IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des cybercriminels russes réalisent le plus grand vol de données sur Internet


Sujet :

Sécurité

  1. #21
    Membre à l'essai
    Profil pro
    Inscrit en
    Octobre 2008
    Messages
    9
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2008
    Messages : 9
    Points : 24
    Points
    24
    Par défaut
    Citation Envoyé par air-dex Voir le message
    Cela ne suffit pas. Il faudrait aussi s'assurer que les deux facteurs soient sur deux appareils différents.
    Oui c'est évident sinon c'est comme avoir 1 facteur...


    Citation Envoyé par air-dex Voir le message
    Je pense là aux smartphones (volés ou corrompus) avec une faille de ce type :
    1. On n'a pas le mot de passe, donc on utilise une fonctionnalité de type "J'ai oublié mon mot de passe".
    2. L'utilisateur aura sûrement toutes ses adresses mail sur le smartphone, que ce soit dans des gestionnaires de mots de passes ou bien dans les configurations de boites mail. Du coup on a l'adresse mail pour récupérer ou réinitialiser le mot de passe. On peut alors choisir celui qu'on veut. 1er facteur :
    3. Comme on a le premier facteur, on l'utilise pour franchir la première barrière.
    4. Le système de double authentification envoie alors le second facteur à l'utilisateur.
    5. Le smartphone ne servant sûrement pas qu'à recevoir des mails mais aussi à téléphoner et recevoir des SMS, devinez où va atterrir le second facteur ? Au même endroit que le premier ! 2nd facteur :
    6. On passe la seconde barrière.
    7. La double authentification a échoué. On peut faire ce que l'on veut.

    Je parlais de sécurité technique et toi tu parles de sécurité des processus/ organisationnel ! Mais tu as raison de rappeler que l’un ne va pas sans l’autre. D’ailleurs même des certificats sur support crypto ne servent à rien si n’importe qui peut en demander un renouvellement/révocation sans que son identité ne soit vérifiée !
    Sinon, l’adresse de récupération de mot de passe ne doit pas être l’adresse usuelle de l'utilisateur (ça évite les mots de passe déjà enregistré comme sur Smartphone). Il faut que les gens changent leurs habitudes (un peu comme ne pas utiliser de compte administrateur en permanence)...

    Citation Envoyé par air-dex Voir le message
    Bref, la double authentification ne sert strictement à rien pour le grand public en pratique. Et dans le cas des SMS encore faut-il pouvoir le recevoir. J'ai du Wifi / Ethernet pour me connecter à la boîte mail via Internet mais j'ai pas de réseau mobile / j'ai plus de batterie / j'ai pas le téléphone en état de marche sous la main pour lire le SMS. Et je ne peut donc pas accéder à mon mail malgré la connexion. WTF total.
    Inutile pour les utilisateurs ?? Non… Si tu combines empreintes digitales (équivalent à un gros mot de passe) + code pin sur clavier virtuel (comme dans les banques), tu as un code complexe, difficile à voler coté utilisateur (ça protège pas des injections SQL) et simple à retenir pour ce dernier ==> c'est donc plutôt un bon compromis.

    Après l'authentification biométrique pour des applications internet, ça a peu d'utilité, c'est même contre productif comme le dit forthx


    Citation Envoyé par philou44300 Voir le message
    Moi ce que je ne comprend pas dans tout ca, c'est pourquoi ils demandent nos mots de passes s'il y a aussi les adresses mail qui ont été volés... Il suffirait qu'ils regardent juste si l'adresse mail est dans les données volées pour pouvoir nous dire si nos données ont été piratées ou non... Pas besoin donc de l'adresse mail ET de tous les mots de passes.
    Citation Envoyé par air-dex Voir le message
    Un joli coup de social engineering ?
    je valide...

  2. #22
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 528
    Points
    2 528
    Par défaut
    Citation Envoyé par Logicielz Voir le message
    Non Bestel, tu n'as peut etre pas compris le principe de l'authentification biométrique, biensur que votre empreinte ou la trace de votre rétine sera stoquée quelque part, mais vous devez à chaque fois l'indiquer au système, pour qu'il la compare avec celle stockée, donc à moins qu'on "vole" votre empreinte,..etc personne ne pourra s'authentifier à votre compte
    Etant donné que ces données biométriques sont bien hashées sous forme numérique, cette séquence de nombre peut à son tour être injecté dans un système d'authentification, si celui-ci est vulnérable. On en revient donc toujours à la même chose...

    Le seul apport d'un système biométrique au niveau sécurité est qu'il permet, en gros, l'emploi d'un "mot de passe" plus complexe (le code numérique généré par la donnée biométrique), sans que l'utilisateur n'ait à le retenir par coeur (puisque généralement on a toujours son pouce, son index ou son iris avec soi...). Les attaques basées sur l'utilisation de mots de passe trop simples et donc faciles à décoder deviennent donc impossibles. Mais c'est bien tout.

    Par contre, ça a l'inconvénient d'être un "mot de passe" difficile à changer. On a un nombre limité de doigts et d'iris. Une fois que toutes ces données ont fuitées, on fait quoi ? Chaque personne a un capital de données biométriques limitées qui a tendance à s'épuiser : une fois les données divulguées, elles ne peuvent plus efficacement être utilisées pour sécuriser des informations. Et on ne peut pas changer d'empreintes...

    Peut-être que ça va se terminer par des scènes assez drôles, genre "oui, en ce moment, je suis sur mon gros orteil gauche pour me connecter à Gmail..."). Vous voyez le tableau ?

  3. #23
    Membre chevronné
    Avatar de NVCfrm
    Homme Profil pro
    Administrateur Système/Réseaux - Developpeur - Consultant
    Inscrit en
    Décembre 2012
    Messages
    1 036
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Administrateur Système/Réseaux - Developpeur - Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Décembre 2012
    Messages : 1 036
    Points : 1 917
    Points
    1 917
    Billets dans le blog
    5
    Par défaut
    Voir le doigt s'est fait cramer dans un accident, je n'envisage pas un bras amputé.
    Sans doute qu'il y aurait un processus de récupération sur le doigt de l'autre bras


    La biométrie c'est la chose la plus facile à confondre en matière de sécurité d'entreprise.
    Imaginez un employé vicieux qui veut forcer l'accès aux données réservées de ses collègue.
    Quelle dificulté peut-il avoir à recueillir les valeurs biométrique du collègue ?
    Et s'il lui prenait l'idée de faire des choses malveillantes sous l'identité usurpée, comment le présumé coupable pourra-t-il nier ces identifiants biométriques ?
    Ousmane


    Quand on tombe dans l'eau, la pluie ne fait plus peur.

  4. #24
    Modérateur
    Avatar de kolodz
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2008
    Messages
    2 211
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Avril 2008
    Messages : 2 211
    Points : 8 316
    Points
    8 316
    Billets dans le blog
    52
    Par défaut
    Quelle dificulté peut-il avoir à recueillir les valeurs biométrique du collègue ?
    La biométrie est présente uniquement pour éviter les supports physiques facilement volable ou perdable.
    Pour ce qui est du reste, que ton collègue te vol ton badge ou te scan la rétine... Faut déjà se poser la question de savoir pourquoi c'est encore ton collègues...


    Le seul problème dans cette histoire, c'est que beaucoup ont les mêmes mot de passe pour différentes applications/comptes.
    Si une réponse vous a été utile pensez à
    Si vous avez eu la réponse à votre question, marquez votre discussion
    Pensez aux FAQs et aux tutoriels et cours.

  5. #25
    Membre éclairé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mai 2008
    Messages
    200
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 200
    Points : 792
    Points
    792
    Par défaut
    De plus dans la petite approche que j'en ai fait les injections SQL permettent de passer le stade validation par mot de passe mais comment cela permet-il de récupérer celui-ci ?
    Très souvent, les développeurs retournent les informations de l'utilisateur au moment de la connexion avec une requête du style :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    SELECT userid, username, password, grade, code FROM user_tab where username = '' and password = ''
    .
    Et si lors de l'injection SQL, l'attaquant introduit la chaine or 1 = 1 -- , il en résulte le résutat suivant:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    SELECT userid, username, password, grade, code FROM user_tab where username = '' and password = '' or 1 = 1 --
    . Avec une telle requête sur un explorateur passoir comme IE, l'attaquant pourra aisement récolter son miel.
    Ingénieur Recherche et Développement en informatique à Sopra

    Page perso developpez : http://armel-ndjobo.developpez.com/
    Suivez moi sur twitter : ndjobo

  6. #26
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    Août 2010
    Messages
    1 653
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Août 2010
    Messages : 1 653
    Points : 3 773
    Points
    3 773
    Par défaut
    Citation Envoyé par naf87 Voir le message
    Et si lors de l'injection SQL, l'attaquant introduit la chaine or 1 = 1 -- , il en résulte le résutat suivant:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    SELECT userid, username, password, grade, code FROM user_tab where username = '' and password = '' or 1 = 1 --
    . Avec une telle requête sur un explorateur passoir comme IE, l'attaquant pourra aisement récolter son miel.


    Que vient faire Internet Explorer ici ? La requête SQL est construite au niveau du serveur Web, pas du client/navigateur Web. Dans ce cas là le problème est au niveau du serveur qui a été codé par des devs n'ayant aucune notion de programmation défensive. Quand bien même IE enverrait des valeurs exotiques, le serveur doit prévoir ces cas là. Ce n'est donc pas la faute d'IE.

    Ou alors la requête SQL est construite côté client et dans ce cas il faut sérieusement envisager de changer les devs s'occupant du projet.
    "Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain

    Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).

  7. #27
    Membre éclairé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mai 2008
    Messages
    200
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 200
    Points : 792
    Points
    792
    Par défaut
    Que vient faire Internet Explorer ici ? La requête SQL est construite au niveau du serveur Web, pas du client/navigateur Web.
    Merci pour la précision. Tu as raison, en effet, la faille se situe sur l'application et la requête s'exécute du côté serveur. Mais tu oublis une chose, les navigateurs sont pouvus des filtres/modules pour empêcher certains types d'attaques. Pour ceux qui auront à s'exercer sur les attaques, il vous arrivera très souvent d'exécuter la même attaque sur des navigateurs différents sans avoir le même résutat. Et lorsque je parle de IE, c'est pour la simple raison que dans mes excercices, ce fut le navigateur qui m'a apporté les résultats attendus.
    Ingénieur Recherche et Développement en informatique à Sopra

    Page perso developpez : http://armel-ndjobo.developpez.com/
    Suivez moi sur twitter : ndjobo

Discussions similaires

  1. Réponses: 7
    Dernier message: 02/08/2013, 14h32
  2. Réponses: 3
    Dernier message: 04/01/2011, 16h05
  3. Réponses: 0
    Dernier message: 27/04/2010, 16h15
  4. La plus grande Base de Données
    Par titos dans le forum Oracle
    Réponses: 3
    Dernier message: 25/03/2008, 11h28
  5. Réponses: 13
    Dernier message: 07/01/2007, 20h43

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo