Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    624
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 624
    Points : 21 511
    Points
    21 511

    Par défaut Un pirate parvient à dérober des secrets militaires

    Un pirate parvient à dérober des secrets militaires
    Parce qu’un mot de passe FTP par défaut n'a pas été changé

    Les manuels de maintenance d'un drone MQ-9 ainsi que de la documentation militaire supplémentaire sont apparus sur les étals du darknet. La firme de sécurité à l’origine de l’information atteste de l’authenticité des documents proposés pour des sommes variant de 150 à 200 $.

    Nom : Reaper-docs.png
Affichages : 5763
Taille : 22,5 Ko

    Tout est parti de la mauvaise configuration d’un routeur comme rapporté par Future Recorded de ses échanges avec le pirate. Ce dernier s’est appuyé sur une vulnérabilité divulguée en 2016 à propos des Netgear Nighthawk R7000. « Si les utilisateurs ne modifient pas les identifiants par défaut pour l’accès aux fonctionnalités de partage de fichiers, les informations disponibles sur les supports de stockage connectés à ces routeurs sont visibles depuis l’extérieur », écrivait le site sfgate. En faisant usage du moteur de recherche shodan, l’intrus a pu repérer des milliers de dispositifs vulnérables, dont celui d’un officier de l’armée américaine sur une base du Nevada. Il a ensuite procédé à la pénétration desdits systèmes en se servant d’ « aptitudes techniques modérées. » « Le pirate a agi seul et a été capable d’identifier et exploiter toutes ces failles en une semaine », rapporte The Verge.

    Dans sa gibecière, l’intrus compte également des manuels d’utilisation de chars Abrams M1 et de la doc qui instruit sur la façon de contrer certains engins explosifs. Aucune source n’est formelle sur l’origine de ce dernier groupe de contenus, mais certaines rapportent que le Pentagone est également concerné par ces développements.

    Nom : maintenance docs.png
Affichages : 3551
Taille : 108,3 Ko

    Le MQ-9 est un drone capable d’opérer de façon autonome si ses possesseurs ont décidé de ne pas faire usage du mode de pilotage à distance. Il s’agit de l’une des armes les plus puissantes dont les États-Unis disposent pour le moment. Le Pentagone, le département de la Défense, la CIA et la NASA en font usage. Le fait que des tiers soient en possession de cette documentation pose donc un sérieux problème de sécurité pour les USA. Il s’agit en effet de contenus précieux pour des groupes terroristes qui pourraient ainsi en apprendre plus sur les techniques et tactiques de l’armée américaine.

    Nom : mq9.jpg
Affichages : 3658
Taille : 171,3 Ko

    Future Recorded a notifié le Département de la Sécurité intérieure des États-Unis du casse à la mi-juin. D’après la firme de sécurité, les responsables de cette administration reconnaissent que la situation est alarmante. Les investigations se poursuivent.

    Sources : Forbes, The Verge

    Et vous ?

    Comment expliquer que des tiers puissent s’emparer aussi facilement de données sensibles au sein d’administrations de ce calibre par des temps aussi marqués par des cyberattaques en tous genres ?

    Prenez-vous particulièrement les alertes sécurité au sérieux ? Sinon, quels dispositifs continuez-vous de garder vulnérables en faisant fi des règles de base en la matière ?

    Voir aussi :

    Un pirate s'empare d'une base de données du forum du jeu populaire Clash of Kings en exploitant une faille connue datant de 2013

    Ethereum : un pirate réussit à dérober l'équivalent de près de 30 millions € en s'appuyant sur une faille dans les contrats intelligents de Parity

    Un groupe de hackers aurait réussi à pirater PlayStation Network de Sony et a revendiqué l'attaque via un compte Twitter officiel de PlayStation

    Un pirate d'Anonymous déclare avoir piraté les données du NHS portant sur environ 1,2 million de patients, SwiftQueue revoit ce chiffre à la baisse

    USA : des hackers auraient piraté un système de gestion de carburant d'une station-service avant d'emporter 600 gallons de carburant
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre averti
    Profil pro
    retraité
    Inscrit en
    décembre 2010
    Messages
    144
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : décembre 2010
    Messages : 144
    Points : 307
    Points
    307

    Par défaut wow si j'ai le manuel de maintenance je peux...

    ben non, on pourrait me donner le manuel d'une bombe atomique que cela ne changerait rien.
    Donc ok il sait comment réparer/maintenir le truc et après ? oui, ok si on en pique un, ah pardon on me signale que c'est compliqué d'en piquer un.
    Fin de l'histoire

  3. #3
    Membre régulier
    Profil pro
    Inscrit en
    août 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2009
    Messages : 39
    Points : 96
    Points
    96

    Par défaut

    @archqt,
    je pense que le rédacteur voulait plus mettre en lumière le problème que si une personne arrive à se connecter à distance sur l'équipement, il pourrait lui donner une mission (de bombardement par exemple) nno désirée.
    Et d'après l'article ci-dessous, il semble que ce soit possible de prendre le controle d'un drone.
    prise de controle d'un drone par des scientifiques

  4. #4
    Futur Membre du Club
    Homme Profil pro
    Inscrit en
    septembre 2012
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : septembre 2012
    Messages : 3
    Points : 9
    Points
    9

    Par défaut

    Ce que j'ai du mal à comprendre avec ce genre d'histoires (mot de passe par défaut non changé), c'est que toujours rien n'est fait du côté des fabricants (surtout avec des clients "sensibles") pour détecter que le mot de passe par défaut est toujours le même... Une petite alerte qui détecte que le mot de passe est toujours celui par défaut ce serait trop chiant à mettre en place ? Si ce pirate a pu détecter les éléments vulnérables, d'autres entités peuvent le faire.
    Je ne dis pas que c'est forcément au constructeur de faire l'effort, c'est avant tout à l'utilisateur d'assurer sa protection mais on pourrait faire un effort des deux côtés.

  5. #5
    Membre du Club Avatar de Hermione-V
    Femme Profil pro
    Développeur web
    Inscrit en
    mars 2016
    Messages
    33
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2016
    Messages : 33
    Points : 56
    Points
    56

    Par défaut

    Un pirate parvient à dérober des secrets militaires
    Parce qu'un mot de passe FTP par défaut n'a pas été changé

    Quelle négligeance!

    Quel est le sort de ce pirate?

  6. #6
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    3 842
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Doubs (Franche Comté)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 3 842
    Points : 6 123
    Points
    6 123

    Par défaut

    Citation Envoyé par Patrick Ruiz Voir le message
    Comment expliquer que des tiers puissent s’emparer aussi facilement de données sensibles au sein d’administrations de ce calibre par des temps aussi marqués par des cyberattaques en tous genres ?
    Les militaires ont besoin d'une formation sur la sécurité informatique.
    Il faut bien faire attention à changer les mots de passe par défaut.
    On devrait leur expliquer qu'il y a des données sensible et que des gens cherchent à éxploiter des failles.

    Citation Envoyé par Patrick Ruiz Voir le message
    Prenez-vous particulièrement les alertes sécurité au sérieux ? Sinon, quels dispositifs continuez-vous de garder vulnérables en faisant fi des règles de base en la matière ?
    Je ne respect pas les protocoles de sécurité. (c'est un peu l'air con pour un informaticien...)
    Normalement il faut des mot de passes avec majuscule + minuscule + lettre + caractère spéciaux, ils ne doivent pas contenir de mot, ils doivent être unique pour chaque site (parce que si t'utilises le même partout et qu'on te le vol à un endroit t'es baisé) :
    En 8 caractères ça ferait des choses comme ça :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    U5Wf4a.:
    $xL4t4A.
    G.z4#gT4
    Kz_62De:
    z6n4]EJ&
    8b=Pi6-T
    c9Fx9/^C
    )/vHX98c
    S[8/bRd5
    @VnuJ8:9
    Mais c'est difficile à se rappeler...

    Après moi je n'ai pas d'info sensible...
    Je n'ai pas de webcam ou de micro sur mon PC, donc ça va encore.

    Citation Envoyé par Patrick Ruiz Voir le message
    Le fait que des tiers soient en possession de cette documentation pose donc un sérieux problème de sécurité pour les USA. Il s’agit en effet de contenus précieux pour des groupes terroristes qui pourraient ainsi en apprendre plus sur les techniques et tactiques de l’armée américaine.
    Il y a un paquet de clients potentiel, parce que les ennemis des USA ce n'est pas ce qui manque...

    Bon après ce ne sont que des manuels et de la documentation militaire, ça ne va pas trop loin...
    C'est pas comme quand l'Iran a capturé un drone US, a réussi à le contrôler et à créé des copies ^^
    L'Iran dévoile un drone copié sur un modèle américain capturé en 2011

    C'était pas une grande idée de faire voler un drone au dessus de l'Iran...
    L'armée américaine se permet n'importe quoi, elle se croit intouchable, elle est arrogante.

    ===
    J’espère que les armées ne vont pas trop loin dans le délire des armes connectés, parce que ça pourrait se retourner contre elles.
    Si une autre armée prend le contrôle des appareils, ça risque d'être le cirque.
    «C'est marrant les petits bouts de fromage par terre. C'est ça que vous appelez une fondue ?»

  7. #7
    Membre chevronné
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    497
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 497
    Points : 2 194
    Points
    2 194

    Par défaut

    beegeebogs> Deux choses. Premièrement, oui, les fournisseurs de matériels ou de logiciel doivent arrêter avec les mots de passes par défaut. Il faut soit que l'utilisateur ait un mot de passe généré aléatoirement, soit que celui-ci soit obligé de le changer avant que le système se mette en route la première fois. Deuxièmement, c'est à celui qui utilise le logiciel/materiel de vérifier que les mots de passe ont bien été changé. Cela peut être fait via un inventaire à jour des matériels et logiciels déployés et par l'utilisation de scanners de vulnérabilités qui peuvent détecter ça.

    Ryu> Pour les mots de passes tu peux essayer les méthodes des premières lettres ou les méthodes phonétiques, qui donnent des MDP plus facilement mémorisables. (Cf : ANSSI)
    Sans oublier les outils type Keepass (tant qu'on oublie pas le mot de passe principal ), l’authentification à deux facteurs avec par exemple Yubikey, l’authentification par certificat pour les services critiques, etc.

  8. #8
    Membre chevronné
    Avatar de Daïmanu
    Homme Profil pro
    Développeur touche à tout
    Inscrit en
    janvier 2011
    Messages
    575
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur touche à tout

    Informations forums :
    Inscription : janvier 2011
    Messages : 575
    Points : 2 054
    Points
    2 054

    Par défaut

    Citation Envoyé par archqt Voir le message
    ben non, on pourrait me donner le manuel d'une bombe atomique que cela ne changerait rien.
    Toi individuellement non, mais il existe certainement un marché noir et des États peu scrupuleux qui seront plus à mêmes d'exploiter ces documents, au moins pour analyser les capacités de l'« ennemi ».

    Et m'est avis que ce pirate n'a pas un éthique exemplaire.
    Je fais appel aux esprits de Ritchie, Kernighan, Stroustrup et Alexandrescu
    Donnez moi la force, donnez moi le courage de coder proprement !

    « Ça marche pas » n'est PAS une réponse convenable, merci de détailler le souci en fournissant l’environnement, le code source, les commandes et les messages d'erreur.

  9. #9
    Membre chevronné
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    497
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 497
    Points : 2 194
    Points
    2 194

    Par défaut

    Citation Envoyé par Ryu2000 Voir le message
    J’espère que les armées ne vont pas trop loin dans le délire des armes connectés, parce que ça pourrait se retourner contre elles.
    Si une autre armée prend le contrôle des appareils, ça risque d'être le cirque.
    En 2015, un couple de chercheurs en sécurité a démontré qu'un fusil sniper à visé automatique était piratable (le rendant inefficace voir lui faisant changer de cible) car il proposait... du wifi... : https://www.wired.com/2015/07/hacker...change-target/

  10. #10
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    3 842
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Doubs (Franche Comté)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 3 842
    Points : 6 123
    Points
    6 123

    Par défaut

    Citation Envoyé par benjani13 Voir le message
    les fournisseurs de matériels ou de logiciel doivent arrêter avec les mots de passes par défaut.
    Moi je trouvais ça super pratique, t'arrivais dans l'administration d'une livebox tu mettais "admin" - "admin" et t'étais connecté.
    Après le mot de passe par défaut c'était la clé wifi par défaut et c'est tout de suite beaucoup plus chiant que "admin".

    Ma Freebox m'a demandé de choisir un mot de passe, j'ai choisi "admin"
    Mais j'ai changé, parce qu'on peut changer le mot de passe en appuyant sur la freebox.

    Citation Envoyé par Daïmanu Voir le message
    Et m'est avis que ce pirate n'a pas un éthique exemplaire.
    Ça va... Pour des blacks hats ça n'a rien de choquant ^^
    C'est pas de la documentation pour créer une bombe non plus... (manuels d’utilisation de chars Abrams M1 et de la doc qui instruit sur la façon de contrer certains engins explosifs)

    La surveillance US doit voler des informations sensible partout dans le monde.
    Donc c'est de bonne guerre. Ce n'est que justice que les USA se fassent voler de la documentation.

    Ce qui serait marrant c'est que les backdoors installé dans différents système pour la NSA se fassent exploité par une autre force.
    Si vous avez un routeur Netgear Nighthawk R7000, n'oubliez pas de changer le mot de passe par défaut ^^
    «C'est marrant les petits bouts de fromage par terre. C'est ça que vous appelez une fondue ?»

  11. #11
    Membre expérimenté Avatar de sambia39
    Homme Profil pro
    No Comment
    Inscrit en
    mai 2010
    Messages
    412
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : No Comment
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : mai 2010
    Messages : 412
    Points : 1 388
    Points
    1 388

    Par défaut

    Bonjour,
    Il a ensuite procédé à la pénétration desdits systèmes en se servant d’ « aptitudes techniques modérées. » « Le pirate a agi seul et a été capable d’identifier et exploiter toutes ces failles en une semaine », rapporte The Verge.

    Dans sa gibecière, l’intrus compte également des manuels d’utilisation de chars Abrams M1 et de la doc qui instruit sur la façon de contrer certains engins explosifs. Aucune source n’est formelle sur l’origine de ce dernier groupe de contenus, mais certaines rapportent que le Pentagone est également concerné par ces développements.

    Future Recorded a notifié le Département de la Sécurité intérieure des États-Unis du casse à la mi-juin. D’après la firme de sécurité, les responsables de cette administration reconnaissent que la situation est alarmante. Les investigations se poursuivent.
    Et vous ?

    Comment expliquer que des tiers puissent s’emparer aussi facilement de données sensibles au sein d’administrations de ce calibre par des temps aussi marqués par des cyberattaques en tous genres ?
    Ce passage est un peu fort et élogieux. Certes, il a usé d’exploit et vulnérabilité connue, mais dire qu’en un temps donné (une semaine) il a traité toutes les machines vulnérables, c’est un peu fort.
    Je pense surtout que l’attaquant a exploité un vecteur simple. Il cartographie et obtient la liste de machines mal configurée grâce shodan. Suite ça, il a probablement configuré, utilisé et déployé des bots en fonctions de la liste avec pour objectifs testés des combinaisons/le couple «*login/password*» de son dictionnaire (téléchargeable gratuitement sur le net) voire exploité d’autre vulnérabilité et ce, jusqu’à a ce qu’il se log ou épuiser l'ensemble des techniques/vulnérabilités connus.
    L’ensemble des machines qui ont accepté le couple de logins/password sont alors répertoriées pour une ultérieure investigation. Suite a ça il faut encore pas mal de temps pour tomber sur le bon sauf, s’il sait ou chercher.

    Bref, peut-être que c’est vrai, mais je doute que l’attaquant ait passé une semaine pour traiter l’ensemble des machines cibles. Si ça se peut, il est peut-être tombé sur le serveur en question de l’armée au bout de la quatrième machine dans lequel il n'y avait des informations intéressantes. Mais s’il était question de PDF livres de cuisine recommandés par le caporal Tatane commis de cuisine je doute que l’on puisse entendre parler de piratage de documents sensible/ que l’attaquant face parler de luis
    Bref, c’est mon avis personnel je sais pas se que vous en pensé. Sinon bon article.


