Discussion :

[Cedric Chevalier]

Une variante du malware Pony subtilise 2 000 000 mots de passe
Les utilisateurs de Facebook, Google, et Yahoo! sont les plus touchés

Récemment Microsoft, en association avec Europol, a privé le botnet Zeroaccess de 18 serveurs de commande et de contrôle situés en Europe. Même si l’action est louable, la bataille contre les réseaux zombies est loin d’être terminée.

L’équipe de chercheurs en sécurité de la firme Trustwave a découvert un site sur lequel ont été postés pratiquement 2 000 000 de mots de passe (sites web, FTP, SSH, email). Les utilisateurs des réseaux sociaux Facebook, Yahoo! et Google sont les plus touchés.

Pour les experts en sécurité, le coupable n’est autre qu’une variante de Pony, un malware avec une composante « keylogger ». Et, bien que les Pays-Bas semblent être le haut-lieu de concentration des serveurs de commande et de contrôle du botnet Pony, une étude approfondie des chercheurs suggère plutôt l’emploi des proxy pour la communication entre les machines zombies et les serveurs de commande. Un mécanisme fort astucieux pour empêcher que ne soient découverts les vrais serveurs de « command and control ».

L’analyse des mots de passe des comptes compromis révèle un autre fait : malgré toutes les pratiques de sécurité recommandées jusqu’ici, les utilisateurs conservent la mauvaise habitude de créer des mots de passe faibles. 15 820 comptes utilisaient « 123456 » comme mot de passe.

Facebook a été alerté. Le réseau social a réinitialisé les mots de passe des comptes compromis et recommande à ses utilisateurs de configurer les paramètres de sécurité Notification de connexion et Approbation de connexion pour faire monter d’un cran le niveau de sécurité de leur compte.


Sources : BBC, TrustWave

Et vous ?

Qu'en pensez-vous ?

[Clotho]

Bof, rien de bien surprenant en soit. Je suis tout de même un peu étonné de voir que les soucis principalement relevés sont le fait de Keylogger, je pensais que le vol de cookies était plus simple, et plus rentable.

Par contre c'est affligeant de voir qu'il y a encore autant de mots de passe mononeuronaux. La somme des 11 mots répertoriés fait quand même 2% des comptes avec un mdp à la noix...

Quand on voit les sites ciblés, j'ai cependant du mal à vraiment identifier ce que les gens peuvent faire d'infos basiques récupérées sur facebook ou linkedin, en si grand nombre, et a priori sans sélection. C'est pénible parce que c'est une intrusion dans la sphère privée, mais c'est pas comme si c'était des éléments pouvant être directement nuisibles aux lésés.

[squizer]

Par contre c'est affligeant de voir qu'il y a encore autant de mots de passe mononeuronaux. La somme des 11 mots répertoriés fait quand même 2% des comptes avec un mdp à la noix...

Il y a certainement beaucoup de comptes fictifs dans le tas, surtout si on a des compte gmail par exemple. Ca serait interessant de lier le nom de compte avec son mot de passe. Je serai pas étonné de voir des "abcdef@gmail.com" avec des mdp "123456"
Quoique j'ai peut-être une trop bonne opinion de la capacité des gens à comprendre une norme de sécurité.

[imikado]

Bof, rien de bien surprenant en soit. Je suis tout de même un peu étonné de voir que les soucis principalement relevés sont le fait de Keylogger, je pensais que le vol de cookies était plus simple, et plus rentable.

Il y a des mesures à prendre pour éviter le vol de cookie httponly,... (qui doivent déjà être utilisé par facebook et compagnie)

[Cyrilange]

Ils vont pouvoir piquer mes photos en maillot de bain sur Facebook et mes spams de Viagra sur Gmail. Flippant !

[Rimshot]

Sachant que la Malware en question est un Keylogger, le niveau de complexité du mot de passe est-il vraiment en cause ?

Peu importe la longueur et la combinaison de lettres/chiffres/signes, ce que l'on tape est enregistré et transmis aux personnes intéressées. Ce qui ne changera donc rien au résultat que l'on utilise 123456 ou j$sdfis908*)40#@4.ç*jklqw-sme (<- aucun des 2 n'est un de mes passwords si jamais ! )

[HerveRenault]

Je me demande comment ces gens se sont retrouvés avec un keylogger sur leur PC... Il n'est pas arrivé là tout seul. Ils installent tout les .exe qui passent dans leur boite mail ou quoi ?

[imikado]

Je me demande comment ces gens se sont retrouvés avec un keylogger sur leur PC... Il n'est pas arrivé là tout seul. Ils installent tout les .exe qui passent dans leur boite mail ou quoi ?

Au choix:
- a installer un logiciel craqué, ou a utiliser un key generator contenant le malware
- a executer un powerpoint "marrant" qui contenait dans sa macro le code d'installation d'un malware
- a surfer sur un site dont l'une des pages contenait le code telechargement d'un malware
-...

[Invité]

C'est quand même pas difficile d'imposer certaines caractéristiques pour un mot de passe. Les sites web qui ne le font pas ont sans doute comme arrière pensée de faciliter le piratage, c'est pas possible autrement...

http://generateurdemotdepasse.com/index.php

A garder dans les signets.

[niuxe]

Au choix:
- a installer un logiciel craqué, ou a utiliser un key generator contenant le malware
- a executer un powerpoint "marrant" qui contenait dans sa macro le code d'installation d'un malware
- a surfer sur un site dont l'une des pages contenait le code telechargement d'un malware
-...

+1



troll inside :
Y'a pas à dire, µ$oft devrait se cantonner à la X box. Windows n'est finalement fait pour le loisir ou la perte de temps ou le loisir de la perte de temps .

Cette situation est déjà arrivée : L'utilisateur avec la licence achetée veut utiliser son logiciel préféré (Photoshop, Illustrator, Word, Excel, Cubase, Maya, etc.). Il va pas pouvoir, puisqu'il doit nettoyer sa machine avec un anti malware / anti virus (le truc qui sert à rien : prend des ressources, payant parfois et laisse passer les merdes (ex : variante malware pony)).

@jpiotrowski : Je t'ai mis moins un dans le sens que ton lien pour générer des mdp n'est pas pertinent pour l'utilisateur final. Ce genre d'outil est intéressant dans le sens qu'il permet de générer un mdp lors de l'attribution d'un compte à l'utilisateur final. Un mot de passe doit être parlant pour l'utilisateur. Sans ça, il stockera l'id et le mdp sur un autre support (post it, smartphone, fichier txt parfois encrypté par un mdp de type god, 123456, admin, password, etc. ).

Il faut éduquer le user. Lui expliquer comment créer un mdp parlant et sécurisé. De mémoire, les formulaires Yahoo, gmail sont biens faits. Il manque cependant, un mini tuto expliquant comment créer un mdp parlant et sécurisé.

[wiwaxia]

Bonjour,

Je lis avec intérêt les commentaires de l'article.
La débilité des mots de passe est toujours aussi consternante que comique; il faudrait peut-être dire, pour l'excuse de leurs utilisateurs, qu'il s'agit de la réaction normale de personnes peu familières des mathématiques, et constamment sollicitées pour sécuriser leur accès à de nouveaux comptes: la liste peut devenir impressionnante au bout de quelques mois, et la peur de l'oubli conduit à des choix simplistes et désastreux.

Pour répondre plus précisément à jpiotrowski et niuxe, je signale deux moyens de générer des séquences de mots de passe, faciles à retrouver et de qualité satisfaisante:

1) Pour un ensemble de sites sensibles (messageries, comptes bancaires) dont le code d'accès doit être régulièrement changé, une simple calculette (affichant une dizaine de chiffres) permet de mettre en oeuvre un générateur de nombres pseudo-aléatoires basé sur trois nombres entiers:
(k) désignant le rang du site dans la liste, (m) et (a) le mois et l'année de la date (seul élément à mémoriser), il suffit de noter les 6 ou 8 premières décimales du réel
r = k*Rac(5) + m*Rac(7) + a * Rac(8) [ Rac(x) = racine carrée de x ]

On obtient ainsi pour novembre 2013 (m = 11, a = 13):
k = 0 N = 872817
k = 1 N = 108885
k = 2 N = 344952
k = 3 N = 581020
et il suffira de consigner quelque part (et avec discrétion) la séquence:
0.872817
1.108885
2.344952
3.581020
(d'ailleurs restituable par un petit programme sur calculatrice, admettant la date (m, a) en entrée).

2) Pour des sites secondaires, on peut envisager de constituer des mots de passe par morceaux; par exemple pour le compte EdF de Thomas Martin: EdFTMrtn872817 ou mieux encore: EdF872TMrtn817

Seule la partie numérique sera changée de temps à autre.

Des variantes sont bien sûr envisageables, comme:
r = k*Rac(k+0.5) + m*Rac(7) + a * Rac(8)
Il faut seulement exclure, pour les entiers à la base du calcul (ici 5, 7, 8) les carrés parfaits (4, 9, 16 ...), pour des raisons évidentes.
Eviter aussi toute fonction qui conduirait à des valeurs de (r) trop élevées (comme exp(x)), comte tenu de la précision finie de la calculatrice (14 chiffres).

Le site indiqué (http://www.generateurdemotdepasse.com/), s'il ne résout pas la question de la sécurité des codes archivés, est cependant intéressant par le nombre d'options disponibles.

[imikado]

Juste un post pour indiquer une nouvelle manière de se faire véroler son pc:
simplement en surfant sur des sites "normaux" comme yahoo (dont la régie pub s'est faite pirater)

http://www.developpez.com/actu/65944...rance-touchee/

[pi-2r]

....
Et vous ?

Qu'en pensez-vous ?

l'article est superficiel.... pony est botnet codé en assembleur (source disponible sur le net) qui fait du form grabbing (il hook les navigateurs pour implémenter un routine de capture de login et password).

Bref les recommandations des institutions sont inutile tant que le botnet n'est pas repéré par le anti-virus ....