Discussion :

[Hinault Romaric]

Des cybercriminels russes réalisent le plus grand vol de données sur Internet
1,2 milliard de mots de passe collectés par ceux-ci

Des pirates russes ont réussi l’exploit de réaliser le plus grand vol des données des utilisateurs sur Internet, selon des chercheurs en sécurité.

Le groupe mystérieux de pirates aurait réussi à collecter 1,2 milliard d’enregistrements uniques (combinaisons uniques email-mot de passe) provenant de plus de 420 000 sites Web,

Ces informations ont été recueillies grâce à un réseau d’ordinateurs qui ont été piratés à l’aide des logiciels malveillants, permettant le contrôle de ceux-ci par les pirates. Ces ordinateurs ont été utilisés pour identifier des vulnérabilités permettant des attaques par injection SQL au sein de ces sites Web.

L’analyse des informations collectées par les pirates a permis d’identifier 4,5 milliards de noms d’utilisateur et mots de passe contenant plusieurs doublons, ainsi que 542 millions d’adresses uniques de messagerie électronique.

Les cibles des pirates seraient assez diversifiées, allant des sites importants aux petits sites Web. « Les pirates n'ont pas uniquement ciblé des sociétés américaines, ils ont visé tous les sites internet qu'ils pouvaient trouver. Cela va des entreprises référencées dans le classement Fortune 500 aux très petits sites », a déclaré le fondateur de Hold Security, Alex Holden.

Les noms des sites Web touchés n’ont pas été divulgués, car la plupart de ceux-ci seraient toujours vulnérables.

Selon le cabinet de sécurité, les données collectées n’auraient pas été vendues par les pirates. Ceux-ci les auraient utilisées pour distribuer des spams.

Hold Security affirme également que les pirates seraient une douzaine de jeunes dans la vingtaine, repartis en petites équipes, dont certaines sont dédiées uniquement à la collecte des données et d’autres chargées de la maintenance du botnet utilisé pour infecter des ordinateurs.

« Même si le groupe de pirates n'a pas de nom, nous l'avons surnommé 'CyberVor', 'Vor' signifiant 'voleur' en russe », a précisé Hold Security.

Hold Security a divulgué ces informations après une enquête de sept mois.

Suite à ces révélations, les experts en sécurité de Symantec estiment qu’il serait temps pour les entreprises d’abandonner les mots passe. « Les entreprises doivent à présent considérer l’authentification sans mot de passe : ceux-ci sont de moins en moins sûrs et de plus en plus difficiles à utiliser avec la multiplication des terminaux mobiles. La mobilité est potentiellement le fer de lance du changement dans le monde professionnel sur ce point précis », conseillent les experts de Symantec.

Ceux-ci citent notamment des projets en cours de développements permettant le recours à la double authentification sans mot de passe, ainsi que le BYOA (Bring Your Own Authentication) qui grâce à l’intégration de la biométrie aux terminaux mobiles, serait « une solution sans mot de passe plus pratique et plus sûr. »



Source : The New York Times


Et vous ?

Qu'en pensez-vous ? Serait-il temps d'abandonner les mots de passe ?

[Bestel74]

Ces ordinateurs ont été utilisés pour identifier des vulnérabilités permettant des attaques par injection SQL au sein de ces sites Web.

[...] grâce à l’intégration de la biométrie aux terminaux mobiles, serait « une solution sans mot de passe plus pratique et plus sûr. »


Et vous ?

Qu'en pensez-vous ? Serait-il temps d'abandonner les mots de passe ?

Ben je pense que si effectivement les mot de passe ont été volé par des injections SQL, qu'est-ce que ça change dans ce cas que ça soit un mot de passe, ou une information biométrique ? Le problème sera toujours le cryptage de cette donnée afin de la rendre illisible en cas de vole non ?

