les serveurs qui tournent en permanence pour calculer les md5 de dictionnaires, de bruteforce, et les internautes qui donnent eux même les md5 de leurs mots de passe en voulant savoir "à quoi ça correspond", ce genre de service montre bien la vulnérabilité de cette méthode de chiffrement encore trop utilisée.

Sur un site que j'ai eu l'occasion d'administrer il y a peu (200 000 membres, authsecu.com m'a donné en clair les mots de passe de plus de 90% des utilisateurs, depuis le md5 de leur mot de passe. Ça fait peur.
Re: Comment éviter de se faire voler son mot de passe ?
le 12-03-2013 à 15:03 #
1. Bonjour,
Journaliste pour l’émission « 100% Mag » diffusée sur M6, je prépare actuellement un reportage sur les mots de passe, et plus particulièrement sur comment mieux les protéger.
Dans le cadre de ce sujet, je recherche deux profils :
- une personne qui vient de se faire pirater son compte Facebook, Twitter, Paypal ou boite mail, qui accepterait de témoigner et dé bénéficier de conseils de sécurité
- une personne capable de nous expliquer comment font les hackers pour pirater les mots de passe et qui accepterait de nous faire une démo sur une adresse mail ou compte Facebook créé(e) pour l’occasion.
Si vous vous reconnaissez dans l’un ou l’autre de ces profils, n’hésitez pas à me contacter :
********************* par MP
Merci par avance.

Modé: suppression adresse mail pour éviter le SPAM



(Modifié par tigzy le 12-03-2013 à 17:02)
Re: Comment éviter de se faire voler son mot de passe ?
le 12-03-2013 à 17:01 #
- une personne capable de nous expliquer comment font les hackers pour pirater les mots de passe et qui accepterait de nous faire une démo sur une adresse mail ou compte Facebook créé(e) pour l’occasion.


Les hackers utilisent 99% du temps le Social engineering pour avoir le MDP de leur victime. les 1% restant ce sont des failles monstrueuses laissées par les développeurs sur les sites, et permettant d'accéder à la base de donnée. En bruteforcant une méthode d'encryption faible, on peut les retrouver. Mais ces personnes n'ont que faire des MDP, c'est juste pour la gloire de casser une protection.
On peut donc considérer que c'est uniquement de la faute de la personne si elle s'est fait avoir.
Bon pas tout à fait, il y a également les hackers chinois qui utilisent des botnets pour bruteforcer les comptes mail ayant un mot de passe pas trop dur.
Re: Comment éviter de se faire voler son mot de passe ?
le 12-03-2013 à 17:48 #
Salut,

Il y a tellement de technique pour récupéré les mots de passes et autres, qu'on a largement le choix.

Le seul problème, c'est de savoir comment on c'est fait infectée, sachant que les hackeurs ne montre aucun signe de leur présence sur votre PC ( Sauf débutant en la matière ).

C'est tellement facile que sa fait même peur pour l'avenir.
Je déconseille a quiconque de faire une démonstration a une personne qui ùet un message se fessant passer pour un journaliste, si c'était vraiment le cas, ils auraient envoyé un MP ou téléphoné à administrateur.

++
Re: Comment éviter de se faire voler son mot de passe ?
le 12-03-2013 à 17:55 #
Je comprends votre remarque mais je suis vraiment journaliste et si vous souhaitez le vérifier vous pouvez taper mon nom sur Internet. Cela prendra 2 minutes et vous verrez qu'il ne s'agit pas là d'une arnaque. Quant au fait d'envoyer des MP, je suis désolée mais faute de temps, je préfère m'adresser au plus grand nombre.


Je recherche simplement une personne qui pourrait nous montrer à quel point il ets facile d'être piraté car nos most de passe sont trop simples à déchiffrer. Possibilité de garantir l'anonymat.


Merci par avance.

Re: Comment éviter de se faire voler son mot de passe ?
le 12-03-2013 à 18:00 #
J'avais fait une petite application pour mon chef de service.
Il n'a jamais réussi à y entrer car il fallait saisir un mot de passe ... et de mot de passe il n'y en avait pas .
Bon, ce n'est tout de même pas recommandé .


Re: Comment éviter de se faire voler son mot de passe ?
le 12-03-2013 à 18:05 #

Le 12-03-2013 à 18:00, @Ali_Gator :
J'avais fait une petite application pour mon chef de service.
Il n'a jamais réussi à y entrer car il fallait saisir un mot de passe ... et de mot de passe il n'y en avait pas .
Bon, ce n'est tout de même pas recommandé .


Mais t'es un génie !

Mais comment on ferait alors pour accéder à son compte, et même ne pas mettre de mot de passe ?
Re: Comment éviter de se faire voler son mot de passe ?
le 12-03-2013 à 18:09 #
Ca je ne peux pas le dire.
Lorsque tu réalises un logiciel en tant que salarié d'une société ton travail est la propriété de la société .





Re: Comment éviter de se faire voler son mot de passe ?
le 12-03-2013 à 18:10 #
Méchante société !

Ajout du 12-03-2013 à 18:11:

Mais c'est ton travail, donc c'est toi qui décide quoi en faire, ça serait plus juste. Ou alors tu leur demande (beaucoup ) d'argent en échange.
Re: Comment éviter de se faire voler son mot de passe ?
le 12-03-2013 à 18:40 #
@cynthermosa

Me contacter par MP je répondrais à tes questions.




Ces discussions pourraient vous intéresser également:


mot de passe voler
je me suis fais voler mon mots de passe!
comment faire passé des fichiers d'un disque dur sur in autre notre disque
Comment eviter le formatage
Comment éviter les messages d'alerte