Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 878
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 878
    Points : 98 015
    Points
    98 015

    Par défaut 86 % des MdP disponibles en texte clair de la société CashCrate avaient déjà été compromis

    86 % des MdP disponibles en texte clair de la société CashCrate avaient déjà été compromis,
    Troy Hunt s'indigne des mauvaises pratiques dans l'industrie

    Avec la multiplication des fuites de données, il est impératif de choisir des mots de passe capables de résister aux attaques de type force brute.

    Pour aider les internautes à trouver un bon mot de passe, les initiatives se sont multipliées : certains services proposent de générer des mots de passe, d’autres d’analyser un mot de passe avant son utilisation et d’en proposer un qui serait meilleur. Mais Troy Hunt, l'expert en sécurité derrière le site Web "Have I Been Pwned” a choisi une approche différente : faire une base de données des mots de passe qui ont été précédemment compromis.

    Début août, il a livré la première version d’une fonctionnalité qu’il a baptisé Pwned Passwords, une base de données de 320 millions de mots de passe à éviter car compromis. Il est revenu à la charge en février 2018 avec la seconde version de cette fonctionnalité qui, cette fois-ci, comprend plus d’un demi-milliard de mots de passe compromis.

    Le principe est simple. Comme il l’explique aux propriétaires de sites Web : « Une fois qu'un mot de passe est apparu dans une violation de données et qu'il finit par “flotter” sur le Web, étant donc à la merci de toutes sortes de parties malfaisantes, ne laissez pas vos clients utiliser ce mot de passe ! ». Optimiste, il est allé sur l’hypothèse selon laquelle de nombreuses organisations ont pris cette approche et ont utilisé le service pour garder les mauvais mots de passe connus hors de leurs systèmes.

    « Mais je me suis toujours demandé : quel pourcentage de mots de passe serait donc bloqué ? Je veux dire que si vous aviez 1 million de personnes dans votre système, est-ce le quart d'entre elles utilisent des mots de passe précédemment compromis ? La moitié ? Plus ? »

    Pour apporter une estimation à son interrogation, mais également pour tester son hypothèse de l’approche de liste noire adoptée par les organisations, il a opté pour une méthodologie : « Ce dont j'avais besoin pour tester ma théorie était une violation de données qui contenait des mots de passe en texte clair, avait un volume important de mots de passe, que je n’avais pas encore vue auparavant et qui ne faisait pas partie des sources que j'ai utilisées pour créer la liste Pwned Passwords en premier lieu ».

    Bingo !

    Fin avril 2018, CashCrate a déclaré avoir été victime d’un piratage en 2016 qui s’est soldé par la compromission de 6,8 millions de données parmi lesquelles les noms, les adresses physiques et mail, et une combinaison de pseudonyme/MdP dont certains étaient en texte clair (2,23 millions sur les 6,8 millions) et d’autres étaient hashés.

    Rendu à ce niveau, il était donc possible de répondre à cette question : combien d'abonnés à CashCrate utilisaient des mots de passe déjà connus pour avoir été compromis ?

    Nom : mdp.png
Affichages : 1573
Taille : 224,3 Ko

    Hunt assure « Qu’au total, il y avait 1 910 144 mots de passe sur les 2 232 284 qui figuraient dans le jeu de mots de passe Pwned. En d'autres termes, 86% des abonnés utilisaient des mots de passe déjà divulgués dans d'autres violations de données et disponibles aux attaquants en texte clair ».

    Par ordre de prévalence, il s’agissait de :
    • 123456
    • 123456789
    • qwerty
    • password
    • 111111
    • 12345678
    • abc123
    • password1
    • 1234567
    • 12345

    « Vous ne pouvez pas utiliser "12345" - ce n'est pas assez long - et son apparence en position 10 ci-dessus indique probablement qu’une politique de mot de passe encore plus faible a été mise en place par le passé. Évidemment, les critères de mot de passe sont terribles, mais j'apprécie que certaines personnes puissent suggérer que la nature du site prédispose les gens à faire des choix terribles de mot de passe (c'est un site de «cash-for-surveys») », s’est indigné Troy.

    Il s’est également intéressé à certains des mots de passe CashCrate qui se trouvaient déjà dans son jeu de données. Il en a trouvé qu’il n’avait jamais remarqué auparavant. Pour protéger le mot de passe source et illustrer ses dires, il a décidé de remplacer plusieurs caractères dans les mots de passe suivant :
    • D*lishmars3an0eei3
    • 20921147_bronzegoddess
    • cookiecocospike3278
    • Jonathan.Evans!@34
    • anchorage alaska
    • nikki i love u
    • i like to have sex

    « Je n'ai pas substitué de caractères dans les 3 derniers parce que je voulais illustrer que même les phrases de passe peuvent être inutiles une fois exposées. Avoir un bon mot de passe ne suffit pas, l'unicité compte toujours énormément », a insisté Troy.

    Nom : Mdp_1.png
Affichages : 1129
Taille : 44,2 Ko

    Alors, quels mots de passe n'étaient pas déjà dans Pwned Passwords ? Comme on pouvait s'y attendre, certains des plus populaires ont été nommés d'après le site lui-même :
    • cashcrate123
    • CashCrate
    • mycashcrate
    • cashcreate
    • cashcrate.com
    • etarchsac

    « Parmi ceux qui revenaient souvent figuraient des mots de passe horriblement pensés, par exemple des combinaisons de nombres ou le nom d'une personne suivi d'un nombre (quelques variantes assez uniques sont apparues plusieurs fois suggérant la création possible d'un compte bidon). Tout cela va figurer dans la prochaine version de Pwned Passwords qui sortira une fois qu'il y aura un volume suffisant de nouveaux mots de passe ».

    Pourquoi est-il important de le rappeler ?

    Tout d’abord pour sensibiliser les utilisateurs, qui pourraient voir leurs données entre les mains de personnes malveillantes.

    Ensuite pour rappeler le rôle des administrateurs de site, qui doivent veiller au mieux à la sécurité des données des utilisateurs par exemple avec des règles plus strictes concernant les mots de passe (renouvellement après une certaine période, utilisation d’une liste noire de mots de passe, etc.).

    Comme le rappelle Hunt, « Si vous êtes responsable de l'administration d'un site Web, comment allez-vous être résilient contre les attaquants qui viennent sur votre site avec les noms d'utilisateur et les mots de passe légitimes de vos membres ? »

    Source : Troy Hunt

    Et vous ?

    Selon-vous, se servir d'une liste noire dans sa politique relative aux mots de passe est-il plus sécurisant ?
    Comment vous-y prenez-vous pour choisir vos mots de passe ?
    En tant qu'administrateur, quelles dispositions avez-vous prises pour vous assurer que les mots de passe des utilisateurs soient les plus sécurisés possible ?

    Voir aussi :

    Un expert en sécurité propose une liste de 320 millions de mots de passe à éviter pour renforcer la sécurité sur le Web
    Classement des pires MdP 2017 : « 123456 » en tête et « starwars » refait surface que conseillez-vous pour adopter des MdP difficiles à pirater ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre émérite
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    juin 2006
    Messages
    1 603
    Détails du profil
    Informations personnelles :
    Âge : 48
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juin 2006
    Messages : 1 603
    Points : 2 466
    Points
    2 466

    Par défaut

    test #1 a faire sur les sites : cliquer sur "mot de passe oublie"
    si on recois le mail avec notre mot de passe. on peut supprimer le site de ses favoris et appeler la CNIL ^^
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

  3. #3
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 587
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 587
    Points : 7 321
    Points
    7 321

    Par défaut

    Citation Envoyé par Doksuri Voir le message
    on peut supprimer le site de ses favoris et appeler la CNIL ^^
    Tu peux d'office supprimer Pôle emploi.
    C'est aussi le cas d'Ameli il me semble, je me souviens plus trop pour ce dernier...
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

Discussions similaires

  1. Centrer des images et du texte dans un tableau
    Par hstlaurent dans le forum Balisage (X)HTML et validation W3C
    Réponses: 8
    Dernier message: 30/08/2005, 16h34
  2. Mise en évidence des différences entre 2 textes
    Par Dranor dans le forum Algorithmes et structures de données
    Réponses: 3
    Dernier message: 19/07/2005, 22h53
  3. Des styles pour le texte et les liens dans la meme div?
    Par Donkey' Shot dans le forum Mise en page CSS
    Réponses: 4
    Dernier message: 26/01/2005, 20h03
  4. [VBA]Obtenir les noms des polices disponibles
    Par xp dans le forum VBA Access
    Réponses: 2
    Dernier message: 04/03/2004, 15h39
  5. Extraction des phrases d'un Texte
    Par LE CHAKAL dans le forum Langage
    Réponses: 6
    Dernier message: 19/08/2002, 21h23

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo