IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

GitHub victime d’une grande campagne d’attaques par force brute


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 426
    Points : 32 558
    Points
    32 558
    Par défaut GitHub victime d’une grande campagne d’attaques par force brute
    GitHub victime d’une grande campagne d’attaques par force brute
    impliquant près de 40 000 adresses IP

    GitHub, la célèbre plateforme d’hébergement de projets open source, a été victime d’une grande campagne d’attaques sans précédent qui a impliqué quasiment 40000 adresses IP suspectes. L’attaque par force brute a permis la compromission de plusieurs mots de passe.

    Tout comme dans le cas de Java.Tomdep, les comptes protégés par des mots de passe faibles ont fait rapidement les frais de cette attaque.

    Github tient néanmoins à rassurer ses utilisateurs. « Nous avons fait des mails aux utilisateurs dont les comptes ont été compromis pour leur indiquer la démarche à suivre. Leurs mots de passe ainsi que leurs clés SSH ont été réinitialisés. Par mesure de sécurité, certains comptes bien que protégés par des mots de passe forts ont dû être réinitialisés, eux aussi. Ceci parce que l’activité dans ces comptes provenait d’adresses IP impliquées dans l’attaque. », lit-on sur la page officielle.

    Les contres mesures sont simples. Github recommande aux utilisateurs de créer des mots de passe forts, mais aussi d’utiliser l’authentification à deux facteurs. De plus, pour pousser les utilisateurs à adopter les bonnes habitudes, désormais, les mots de passe faibles ne seront plus acceptés par la plateforme.

    Par ailleurs, Github recommande aussi aux utilisateurs de consulter, et ce régulièrement, l’historique de sécurité de leurs comptes. Ce dernier permet d’avoir accès aux différents fichiers journaux liés à la connexion au compte. Il est accessible depuis l’option de configuration des paramètres du compte.

    Source : blog Github

    Et vous ?

    Votre compte a-t-il été compromis ?

    Quelles sont les bonnes pratiques pour créer un mot de passe fort ?

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    1 234
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 1 234
    Points : 2 809
    Points
    2 809
    Par défaut
    Quel est l’intérêt pour un pirate d'attaquer une plateforme tel que github ?

    je comprends pas. insérer du code malicieux dans les projet hébergés ?

  3. #3
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 933
    Points
    3 933
    Par défaut
    Citation Envoyé par cuicui78 Voir le message
    Quel est l’intérêt pour un pirate d'attaquer une plateforme tel que github ?

    je comprends pas. insérer du code malicieux dans les projet hébergés ?
    Récupérer des informations entre autre.

    Quelles sont les bonnes pratiques pour créer un mot de passe fort ?
    On le répètera jamais assez mais un mot de passe fort c'est :

    8 caractères minimum (et encore j'aurais tendance à dire 12 maintenant).
    Chiffres, lettres ET caractères spéciaux.
    Aucun lien entre les différents caractères (veiller à ce que ça ne forme pas un mot (même en Leet il existe des dictionnaires) et à ce que ça ne soit pas rattachable à vous (date de naissance de votre chien, enfant, de vous, ... ) )
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  4. #4
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2011
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : mai 2011
    Messages : 13
    Points : 50
    Points
    50
    Par défaut
    Envoyé par cuicui78
    Quel est l’intérêt pour un pirate d'attaquer une plateforme tel que github ?
    La possibilitée de récupérer les dépots privé j'imagine.

  5. #5
    Membre actif Avatar de CapFlow
    Homme Profil pro
    Étudiant
    Inscrit en
    octobre 2011
    Messages
    72
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : octobre 2011
    Messages : 72
    Points : 220
    Points
    220
    Par défaut
    Citation Envoyé par Mr_Exal Voir le message
    On le répètera jamais assez mais un mot de passe fort c'est :
    Tu as raison on ne le répètera jamais assez.
    Un mot de passe fort c'est pas forcément ce que tu dis : %E6d-_E&c

    Iam1suPerDog (I am un super dog)

    c'est aussi un bon mot de passe par exemple ^^

  6. #6
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 933
    Points
    3 933
    Par défaut
    Citation Envoyé par CapFlow Voir le message
    Tu as raison on ne le répètera jamais assez.
    Un mot de passe fort c'est pas forcément ce que tu dis : %E6d-_E&c

