La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: vivien le 19 mai 2020 à 14:04:58
-
« Les réflexes essentiels pour votre sécurité numérique »
(https://lafibre.info/images/doc/logo_cybermalveillance.jpg)
https://www.cybermalveillance.gouv.fr/ lance sa campagne 2020. Destiné à tous les publics et ce, quel que soit leur niveau de connaissance en cybersécurité, le thème général de la campagne porte sur les principaux gestes simples à adopter pour assurer sa sécurité numérique.
La campagne 2018 est également sur le forum => Gérer ses mot de passe (https://lafibre.info/attaques/gerer-ses-mot-de-passe/)
(https://lafibre.info/images/doc/202005_cybermalveillance_mots_de_passe.png)
Pour en savoir plus => Pourquoi et comment bien gérer ses mots de passe ? (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/mots-de-passe)
https://lafibre.info/videos/securite/202005_cybermalveillance_mots_de_passe.webm
(https://lafibre.info/images/doc/202004_cybermalveillance_mots_de_passe.jpg)
-
(https://lafibre.info/images/doc/202005_cybermalveillance_mise_a_jour.png)
Pour en savoir plus => Pourquoi et comment bien gérer ses mises à jour ? (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/mises-a-jour)
https://lafibre.info/videos/securite/202005_cybermalveillance_mise_a_jour.webm
(https://lafibre.info/images/doc/202004_cybermalveillance_mise_a_jour.jpg)
-
(https://lafibre.info/images/doc/202005_cybermalveillance_sauvegarde.png)
Pour en savoir plus => Pourquoi et comment bien gérer ses sauvegardes ? (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/sauvegardes)
https://lafibre.info/videos/securite/202005_cybermalveillance_sauvegarde.webm
(https://lafibre.info/images/doc/202004_cybermalveillance_sauvegarde.jpg)
-
(https://lafibre.info/images/doc/202005_cybermalveillance_hameconnage.png)
Pour en savoir plus => L’hameçonnage (phishing) (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing)
https://lafibre.info/videos/securite/202005_cybermalveillance_hameconnage.webm
(https://lafibre.info/images/doc/202004_cybermalveillance_hameconnage.jpg)
-
Résumé :
1. Les mots de passe : Si votre mot de passe est une passoire, les criminels peuvent passer à travers et voler vos données. Utilisez des mots de passe complexes et différents pour tous vos comptes !
2. Les mises à jour : Les pirates cherchent une faille dans votre sécurité. Pour la corriger, augmentez votre défense, mettez à jour tous vos matériels et tenez les intrus en échec !
3. Les sauvegardes : En cas de panne, de vol ou de piratage de vos équipements, vous serez sûr de retrouver toutes vos données si vous les sauvegardez régulièrement !
4. L’hameçonnage : Vous recevez un message : on vous demande de cliquer sur un lien puis de saisir votre mot de passe ou vos coordonnées bancaires. Attention, c’est très probablement une tentative d’hameçonnage ! Au moindre doute, ne cliquez pas et connectez vous directement sur le site officiel.
(https://lafibre.info/images/doc/202005_cybermalveillance_campagne_2020.png)
-
Franchement c'est pas trop mal par rapport à ce qu'on a l'habitude de voir du gouvernement.
Au moins je ne vois pas de conneries comme « utilisez l'authentification par SMS ».
Ils continuent d'utiliser les mots pour hollywood et les enfants comme « pirates » et « piratage », mais bon.
-
Le temps nécessaire à l'utilisation de l'IA pour déchiffrer votre mot de passe :
(https://lafibre.info/images/ssl/202304_temps_necessaire_a_une_ia_pour_dechiffrer_mot_de_passe.webp)
-
Le temps nécessaire à l'utilisation de l'IA pour déchiffrer votre mot de passe :
J'avoue que je n'ai jamais compris cette affirmation.
Déchiffrer, mais à partir de quoi?
Leon.
-
Ce genre d'article est souvent du FUD pour vendre un truc ou un service...
En général y'a un timeout ou un nombre de tentatives limitées de saisie d'un mot de passe. A moins qu'un admin est laissé "trainer" un fichier non crypté de mot de passe...
Le monde de l'infosec c'est 95% de bullshit et 5% de savoir faire.
-
La source : https://www.homesecurityheroes.com/ai-password-cracking/
-
2FA/OTP partout et c'est réglé.
-
Dommage de les voir préconiser des mots de passe type "j1$32ç_-A81è" plutôt que quelque chose de plus simple a mémoriser:
(https://imgs.xkcd.com/comics/password_strength.png)
Non pas que je recommanderais personnellement de suivre cette image au pied de la lettre, mais avec des mots très rares et des combinaisons incongrues, j'imagine qu'il doit être possible d'avoir quelque chose de long, complexe, résistant aux « attaques dictionnaire », et surtout qu'on puisse retenir facilement.
Et sinon, je continuerai de dire que la meilleure protection qui existe, c'est µBlock Origin avec des listes en rab.
Ah et surtout, je pense que le meilleur site sur le sujet est de très très loin : https://decentsecurity.com/
Peut-être faudrait-il en faire une version française... si ça t'intéresse, Vivien ? ;)
-
Peut-être faudrait-il en faire une version française... si ça t'intéresse, Vivien ? ;)
J'ai essayé avec ça ;D -> https://translate.yandex.com/fr/ocr
-
J'ai essayé avec ça ;D
Je voulais parler de DecentSecurity.com, mais merci quand même :)
-
Un jour y aura plus de mot de passe du tout. Y a des sites qui ont des "partenaires" avec des gros tracking, quand vous rentrez votre mot de passe la page a deja transmis plein d'info : l'imei de votre mobile, la mac address de l'équipement, l'IP, le FAI, la zone géographique, le browser, l'heure... pour fabriquer une enveloppe de confiance. Le mot de passe étant la cerise sur le gateau. Cette "confiance" est apprise parce que vous faites votre visite à la banque depuis firefox avec l'ip habituelle depuis votre ipad c'est OK. Si tu as une nouvelle carte mère, depuis chez la belle mère l'enveloppe se réduit. Et là ça peut déclencher du 2FA, ralentir les tentatives, bloquer après plusieurs tentatives...
Y a pas que "votre" mot de passe qui intervient dans la cybersécu. Juste des sites encore à la ramasse sur certaines pratiques de durcissement. (Et là pour le coup l'IA peut intervenir, pas pour consulter un dictionnaire ou tester toutes les combinaisons de chiffres et de lettres)
-
Salut à tous.
Un truc tout simple pour éviter de se faire pirater son mot de passe : faire trois tentatives et en cas d'échec, redonner l'accès au bout d'une minute.
Le cas le plus simple qui est immédiat dans le tableau des performances, où tu utilises que des chiffres sur une longueur de 4, prendrait 10^4 soit 10000 tentatives si vous les faites toutes.
En moyenne cela prendrait : (10000/3 minutes)/2, soit 27 heures et 46 minutes et 40 secondes.
La bonne question est pourquoi ne pas limiter dans le temps le nombre d'accès erronées ?
Cordialement.
Artemus24.
@+
-
Il y a toujours des limitations sur les services en lignes.
Les pirates ne font pas les tentatives en ligne, mais via une base de donnée qui contient le hash des mots de passe.
-
D'où sort cette base de données ?
-
Des dictionnaires ancestraux de suites de caractères et de mots couramment utilisés.
Du style :
Chien1234
Chat4567
Reblochon73
Mickey1955
Et c'est donné à un logiciel brutforce paramétré pour le site et qui test 24/7/365 sur des centaines d'adresses mail d'une base acheté ou sur mail construit à partir de nom et prénom et d'un domaine aléatoire du style :
chantal.bayant@orange/sfr/free/hotmail.fr
bayant.chantal@orange/sfr/free/hotmail.fr
Pour valider l'adresse on a inventé le "undelivered mail returned to sender", il suffit d'un robot qui test les réponses.
-
Désolé mais ce n'est pas clair du tout.
Pour récupérer la liste des mots de passe stockée dans un système, il faut bien l'avoir pénétré ce système.
Quel est l'intérêt de cracker les mots de passe si l'on est déjà dans le système ?
Ensuite, il y a la méthode pour chiffrer les mots de passe.
Des fonctions comme MD5 sont obsolètes aujourd'hui.
La longueur de la chaîne produite par la fonction MD5 est de 128 bits. Cela fait 40 caractères hexadécimaux.
Celle en SHA-1 est de 40 caractères aussi, et la méthode AES donne 128 bits voire 256 bits.
Avec 256 bits, soit 64 caractères hexadécimaux, il est encore possible de le cracker par force brute.
Plus le mot de passe est long et plus il est difficile de le cracker.
Pour bien se protéger, par la méthode du chiffrement, il faudrait produire un chaîne de 4096 bits, soit 1024 caractères hexadécimaux.
Et pourquoi ne pas utiliser des certificats pour s'identifier ?
Je le fait déjà quand j'accède dans mon espace de travail chez Alwaysdata par la méthode d'accès SSH (Secure Socket Shell).
-
Quel est l'intérêt de cracker les mots de passe si l'on est déjà dans le système ?
passer de claude.martin@wanadoo.fr à claude.martin/foe20fj sur le site societegenerale.fr, ou dorment grassement un joli miyion.
ou sinon, récupérer l'encours paypal à 300$ d'un geek qu'a revendu sa switch. ou autre chose.
les gens font jamais rien gratuitement vous savez?
Et c'est donné à un logiciel brutforce paramétré pour le site et qui test 24/7/365 sur des centaines d'adresses mail d'une base acheté ou sur mail construit à partir de nom et prénom et d'un domaine aléatoire du style :
chantal.bayant@orange/sfr/free/hotmail.fr
bayant.chantal@orange/sfr/free/hotmail.fr
Pour valider l'adresse on a inventé le "undelivered mail returned to sender", il suffit d'un robot qui test les réponses.
ya quand meme ue énorme quantité d'adresses email, tous prestataires confondus (surtout fai francais) qui s'agrandit chaque année dans une sorte d'absence d'intéret : les gens changent d'outils/habitude avec les années. J'ai connu un étudiant qui avait sorti comme excuse "mais euh ca c'était mon adresse mail de l'année dernière!"
j'en connais d'autres qui ne gardent jamais un email plus de 3/4/5 ans, par précaution spam, flemme de gérer le courriel, oubli du mdp..
finalement, ceci reste quelque chose de censé, meme si j'apprécie pas du tout l'idée de l'@courriel sur le c/m terme (et ca devient l'usage), à contrarion du num de tel (qui prends le meme chemin, pour les jeunes, meme si c'est souvent minoritaire) ou de l'adresse postale (excepté chez les les jeunes) qui peut être valide dix ans voire beaucoup plus longtemps
à l'exception de l'adresse postale, je connais très peu de jeunes qui conserve les memes coordonnées plus de cinq ans ; à contrario, la plus écrasante 30+(actifs) n'est vraiment pas dans cette habitude. D'ailleurs je connais des jeunes joignables uniquement sur les "applis" type insta/whapp etc sans jamais répondre aux sms, et qui n'ont jamais eu d'@email, et n'en veulent pas (vu le boulot de maintenance, je commence à comprenre)
j'avais vu ce document de recherche, qui m'avait doucement fait sourire, lors de la constitution de ma base de leaks (approx 100GB, et j'en ai viré pas mal) :
https://www.enssib.fr/bibliotheque-numerique/documents/67750-du-leak-en-tant-qu-archive-ou-comment-le-leak-est-devenu-une-archive.pdf
-
Il y a toujours des limitations sur les services en lignes.
Les pirates ne font pas les tentatives en ligne, mais via une base de donnée qui contient le hash des mots de passe.
d'où la promotion de l'obligation de déclarer ce type d'évènement et de prévenir les victimes maintenant pour changer leur mot passe (et surtout invalider l'actuel) Et pourquoi la biométrie c'est de la merde...
-
passer de claude.martin@wanadoo.fr à claude.martin/foe20fj sur le site societegenerale.fr, ou dorment grassement un joli miyion.
En théorie, ce n'est pas possible car les virements se font par Swift et ne sont pas accessible directement par internet. Dans la pratique, cela dépend de ce que l'on peut faire comme manipulation dans votre compte bancaire accessible par internet. Les seules opérations permissent sont celles déjà initiées par le propriétaire du compte. Autrement dit, un pirate ne pourra pas ajouter un compte bancaire et virer le solde sans s'authentifier. Or ceci n'est pas possible sauf s'il a l'accès au mobile de la dite personne, puisque l'authentification se fait par SMS. Et il est dans l'impossibilité de changer le numéro du mobile puisque cela se fait à l'agence. Maintenant, il est de la responsabilité de la personne de ne pas laisser trainer n'importe où son mobile et en cas de piratage, d'interdire sur son compte bancaire des opérations vers l'extérieur.
Si l'on est déjà dans le système, on n'a pas besoin de cracker les mots de passe, il suffit simplement de le changer pour accéder au compte de qui vous voulez.
-
Et c'est donné à un logiciel brutforce paramétré pour le site et qui test 24/7/365 sur des centaines d'adresses mail d'une base acheté ou sur mail
Si y a encore des sites d'importance qui n'ont pas d'outil anti bruteforce .... l'Hadopi avait bien exigé du particulier "la sécurisation de son accès wifi" et ceux condamnés le sont pour "défaut de sécurisation"
-
En théorie, ce n'est pas possible car les virements se font par Swift et ne sont pas accessible directement par internet. Dans la pratique, cela dépend de ce que l'on peut faire comme manipulation dans votre compte bancaire accessible par internet. Les seules opérations permissent sont celles déjà initiées par le propriétaire du compte. Autrement dit, un pirate ne pourra pas ajouter un compte bancaire et virer le solde sans s'authentifier. Or ceci n'est pas possible sauf s'il a l'accès au mobile de la dite personne, puisque l'authentification se fait par SMS. Et il est dans l'impossibilité de changer le numéro du mobile puisque cela se fait à l'agence. Maintenant, il est de la responsabilité de la personne de ne pas laisser trainer n'importe où son mobile et en cas de piratage, d'interdire sur son compte bancaire des opérations vers l'extérieur.
Si l'on est déjà dans le système, on n'a pas besoin de cracker les mots de passe, il suffit simplement de le changer pour accéder au compte de qui vous voulez.
très simple
brouteur a obtenu les coordonnées postales, cellulaires et mail (et bien d'autres) en piratant son @gmail
brouteur a appelé mme martin en se faisant passer pour le banquier. Et c'est là que tout se joue, et que mme martin, croyant protéger son argent, va le balancer en quelques heures sur un compte n26 ouvert à l'arrache par un brouteur, qui sait bien que les gros virements hors de france sont trop facilement bloqués. Il a donc missionné une tete de paille pour ouvrir un compte dans la mutualiste du coin, par rebond, ou via revendeur de comptes bancaires n26 (ou autre) ; une fois que l'argent a joué a saute mouton, la victime n'a plus que ses yeux pour pleurer ; le malheur/préjudice des uns fabrique le bonheur/fortune des autres.
https://www.lefigaro.fr/actualite-france/ils-ont-vide-l-integralite-de-son-coffre-fort-l-effroi-d-une-famille-parisienne-en-proie-a-de-faux-banquiers-20230201
-
La faille est dans ce cas la personne. A moins de leur greffer des neurones, je ne vois pas comment les protéger de leur propre bêtise.
-
La faille est dans ce cas la personne. A moins de leur greffer des neurones, je ne vois pas comment les protéger de leur propre bêtise.
le gentil(1) qui paie pour le méchant(2) :)
(c'est l'essence meme la loi qui s'impose, par ex :
1. le mec qui conduit correctement vs 2. le chauffard qui roule dans l'excès
1. celui qui protège ses outils bancaires vs 2. la personne naïve au point de dire "oui à tous" (dont les escrocs)
la loi, c'est restreindre les gentis pour punir les méchants, c'est le meme principe. à cause des autres, les uns se voient modifier leur libertés, sans intentions partuclièrement malveillantes
c'bien à cause des "naifs" que les protection du 2fa&co sont apparues.. pareil pour la route et les limitations de vitesses
-
Cela va même plus loin puisque potentiellement tous les acteurs sont des méchants, de restreindre les accès en monnayant ceux qui sont autorisés. On se demande même si cela n'est pas fait exprès car le nerf de la guerre (inventé par qui, on peut se le demander) est bien l'argent et comme qui dirait, à qui profite le crime sinon à ceux qui mettent en place la sécurité.