    Citation Envoyé par Ryu2000 Voir le message
    Je ne respect pas les protocoles de sécurité. (c'est un peu l'air con pour un informaticien...)
    Normalement il faut des mot de passes avec majuscule + minuscule + lettre + caractère spéciaux, ils ne doivent pas contenir de mot, ils doivent être unique pour chaque site (parce que si t'utilises le même partout et qu'on te le vol à un endroit t'es baisé) :
    En 8 caractères ça ferait des choses comme ça :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    U5Wf4a.:
    $xL4t4A.
    G.z4#gT4
    Kz_62De:
    z6n4]EJ&
    8b=Pi6-T
    c9Fx9/^C
    )/vHX98c
    S[8/bRd5
    @VnuJ8:9
    Mais c'est difficile à se rappeler...
    En plus qu'ils ne soient potentiellement pas faciles à retenir, l’ensemble des mots de passe ci-dessous en exemples sont largement faciles à casser pour celui qui possède une bonne machine. Dans le cas présent et à titre d'exemple, il faut a un attaquant entre 22 à 72 heures au maximum pour qu'il casse un mot de passe de la liste et entre 7 et 15 heures au minimum pour casser certains mots de passe de cette même liste.
    • 7 à 10 heures pour les mots de passe suivants: 8b=Pi6-T
    • 11 à 14 heures grand max pour les mots de passe suivants: U5Wf4a.: et S[8/bRd5
    • 16 à 72 heures grand max pour les mots de passe suivants: )/vHX98c c9Fx9/^C et @VnuJ8:9


    Le minimum de 8 mots de passe ne tient plus la route à condition d’avoir une complexité dans l’élaboration du mot de passe en utilisant diverses méthodes pour le complexifier exemple la méthode complexification se basant sur a la phonétique par exemple. Bref personnellement, une longueur de mots de passe de 12 du style "j,7[.e{79J%3" avec une hygiène de mots de passe (changement régulier de mots de passe) garantit l’essentiel. D’un autre, coter ont peut faire bête et méchant et robuste temporairement un mot de passe du style à 30 fois est bien plus robuste tout comme 20 fois le caractère espace mais déconseiller. Aux finales plus la taille du mot de passe est cours plus le mot de passe est facile trouver.

    à bientôt
    Celui qui peut, agit. Celui qui ne peut pas, enseigne.
    Il y a deux sortes de savants: les spécialistes, qui connaissent tout sur rien,
    et les philosophes, qui ne connaissent rien sur tout.
    George Bernard Shaw

  12. #12
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    3 842
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Doubs (Franche Comté)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 3 842
    Points : 6 123
    Points
    6 123

    Par défaut

    Citation Envoyé par sambia39 Voir le message
    Dans le cas présent et à titre d'exemple, il faut a un attaquant entre 22 à 72 heures au maximum pour qu'il casse un mot de passe de la liste et entre 7 et 15 heures au minimum pour casser certains mots de passe de cette même liste.
    Ouais mais il ne me semble pas qu'on puisse faire des attaques par force brut sur un site...
    Au bout de 5 essais tu vas être bloqué, au mieux il va y avoir un captcha et le but du truc c'est de bloquer les robots.

    Voici la liste des 25 mots de passe les plus populaires (et probablement les moins sûrs) de 2017
    Est-ce que vous croyez que c'est pire d'avoir comme mot de passe "c9Fx9/^C" ou "123456789" ?
    Il y a un caractère de plus dans le deuxième, donc quelque part ça augmente ça complexité (selon comment on regarde), mais je trouve que le premier semble plus sécurisé.
    C'est pareil si tu mets ton prénom + nom, tu vas avoir un long mot de passe, mais c'est pas forcément très sécurisé.

    Avoir "c9Fx9/^C" comme mot de passe, ce serait déjà beaucoup mieux que la plupart des mots de passe.
    Il y a peut être des fous de la sécurité qui n'utilisent que des mots de passe qui ressemblent à des clés WPA du genre "epgVXg8fcozKUNvoJL8WKd2l697IqAtue4r0u0KHWPGLtRFvielq7acNuTmSxmV" qu'ils changent tous les mois ^^ En les notant nulle part et en ne les sauvegardant pas dans le navigateur.
    «C'est marrant les petits bouts de fromage par terre. C'est ça que vous appelez une fondue ?»

  13. #13
    Membre chevronné
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    497
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 497
    Points : 2 194
    Points
    2 194

    Par défaut

    Ryu> Ce qu'il se passe la plupart du temps est que quelqu'un réussi à récupérer la BDD d'un site, et casse les hash des mots de passe en offline (sur GPU).

    "c9Fx9/^C" sera plus robuste que "123456789", mais comme tu le dis (avec ton exemple prenom + nom), le nombre de caractère et le charset utilisé ne sont pas les seuls critères pour qualifier la robustesse d'un mot de passe. Notamment, sa forme compte beaucoup. Il est possible de casser des mots de passes qui semblent forts car ils ont en fait une forme très commune.

    Par exemple une forme très commune est d'avoir un mot débutant avec une lettre majuscule et finissant par un nombre. Mettont que ton mot de passe était toto, et que tu le change pour "Toto1986" pour être plus robuste. Pour casser ce mot de passe, on va faire ce qu'on appelle de la mutation. Tu prend un dictionnaire de mots (qui contient surement "toto"), pour chaque mot tu créer toutes les formes possibles avec une majuscule en première lettre et une année à la fin (mettons de 1950 à 2000). Tu met tout ça dans un nouveau dictionnaire enrichie (en vrai ça peut être fait à la volée par les programmes adéquats). Tu vois ainsi que "Toto1986" n'est pas vraiment plus robuste que "toto", de par sa forme très commune.

    Un autre point assez amusant et l'analyse lexicale des mots de passes. Si tu as volé la base d'un site d'automobile, tu auras a coup sur beaucoup de mots de passes contenant des mots du lexique de l'automobile ("Ferrari21", "mercedes4ever", ...). Donc en élaborant un dictionnaire contenant plutôt du lexique automobile tu maximise tes chances de casser les mots de passes de cette base. Le dictionnaire peut même être réalisé automatiquement à partir du contenu du site en question (et ça c'est forte je trouve).

  14. #14
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    3 842
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Doubs (Franche Comté)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 3 842
    Points : 6 123
    Points
    6 123

    Par défaut

    Je suis tout à fait d'accord.
    Donc ma liste de mot de passe n'est pas trop mal , puisqu'il n'y a pas de mot trouvable dans un dictionnaire, pas de structure facile comme une majuscule au début + un nombre à la fin.
    C'est la chaos, entre minuscule, majuscule, chiffre et caractère spéciaux.

    Tu peux savoir le prénom, le nom, les passions d'un mec, si son mot de passe c'est «S[8/bRd5» ça ne va pas t'aider.
    Ok avec du brut force c'est cassable.

    ===
    Tout ça pour dire qu'il est difficile de se maintenir sécurisé.
    Le moindre petit détail peu avoir des conséquences catastrophique.
    Ceux qui font de la sécurité informatique doivent être minutieux, parce que c'est facile d'oublier un truc.
    J'aime bien penser à tout ce qui pourrait mal se passer, mais pas au point de faire dans la sécurité

    Maintenant on trouve même des failles dans les processeurs, donc qu'est-ce que tu veux faire...
    «C'est marrant les petits bouts de fromage par terre. C'est ça que vous appelez une fondue ?»

  15. #15
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    avril 2014
    Messages
    124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2014
    Messages : 124
    Points : 217
    Points
    217

    Par défaut

    si son mot de passe c'est «S[8/bRd5» ça ne va pas t'aider.
    D'après https://howsecureismypassword.net/ ca prend 13 heures à retrouver le mot de passe en force brute.

    on après il n'y a pas que le mot de passe le salage entre aussi en compte.

  16. #16
    Membre extrêmement actif
    Avatar de Ryu2000
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2008
    Messages
    3 842
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Doubs (Franche Comté)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2008
    Messages : 3 842
    Points : 6 123
    Points
    6 123

    Par défaut

    Citation Envoyé par tabouret Voir le message
    ca prend 13 heures à retrouver le mot de passe en force brute.
    Waaah mais c'est énorme !!!
    Les gens n'ont pas besoin de plus.
    Personne ne va dépenser autant de temps et d'énergie pour retrouver le mot de passe d'un type random.

    C'est déjà 1000 fois mieux que les mots de passe que la plupart des gens utilisent.
    «C'est marrant les petits bouts de fromage par terre. C'est ça que vous appelez une fondue ?»

Discussions similaires

  1. Réponses: 22
    Dernier message: 05/06/2018, 09h36
  2. Gestion des actions de maintenance préventive
    Par moilou2 dans le forum Modélisation
    Réponses: 11
    Dernier message: 04/07/2008, 09h46
  3. Sauvegarde des plans de maintenance
    Par Delphi-ne dans le forum MS SQL-Server
    Réponses: 2
    Dernier message: 28/05/2008, 11h15
  4. afficher des données a l´interieur d´un tab panel sans recharger la page
    Par makohsarah dans le forum Général JavaScript
    Réponses: 8
    Dernier message: 27/05/2008, 20h44

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo