La Fibre

Télécom => Réseau => reseau Attaques informatiques => Discussion démarrée par: vivien le 02 juillet 2019 à 22:23:25

Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: vivien le 02 juillet 2019 à 22:23:25
Que trouve-t-on dans les 700 millions de mots de passe piratés ?

La presse en a parlé : 773 millions de mots de passe piratés et diffusés sur Internet. Mais que contiennent ces fameux fichiers ? Mots de passe du gouvernement, d'entreprises françaises, on a de tout, et on va fouiller. Et on va voir à quoi ça peut servir, comment vérifier si on est dedans, etc.

https://www.youtube.com/watch?v=eoLMGlC0XOY
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: vivien le 02 juillet 2019 à 22:30:44
Quelques conseils :

(https://lafibre.info/images/doc/201806_cybermalveillance_mots_de_passe.png)
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: vivien le 02 juillet 2019 à 22:30:50
(https://lafibre.info/images/doc/201806_cnil_mots_de_passe.png)
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: vivien le 02 juillet 2019 à 22:56:10
Orange lance une campagne inédite de sensibilisation aux cyber-attaques

En 2018, des millions de Français ont été touchés par la cybercriminalité, dans leur vie personnelle comme sur leur lieu de travail, avec une perte estimée à plusieurs dizaines de millions d’euros. Pourtant, « 123456 » ou « password » font encore partie des mots de passe les plus utilisés. C’est le « cyber paradoxe » : les menaces sont là mais les comportements digitaux changent peu.

C’est pourquoi Orange lance, du 2 au 9 juillet 2019, une opération citoyenne de sensibilisation au phishing, cyberattaque la plus répandue auprès des particuliers comme des entreprises. Cette technique frauduleuse, diffusée essentiellement par mail, est utilisée par des tiers malveillants usurpant l’identité d’une entreprise, d’un organisme financier ou d’une administration en se faisant passer pour eux dans le but de recueillir données personnelles et informations confidentielles.

(https://lafibre.info/images/orange/201907_orange_campagne_phishing_1.png)
=> https://6g100ans.fr/

Pendant 48 heures les 2 et 3 juillet, une fausse publicité, empruntant l’identité d’Orange, prétendra offrir un incroyable « FORFAIT ILIMITÉ 6G PENDANT 100 ANS » en échange des prénoms, noms et dates de naissance des clients potentiels. Tous les ingrédients du phishing seront réunis : imitation de logo, fautes d’orthographe, offre ultra-attractive à caractère urgent et, surtout, demande de données personnelles.

Cette publicité frauduleuse, comme il en existe des millions sur Internet, sera diffusée en digital mais aussi en affichage à Paris, Lyon et Marseille. Les affiches permettront de souscrire à la fausse offre par un QR Code et un lien web 6g100ans.fr. Celles et ceux qui se seront laissé tenter seront immédiatement renseignés sur l’aspect factice de la proposition commerciale, et le sens de l’opération : adopter les bons réflexes de vigilance avant de répondre à des sollicitations commerciales douteuses.

Aucune donnée personnelle ne sera collectée ni conservée sur cette page intermédiaire 6g100ans.fr qui renverra directement vers la page de réassurance d’orange.com révélant l’objectif réel de la campagne.

(https://lafibre.info/images/orange/201907_orange_campagne_phishing_2.png)

À partir du 4 juillet, les affiches et bannières seront remplacées par des messages signés cette fois de la « vraie » marque Orange et pointeront directement les indices qui démontrent le caractère frauduleux de la publicité diffusée précédemment. Les réseaux sociaux et médias propriétaires de la marque partageront également des contenus didactiques et informatifs sur la nature des risques et les bons gestes à adopter pour les éviter. Des parutions en PQN et PQR complèteront le dispositif pour expliquer la nature et les enjeux de cette opération de sensibilisation.

Hugues Foulon, Directeur exécutif Stratégie et des activités de cyber-sécurité : « Dans le monde physique, tout le monde a l’habitude de fermer sa porte à clé ou de regarder avant de traverser la route. Alors que 95% des attaques informatiques sont permises par une erreur humaine, nous devons collectivement acquérir ces mêmes réflexes dans le monde numérique. Orange, opérateur de confiance et leader de la cybersécurité, s’engage pour développer un usage numérique averti, plus sûr, qui nous protège. »

Pour Béatrice Mandine, Directrice exécutive Communication et Marque : « Si le monde numérique offre de formidables opportunités, notre responsabilité d’opérateur de confiance et leader sur nos marchés nous engage aussi à en limiter les risques éventuels pour tous. Et parce que les prises de conscience sont toujours plus fortes lorsque l’on a été exposé au risque, nous avons fait le choix de cette campagne choc, originale et interactive s’appuyant sur une expérience directe des cybermenaces. »

Cette opération est un des volets d’une stratégie de long terme dédiée à aider chacun à bien vivre le digital. La campagne « La bonne conduite », autour des usages responsables du mobile au volant, était par exemple un des aspects de cette stratégie de communication responsable.
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: cali le 03 juillet 2019 à 10:25:24
« cybermalveillance » contredit sur plusieurs points la CNIL.

Dans tous les cas les deux font des raccourcis dangereux, notamment au niveau de la double authentification, il ne faut jamais l'utiliser lorsque celle-ci consiste à recevoir un appel ou un sms, ce qui est très souvent le cas.

« les retenir sans les écrire », c'est bidon aussi. Si la victime se fait péter, elle se fait péter et c'est fini pour elle. Si les mots de passe ne sont pas stockés dans la machine, l'attaquant n'a qu'à attendre que la victime s'authentifie.
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: doctorrock le 03 juillet 2019 à 11:09:10
Vivement qu'on ait enfin trouvé la techno qui permette de se débarrasser à vie de ces mots de passe, dont on sent bien qu'ils ne sont plus du tout la solution adaptée...
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: Trellen le 03 juillet 2019 à 13:15:52
Vivement qu'on ait enfin trouvé la techno qui permette de se débarrasser à vie de ces mots de passe, dont on sent bien qu'ils ne sont plus du tout la solution adaptée...
Un mot de passe reste une solution efficace à partir du moment où tu prends le temps de bien choisir.
Le véritable critère d'un bon mot de passe c'est sa longueur, une suite aléatoire de 8 caractères est autant facile voire plus simple à décrypter qu'un mot avec substitution de caractères + caractères spéciaux.
Il faudrait généraliser le concept de passphrase (phrase de passe) qui n'est rien d'autre qu'une simple phrase bien plus longue et pas forcèment plus dur à retenir, l'entropie double à chaque caractère, on se retrouve rapidement avec quelque chose d'impossible de décrypter.



Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: vivien le 03 juillet 2019 à 13:17:52
Je rajouterais qu'il dois être différent pour chaque site web, sans quoi il y a un risque en cas de fuite.

Cela peut être fait assez facilement avec une opération mathématique sur le nom de domaine (le problème est que l'on ne retrouve plus le mot de passe sui le nom de domaine change)
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: doctorrock le 03 juillet 2019 à 13:26:12
Trop compliqué pour le commun des mortels, et tellement fastidieux de devoir prouver à la machine qui l'on est.... Pourquoi n'est ce pas le contraire ?

On peut tout de même imaginer qu'un jour, on s'assera devant son poste, et celui-ci nous reconnaitra et ouvrira nos sessions automatiquement, sans qu'on se prenne la tête avec des "mots de passe", technologie appartenant au passé. Non ? Je rêve ?
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: Trellen le 03 juillet 2019 à 13:48:29
Trop compliqué pour le commun des mortels, et tellement fastidieux de devoir prouver à la machine qui l'on est.... Pourquoi n'est ce pas le contraire ?

On peut tout de même imaginer qu'un jour, on s'assera devant son poste, et celui-ci nous reconnaitra et ouvrira nos sessions automatiquement, sans qu'on se prenne la tête avec des "mots de passe", technologie appartenant au passé. Non ? Je rêve ?
Ca arrive.
J'ai pu voir des prototypes pour ce genre de chose, ça suppose déjà qu'une caméra soit placée devant le pc ET qu'elle filme en continue (ou avec capteur de mouvement qui active la caméra), ça peut poser des problèmes de vie privée par exemple.
Les même personnes travaillent aussi sur un programme qui analyse en continu ton utilisation du pc pour établir un profil, si l'utilsateur présente un comportement suspect, tout se bloque. Ca pose également des problèmes de vie privée parce que c'est exactement ce que fait google et microsoft à des fins biens différentes que la sécurité des machines.
Pour le moment, le mot de passe reste la solution de secours de la totalité des systèmes parce que c'est simple à mettre en place au niveau logiciel et matériel et bien choisi, permet une sécurité de même niveau que les autres solutions actuelles.
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: doctorrock le 03 juillet 2019 à 13:50:35
Vivement que ce soit fini le mot de passe  :D
Quand on y repensera dans le futur, on se dira "Ah oui, mais quelle solution de ****** et archaïque" ^^

Ca, ce sera ce que j'appelle un vrai progrès !
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: cali le 03 juillet 2019 à 15:05:38
Vivement que ce soit fini le mot de passe  :D
Quand on y repensera dans le futur, on se dira "Ah oui, mais quelle solution de ****** et archaïque" ^^

Ca, ce sera ce que j'appelle un vrai progrès !

Non, ça n'a aucun sens. C'est un problème humain, un problème d'instruction.
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: Trellen le 03 juillet 2019 à 15:46:01
Vivement que ce soit fini le mot de passe  :D
Quand on y repensera dans le futur, on se dira "Ah oui, mais quelle solution de ****** et archaïque" ^^

Ca, ce sera ce que j'appelle un vrai progrès !
Si c'est archaique mais que ça fait le travail, pas de raison de changer, particulièrement maintenant qu'on considère l'aspect sécurité quand on lance un nouveau projet.
C'est probablement plus simple et efficace d'apprendre dès le plus jeune age à faire attention à ses affaires dont celles numériques.
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: kgersen le 03 juillet 2019 à 15:58:08
Vivement qu'on ait enfin trouvé la techno qui permette de se débarrasser à vie de ces mots de passe, dont on sent bien qu'ils ne sont plus du tout la solution adaptée...

Elle existe déjà, outre la reconnaissance d'empreinte ou de visage, il y a FIDO2. C'est juste très long a se déployer.
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: mirtouf le 03 juillet 2019 à 16:20:56
Et FIDO2 pas non plus exempt de défauts si l'implèmentation n'est pas correctement faite.
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: kgersen le 03 juillet 2019 à 19:42:01
Et FIDO2 pas non plus exempt de défauts si l'implèmentation n'est pas correctement faite.

y'a rien de parfait mais c'est mieux 'password123' ou d'enerver les gens a imposer des conneries comme 'au moins 8 characteres et au moins une minuscule, au moins une majuscule, au moins un chiffre".. oh que ca m’énerve vraiment ces regles alors que des passphrases simples sont bien plus sécurisées.

(https://imgs.xkcd.com/comics/password_strength.png)
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: lecteur1 le 04 juillet 2019 à 03:38:22
Pour moi c'est Yubikey + google authenticator + sms

Après, si le déchiffrage du génome peut se faire simplement en moins de 2 secondes, il restera toujours le problème des jumeaux.

Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: Jojo78 le 04 juillet 2019 à 10:02:01
Perso j'ai un pwd avec une racine commune à tous les sites et une partie dédiée au site en fonction de l'url.
En tout j'ai 14 ou 15 symboles.
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: Aerendil le 07 août 2019 à 11:29:57
Le problème est que tous le sites n'autorisent pas tous les signes....
Donc, on ne peut pas avoir le même type de mot de passe...
quand tu es sur une vingtaine de sites, se rappeler les mdp devient un vrai casse-tête, surtout s'ils sont utilisés sur le matériel pro (qui ne permet pas d'installer des gestionnaires de mot de passe perso) et le matériel perso....
Titre: Que trouve-t-on dans les 700 millions de mots de passe piratés ?
Posté par: obinou le 07 août 2019 à 14:50:33
Il faut avoir confiance en sa machine, mais il y a aussi les gestionnaires de mot de passe.

J'ai longtemps utilisé Lastpass, il existe aussi keepass et autre. Perso j'utilise "pass" , une solution pas tellement ergonomique mais basée sur gpg et git pour la distribution.
Après il faut être rigoureux et ne pas se laisser tenter d'utiliser le même partout.

J'attends de voir ce que https://en.wikipedia.org/wiki/SQRL va donner... (même si c'est très loin d'être une solution universelle)