    Iam1suPerDog (I am un super dog)

    c'est aussi un bon mot de passe par exemple ^^
    Bon oui mais plus facilement cassable
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  7. #7
    Membre expert
    Avatar de MarieKisSlaJoue
    Homme Profil pro
    Ingénieur Cloud
    Inscrit en
    mai 2012
    Messages
    1 109
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Roumanie

    Informations professionnelles :
    Activité : Ingénieur Cloud
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2012
    Messages : 1 109
    Points : 3 421
    Points
    3 421
    Billets dans le blog
    20
    Par défaut
    Citation Envoyé par Mr_Exal Voir le message
    Bon oui mais plus facilement cassable
    Alors la il va falloir argumenté. Car mathématiquement, donc par force brute. Iam1suPerDog sera trouvé après %E6d-_E&c.
    A moins que tu es un article qui dit que les attaque par dictionnaire contienne maintenant des phrase et test divers combinaisons sur cette phrase ?

    ps : même si j'avoue que mon schéma de mdp respecte plus le tien que celui de la phrase.
    Ce post à été écrit par un panda
    Apollo 11 - AGC revue de code
    -- qwerty keybord

  8. #8
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 248
    Points
    2 248
    Par défaut
    Quelles sont les bonnes pratiques pour créer un mot de passe fort ?

    A mon avis, les véritables bonnes pratiques pour créer un mot de passe fort, ce n'est pas un mot de passe imbitable genre AR42#zTan. Impossible à retenir, encore plus dans un contexte où il faut connaitre de plus en plus de mots de passe, ça reste court et pas forcément si sûr que ça. Et on finit fatalement par le noter quelque part.

    Facile à retenir et difficile à casser, la phrase clé, comme : Le_matin,_Albert_préfère_3_crêpes_à_5_pancakes_!

    On a des majuscules, des caractères accentués, des caractères spéciaux et même des chiffres.

    Un bon début serait que toutes les plateformes acceptent des mots de passe de cette longueur, parce que c'est loin d'être le cas...

    Ensuite, il y a l'implémentation de la plateforme qui joue beaucoup. Personnellement, dans la plupart des cas, je ne comprends pas que les attaques par force brute puissent encore fonctionner. Ca présuppose qu'on puisse soumettre des milliers voire des millions d'essais par seconde. Or, la plupart du temps, il n'y a pas de raison de permettre une telle chose. En imposant simplement un seul essai par seconde, pour casser un mot de passe par force brute, on passe d'un délai de quelques heures à quelques siècles, en gros. Et un utilisateur humain ne remarquera même pas que cette limite existe.

  9. #9
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 933
    Points
    3 933
    Par défaut
    Citation Envoyé par MarieKisSlaJoue Voir le message
    Alors la il va falloir argumenté. Car mathématiquement, donc par force brute. Iam1suPerDog sera trouvé après %E6d-_E&c.
    A moins que tu es un article qui dit que les attaque par dictionnaire contienne maintenant des phrase et test divers combinaisons sur cette phrase ?

    ps : même si j'avoue que mon schéma de mdp respecte plus le tien que celui de la phrase.
    J'ai pas de sources mais ça se trouve et surtout ça se construit.

    Citation Envoyé par Traroth2 Voir le message
    Un bon début serait que toutes les plateformes acceptent des mots de passe de cette longueur, parce que c'est loin d'être le cas...
    J'ai jamais compris l'absurdité de mettre un nombre de caractères maximums pour un mot de passe ...
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  10. #10
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 014
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 014
    Points : 22 932
    Points
    22 932
    Par défaut
    Citation Envoyé par Mr_Exal Voir le message
    J'ai jamais compris l'absurdité de mettre un nombre de caractères maximums pour un mot de passe ...
    Encore heureux qu'il y ai un nombre de caractères maximums.
    Ne pas avoir de caractères maximums est une faille de sécurité très importante. Il suffit juste d'envoyer un mot de passe de 4096 caractères (pris au pif) pour que le calcul du hash soit très coûteux.
    Dès lors, il suffit de "flooder" de mot de passe très longs pour faire une attaque ddos .
    D'ailleurs, un service était tombé à cause de cela il y a quelques mois il me semble, il faudrait reparcourir les actualités.