[Logicielz]

Non Bestel, tu n'as peut etre pas compris le principe de l'authentification biométrique, biensur que votre empreinte ou la trace de votre rétine sera stoquée quelque part, mais vous devez à chaque fois l'indiquer au système, pour qu'il la compare avec celle stockée, donc à moins qu'on "vole" votre empreinte,..etc personne ne pourra s'authentifier à votre compte

[nevada51]

Non Bestel, tu n'as peut etre pas compris le principe de l'authentification biométrique, biensur que votre empreinte ou la trace de votre rétine sera stoquée quelque part, mais vous devez à chaque fois l'indiquer au système, pour qu'il la compare avec celle stockée, donc à moins qu'on "vole" votre empreinte,..etc personne ne pourra s'authentifier à votre compte

Ok je pense pas que ça soit bestel qui n'ai rien compris...

[nirgal76]

Comme pour le contenu de l'article, il serait bon d'employer le conditionnel aussi pour le titre " Des cybercriminels russes auraient réalisé...."

[kolodz]

Le groupe mystérieux de pirates aurait réussi à collecter 1,2 milliard d’enregistrements uniques (combinaisons uniques email-mot de passe) provenant de plus de 420 000 sites Web,

Selon le cabinet de sécurité, les données collectées n’auraient pas été vendues par les pirates. Ceux-ci les auraient utilisées pour distribuer des spams.

Donc pas sûr que les mot de passe soit en clair ou décryptable...

Après la problématique des injections SQL...

Cordialement,
Patrick Kolodziejczyk.

[Chauve souris]

Mais les injections SQL n'ont-elles pas été analysées sous toutes leurs aspects algorithmiques ? Auquel cas la validation d'un mot de passe passe par le filtre anti injection SQL. De plus dans la petite approche que j'en ai fait les injections SQL permettent de passer le stade validation par mot de passe mais comment cela permet-il de récupérer celui-ci ?

[xurei]

Non Bestel, tu n'as peut etre pas compris le principe de l'authentification biométrique, biensur que votre empreinte ou la trace de votre rétine sera stoquée quelque part, mais vous devez à chaque fois l'indiquer au système, pour qu'il la compare avec celle stockée, donc à moins qu'on "vole" votre empreinte,..etc personne ne pourra s'authentifier à votre compte

Quelle que soit la méthode d'authentification utilisée, cela se passe toujours via l'envoi de données au serveur. Avec des informations biométriques, tu convertis une information du type empreinte digitale en une suite de caractères qui sont envoyés au serveur. En d'autres termes, ton pouce devient le mot de passe. Un pirate peut simplement reproduire cette longue chaine et l'envoyer telle quelle, et cela sans que le serveur ne puisse s'en rendre compte.

Le seul avantage que je vois à cette technologie, c'est que les mots de passe pourront être beaucoup plus longs, et donc a priori beaucoup plus dur à casser s'ils sont hashés (et non cryptés, voir http://blog.developpez.com/sqlpro/p1...dans-les-sgbdr).

Par contre, l'ÉNORME désavantage que cela apporte, c'est que tu n'as plus qu'un mot de passe unique : ton pouce. Allez, deux en fait, parce que t'as deux pouces :-P. Par ailleurs, ce n'est pas vraiment une information secrète : chaque fois que l'on touche quelque chose, on y laisse son empreinte.

Bref, le biométrique, c'est bien pour protéger son coffre fort à la banque (et encore...), mais à part ça, je ne crois pas que ce soit une meilleure solution.

[kn_mars]

Le seul avantage que je vois à cette technologie, c'est que les mots de passe pourront être beaucoup plus longs, et donc a priori beaucoup plus dur à casser s'ils sont hashés (et non cryptés chiffrés, voir http://blog.developpez.com/sqlpro/p1...dans-les-sgbdr).

De toute façons, pour sécuriser correctement un système il faut une authentification à deux facteurs.

• Code pin + empreinte biométrique
• mot de passe + token
• etc.

[_informix_]

Hold Security a mis en place une page permettant de vérifier si un internaute est touché par ce piratage mais il faut se montrer patient. Et la plateforme est saturée de demandes de vérification !!!!!! https://identity.holdsecurity.com

La page de Hold Security demande de saisir tous les mots de passe personnels pour lesquels on souhaite savoir s'ils sont compromis et propose de comparer la version cryptée en SHA-512 avec celles présentes dans la grosse database volée. Les sites d'information comme d'habitude cautionnent cette pratique de manière indirecte.

J'ai aussi peu confiance en Hold Security que dans ce mystérieux et hypothétique groupe de hackers russes !

Pour moi le vrai voleur ici c'est Hold Security et ils utilisent les site d'information informatique comme vecteur de diffusion avec un peu de piment : "un groupe de hacker russes".

[sevyc64]

Non Bestel, tu n'as peut etre pas compris le principe de l'authentification biométrique, biensur que votre empreinte ou la trace de votre rétine sera stoquée quelque part, mais vous devez à chaque fois l'indiquer au système, pour qu'il la compare avec celle stockée, donc à moins qu'on "vole" votre empreinte,..etc personne ne pourra s'authentifier à votre compte

Et quel est la différence avec le mot de passe ? Lui aussi on le stocke quelques part (enfin !, voir après), lui aussi on l'indique à chaque fois, lui aussi est comparé avec celui stocké, donc à moins que l'on vole le mot de passe et qu'on court-circuite l'interface utilisateur pour le présenter au site, donc à moins que l'on vole la représentation numérique de l'empreinte biométrique et que l'on court-circuite le système de lecture pour la présenter au site ....

Ici, visiblement le problème se situe coté serveur. On peut mettre n'importe quel système d'authentification, même le plus perfectionné, si la faille est le serveur, il ne sert à rien.
En plus, ici, si c'est une faille d'injection SQL, il est fortement probable qu'il n'y ait même pas besoin d'authentification donc de mot de passe/empreintes/etc pour rentrer dans le serveur en étant authentifié.


Voir ici --> La première règle, de base, est que l'on ne stocke jamais le sésame d'authentification dans une base de données, que ce soit un mot de passe, une empreinte biometrique, ou quoique ce soit d'autre. On ne stockera toujours qu'un Hash de ce sésame, obtenu avec un algorithme destructeur de sorte que même si on arrive à pirater la base et récupérer ce hash, on ne puisse pas remonter au sésame. Il va s'en dire que le site doit être blindé niveau sécurité et doit lui-même calculé le hash du sésame présenté pour le comparer à celui stocké. Il ne doit, en aucun cas, être possible de présenter un hash déjà calculé.
Qui respecte cette règle ? pas assez de monde, y compris de grands sites commerciaux.
Faites le test, c'est simple : Utilisez la procédure d'oubli et de récupération du mot de passe sur votre site préféré. Si celui-ci est capable, peu importe le moyen, de vous communiquer le mot de passe que vous aviez saisi, ça veut dire qu'il le stocke en clair, ou tout autre moyen permettant d'y remonter. Cela signifie que l'authentification n'est pas faite de manière sécurisée, et que donc vos données sont potentiellement en danger face à un vol comme ici.

[sevyc64]

Hold Security a mis en place une page permettant de vérifier si un internaute est touché par ce piratage mais il faut se montrer patient. Et la plateforme est saturée de demandes de vérification !!!!!! https://identity.holdsecurity.com

La page de Hold Security demande de saisir tous les mots de passe personnels pour lesquels on souhaite savoir s'ils sont compromis et propose de comparer la version cryptée en SHA-512 avec celles présentes dans la grosse database volée. Les sites d'information comme d'habitude cautionnent cette pratique de manière indirecte.

J'ai aussi peu confiance en Hold Security que dans ce mystérieux et hypothétique groupe de hackers russes !

