IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Affichage des résultats du sondage: Comment se protéger efficacement contre les cybercriminels ?

Votants
18. Vous ne pouvez pas participer à ce sondage.
  • Créer un mot de passe fort et unique pour chaque compte

    10 55,56%
  • Changer fréquemment de mots de passe

    7 38,89%
  • Utiliser un gestionnaire de mots de passe

    2 11,11%
  • Chiffrer ses fichiers et partitions

    6 33,33%
  • Éviter les Wi-Fi publics

    12 66,67%
  • Installer une clé WPA 2 sur son réseau Wi-Fi

    9 50,00%
  • Bien choisir son pare-feu et son antivirus

    8 44,44%
  • Mettre régulièrement ses appareils et antivirus à jour

    12 66,67%
  • Fermer sa webcam avec du ruban adhésif

    5 27,78%
  • Faire preuve de bon sens

    14 77,78%
  • Autres (à préciser dans les commentaires)

    1 5,56%
  • Pas d'avis

    0 0%
Sondage à choix multiple
Sécurité Discussion :

Comment se protéger efficacement contre les cybercriminels ?


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 875
    Points : 86 930
    Points
    86 930
    Billets dans le blog
    2
    Par défaut Comment se protéger efficacement contre les cybercriminels ?
    Comment se protéger efficacement contre les cybercriminels ?
    Dix conseils pour les particuliers

    L’internet est aujourd’hui l’une des choses les plus accessibles au monde. Malheureusement, les menaces en ligne se multiplient et avec le nombre croissant d’amateurs connectés, les mesures de sécurité de base sont négligées. La cybercriminalité devient une activité rentable et attire donc de plus en plus de pirates. En tant que particuliers, comment s’en protéger efficacement ? En allant des mesures les plus basiques -- qui reposent sur la stratégie de mot de passe et l’utilisation d’antivirus -- aux mesures les plus complexes comme sécuriser sa connexion Wi-Fi ou chiffrer ses données, on peut citer de manière non exhaustive les mesures de protection suivantes :

    1. Créer un mot de passe fort et unique pour chaque compte. Le mot de passe est le premier moyen pour protéger ses comptes et données. Encore faut-il choisir un mot de passe suffisamment fort qui ne va certes pas rendre impossible tout piratage, mais va contribuer à rendre la tâche plus difficile pour le pirate. Il est également recommandé d'utiliser un mot de passe unique pour chaque compte, ce qui permet, en cas de piratage, de limiter le risque au seul compte qui est piraté.

    2. Changer fréquemment de mots de passe. Outre le fait d’utiliser un mot de passe fort pour chaque compte, il est également possible de reposer sur le changement fréquent de mot de passe pour déjouer les attaques des cybercriminels. C’est d’ailleurs une mesure qui est très fréquente au sein des entreprises. En plus, en fonction de la fréquence de changement de mot de passe, vous pourrez vous contenter d’utiliser un mot de sécurité moyenne et donc pas trop difficile à retenir. Toutefois coupler le changement fréquent de mots de passe à l’utilisation de mots de passe forts offrent plus de protection.

    3. Utiliser un gestionnaire de mots de passe. Un mot de passe complexe est l’idéal, mais s'il faut avoir un mot de passe complexe pour chacun compte et de surcroit devoir les changer régulièrement, cela devient très difficile à gérer. D'ailleurs, certaines études ont montré que le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés, parce qu’ils poussent les utilisateurs à arbitrer entre un mot de passe fort et un mot de passe facile à retenir. Dans ce cas, le gestionnaire de mot de passe peut s’avérer très utile. Et même si vous utilisez un mot de passe fort, si votre appareil est infecté par un spyware, cela ne vous sert à rien. Les gestionnaires de mots de passe vous permettent non seulement de vous connecter à des sites Web en un seul clic, mais encore de générer des mots de passe aléatoires sécurisés. Le fait que vous n'aurez pas à saisir de mots de passe manuellement limite en plus le risque de vol.

    4. Chiffrer ses fichiers et partitions. Le chiffrement est une manière simple et efficace de protéger vos données confidentielles. La plupart des systèmes d’exploitation proposent une fonction de chiffrement du disque entier, qui peut vous permettre de chiffrer automatiquement les données sur disque dur ou clé USB. Sous Windows, vous avez par exemple BitLocker qui fournit le chiffrement de partition. Il y a également VeraCrypt, un logiciel de chiffrement à la volée qui fonctionne sous Windows, Mac et Linux.

    VeraCrypt permet de créer un disque virtuel chiffré contenu dans un fichier. Si ce fichier tombe entre de mauvaises mains, vous pouvez être rassurés que vos fichiers ne pourront pas être récupérés. Et lorsque vous avez besoin de travailler avec votre partition, il vous suffit de la monter avec VeraCrypt sous la forme d'un disque physique réel. VeraCrypt peut aussi chiffrer une partition entière ou un périphérique externe (disquette ou clé USB) et le chiffrement est automatique, en temps réel et transparent.

    5. Éviter les Wi-Fi publics. C'est une mesure de sécurité qu'il faudrait observer si possible. Le Wi-Fi public n'est pas forcément sûr et vous ne savez pas qui est sur le réseau, ce qu'ils pourraient faire, ou ce qu'ils sont capables de faire. Certaines personnes peuvent se connecter à un Wi-Fi public juste pour attendre l'occasion de voler des informations précieuses comme des données de carte de crédit. Pour certaines activités sensibles, comme se connecter à une banque en ligne ou faire du shopping en ligne, le mieux serait de le faire à partir d'une connexion sécurisée.

    6. Installer une clé WPA 2 sur son réseau Wi-Fi. En parlant de Wi-Fi sécurisé, il est recommandé d'utiliser une clé WPA 2 au lieu du WEP et du WPA, qui offre une meilleure protection que le WEP. Une clé WPA 2 ne rend toutefois pas impossible de pirater votre connexion, mais rend le piratage plus difficile.

    7. Bien choisir son pare-feu et son antivirus. Aucun système n'est inattaquable, ce n'est qu'une question de temps. Ainsi, toutes les mesures qui visent à renforcer la sécurité du système sont nécessaires, et avoir un bon pare-feu et un antivirus efficace font partie de ces mesures. Le pare-feu est une sorte de filtre qui permet de bloquer certaines connexions entrantes et sortantes. Pour entrer dans un ordinateur, un pirate informatique cherche donc une faille dans le pare-feu. S’il arrive à s'infiltrer, un bon antivirus pourra encore l'empêcher de nuire. Il faut encore noter que les antivirus aujourd'hui ne se contentent plus d'offrir les fonctionnalités de protection de base, mais aussi des fonctionnalités avancées comme un antispyware, la protection des achats en ligne, et bien d'autres. De manière logique, pour un fournisseur d'antivirus donné, les produits payants sont bien plus performants que les gratuits. Les premiers sont donc recommandés. Mais dans le pire des cas, il faudrait se doter d'un antivirus gratuit plutôt que de laisser sa machine sans protection.

    8. Mettre régulièrement ses appareils et antivirus à jour. Vos différents appareils (smartphones, tablettes, PC) demandent régulièrement d'installer des mises à jour. Si elles peuvent parfois être agaçantes, les mises à jour sont un moyen pour les fournisseurs de corriger certaines failles de sécurité dans leurs produits. C'est également valable pour les logiciels antivirus, qui sont complètement inutiles sans la mise à jour des définitions de virus. En mettant régulièrement vos appareils et logiciels antivirus à jour, vous rendez la tâche des pirates un peu plus difficile. Effectuez donc autant de mises à jour que possible pour les appareils connectés à un réseau.

    9. Fermer sa webcam avec du ruban adhésif. Une mesure peut-être paranoïaque, mais préconisée. Une webcam piratée peut permettre à un pirate d’observer patiemment sa cible en attendant de capturer des photos ou vidéos qu’il pourrait utiliser par exemple pour lui extorquer de l’argent. L’espionnage à travers les webcams est une pratique est de plus en plus fréquente. Quand vous n’utilisez pas votre webcam, la fermer avec du ruban adhésif peut donc être utile. D’ailleurs, c’est ce que recommande le directeur du FBI, James Comey.

    10. Faire preuve de bon sens. Même si vous respectez rigoureusement toutes les autres mesures de sécurité, cela peut ne pas suffire à vous offrir une protection parfaite contre les cybercriminels si encore vous manquez de faire preuve de bon sens. Le bon sens peut être votre meilleure défense contre les cybercriminels. Ces derniers peuvent utiliser de nombreuses techniques d'ingénierie sociale pour vous emmener à leur fournir des informations confidentielles ou extorquer de l’argent. Par exemple, pour un e-mail vous demandant vos données bancaires, même si tout semble indiquer que l'email provient de votre banque, n'hésitez pas à la contacter pour en savoir plus.

    Il y a aussi les arnaques de faux support technique, où un individu se fait par exemple passer pour un technicien de Microsoft et demande à accéder à distance à un ordinateur. En 2014, Microsoft a porté plainte contre la firme Omnitech Support, pour usurpation du nom de Microsoft dans le cadre de la fourniture de services de faux support technique, par exemple pour convaincre les clients que leurs PC sont infectés par des virus afin de leur vendre des services de sécurité sans valeur pour nettoyer leurs ordinateurs.

    Et vous ?

    Comment se protéger efficacement contre les cybercriminels ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre du Club
    Homme Profil pro
    YouDontHaveToKnow
    Inscrit en
    Octobre 2006
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : YouDontHaveToKnow

    Informations forums :
    Inscription : Octobre 2006
    Messages : 17
    Points : 44
    Points
    44
    Par défaut MàJ
    Quelques rectification s'imposent :

    1-2-3) petit rappel simple concernant la construction d'un mot de passe complexe ET facile à retenir : http://xkcd.com/936/

    Bien à vous, et le bon sens est le principal (ainsi que le sens critique, mais ça, c'est une autre histoire) ^^

  3. #3
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    Janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : Janvier 2010
    Messages : 803
    Points : 1 407
    Points
    1 407
    Par défaut
    Dire que ces conseils permettent de se protéger efficacement contre les cybercriminels, c'est juste une vaste rigolade!!!

    Les cybercriminels n'utilisent pas comme moyen privilégié le passage par la "porte principale en découvrant la clé laissée négligemment dans le pot de fleur devant la porte"!!!

    Est-ce que l'auteur de ces conseils a déjà entendu parler des "failles de sécurité" qui foisonnent dans tous les systèmes qu'ils soient hardware ou software??? Et là, même les pro sont désarmés...

    L'accès au moyen d'un mot-de-passe volé, c'est juste bon pour les apprentis cybercriminels

  4. #4
    Expert éminent sénior
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2012
    Messages
    3 020
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 3 020
    Points : 16 093
    Points
    16 093
    Par défaut
    Citation Envoyé par Tintwo Voir le message
    Quelques rectification s'imposent :

    1-2-3) petit rappel simple concernant la construction d'un mot de passe complexe ET facile à retenir : http://xkcd.com/936/

    Bien à vous, et le bon sens est le principal (ainsi que le sens critique, mais ça, c'est une autre histoire) ^^
    +1

    Il vaut mieux un mot de passe long et "facile" à retenir qu'un mot de passe de 8 caractères difficile à retenir et plus facile à brute-forcer.


    De même, je ne suis pas convaincu de la pertinence de changer régulièrement de mot de passe. Dans 90% des cas, je suis sur que les gens utilisent un incrément, soit numérique, soit lié au clavier. Donc une fois le mot de passe connu, il suffit que tester quelques variations pour trouver le nouveau. Mieux vaut donc avoir une passphrase qui soit longue mais dure à bruteforcer.

  5. #5
    Membre régulier Avatar de maelstrom
    Homme Profil pro
    Développeur Java
    Inscrit en
    Mars 2014
    Messages
    108
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : Finance

    Informations forums :
    Inscription : Mars 2014
    Messages : 108
    Points : 120
    Points
    120
    Par défaut
    Afin d'avoir un mot de passe encore plus sûr (plus que Maj+min+chiffre+ponctuation) on peut aussi rajouter un ou plusieurs alt code dans le mot de passe. Il me semble avoir lu que cela rendait les mots de passe beaucoup plus difficile à "cracker", bon en désavantage ils sont difficile à rentrer sur un smartphone.
    Madness ? THIS IS JAVA !!!
    SPARTAN ! What is your programming language ? JAVA ! JAVA ! JAVA !
    Code well, code readable, code in Allman style !

    N'oubliez pas de cliquer sur si ce commentaire vous a été utile et aussi sur si cela a... résolu ton problème !

  6. #6
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2016
    Messages
    34
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Enseignement

    Informations forums :
    Inscription : Septembre 2016
    Messages : 34
    Points : 115
    Points
    115
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Dire que ces conseils permettent de se protéger efficacement contre les cybercriminels, c'est juste une vaste rigolade!!!

    Les cybercriminels n'utilisent pas comme moyen privilégié le passage par la "porte principale en découvrant la clé laissée négligemment dans le pot de fleur devant la porte"!!!

    Est-ce que l'auteur de ces conseils a déjà entendu parler des "failles de sécurité" qui foisonnent dans tous les systèmes qu'ils soient hardware ou software??? Et là, même les pro sont désarmés...

    L'accès au moyen d'un mot-de-passe volé, c'est juste bon pour les apprentis cybercriminels
    On parle ici de conseils pour les particuliers. Que vous le vouliez ou non le particulier n'a pas le contrôle sur son hardware/software (sauf le maintien à jour dudit logiciel), et la porte d'entrée utilisée la plus souvent par les cybercriminels est bien celle ouverte par la victime elle-même (social engineering) qu'une autre. Efficaces oui. Parfaits non.

    Si votre seul conseil pour parer les failles est d'inciter les particuliers à construire eux même leurs machines, développer leurs logiciels et d'inventer leurs protocoles, abstenez vous. Le sujet n'est pas là

  7. #7
    En attente de confirmation mail
    Femme Profil pro
    pape n'aimant pas les censeurs
    Inscrit en
    Janvier 2010
    Messages
    803
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Vatican

    Informations professionnelles :
    Activité : pape n'aimant pas les censeurs

    Informations forums :
    Inscription : Janvier 2010
    Messages : 803
    Points : 1 407
    Points
    1 407
    Par défaut
    Citation Envoyé par Falquiero Voir le message
    On parle ici de conseils pour les particuliers. Que vous le vouliez ou non le particulier n'a pas le contrôle sur son hardware/software (sauf le maintien à jour dudit logiciel), et la porte d'entrée utilisée la plus souvent par les cybercriminels est bien celle ouverte par la victime elle-même (social engineering) qu'une autre. Efficaces oui. Parfaits non.

    Si votre seul conseil pour parer les failles est d'inciter les particuliers à construire eux même leurs machines, développer leurs logiciels et d'inventer leurs protocoles, abstenez vous. Le sujet n'est pas là
    Cher Falquiero, votre approche "donneur de leçon" est particulièrement déplacée d'autant plus lorsque l'on se présente comme étant un "étudiant" et que clairement l'on ne sait pas de quoi on parle... Alors n'hésitez surtout pas à poursuivre vos études tout en gardant un minimum de respect pour vos interlocuteurs...

  8. #8
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2016
    Messages
    34
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Enseignement

    Informations forums :
    Inscription : Septembre 2016
    Messages : 34
    Points : 115
    Points
    115
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Cher Falquiero, votre approche "donneur de leçon" est particulièrement déplacée d'autant plus lorsque l'on se présente comme étant un "étudiant" et que clairement l'on ne sait pas de quoi on parle... Alors n'hésitez surtout pas à poursuivre vos études tout en gardant un minimum de respect pour vos interlocuteurs...
    Salut grand sage

    Ad hominem dans toute sa splendeur.

    C'est votre propos qui est déplacé. Quand on "se donne du mal" pour produire un article, la moindre des chose pour le lecteur est de saisir à peu près le propos, et à défaut, ne pas répondre à coté en méprisant l'auteur.

  9. #9
    Membre éclairé
    Homme Profil pro
    Étudiant
    Inscrit en
    Juillet 2013
    Messages
    192
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2013
    Messages : 192
    Points : 678
    Points
    678
    Par défaut
    Mouais je ne suis pas fan de l'approche consistant à proposer les gestionnaires de mot de passe comme solution ultime.
    Gestionnaire en ligne : Pas confiance.
    Gestionnaire en local : Tu perds ton ordi, tu perds tout (idem si tu veux te connecter depuis un terminal inhabituel).
    D'autant que les particuliers peu informés risquent de combiner gestionnaire + mot de passe faible donc trouver un mot de passe suffit à tous les avoir
    Après ça reste mieux que de mettre 'password' ou '123456' comme mot de passe...

    Pesonnellement je retiens tous mes passwords, ce que j'oublie plus souvent par contre c'est mon nom d'utilisateur (ou alors ça m'arrive de me rappeler des passwords mais pas des services auquels ils sont associés, mais complètement oublier un password je crois que ça ne m'ai jamais arrivé)

  10. #10
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par NSKis Voir le message
    Cher Falquiero, [...] d'autant plus lorsque l'on se présente comme étant un "étudiant" [...]
    Je rajouterai que l'argument de l'étudiant est une association dégradante qui ne prouve rien de sa capacité à raisonner. Argument à éviter donc.

    Pour ce qui est de la connexion, que pensez-vous de ce processus ?
    - Utilisation de mots de passes aléatoires jetables :
    https://www.grc.com/passwords.htm
    - Les mots de passe ne sont ni mémorisés, ni stockés
    - Quand on se retrouve déconnecté, on utilise le lien "mot de passe oublié" pour générer un nouveau mot de passe (lien envoyé par e-mail) et se reconnecter

    Pour que cela fonctionne, il faut avoir une boîte mail bien sécurisée. Pour cela, on en utilise 2, chacune avec un mot de passe aléatoire aussi, mais chacune étant configurée pour envoyer son e-mail de RAZ de mot de passe sur l'autre. Comme ça, quand on est automatiquement déconnectée de l'une, on utilise l'autre pour se reconnecter (toujours au travers de l'oubli de mot de passe).

    Avantages :
    - un générateur de mot de passe fiable sur lequel on peut faire du copier-coller, ça s'utilise facilement
    - mots de passes cryptographiquement forts
    - mots de passes uniques car générés à chaque fois
    - mots de passes changés régulièrement (sans pousser à la simplification car nul besoin de mémoriser)
    - aucun besoin de gestionnaire de mot de passe, donc pas besoin de critères de confiance autre que les 2 boîtes mails

    Inconvénients :
    - nécessite de gérer 2 boîtes mail
    - il faut utiliser les 2 boîtes mails régulièrement, sinon risque que la boîte de secours soit déconnectée depuis longtemps quand la boîte principale se retrouve aussi déconnectée
    - fournir son adresse e-mail à chaque site pour pouvoir utiliser le lien de mot de passe oublié
    - c'est un peu plus long que de fournir un mot de passe mémorisé
    - ça ne marche pas pour tout (e.g. mot de passe pour se connecter à Internet : pas accès à la boîte mail tant que pas connecté, donc impossible de RAZ le mot de passe)
    - si on accède au site depuis plusieurs PC, chacun avec sa session, et que le site supprime les sessions en cas de changement de mot de passe, ça force à se reconnecter à chaque fois qu'on change de machine (certains offrent une checkbox lors du RAZ, ce qui est pratique pour éviter ça)

    Si on a déjà 2 comptes qu'on utilise régulièrement, les 2 premiers inconvénients n'en sont pas. Et l'e-mail étant de plus en plus souvent utilisé comme identifiant, il est fourni d'office au site, on n'a donc pas vraiment le choix (sinon de ne pas utiliser le site en question). On peut critiquer que ça centralise la sécurité sur les e-mails, mais si l'e-mail est souvent fourni aux sites ce processus n'y change rien, le mal est déjà fait car le lien d'oubli de mot de passe est déjà exploitable. On peut par contre critiquer qu'il suffit de cracker 1 des 2 boîtes pour avoir accès aux deux, donc on double les chances de succès, mais comme on n'a pas de gestionnaire de mot de passe, on réduit d'autant la surface d'attaque. C'est aussi à mettre en face de mots de passes forts, uniques, et régulièrement changés, ainsi que d'une réduction du risque car les mots de passes des sites sont tout aussi forts et non partagés.