    Le problème n'est pas le fait qu'il y ai un maximum pour le nombre de caractères d'un mot de passe mais plutôt que ce maximum est vraiment trop faible.

    Sinon, il faut faire attention pour les phrases, les attaques par dictionnaires ne contiennent pas des mots mais des mots de passe très fréquent.
    Donc un mot de passe :
    Aller_les_bleu_vous_êtes_les_meilleurs
    Ne sera pas forcément sûr s'il est utilisé par trop de personnes.

    Ensuite, rien n'interdit de créer un dictionnaire avec les "bouts" de mots de passes les plus fréquents pour pouvoir attaquer ce genre de mots de passes.

    Et puis les passphrases ne résolvent pas vraiment le problème :
    Il faudrait avoir un mot de passe différent par comptes/sites et le changer régulièrement.
    Personnellement, je ne pense pas pouvoir retenir 30 mots de passes que je changerais tous les mois .
    J'utilise donc un logiciel qui me génère des mots de passes auxquels j'ajoute quelques caractères puis j'utilise le même logiciel pour les stocker.
    Je n'ai ensuite qu'un seul mot de passe à connaître.

    L'idéal, sera d'avoir un petit objet non relié à un réseau sur lequel on puisse stocker et visualiser nos mots de passes grâce à un unique mot de passe. Après, il ne faudrait pas qu'on puisse le voler ou le perdre aussi (ni le casser d'ailleurs)... Donc en gros une sorte de PDA indestructible qu'on nous implanterait sous la peau

    Après, un autre gros problème, c'est changer les mots de passes.
    Il faudrait pouvoir, au sein d'un logiciel et quel que soit le site, changer le mot de passe automatiquement juste en renseignant l'ancien mot de passe et en donnant un nouveau mot de passe.
    En gros, le logiciel se lance tous les mois/ans, on renseignes tous nos mots de passes ainsi que de nouveaux mots de passes et voilà

    Mais bon :
    - déjà il faudrait être vraiment parano ;
    - et puis la NSA elle n'a pas besoins de nos mots de passes pour accéder à nos comptes .

  11. #11
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 933
    Points
    3 933
    Par défaut
    Citation Envoyé par Neckara Voir le message
    L'idéal, sera d'avoir un petit objet non relié à un réseau sur lequel on puisse stocker et visualiser nos mots de passes grâce à un unique mot de passe. Après, il ne faudrait pas qu'on puisse le voler ou le perdre aussi (ni le casser d'ailleurs)... Donc en gros une sorte de PDA indestructible qu'on nous implanterait sous la peau
    Comme l'authenticator Bnet en gros sauf qu'il est crackable également (on m'a "piraté" mon compte Bnet 4 fois alors qu'il était en place ...)

    Pour le Ddos limiter le nombre de requêtes par ip c'est déjà une bonne chose (tous les serveurs ne le font pas).
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  12. #12
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 014
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 014
    Points : 22 932
    Points
    22 932
    Par défaut
    Citation Envoyé par Mr_Exal Voir le message
    Comme l'authenticator Bnet en gros sauf qu'il est crackable également (on m'a "piraté" mon compte Bnet 4 fois alors qu'il était en place ...).
    D'après ce que j'ai lu, pas vraiment.
    Ce dont tu parles a plus l'air de ressembler aux clés qu'on donne aux enseignants qui génère un nombre toutes les 5 secondes qu'il faut renseigner sur le site pour pouvoir rentrer les notes des élèves.

    Là je pensais plus à un support de stockage de mots de passes.

  13. #13
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 933
    Points
    3 933
    Par défaut
    Citation Envoyé par Neckara Voir le message
    D'après ce que j'ai lu, pas vraiment.
    Ce dont tu parles a plus l'air de ressembler aux clés qu'on donne aux enseignants qui génère un nombre toutes les 5 secondes qu'il faut renseigner sur le site pour pouvoir rentrer les notes des élèves.

    Là je pensais plus à un support de stockage de mots de passes.
    Autant pour moi
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  14. #14
    Membre averti
    Profil pro
    Inscrit en
    mars 2013
    Messages
    397
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2013
    Messages : 397
    Points : 424
    Points
    424
    Par défaut
    C'est triste quand même.
    Il faudrait forcer systématiquement les gens à créer des mots de passe fort.
    Ca se fait déjà depuis longtemps, mais apparemment pas comme il faudrait.
    Trojan>botnet>bruteforcing, c'est du niveau débutant, et il y a en de plus en plus.

    Ca pourrait même être un malware clef en main acheté par un ado..

  15. #15
    Nouveau membre du Club
    Profil pro
    Inscrit en
    mars 2007
    Messages
    16
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2007
    Messages : 16
    Points : 25
    Points
    25
    Par défaut
    Un mot de passe vraiment fort est un mot de passe utilisé à un seul endroit.
    Les conséquences de la pratique inverse (utiliser le même mot de passe partout), mets les utilisateurs en danger.
    Les services peuvent bien faire tout ce qu'ils peuvent pour protéger les secrets de leurs utilisateurs (hum hum), si un mot de passe fuit, il fuit pour tous les endroits où l'utilisateur l'utilise.
    Seuls les utilisateurs peuvent régler ce problème ... sic.
    D'où l'intérêt de l'attaque.

  16. #16
    Membre régulier
    Profil pro
    Inscrit en
    septembre 2009
    Messages
    61
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2009
    Messages : 61
    Points : 99
    Points
    99
    Par défaut
    Password Strength, [xkcd.com]


  17. #17
    Membre averti
    Profil pro
    Inscrit en
    mars 2013
    Messages
    397
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2013
    Messages : 397
    Points : 424
    Points
    424
    Par défaut
    Etonnant..
    Je n'aurais pas pensé qu'un password simple mais long puisse être à ce point meilleur.

  18. #18
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 014
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 014
    Points : 22 932
    Points
    22 932
    Par défaut
    Citation Envoyé par n5Rzn1D9dC Voir le message
    Etonnant..
    Je n'aurais pas pensé qu'un password simple mais long puisse être à ce point meilleur.
    Pas vraiment car si on prend un dictionnaire de 10 000 mots, 4 petits mots c'est 1.10^16 possibilités.
    Un mot de passe "correct" de 8 caractères dépasse assez facilement 1.10^16 possibilités.
    Et encore, si on utilise du code ASCII/ASCII étendu.
    Si on utilise d'autres encodages (ex utf-8) avec des caractères spéciaux on peut dépasser les 1.10^19 possibilités.

  19. #19
    Membre averti
    Profil pro
    Inscrit en
    mars 2013
    Messages
    397
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2013
    Messages : 397
    Points : 424
    Points
    424
    Par défaut
    Mais alors qu'est-ce qu'un bon mot de passe de 8 caractères ?
    Parce que dans l'exemple de la bd, il y a 3 chiffres + 1 spé + min/maj.
    Je pensais que c'était bon (bien que mes mots de passe font bien plus de 8 caractères).

  20. #20
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 014
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 014
    Points : 22 932
    Points
    22 932
    Par défaut
    Citation Envoyé par n5Rzn1D9dC Voir le message
    Mais alors qu'est-ce qu'un bon mot de passe de 8 caractères ?
    Parce que dans l'exemple de la bd, il y a 3 chiffres + 1 spé + min/maj.
    Je pensais que c'était bon (bien que mes mots de passe font bien plus de 8 caractères).
    Idéalement ce serait un choix aléatoire pour chaque caractères parmi tout ceux possibles avec une probabilité équiprobable pour chaque possibilité.

    Ensuite, on regarde le mot de passe et s'il ne comporte que des chiffres (par exemple), on recommence.

    Après, je pense que 2 caractères dans un mot de passe est à peu près équivalent à 1 "mot" dans une phrase.

    Donc rien n'empêche de mixer les deux pour avoir quelque chose de plus facile à retenir mais qui soit très difficile à attaquer.

Discussions similaires

  1. GitHub victime d’une attaque DDoS depuis plus de 5 jours
    Par Amine Horseman dans le forum Sécurité
    Réponses: 2
    Dernier message: 04/04/2015, 23h47
  2. Réponses: 0
    Dernier message: 16/03/2009, 10h54
  3. Réponses: 6
    Dernier message: 25/06/2008, 12h12
  4. Réponses: 2
    Dernier message: 14/06/2007, 11h59

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo