Une variante du malware Pony subtilise 2 000 000 de mots de passe
Une variante du malware Pony subtilise 2 000 000 mots de passe
Les utilisateurs de Facebook, Google, et Yahoo! sont les plus touchés
Récemment Microsoft, en association avec Europol, a privé le botnet Zeroaccess de 18 serveurs de commande et de contrôle situés en Europe. Même si l’action est louable, la bataille contre les réseaux zombies est loin d’être terminée.
L’équipe de chercheurs en sécurité de la firme Trustwave a découvert un site sur lequel ont été postés pratiquement 2 000 000 de mots de passe (sites web, FTP, SSH, email). Les utilisateurs des réseaux sociaux Facebook, Yahoo! et Google sont les plus touchés.
Pour les experts en sécurité, le coupable n’est autre qu’une variante de Pony, un malware avec une composante « keylogger ». Et, bien que les Pays-Bas semblent être le haut-lieu de concentration des serveurs de commande et de contrôle du botnet Pony, une étude approfondie des chercheurs suggère plutôt l’emploi des proxy pour la communication entre les machines zombies et les serveurs de commande. Un mécanisme fort astucieux pour empêcher que ne soient découverts les vrais serveurs de « command and control ».
L’analyse des mots de passe des comptes compromis révèle un autre fait : malgré toutes les pratiques de sécurité recommandées jusqu’ici, les utilisateurs conservent la mauvaise habitude de créer des mots de passe faibles. 15 820 comptes utilisaient « 123456 » comme mot de passe.
Facebook a été alerté. Le réseau social a réinitialisé les mots de passe des comptes compromis et recommande à ses utilisateurs de configurer les paramètres de sécurité Notification de connexion et Approbation de connexion pour faire monter d’un cran le niveau de sécurité de leur compte.
Sources : BBC, TrustWave
Et vous ?
:fleche: Qu'en pensez-vous ?
Une variante du malware Pony subtilise 2 000 000 de mots de passe
Bonjour,
Je lis avec intérêt les commentaires de l'article.
La débilité des mots de passe est toujours aussi consternante que comique; il faudrait peut-être dire, pour l'excuse de leurs utilisateurs, qu'il s'agit de la réaction normale de personnes peu familières des mathématiques, et constamment sollicitées pour sécuriser leur accès à de nouveaux comptes: la liste peut devenir impressionnante au bout de quelques mois, et la peur de l'oubli conduit à des choix simplistes et désastreux.
Pour répondre plus précisément à jpiotrowski et niuxe, je signale deux moyens de générer des séquences de mots de passe, faciles à retrouver et de qualité satisfaisante:
1) Pour un ensemble de sites sensibles (messageries, comptes bancaires) dont le code d'accès doit être régulièrement changé, une simple calculette (affichant une dizaine de chiffres) permet de mettre en oeuvre un générateur de nombres pseudo-aléatoires basé sur trois nombres entiers:
(k) désignant le rang du site dans la liste, (m) et (a) le mois et l'année de la date (seul élément à mémoriser), il suffit de noter les 6 ou 8 premières décimales du réel
r = k*Rac(5) + m*Rac(7) + a * Rac(8) [ Rac(x) = racine carrée de x ]
On obtient ainsi pour novembre 2013 (m = 11, a = 13):
k = 0 N = 872817
k = 1 N = 108885
k = 2 N = 344952
k = 3 N = 581020
et il suffira de consigner quelque part (et avec discrétion) la séquence:
0.872817
1.108885
2.344952
3.581020
(d'ailleurs restituable par un petit programme sur calculatrice, admettant la date (m, a) en entrée).
2) Pour des sites secondaires, on peut envisager de constituer des mots de passe par morceaux; par exemple pour le compte EdF de Thomas Martin: EdFTMrtn872817 ou mieux encore: EdF872TMrtn817
Seule la partie numérique sera changée de temps à autre.
Des variantes sont bien sûr envisageables, comme:
r = k*Rac(k+0.5) + m*Rac(7) + a * Rac(8)
Il faut seulement exclure, pour les entiers à la base du calcul (ici 5, 7, 8) les carrés parfaits (4, 9, 16 ...), pour des raisons évidentes.
Eviter aussi toute fonction qui conduirait à des valeurs de (r) trop élevées (comme exp(x)), comte tenu de la précision finie de la calculatrice (14 chiffres).
Le site indiqué (http://www.generateurdemotdepasse.com/), s'il ne résout pas la question de la sécurité des codes archivés, est cependant intéressant par le nombre d'options disponibles.