Pour moi le vrai voleur ici c'est Hold Security et ils utilisent les site d'information informatique comme vecteur de diffusion avec un peu de piment : "un groupe de hacker russes".

Le meilleur moyen de récupérer ce qui n'ont pas encore été volés

[NVCfrm]

J'ajouterais que c'est encore un plus pour promouvoir des technologies biométriques.

C'est complètement farfelu de faire croire que ce type d'authentification est plus sécurisé qu'un autre.
Je dirais que c'est le truc le moins fiable en matière de sécurité. Une empreinte c'est si facile à collecter.

Tout le monde est en passe de devenir accessible, si cette méthode se généralise. Car en un tour de main il est aisé d'aller piocher ces données dans les bases de la police des identités, ou des organes de recensement ou des guichets de vote électronique, même dans les distributeurs de billets, les super-market, et dans les gares.

Cette histoire d'identification biométrique m'a paru dès ses débuts comme un péril pour la protection de la vie privée.
Une arnaque de spécialistes de la collecte centralisée des données.

[kn_mars]

Tout le monde est en passe de devenir accessible, si cette méthode se généralise. Car en un tour de main il est aisé d'aller piocher ces données dans les bases de la police des identités, ou des organes de recensement ou des guichets de vote électronique, même dans les distributeurs de billets, les super-market, et dans les gares.

Cette histoire d'identification biométrique m'a paru dès ses débuts comme un péril pour la protection de la vie privée.

C'est d'ailleurs pour ça que la CNIL surveille l'utilisation de ce genre de techno (attention: biométrie ne veut pas dire empreinte digitale...)
Sinon pour une authentification sécurisée, il faut 2 facteurs d'authentification.

l va s'en dire que le site doit être blindé niveau sécurité et doit lui-même calculé le hash du sésame présenté pour le comparer à celui stocké. Il ne doit, en aucun cas, être possible de présenter un hash déjà calculé.

La fameuse attaque pass the hash... un grand classique!
Blindé? Non... il doit juste respecter les principes de base de sécurité:

• OS et applications à jour
• firewall (DMZ)
• architecture multi-tiers (avec rupture protocolaire)
• et des developpeurs qui respectent les règles de sécurité! ("oui il faut filtrer les informations en entrée ET en sortie surtout pour le forum!!!")

Et pour lutter efficacement contre les injections SQL, il faut un WAF (web application firewall)

[benjani13]

Mais les injections SQL n'ont-elles pas été analysées sous toutes leurs aspects algorithmiques ? Auquel cas la validation d'un mot de passe passe par le filtre anti injection SQL. De plus dans la petite approche que j'en ai fait les injections SQL permettent de passer le stade validation par mot de passe mais comment cela permet-il de récupérer celui-ci ?

Les injections SQL ne se limitent pas à un " OR 1=1--" dans un champs de login :p
Une injection SQL permet aussi de fouiller dans la BDD de façon directe (en affichant le contenu d'une table dans la page) ou indirecte (blind SQLi).

[air-dex]

De toute façons, pour sécuriser correctement un système il faut une authentification à deux facteurs.

Cela ne suffit pas. Il faudrait aussi s'assurer que les deux facteurs soient sur deux appareils différents. Je pense là aux smartphones (volés ou corrompus) avec une faille de ce type :

1. On n'a pas le mot de passe, donc on utilise une fonctionnalité de type "J'ai oublié mon mot de passe".
2. L'utilisateur aura sûrement toutes ses adresses mail sur le smartphone, que ce soit dans des gestionnaires de mots de passes ou bien dans les configurations de boites mail. Du coup on a l'adresse mail pour récupérer ou réinitialiser le mot de passe. On peut alors choisir celui qu'on veut. 1er facteur :
3. Comme on a le premier facteur, on l'utilise pour franchir la première barrière.
4. Le système de double authentification envoie alors le second facteur à l'utilisateur.
5. Le smartphone ne servant sûrement pas qu'à recevoir des mails mais aussi à téléphoner et recevoir des SMS, devinez où va atterrir le second facteur ? Au même endroit que le premier ! 2nd facteur :
6. On passe la seconde barrière.
7. La double authentification a échoué. On peut faire ce que l'on veut.

Bref, la double authentification ne sert strictement à rien pour le grand public en pratique. Et dans le cas des SMS encore faut-il pouvoir le recevoir. J'ai du Wifi / Ethernet pour me connecter à la boîte mail via Internet mais j'ai pas de réseau mobile / j'ai plus de batterie / j'ai pas le téléphone en état de marche sous la main pour lire le SMS. Et je ne peut donc pas accéder à mon mail malgré la connexion. WTF total.

[mverhaeghe]

Ca me parait un peu fumeux quand même ce truc. Je ne dis pas que les injections SQL n'existent pas hein, mais cette boite nous explique qu'ils ont fait une enquête de 7 mois pour trouver un vol organisé par un groupe que personne connait, et que Hold security appelle Cybervor. Derrière ça, c'est : faites confiance à nos produits, venez nous donner vos mots de passe pour qu'on puisse vous dire si vous êtes dedans ou pas (et accessoirement on les stocke chez nous, faut pas se priver).

Sérieusement, c'est qui ces mecs ? ils sortent d’où ? Qui les financent ?

Pour ceux que ça intéresse, voici le communiqué de presse originale, pour ma part je trouve qu'il vaut son pesant de cahuètes pour un placement de produit

http://www.holdsecurity.com/news/cybervor-breach/

[forthx]

je doit avoir dans les 10 mots de passe, du coup si un est compromis, tout ce qui est sécurisé avec les 9 autres reste protégé. si mon empreinte digital (j'utilise pas le pouce mais l'index) est compromise... c'est autre chose, a moins d'utiliser mes 10 doigts

En outre, le scan d'empreintes génère une image, qui est identifié a une image d'origine, et généralement les 2 images ne correspondent pas au pixel près. On ne peu donc pas faire 2 hash et les comparer ! soi on valide l'empreinte localement (dans ce cas un utilise un "mot de passe" au serveur) soi on envoi l'image au serveur qui doit se charger de la comparaison, et donc posséder l'image original (et non juste un hash).

Sérieusement, c'est qui ces mecs ? ils sortent d’où ? Qui les financent ?

Un joli coup de social engineering ?

[philou44300]

Chauve souris, tu peux effectivement contourner une authentification si les champs d'authentifications ne sont pas protégés mais tout champs peut potentiellement ne pas être protégé sur un site (champs de saisie de données, champs de recherche...) ou si le site utilise du GET avec par exemple une adresse comme ca http://monSite.com?id=5 et si à la récupération de l'id pour l'utiliser dans une requête sql il n'y a pas de controle, rien ne t'empêche d'avoir une injection sql. Ensuite, en ajoutant dans le champs ou l'adresse vulnérable certains éléments pour modifier la requête sql qu'il y a derrière, on peut récupérer les tables sql et leurs contenus. Les injections sql ne servent donc pas qu'à contourner une authentification.

Moi ce que je ne comprend pas dans tout ca, c'est pourquoi ils demandent nos mots de passes s'il y a aussi les adresses mail qui ont été volés... Il suffirait qu'ils regardent juste si l'adresse mail est dans les données volées pour pouvoir nous dire si nos données ont été piratées ou non... Pas besoin donc de l'adresse mail ET de tous les mots de passes.

[Sebajuste]

Moi ce que je ne comprend pas dans tout ca, c'est pourquoi ils demandent nos mots de passes s'il y a aussi les adresses mail qui ont été volés...

Et je rajouterais, dans le cas où effectivement ils vont quand même comparer les mots de passes, que cela signifie que TOUS les sites piratés ont gentillement donnés ( vendus ? )tous les hash des mots de passes de leur utilisateurs à Hold Security.

Effectivement, ça pue cette histoire.