GitHub victime d’une grande campagne d’attaques par force brute

**Cedric Chevalier** · 22/11/2013, 11h02

GitHub victime d’une grande campagne d’attaques par force brute
impliquant près de 40 000 adresses IP

GitHub, la célèbre plateforme d’hébergement de projets open source, a été victime d’une grande campagne d’attaques sans précédent qui a impliqué quasiment 40000 adresses IP suspectes. L’attaque par force brute a permis la compromission de plusieurs mots de passe.

Tout comme dans le cas de Java.Tomdep, les comptes protégés par des mots de passe faibles ont fait rapidement les frais de cette attaque.

Github tient néanmoins à rassurer ses utilisateurs. « Nous avons fait des mails aux utilisateurs dont les comptes ont été compromis pour leur indiquer la démarche à suivre. Leurs mots de passe ainsi que leurs clés SSH ont été réinitialisés. Par mesure de sécurité, certains comptes bien que protégés par des mots de passe forts ont dû être réinitialisés, eux aussi. Ceci parce que l’activité dans ces comptes provenait d’adresses IP impliquées dans l’attaque. », lit-on sur la page officielle.

Les contres mesures sont simples. Github recommande aux utilisateurs de créer des mots de passe forts, mais aussi d’utiliser l’authentification à deux facteurs. De plus, pour pousser les utilisateurs à adopter les bonnes habitudes, désormais, les mots de passe faibles ne seront plus acceptés par la plateforme.

Par ailleurs, Github recommande aussi aux utilisateurs de consulter, et ce régulièrement, l’historique de sécurité de leurs comptes. Ce dernier permet d’avoir accès aux différents fichiers journaux liés à la connexion au compte. Il est accessible depuis l’option de configuration des paramètres du compte.

Source : blog Github

Et vous ?

Votre compte a-t-il été compromis ?

Quelles sont les bonnes pratiques pour créer un mot de passe fort ?

**Aiekick** · 25/11/2013, 13h50

Quel est l’intérêt pour un pirate d'attaquer une plateforme tel que github ?

je comprends pas. insérer du code malicieux dans les projet hébergés ?

**Mr_Exal** · 25/11/2013, 14h11

Envoyé par cuicui78

Quel est l’intérêt pour un pirate d'attaquer une plateforme tel que github ?

je comprends pas. insérer du code malicieux dans les projet hébergés ?

Récupérer des informations entre autre.

Quelles sont les bonnes pratiques pour créer un mot de passe fort ?

On le répètera jamais assez mais un mot de passe fort c'est :

8 caractères minimum (et encore j'aurais tendance à dire 12 maintenant).
Chiffres, lettres ET caractères spéciaux.
Aucun lien entre les différents caractères (veiller à ce que ça ne forme pas un mot (même en Leet il existe des dictionnaires) et à ce que ça ne soit pas rattachable à vous (date de naissance de votre chien, enfant, de vous, ... ) )

**CapFlow** · 25/11/2013, 19h14

Envoyé par Mr_Exal

On le répètera jamais assez mais un mot de passe fort c'est :

Tu as raison on ne le répètera jamais assez.
Un mot de passe fort c'est pas forcément ce que tu dis : %E6d-_E&c

Iam1suPerDog (I am un super dog)

c'est aussi un bon mot de passe par exemple ^^

**Mr_Exal** · 26/11/2013, 10h34

Envoyé par CapFlow

Tu as raison on ne le répètera jamais assez.
Un mot de passe fort c'est pas forcément ce que tu dis : %E6d-_E&c

Iam1suPerDog (I am un super dog)

c'est aussi un bon mot de passe par exemple ^^

Bon oui mais plus facilement cassable

**MarieKisSlaJoue** · 26/11/2013, 11h19

Envoyé par Mr_Exal

Bon oui mais plus facilement cassable

Alors la il va falloir argumenté. Car mathématiquement, donc par force brute. Iam1suPerDog sera trouvé après %E6d-_E&c.
A moins que tu es un article qui dit que les attaque par dictionnaire contienne maintenant des phrase et test divers combinaisons sur cette phrase ?

ps : même si j'avoue que mon schéma de mdp respecte plus le tien que celui de la phrase.

**yapiti** · 25/11/2013, 14h58

Envoyé par cuicui78
Quel est l’intérêt pour un pirate d'attaquer une plateforme tel que github ?

La possibilitée de récupérer les dépots privé j'imagine.

**Traroth2** · 26/11/2013, 11h37

Quelles sont les bonnes pratiques pour créer un mot de passe fort ?

A mon avis, les véritables bonnes pratiques pour créer un mot de passe fort, ce n'est pas un mot de passe imbitable genre AR42#zTan. Impossible à retenir, encore plus dans un contexte où il faut connaitre de plus en plus de mots de passe, ça reste court et pas forcément si sûr que ça. Et on finit fatalement par le noter quelque part.

Facile à retenir et difficile à casser, la phrase clé, comme : Le_matin,_Albert_préfère_3_crêpes_à_5_pancakes_!

On a des majuscules, des caractères accentués, des caractères spéciaux et même des chiffres.

Un bon début serait que toutes les plateformes acceptent des mots de passe de cette longueur, parce que c'est loin d'être le cas...

Ensuite, il y a l'implémentation de la plateforme qui joue beaucoup. Personnellement, dans la plupart des cas, je ne comprends pas que les attaques par force brute puissent encore fonctionner. Ca présuppose qu'on puisse soumettre des milliers voire des millions d'essais par seconde. Or, la plupart du temps, il n'y a pas de raison de permettre une telle chose. En imposant simplement un seul essai par seconde, pour casser un mot de passe par force brute, on passe d'un délai de quelques heures à quelques siècles, en gros. Et un utilisateur humain ne remarquera même pas que cette limite existe.

**eskatos** · 29/11/2013, 17h13

Un mot de passe vraiment fort est un mot de passe utilisé à un seul endroit.
Les conséquences de la pratique inverse (utiliser le même mot de passe partout), mets les utilisateurs en danger.
Les services peuvent bien faire tout ce qu'ils peuvent pour protéger les secrets de leurs utilisateurs (hum hum), si un mot de passe fuit, il fuit pour tous les endroits où l'utilisateur l'utilise.
Seuls les utilisateurs peuvent régler ce problème ... sic.
D'où l'intérêt de l'attaque.

**Ottakar** · 29/11/2013, 18h01

Password Strength, [xkcd.com]

**n5Rzn1D9dC** · 29/11/2013, 18h13

Etonnant..
Je n'aurais pas pensé qu'un password simple mais long puisse être à ce point meilleur.

**Neckara** · 29/11/2013, 18h20

Envoyé par n5Rzn1D9dC

Etonnant..
Je n'aurais pas pensé qu'un password simple mais long puisse être à ce point meilleur.

Pas vraiment car si on prend un dictionnaire de 10 000 mots, 4 petits mots c'est 1.10^16 possibilités.
Un mot de passe "correct" de 8 caractères dépasse assez facilement 1.10^16 possibilités.
Et encore, si on utilise du code ASCII/ASCII étendu.
Si on utilise d'autres encodages (ex utf-8) avec des caractères spéciaux on peut dépasser les 1.10^19 possibilités.

**n5Rzn1D9dC** · 29/11/2013, 18h27

Mais alors qu'est-ce qu'un bon mot de passe de 8 caractères ?
Parce que dans l'exemple de la bd, il y a 3 chiffres + 1 spé + min/maj.
Je pensais que c'était bon (bien que mes mots de passe font bien plus de 8 caractères).

**Traroth2** · 30/11/2013, 01h01

Envoyé par Neckara

Pas vraiment car si on prend un dictionnaire de 10 000 mots, 4 petits mots c'est 1.10^16 possibilités.
Un mot de passe "correct" de 8 caractères dépasse assez facilement 1.10^16 possibilités.
Et encore, si on utilise du code ASCII/ASCII étendu.
Si on utilise d'autres encodages (ex utf-8) avec des caractères spéciaux on peut dépasser les 1.10^19 possibilités.

Sauf que la langue française a bien plus de 10 000 mots. Plutôt de l'ordre de 250 000...

Et là, on arrive à un truc du genre 4.10^21, avec seulement 4 mots. En supposant que l'attaquant sache que c'est bien de mots français qu'il s'agit. Parce que personnellement, je pourrais m'amuser à utiliser des mots allemands. Ou anglais. Ou même à les mélanger. Et je ne parle même pas des noms propres...

Le souci d'une attaque par avec un dictionnaire, c'est que ça ne peut fonctionner que si les mots qui composent le mot de passe se trouvent dans le dictionnaire en question. Et ça, à l'évidence, c'est assez facile à contrer. Une petite faute d'orthographe, un chiffre, un mot étranger, un nom propre, un caractère spécial, et on revient à la bonne vieille attaque par force brute. Et là, sur un mot de passe de 30 caractères, bon courage ! Faut pas oublier de prévenir ses descendants pour voir si la machine aura fini par trouver, aux alentours de l'an 30 000...

**chaying** · 04/12/2013, 06h30

Juste une chtite question en passant : pourquoi des gens aussi aguerris que les developpeurs n'utilisent pas lastpass (ou autre du meme genre) ? Un mot de passe de 32 caracteres formes de lettres minuscules, majuscules, d'alphanum et speciaux devrait faire l'affaire non ? Je garde une version cryptee de l'export de tous mes password (on ne sait jamais) et voili ? non ?

**n5Rzn1D9dC** · 04/12/2013, 13h11

Envoyé par chaying

Juste une chtite question en passant : pourquoi des gens aussi aguerris que les developpeurs n'utilisent pas lastpass (ou autre du meme genre) ? Un mot de passe de 32 caracteres formes de lettres minuscules, majuscules, d'alphanum et speciaux devrait faire l'affaire non ? Je garde une version cryptee de l'export de tous mes password (on ne sait jamais) et voili ? non ?

Perso mes mots de passe font tous le maximum de caractères autorisé lors de leur création.
Mais ils ne sont pas sur mon pc, au moins je suis sur que personne ne peut les obtenirs hors hack d'un site où je vais.
Et pour certains forums/sites, une adresse mail spéciale a été utilisé, c'est à dire une adresse spécialement créée pour ce compte, et rien d'autre, afin que si il y a hack, la personne ne puisse pas remonter à d'autres comptes.
Par exemple pour Facebook, étant donné que j'utilise mon véritable nom dessus, j'ai jugé utile ce genre de procédure.
J'imagine le mec qui réussirait je-ne-sais-comment à s'infilter dans le compte mail lié à mon compte Facebook: "ho m*rde, ya aucun message, étrange !", Et l'adresse mail de récup est une adresse qui n'existe pas.. Donc à partir de mon compte Facebook, il est possible de remonter à aucun de mes autres comptes, en dehors d'un hack 0day de Facebook lui-même, ou du serveur de mon compte mail, afin d'obtenir mon ip, sinon c'est mort pour lui.
Et ceci, c'est pas à la porté du premier venu..

Ca peut paraître excessif, mais croyait moi, à notre époque avec les réseaux sociaux il faut se méfier bien plus qu'avant.
Il y en a certains qui n'hésitent pas à jouer les cowboys juste pour se faire valoir auprès d'un groupe de personne.
"TIens au faite tu ne connaitrais pas quelqu'un de bon en informatique pour faire ceci, cela ?"
Facebook permet des liens qui n'auraient jamais pu se faire entre des gens à l'époque de l'avant Facebook.
Donc tu peux même venir à te faire hacker par une personne "banale", mais qui connait quelqu'un, qui connait quelqu'un, qui connait quelqu'un, qui veut jouer les cowboys je-suis-dieux.

**Matthieu Vergne** · 04/12/2013, 18h14

Un mot de passe fort ? C'est un mot de passe que même vous vous ne pourrez pas vous rappeler :
https://www.grc.com/passwords.htm

Le tout étant de l'écrire là où vous avez confiance en ce que personne ne pourra y accéder à part vous. Si on penche pour un mot de passe facile à retenir, alors c'est à coup de souvenirs (qu'on peut retrouver à coup de social engineering ou plus facilement si vous partager tout et n'importe quoi) ou de moyens mnémotechniques (mais trop simple veut dire que d'autres y ont pensé aussi).

Y'a pas de mot de passe parfait de toute façon.

**Mr_Exal** · 05/12/2013, 12h25

Envoyé par Matthieu Vergne

Si on penche pour un mot de passe facile à retenir, alors c'est à coup de souvenirs (qu'on peut retrouver à coup de social engineering ou plus facilement si vous partager tout et n'importe quoi) ou de moyens mnémotechniques (mais trop simple veut dire que d'autres y ont pensé aussi).

A moins de l'apprendre par coeur et qu'il n'ait aucune relation avec soit même

GitHub victime d’une grande campagne d’attaques par force brute

Sécurité

Vue hybride

Discussions similaires

Partager

Partager