Discussion :

[Stéphane le calme]

Les MdP trop faibles sont devenus une menace majeure, rendant nécessaire l’authentification multifacteur,
d'après le dernier rapport WatchGuard

WatchGuard Technologies a annoncé les résultats de son Rapport sur la Sécurité Internet pour le second trimestre 2018, qui entre dans le détail des plus récentes menaces de sécurité qui affectent les PME et les entreprises dites distribuées. Ce nouveau rapport réalisé par le WatchGuard Threat Lab révèle que 50% des mots de passe LinkedIn utilisés par des membres du corps militaire et d’agences gouvernementales américaines ont pu être « craqués » en moins de deux jours. Ce résultat, ajouté à l’émergence du malware de vol d’identifiants Minikatz en tant que menace majeure et à la popularité des attaques de login par force brute à destination des applications web, souligne le fait que les mots de passe seuls ne sont plus en mesure d’offrir une sécurité suffisante, et renforce le besoin d’opter pour des solutions d’authentification multifacteur (MFA) dans toutes les organisations.

« L’authentification est le fondement de la sécurité et l’évidence de son importance critique est confirmée par la recrudescence des attaques ciblant les mots de passe et les identifiants tout au long du deuxième trimestre 2018, » déclare Corey Nachreiner, CTO au sein de WatchGuard Technologies. « Qu’ils s’appuient sur un malware de vol d’identifiants ou sur une attaque de login par force brute, les cybercriminels concentrent aujourd’hui leur attention sur le « craquage » de mots de passe pour accéder facilement aux réseaux et aux données sensibles. Ces tendances motivent le développement de nouvelles technologies innovantes au sein de notre gamme de produits, au nombre desquelles compte AuthPoint, notre solution d’authentification multifacteur basée dans le cloud ainsi que notre service IntelligentAV, qui utilise trois moteurs de détection pour identifier les souches de malwares qui contournent les antivirus traditionnels basés sur des signatures. Toutes les entreprises devraient privilégier des éditeurs et des fournisseurs de solutions qui offrent une protection multicouche contre ces techniques d’attaque en constante évolution. »

Les informations, les recherches et les meilleures pratiques en matière de sécurité dévoilées chaque trimestre au sein du Rapport sur la Sécurité Internet de WatchGuard sont conçues pour aider les entreprises de toutes tailles à comprendre l’évolution actuelle des cybermenaces et à mieux s’en protéger ainsi que leurs partenaires et clients. Les principales conclusions du rapport du second trimestre 2018 sont les suivantes :

Environ la moitié des mots de passe utilisés par des membres du corps militaire et d’agences gouvernementales américaines sont trop faibles. Après une analyse attentive des transferts de données LinkedIn en 2012 visant à identifier des tendances sur la robustesse des mots de passe utilisés par ses membres, l’équipe du Threat Lab de WatchGuard a découvert que la moitié des mots de passe associés aux domaines email « .mil » and « .gov » au sein de la base étaient objectivement trop faibles. Parmi les 355 023 mots de passe gouvernementaux et militaires, 178 580 d’entre eux ont été « craqués » sous deux jours. Au nombre des mots de passe les plus couramment utilisés par ces comptes, on retrouve « 123456 », « password » « linkedin », « sunshine », et « 111111 ». L’équipe a également constaté qu’un peu plus de 50% des mots passe associés à des comptes civils étaient trop faibles. Ces résultats illustrent la nécessité pour tous de disposer de mots de passe plus robustes, et l’importance pour les agents gouvernementaux d’instaurer un niveau de sécurité plus élevé dans la mesure où ils détiennent potentiellement des informations sensibles. Toutes les entreprises devraient s’orienter vers des solutions d’authentification multifacteur pour réduire le risque de fuite de données, et mettre en place des sessions de formation et des procédures plus efficaces en matière de mots de passe.

Mimikatz a été le malware le plus fréquemment rencontré au cours du deuxième trimestre. Représentant 27,2% des 10 principaux malwares enregistrés lors de ce trimestre, Mimikatz est un malware bien connu de vol de mots de passe et d’identifiants ; populaire depuis quelques trimestres, il n’avait jamais jusqu’ici occupé la première place. Cet engouement pour Mimikatz suggère que les attaques ciblant l’authentification et les vols d’identifiants figurent toujours parmi les priorités des cybercriminels – un indicateur supplémentaire attestant que les seuls mots de passe ne sont plus une mesure de sécurité suffisante et qu’ils devraient être complétés par des services d’authentification multifacteur pour pouvoir s’ériger en barrage efficace contre les pirates.

Plus de 75% des attaques de malwares sont délivrées via le web. Au total, 76% des menaces au cours du deuxième trimestre ont été véhiculées via le web, ce qui suggère que les entreprises ont besoin de mettre en place des mécanismes d’inspection HTTP et HTTPS pour prévenir la vaste majorité des attaques. Classé quatrième parmi les attaques les plus fréquentes, « WEB Brute Force Login -1.1021 » permet à des attaquants de générer un déluge massif de tentatives de connexion à destination des applications web en exploitant en peu de temps un nombre infini de combinaisons aléatoires pour craquer des mots de passe. Cette attaque en particulier est un nouvel exemple de l’intérêt accru que les cybercriminels portent aux vols d’identifiants, et montre l’importance de mettre en place non seulement des mots de passe complexes, mais également des solutions multifacteur en tant que mesure préventive efficace.

Les mineurs de cryptomonnaie rentrent dans le Top 10 des malwares. Comme anticipé au trimestre précédent, les cryptomineurs malicieux connaissent une popularité croissante en tant que tactique d’attaque, et font leur entrée dans le Top 10 des malwares listés par WatchGuard au deuxième trimestre. Au cours de ce trimestre, Cryptominer.AY fait figure de cryptomineur numéro 1 ; il correspond à un cryptomineur JavaScript appelé « Coinhive » qui utilise les ressources de l’ordinateur de ses victimes pour miner la cryptomonnaie populaire Monero (XRM). Les données montrent que les Etats-Unis ont été la principale victime-cible de ce cryptomineur, recueillant environ 75% du volume total des attaques.

Les cybercriminels continuent de s’appuyer sur des documents Office malicieux. Les acteurs de menaces continuent de piéger des documents Office, en exploitant d’anciennes vulnérabilités de la suite Microsoft pour abuser leurs victimes. Résultat intéressant, trois nouveaux malwares Office sont rentrés dans le Top 10 du rapport WatchGuard, et 75% des attaques réalisées par ces malwares ont ciblé la zone EMEA et tout particulièrement l’Allemagne.

Source : rapport (au format PDF)

Voir aussi :

Thunderbird 60.0 : le client de messagerie libre fait peau neuve avec le design Photon de Firefox, et supporte la norme d'authentification FIDO U2F
npm : l'authentification à deux facteurs rendue obligatoire en bêta pour les mainteneurs sur les paquets indiqués comme protégés
Microsoft va imposer l'authentification multifacteurs sur les comptes admin d'Azure AD pour réduire le risque quand un mot de passe est compromis
Le W3C publie une nouvelle norme d'authentification, qui permet de se connecter de manière sécurisée aux applications Web sans saisir de mots de passe
Quelles sont les règles à suivre pour concevoir un bon système d'authentification ? Un architecte de Google propose une liste de 12 bonnes pratiques

[transgohan]

On peut dès maintenant lancer le licenciement de tous les Charlie, Hannah, Summer, Maggie et Daniel, ainsi que de toutes les personnes ayant un enfant ou une femme avec ce prénom, dans les services américains dans ce cas.

Quoi ? Mais non qu'allez vous penser... C'est pour la sécurité de l'Etat voyons !

[marsupial]

La solution authentification matérielle (clé usb, carte à puce,... ) + mot de passe devient ultime lorsqu'on voit les mdp utilisés. En plus cela guérit du phishing !

Sinon, voir que 2 tiers des malwares reposent sur des failles connues, je me dis qu'il reste du travail côté administration...

[tanaka59]

Mettre une authentification à deux facteurs me fait doucement tousser ... hum , hum , hum .

Vous êtes malade , vous avez un invalidité , vous venez à décédé ... le système nominatif à deux facteurs va empêcher vos ayant droits ou héritiers de pouvoir entamer des démarches administratives !

A deux reprise cette année dans mon entourage j'ai eu echo de personnes âgées décédées , c'est le boxon pour faire les démarches avec les divers administrations , énergies , télécoms ... Les relances papiers suite à des comptes bloqués ...

Ne parlons pas des adresses mails ou numéros de téléphones bloqués pendant ce type de démarches , avec les changements nominatifs ou les risques de résiliations .

Un système de "personnes de confiances" , ainsi que qu'un notaire ou un avocat devrait pouvoir accès à certains services , certes même de manière limité ou dégradé .

Une technique "simple" pour du double facteur, pour des sites commerciaux ou non officiels c'est changer le mot de passes à chaque connexion ... Genre sur Amazon , ou Auchan ou SNCF > 1 connexion = 1 mot de passe . Aujourd'hui "porque-pic " demain "troubadour" ...

[Neckara]

Ou tout simplement utiliser un gestionnaire de mots de passes.

[vanquish]

On peut dès maintenant lancer le licenciement de tous les Charlie, Hannah, Summer, Maggie et Daniel,...

Ou virer les informaticiens qui ont permis la saisie de ce type de mot de passe.
"123456" et autres mot de passe de 6 caractères ; sans dec' !

Qu'un utilisateur ne soit pas bien conscient des problèmes de sécurité informatique, on peut comprendre.
C'est moins pardonnable pour un gars dont c'est le boulot.

[zecreator]

Ou virer les informaticiens qui ont permis la saisie de ce type de mot de passe.
"123456" et autres mot de passe de 6 caractères ; sans dec' !

Qu'un utilisateur ne soit pas bien conscient des problèmes de sécurité informatique, on peut comprendre.
C'est moins pardonnable pour un gars dont c'est le boulot.

Je suis d'accord, mais c'est à double tranchant. Si les mots de passe sont trop faibles, les développeurs croulent sous les intrusions. Si les mots passe sont trop complexes, ils croulent sous les demandes de "mot de passe perdu".
En fait, il faudrait inventer un autre moyen de s'identifier, le mot de passe, on va pas se mentir, ça emmerde tout le monde.

"Ta vie est un mot de passe".

[zecreator]

Ou tout simplement utiliser un gestionnaire de mots de passes.

Une boite, accessible par n'importe quel hacker, et qui lui donne accès à toute ta vie. Bof!

[zecreator]

On peut imaginer qu'à chaque connexion, un code unique à 4 ou 5 chiffres soit envoyé par SMS ou email à l'utilisateur. Que ce code doit être renseigné pour ce connecté, et qu'après 3 échecs, le compte est bloqué pour 1h, 3h, 12h, 24h...

Bien sûr, ça va faire râler l'utilisateur, mais au moins si son mot de passe se fait voler, le hacker ne pourra pas aller plus loin...

[Rokhn]

Une boite, accessible par n'importe quel hacker, et qui lui donne accès à toute ta vie. Bof!

Hein ?! J'comprends pas ? Si ton PC n'est pas infecté, que la clé du KeePass est forte & que tu t'amuses pas à l'upload sur GitHub, y'a peu de chance de te faire chourer tes mots de passes qui se trouvent à l'intérieur.

Alors oui une Z-day sur le chiffrement du fichier de KeePass pourra potentiellement faire des ravages, mais si l'accès à ton PC n'est pas compromis, je vois pas le problème en fait.
Et on pourra dire tout ce qu'on veut, c'est bien mieux qu'un excel ou un mot de passe universel

[zecreator]

mais si l'accès à ton PC n'est pas compromis

70% des PC des utilisateurs sont compromis, à cause de malwares téléchargés en masse (tiens, un crack pour Photoshop, cool !).

[Neckara]

70% des PC des utilisateurs sont compromis, à cause de malwares téléchargés en masse (tiens, un crack pour Photoshop, cool !).

Si le PC est compromis, que ton mot de passe soit saisi au clavier ou stocké dans un gestionnaire de mots de passes... y'a pas grande différence.
Quoiqu'il arrive ton mot de passe va transiter par le PC compromis.

Sachant qu'un PC compromis n'a pas besoin de connaître ton mot de passe et peux déjà modifier les E/S pour faire tout ce qu'il souhaite. Si le PC est compromis, tu as déjà perdu, quoi que tu fasses.


Un gestionnaire de mot de passe permet aussi d'éviter d'avoir des post-its qui traînent de partout, d'avoir des mots de passes forts, différents pour chaque sites, et même de se prémunir contre des attaques de phishings si le domaine est vérifié. Il n'est pas non plus incompatible avec l'utilisation d'une authentification forte (2 facteurs). Certains gestionnaires peuvent même se retrouver déportés sur un matériel dédié.


L'authentification par e-mail n'apporte pas grand chose, sachant qu'il faudra bien t'authentifier (via mot de passe ?) pour avoir accès à tes mails.
L'authentification par SMS donne ton numéro de portable (donnée privée) au service que tu utilises, ce qui n'est pas très top non plus (SMS non-sollicités, vie privée, vente des données, etc.).


EDIT: Tiens, les chiffres de 2017 de PandaLabs (page 13), en France, c'est ~0.93% d'ordinateurs attaqués en 2017.

En 2012, on estimait à ~28% le nombre d'ordinateur français infectés.

[tanaka59]

Entre Toto75* et Jhabitelavilledepariseniledefrance75 ... Certes c'est 2 mots de passes fort ... mais très facilement piratable .

Autre solution que votre mot de passe soit en caractère latin , la transcription phonétique d'une autre langue . Style " Naneunpyeongyongesalgoissda850 " qui veut dire en coréen " j'habite a pyong yong 850 " .

Essayez en russe , en papou , en chinois , en japonais , en perse , en arabe ou bien en turc ...

Difficile pour un pirate de craquer un truc pareil

[survivals]

La solution authentification matérielle (clé usb, carte à puce,... ) + mot de passe devient ultime lorsqu'on voit les mdp utilisés. En plus cela guérit du phishing !

Sinon, voir que 2 tiers des malwares reposent sur des failles connues, je me dis qu'il reste du travail côté administration...

Pas sur que cela serve à grand chose, les personnes qui choisissent de tel mot de passe iront branché leur clé usb sur leur pc personnel bourré de malware ou paumeront ou laisseront en évidence leur carte à puce que l'on peut facilement dupliquer.

Si les entreprises ne t'obligeait pas à changer ton mot de passe tous les 36 du mois, ces personnes choisiraient peut être un mot de passe plus compliqué car une fois retenu le serait pour un bout de temps.

Ou virer les informaticiens qui ont permis la saisie de ce type de mot de passe.
"123456" et autres mot de passe de 6 caractères ; sans dec' !

Qu'un utilisateur ne soit pas bien conscient des problèmes de sécurité informatique, on peut comprendre.
C'est moins pardonnable pour un gars dont c'est le boulot.

L'informaticien fait ce qu'il y a dans le cahier des charges, si aucune politique n'a été défini (nombre de caractères minimum, imposition de majuscule/minuscule, chiffres, caractères spéciaux ...) ce n'est pas à lui de l'imposer au risque d'être réprimandé pour ne pas avoir fait ce qu'on lui demande. La faille c'est surtout l'utilisateur qui ne manquera pas de donner sont mot de passe à n'importe qui, ou exposé sa clé usb ou carte à puce ou tout autre élément de sécurité, quand ils font des formations sécurité ça les fait marrer et ils ne croient pas aux complots donc parti de là.

[survivals]

Entre Toto75* et Jhabitelavilledepariseniledefrance75 ... Certes c'est 2 mots de passes fort ... mais très facilement piratable .

Autre solution que votre mot de passe soit en caractère latin , la transcription phonétique d'une autre langue . Style " Naneunpyeongyongesalgoissda850 " qui veut dire en coréen " j'habite a pyong yong 850 " .

Essayez en russe , en papou , en chinois , en japonais , en perse , en arabe ou bien en turc ...

Difficile pour un pirate de craquer un truc pareil

Qui te dit que le dictionnaire phonétique de toutes les langues n'existent pas ? :/ Il y a bien des dictionnaires de toutes les langues, alors le transposer en phonétique de chaque langue de doit pas être si difficile que ça.

[survivals]

L'authentification par SMS donne ton numéro de portable (donnée privée) au service que tu utilises, ce qui n'est pas très top non plus (SMS non-sollicités, vie privée, vente des données, etc.).

Je rajouterais que le mobile est bien l'appareil le moins sécurisé de tous.

[survivals]

On peut imaginer qu'à chaque connexion, un code unique à 4 ou 5 chiffres soit envoyé par SMS ou email à l'utilisateur. Que ce code doit être renseigné pour ce connecté, et qu'après 3 échecs, le compte est bloqué pour 1h, 3h, 12h, 24h...

Bien sûr, ça va faire râler l'utilisateur, mais au moins si son mot de passe se fait voler, le hacker ne pourra pas aller plus loin...

Il existe des appareils de la taille d'un clé usb (mais qui n'en ai pas une bien sur) qui génère un code toutes les minutes, mais bon si un crackeur met la main dessus et fait du reverse engineering pour avoir l'algo, elle sera aussi compromise, voir toutes les clés que le serveur gère si le crackeur se creuse la tête pour avoir les paramètres de génération variable selon les clés.

[Neckara]

Il existe des appareils de la taille d'un clé usb (mais qui n'en ai pas une bien sur) qui génère un code toutes les minutes, mais bon si un crackeur met la main dessus et fait du reverse engineering pour avoir l'algo, elle sera aussi compromise, voir toutes les clés que le serveur gère si le crackeur se creuse la tête pour avoir les paramètres de génération variable selon les clés.

L'algorithme est publique et connu de tous. La sécurité par l'obscurité est considérée obsolète de nos jours.
En revanche, c'est une clé secrète/seed/pre-master key qui sera secrète et stockée sur le matériel.

Sachant que ce genre de matériel est généralement tamper résistant (ou tout du moins, idéalement), il est très difficile de les extraire, même en ayant volé le matériel.
En revanche, il pourra aisément utiliser le matériel s'il le vole, et si ce matériel n'est pas protégé (e.g. capteur d'empreinte, code PIN, etc.).

Je précise aussi que dans le pire des cas le crackeurs ne pourra générer que les clés associées à ce matériel, il ne pourra pas générer les clés d'autres matériels.

[tanaka59]

Qui te dit que le dictionnaire phonétique de toutes les langues n'existent pas ? :/ Il y a bien des dictionnaires de toutes les langues, alors le transposer en phonétique de chaque langue de doit pas être si difficile que ça.

Utiliser des langues plutôt sous représentées. Genre un mot de passe en Icelandais ou Luxembourgeois à moins de chance de ce faire cracké qu'un mdp en français ou anglais ... Qui sont des langues très parlé !

Mieux utilisé des dialectes ! Genre un mot de passe en flamand ou en picard à moins de chance de se faire cracké qu'un mot de passe en catalan ...

[Neckara]

Utiliser des langues plutôt sous représentées. Genre un mot de passe en Icelandais ou Luxembourgeois à moins de chance de ce faire cracké qu'un mdp en français ou anglais ... Qui sont des langues très parlé !

Mieux utilisé des dialectes ! Genre un mot de passe en flamand ou en picard à moins de chance de se faire cracké qu'un mot de passe en catalan ...

C'est comme au loto, la meilleure astuce est celle qui n'est connue que de soit.
Si plusieurs utilisent la même astuce, et donc tirent les mêmes numéros, il faudra, en cas de victoire, se partager les gains.
En revanche, si tu es le seul à avoir eu les bons numéros, tu conserves l'ensemble de gains.

C'est pareil pour les mots de passes, si une technique est trop répandue, les attaquants s'adapteront et utiliseront des dictionnaires adaptés.