    NB : Faire attention quand on a 2 boîtes mails chez le même fournisseur. Si on se fait déconnecter en même temps sur les 2 boîtes, on est coincé. Donc obligé de sauvegarder le mot de passe d'au moins 1, donc passage par un gestionnaire de mot de passe quand même. Mais vu qu'on n'en a besoin que rarement (1 seul mot de passe aléatoire à gérer) on peut prendre un gestionnaire bien sécurisé et lourd à utiliser, style sur clé USB séparée.

    En bref, à moins qu'on se refuse à utiliser 2 boîtes mails ou à fournir son e-mail, je trouve que c'est une méthode plutôt simple à utiliser (le RAZ devient vite une habitude) et avec des inconvénients plutôt restreints. Autrement dit utilisable dans la plupart des cas. Il ne s'agit plus que de gérer ses mots de passes pour les quelques cas qui ne passent pas.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  11. #11
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 386
    Points
    9 386
    Par défaut
    Changer régulièrement de mot de passe n'est pas un gage de protection, au contraire c'est même pire dans de nombreux cas...
    Quand on change souvent de mot de passe on utilise généralement deux solutions :
    - le coffre fort numérique pour stocker les mots de passe générés aléatoirement => si le coffre fort est corrompu c'est raté... Or aucune protection n'est inviolable.
    - on utilise un motif pour changer facilement de mot de passe et s'en souvenir => le motif génère une faiblesse non négligeable dans le mot de passe

    La seule bonne raison de changer régulièrement de mot de passe est de générer des mots de passe totalement différents à chaque fois et d'avoir une excellente mémoire...
    Or c'est pas le simple quidam qui fait ça.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  12. #12
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Ce n'est pas parce que ce sont les seules possibilités que tu vois que ce sont les seuls qui existent. On peut changer régulièrement, avec des mots de passes forts et même aléatoires, sans avoir ni besoin de s'en souvenir ni besoin de coffre fort. Lis juste au dessus.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  13. #13
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 386
    Points
    9 386
    Par défaut
    Citation Envoyé par Matthieu Vergne Voir le message
    Ce n'est pas parce que ce sont les seules possibilités que tu vois que ce sont les seuls qui existent. On peut changer régulièrement, avec des mots de passes forts et même aléatoires, sans avoir ni besoin de s'en souvenir ni besoin de coffre fort. Lis juste au dessus.
    Je l'ai lu, j'ai voulu répondre mais je me suis dit que j'allais être un peu trop méchant (pas d'humeur aujourd'hui donc je fais gaffe à ce que j'écris) donc j'ai préféré passer à côté et répondre plus tard.

    Mais puisque tu m'y forces.
    Je vais juste citer un exemple plutôt que d'argumenter et faire mon méchant.

    Un mail n'est jamais immédiat. J'ai des comptes sur des sites que j'utilise une fois par an au grand maximum.
    Et à chaque fois je ne me souviens plus du mot de passe, je demande donc le changement.
    Et je reçois un email au mieux 2 jours après... Voire une fois une semaine ! Je comprenais même pas pourquoi je recevais le mail ne me souvenant plus en avoir fait la demande...

    Ensuite tu exposes toi même les failles concernant l'intrusion sur l'une des boites mail. Sachant qu'une boite mail est généralement moins sécurisées qu'un coffre fort numérique pour moi c'est CQFD.

    J'espère ne pas avoir été trop violent dans mes propos.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  14. #14
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    T'es neutre, tu te contentes des faits, donc y'a pas de soucis.

    Pour ma part, les mails arrivent dans les secondes voire les minutes qui suivent. Donc ce genre de solution est tout à fait viable. Les sites dont tu parles me semblent être assez rare, on rentre dans les cas exceptionnels qui ne remettent pas en question le cas général. Y'a pas de solutions génériques qui marche pour tout, faut juger à l'usage. Ce n'est pas un ou deux sites qui mettent à bas la solution. Surtout des sites que tu n'utilises qu'une fois par an. Les quelques sites qui posent problèmes, ceux-là tu peux les gérer autrement. Je parle d'utilisation quotidienne là.

    Mais l'argument de la boite mail mal sécurisée j'ai du mal : ton coffre fort est bien pour stocker les mots de passe, hors soit ta boîte mail dépend de la sécurité de ton coffre fort, soit elle dépend de la force de ton mot de passe (un mot de passe pourri reste un mot de passe pourri, même avec le meilleur coffre fort). Si tu te contentes d'avoir un mot de passe fort, le maillon le plus faible devient le coffre fort (si le maillon le plus faible est le mot de passe, nul besoin de coffre fort, le mot de passe lâchera le premier). Retire cet élément de la chaîne et tu diminues d'autant les risques. c'est justement ce que ma solution permet de faire.

    Donc va falloir expliquer, car je vois pas où se trouve la faille de ce côté là.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  15. #15
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 386
    Points
    9 386
    Par défaut
    La faille réside dans le fait que la boite mail n'est pas chiffrée.
    Donc il suffit d'accéder par un quelconque moyen au serveur mail et on récupère tout ce qu'il contient pour le décortiquer tranquillement.
    Chose plus compliquée pour un coffre fort numérique.
    D'une part l'accès en est fortement protégé (ou bien vaut mieux changer de société...), d'autre part les données sont chiffrées et donc inutilisables par un simple accès physique ou à distance des données sans la clé.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  16. #16
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    D'une part, je ne vois pas ce qui empêche un serveur mail d'être chiffré. En l'occurrence, libre à toi de faire ton propre serveur mail basé sur un coffre-fort numérique. D'autre part, tu parles de stockage alors que je parle d'accès. Ma proposition est indépendante de la partie stockage, tu ne peux donc pas la critiquer sur ce point vu qu'elle n'interdit en rien d'utiliser un coffre-fort numérique dans le sens qui semble être le tiens. Quand tu parlais de cela, je pensais que tu te contentais de parler d'un gestionnaire de mot de passe sécurisé (justement car je parlais accès et non stockage), d'où mon incompréhension. Mais si ton argument est juste qu'elle n'est pas bonne car ne parle pas de stockage chiffré, ce n'est pas un argument car elle ne l'interdit pas non plus. Elle se focalise sur l'accès, sans faire d'hypothèse sur la partie stockage. Tu peux donc utiliser ton coffre-fort numérique si tu veux, cela ne change rien à ma proposition. En tout cas je ne vois pas ce que ça change.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  17. #17
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 386
    Points
    9 386
    Par défaut
    Je comprends mieux de quoi tu parlais effectivement.
    Pas du tout sur la même longueur d'onde et au final je suis d'accord avec toi si on enlève les détails divergeant.

    Tu parles depuis le début de la superbe tenue de route d'une F1 en toute condition sans indiquer sur quelle type de route.
    Alors que je parles de ta voiture en pleine montagne en tout terrain. Forcément ce n'est pas la même chose.
    Mais on est d'accord que si on parle d'une F1 sur un circuit alors tout se rejoins.

    Mais j'ai pas l'habitude de discuter sécurité en occultant tout le décor...
    Car sinon on en vient à des discussions sans queue ni tête comme la notre alors qu'on est d'accord sur le fond.

    Bon après... Le sujet parlant des particuliers... Cela devient un brin trop technique pour la grand majorité d'entre eux.
    Autant louer un service de coffre fort numérique cela devient presque courant avec la dématérialisation ces dernières années des fiches de paie et donc des nombreuses entreprises qui offrent ce service, autant les messageries chiffrées ça court pas encore les rues.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  18. #18
    Membre éclairé
    Homme Profil pro
    Étudiant
    Inscrit en
    Juillet 2013
    Messages
    192
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2013
    Messages : 192
    Points : 678
    Points
    678
    Par défaut
    Rester loggé en permanence à une boîte mail me semble moyen niveau sécurité. Si quelqu'un met la main sur le dispositif avec lequel tu es loggé il a accès à tout. Et au final ta méthode est limitée aux services qui ont une option "mot de passe oubliée" qui sont en général pas les services les plus critiques (ce qui est critique c'est le password de mon ordi, l'accès root de mon serveur, un accès à une bdd...) et pour tout ça, pas de password recovery.

  19. #19
    Membre régulier
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juillet 2010
    Messages
    30
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Juillet 2010
    Messages : 30
    Points : 83
    Points
    83
    Par défaut
    Pour ce qui est des conseils sur les mots de passes, ils reflétés les mesures mises en place par les SysAdmin les 10 dernières années. Et quel en est le résultat ? Le mot de passe le plus utilisé est passé de "password" à "Password", puis "Password2016" et finalement "P@ssword2016".
    Même si, ça part du bon sentiment de vouloir augmenté le nombre de mots de passe à tester avant d'en trouvé un, mais les mauvaises habitudes de l'utilisateur lambda qui ne comprend rien fait que le nombre réal de mots de passe testés a augmenté beaucoup moins vite que la puissance de calcule.
    Donc si vous voulez un bon mot de passe, sortez "juste" de cette logique. Bizarrement, un mot de passe purement aléatoire ne contente que des lettres est relativement robuste.
    D'un autre cotez, chères SysAdmin, vous pouvez mettre en place des politiques de quota par motifs et de distance minimum par rapport à un dictionnaire. Cf les présentations de KoreLogic, créateur du contest Crack Me If You Can (https://www.korelogic.com/Resources/...ll_2014-06.pdf)

  20. #20
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Lyons Voir le message
    Rester loggé en permanence à une boîte mail me semble moyen niveau sécurité. Si quelqu'un met la main sur le dispositif avec lequel tu es loggé il a accès à tout. Et au final ta méthode est limitée aux services qui ont une option "mot de passe oubliée" qui sont en général pas les services les plus critiques (ce qui est critique c'est le password de mon ordi, l'accès root de mon serveur, un accès à une bdd...) et pour tout ça, pas de password recovery.
    Normal, je vise l'utilisateur lambda, qui utilisera majoritairement des moyens facilement accessibles. Le pro lui utilisera des outils adaptés à ses besoins de pro, quitte à mettre la main au porte monnaie. Quant au vol de PC, ça tombe hors sujet : on parle des cybercriminels. Le vol de PC, soit c'est pour les pros qui ont des informations bien particulières (encore une fois on parle d'une minorité censée prendre des mesures avancées de sécurité), soit cela concerne l'utilisateur lambda dans le but de revente du PC sur le marché noir, probablement après reformatage. Et encore, de ce que j'ai pu entendre ici ou là, ce dernier cas est finalement peu fréquent, les petits voleurs de ce genre préférant viser l'argent liquide et les petits objets (styles bijoux) plutôt que de s'encombrer avec du matos qui les ralentirait en cas de fuite. Et comme tout boulot d'informaticien n'est pas lié à des processus critiques (mon serveur, à part pour s'amuser y'a pas grand monde qui aurait intérêt à le craquer) encore une fois je tends à penser que ces critiques ne sont tout simplement pas représentatives.

    Bref, la critique me semble concerner des cas bien particuliers qui sont censés mettre les moyens pour ça. Donc certes, ça n'est pas adapté à ces cas là, mais ce n'est pas le but non plus.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

Discussions similaires

  1. Comment lutter efficacement contre les virus ?
    Par Hinault Romaric dans le forum Actualités
    Réponses: 34
    Dernier message: 20/01/2014, 22h57
  2. Lutte contre les cybercriminels
    Par gta126 dans le forum Etudes
    Réponses: 4
    Dernier message: 27/06/2010, 10h58
  3. protéger serveur contre les attaques
    Par orelero dans le forum Développement
    Réponses: 2
    Dernier message: 27/09/2006, 18h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo