Les mots de passe selon la gendarmerie nationale

Je suis tombé sur ce tweet de la gendarmerie nationale récemment :

tweet-gendarmerie

Alors oui, ce message est plein de bonnes volontés, et effectivement, tout ce qui y est dit est parfaitement juste.

De nos jours, un mot de passe doit au minimum faire 12 caractères pour être sur qu’il ne figure dans aucune rainbow table.

Mais les rainbow table ça ne sert à rien si les développeurs ont fait correctement leur travail et ajouté un sel à notre mot de passe non ?

Oui, cependant arrêtez de penser que le développeur moyen fait les choses correctement. Les mots de passe stockés en clair se font de plus en plus rares, mais la majorité se contente de le hacher, sans sel, avec un algorithme qui n’a jamais été conçu pour être utilisé dans de la protection de mots de passe.

Oui, il faut éviter des mots de passe utilisant des données personnelles, telle que la date de naissance des enfants ou le nom du chien, pour éviter les attaques ciblées.

Oui, il faut changer de mots de passe régulièrement, à minima après qu’une fuite de donnée a été signalée sur le site en question.

Oui, il ne faut pas réutiliser son mot de passe pour qu’éviter qu’une attaque réussite sur le site X permette de piller les données de votre compte Y.

Oui, il ne faut pas noter ses mots de passe sur un post-it collé à l’écran, sous le clavier ou sous le téléphone.

password-gendarmerie

Mais tout ça mis bout à bout, cela vous semble gérable au quotidien pour un utilisateur moyen ? Je peux comprendre la réticence pour la gendarmerie à faire de la publicité pour un coffre-fort de mots de passe commercial. Mais au moins, rappeler que ce genre de solutions existe ? Qu’elles se basent sur des modèles cryptographiques fiables ? Pourquoi ne pas conseiller un produit gratuit et audité par l’ANSSI comme Keepass ?

J’ai fait le compte rapidement, j’ai plus de 350 comptes à mon actif sur Internet, 350.

D’accord, je suis quelqu’un de très connecté, je ne me sers probablement pas au quotidien des 9/10ème de ces 350 comptes, admettons. Mais même 1/10ème de ce patrimoine, cela fait 35 comptes.

35 mots de passe différents, de plus de 12 caractères, avec des caractères spéciaux, des chiffres et des changements de casse. 35 mots de passe qui n’ont aucun lien qui permet d’être retrouvé à partir de mon identité ou du nom du site. Cela vous semble réalisable de retenir cette bouillie de chiffres, de lettres et de ponctuations de tête ? Moi non.

Dashlane fait son travail de communication correctement et a répondu au tweet, la première réaction rencontrée ? La voici :

tweet-gendarmerie-reponse-dashlane

Pourquoi faire peur aux gens ? Est-ce que la personne comprend au moins comment fonctionne un coffre-fort numérique tel que Dashlane ?

Avec un mot de passe décent et la demande d’un second facteur d’authentification lorsque le compte est utilisé depuis une IP inconnue, on a quelque chose de robuste, très robuste.

Une des attaques théoriques envisageables nécessite la prise de contrôle du poste de travail de l’utilisateur comme pivot pour se connecter à son compte sans demander de deuxième facteur. Il peut aussi ajouter un périphérique type smartphone sans token s’il a accès à votre boite mail pour valider l’ajout du périphérique.

Effectivement, dans ce cas-là, l’attaquant possède tous les mots de passe d’un coup. Mais entre nous, s’il a la main sur votre ordinateur ou votre boite mail, vous avez perdu, quelle que soit votre méthode de gestion des mots de passe…

Bref, je trouve cela dommage. Pour une fois que la sécurité apporte par la même occasion du confort, il ne fauter pas l’écarter des sensibilisations. Les coffres fort numériques sont encore trop méconnus des utilisateurs.

Flattr this!

Goodlock : Le cauchemar des voleurs… et de votre garagiste

Je suis récemment tombé sur un projet Kickstarter assez particulier : Goodlock.

Qu’est-ce que ça fait concrètement ?

Vous avez, je pense, tous vu au moins une fois dans un film ou un jeu vidéo un protagoniste faire une suite d’actions anodine, comme appuyer sur un bouton, déplacer un chandelier, soulever un livre de la bibliothèque, et la comme par magie un passage secret s’ouvre ! C’est une forme de mot de passe. Il faut non seulement savoir que ces leviers cachés existent, mais aussi les actionner dans le bon ordre pour ouvrir l’accès.

hidden-bookshelf

C’est à peu de choses prêtes ce que nous propose Goodlock pour notre voiture.

Votre voiture dispose d’une multitude de boutons et de levier. Que ce soit le klaxon, le réglage des phares, des essais glaces, du chauffage…

car-combination

L’idée est de s’en servir pour définir une séquence secrète. Par exemple :

  1. J’allume le clignotant gauche
  2. J’augmente le volume de la radio
  3. Je passe en pleins phares

Tant que cette suite d’action n’est pas réalisée, dans l’ordre, la voiture refuse de démarrer. Le système permet de couper le circuit électrique à plusieurs endroits clés du système pour être sûr que le voleur ne puisse pas court-circuiter le système de sécurité facilement.

goodlock-actions

Les mots de passe, c’est comme les sous-vêtements, on ne les partage pas, quoi que…

Le système se veut le plus proche possible d’un mot de passe, et un mot de passe, ça ne se prête pas ! Concernant Gmail ou Facebook, il n’y a aucune raison de fournir votre mot de passe à quelqu’un, pouvez-vous en dire de même de votre voiture ?

Qui n’a jamais eu besoin de prêter sa voiture à un ami ? Qui est capable ici de réparer sa voiture tout seul, quel que soit le problème sans jamais avoir à la confier à un garagiste ?

Pour tous ces moments, vous devrez soit :

  • Désactiver la protection (si cela est possible), ou changer le code le temps du prêt
  • Fournir le code
  • Je pense que les gens choisirons par flemme la seconde solution.

    Mais après tout, est-ce vraiment catastrophique ? Nous fournissons déjà les clés à ces personnes, nous les considérons donc de confiance.

    Votre mot de passe résistera-t-il aux attaques ?

    Le site annonce près de 13 000 possibilités. Dans ces 13 000 possibilités, il inclut des actions qui à mon avis seront très peu choisies, je pense au klaxon, aux warnings… Les gens préfèreront naturellement les actions qui ont peu d’impact, comme le changement du type de phare, l’appui sur une pédale, le changement du volume de la radio.

    Bon, je pense malgré tout qu’il n’y aura pas de « codes évidents » de façon aussi prononcée qu’avec les mots de passe, pas de « password » ou « 123456 » évidents à première vue, cela devrait donc rester correcte.

    Une attaque vieille comme le monde pour casser un mot de passe consiste à regarder l’utilisateur le taper et retenir ce qu’il frappe. Si ce n’est pas toujours évident avec un clavier, c’est enfantin avec le tableau de bord. Pensez à vérifier dans le rétro viseur que personne ne vous observe !

    Car-theft_piping

    Enfin, n’oubliez pas votre mot de passe. À première vue, l’équivalent de la réinitialisation par mail consistera… à passer 3 heures sous le capot à enlever le dispositif !

    Le système par définition ne peut être rapide à neutraliser, sinon les attaquants ne s’attarderont pas à chercher le code et passeront directement à l’étape sabotage.

    Au final, pour ou contre ?

    Il est difficile d’être contre une nouvelle mesure de sécurité.

    Je ne sais pas sur quel pied danser pour Goodlock. D’un côté je me bat régulièrement contre le « ce que je connais » comme facteur d’authentification.

    Nombreux sont ceux qui comme moi s’échinent à répéter que les mots de passe doivent mourir, qu’il faut trouver une alternative plus robuste, moins contraignante pour l’utilisateur. Je ne vois pas pourquoi ce dont je milite pour mon ordinateur ne s’appliquerait pas pour ma voiture.

    Je préfère de loin l’approche d’un token. Nous avons de toute façon des clés, un porteclé de plus ou de moins ne nous fera pas de mal. Le token a le bon goût d’être prêtable, à votre ami ou à votre garagiste. Il est possible d’en avoir un second de secours chez vous au cas ou vous perdiez vos clés.

    Mais quand on y pense, nous avons déjà une authentification par token : nos clés.

    Le problème est dans ce système, les vols de voitures classiques se basent sur des contournement de cette authentification. Je pense notamment aux apprentis électriciens qui font contacte entre quelques fils bien précis pour allumer le moteur, ou les technophiles qui utilisent les passe partout des garagistes.

    Le problème reside dans les systèmes de sécurité déjà en place dans nos voitures, qui sont au raz des pâquerette niveau efficacité.

    Entre nous, il suffit aussi de vous attendre un soir ou vous prenez la voiture seule et une discussion en tête-à-tête avec un couteau ou une barre à mine devrait contourner toutes les mesures de sécurité du monde de toute façon…

    Il restera également toujours possible pour des voitures de luxe de simplement les embarquer dans un semi-remorque pour supprimer les sécurités à l’abri des regards, à des kilomètres du lieu du vol.

    Aucun système n’est infaillible, peut être que Goodlock apporte une couche supplémentaire suffisament robuste pour décourager le voleur moyen.

    Il faut savoir contre quel risque nous sommes prêts à nous protéger, Goodlock est-il selon-vous le meilleur rapport sécurité / confort d’utilisation ?

    Flattr this!

    3 étapes pour mieux préserver sa vie privée

    Naked security nous rappelle dans l’article « Take the 3-step Privacy Plan Diet« , simples à respectées et nécessitant peu de sacrifice, qui permettent de grandement améliorer notre vie privée.

    1) Couper la géolocalisation des services

    Honnêtement, quels services nécessitent vraiment de connaître votre position géographique ? Mis à part les éventuels FourSquare dont je n’ai jamais compris l’intérêt… à part votre logiciel GPS je suis sûr que vous pouvez la géolocalisation sans regret.

    2) Couper le WiFi quand nous n’en avons pas besoin

    Je ne sais pas pour vous, mais mis à part à l’hôtel en déplacement, quand je suis chez moi, et lorsque je cherche mon chemin en ville pour augmenter la précision du GPS, je n’ai pas besoin du WiFi. Je le coupe donc dès que je sors de ces cas de figure, ce qui m’évite d’être pisté dans les magasins comme nous en avions déjà parlé dans un épisode du comptoir.

    3) Déconnectez-vous d’un service quand vous ne l’utilisez plus

    C’est sûrement l’étape la plus difficile. Rares sont ceux qui se déconnectent de Facebook après utilisation, encore moins de Google. Je dirais donc, à défaut de vous déconnecter, bloquez au maximum l’intervention de ces mouchards dans le reste de votre surf.

    Cela commence par désactiver les options borderline de votre compte Google comme la sauvegarde de vos recherches. Cela passe aussi par l’utilisation d’extensions comme « Disconnect » qui permet de bloquer la publicité, mais aussi et surtout le tracking des réseaux sociaux et des outils d’analyse type Google analytics.

    disconnect

    Et vous, quelles étapes parmi ces 3 faites-vous déjà ? Lesquelles êtes-vous prêt à adopter pour l’année 2014 ?

    Source : Naked Security by Sophos

    Flattr this!

    « How I lost my 50,000$ Twitter username » : Un parfait exemple de social engineering

    Le Social engineering, ou ingénierie sociale, est une attaque ne se basant pas sur une vulnérabilité informatique mais sur une faiblesse dans un processus organisationnel ou sur la manipulation d’un être humain.

    Naoki Hiroshima en a fait les frais il y a peu. Détenteur d’un compte Twitter très rare, @N, et qui vaut donc près de 50,000$, il est une cible de choix pour les attaques ciblées.

    L’attaquant a mis en place une stratégie ingénieuse pour lui extorquer son compte :

    1. L’attaquant a réussi à obtenir de PayPal les 4 derniers numéros de la carte de crédit de Naoki
    2. Il a ensuite appelé le Registrar utilisé par Naoki, GoDaddy, pour prendre possession de son nom de domaine. Pour ça il a prétexté avoir perdu l’accès à ses mails, et a fourni pour prouver son identité… les 4 derniers numéros de la carte de crédit. Il lui ont aussi fait deviner les 2 premiers, qu’il a trouvés du premier coup. Pour information les 2 premiers chiffres sont conditionnés par le type de carte (Visa, MasterCard…) ce n’est donc pas un total hasard.
    3. prendre la main sur le compte GoDaddy lui a permis de prendre la main sur son email… Et oui Naoki utilisait une redirection pour son mail. Par exemple en possédant le domaine « monsite.fr », vous pouvez créer une adresse « contact@monsite.fr » qui n’est autre qu’une redirection vers « veritable-adresse@gmail.com » par exemple. L’attaquant a donc redirigé contact@monsite.fr vers « adresse-de-l-attaquant@gmail.com ».
    4. maintenant en possession de l’adresse utilisée par Naoki, il pouvait réinitialiser le mot de passe de n’importe quel compte souscrit par Naoki avec cette adresse.
    5. Naoki a eu le temps de changer le mail associé à son compte twitter, ce qui a empêché l’attaquant de le voler directement. Il a donc opté pour la prise du compte Facebook et a commencé à le faire chanter.
    6. Naoki a fini par céder, il a relâché le compte @N en échange de la restitution de ses comptes personnels.

    Cette péripétie est une leçon importante. Nous l’avons déjà dit plusieurs fois, votre compte mail est le sésame ultime pour la quasi-totalité de vos comptes en ligne, car tous les services proposent une réinitialisation par envoi de mail. La subtilité supplémentaire ici était que l’adresse email dépendait du nom de domaine. La sécurité d’un système se résume à celle du maillon le plus faible. Dans ce cas c’était GoDaddy. Une authentification forte sur son compte Gmail ne l’aura pas protégé.

    À l’heure actuelle, Naoki ne possède plus @N, Godaddy, PayPal et Twitter ont tous annoncé qu’une enquête était en cours auprès de leurs équipes. N’y voyez pas là la ferveur de dirigeants amoureux de la justice. L’article de Naoki a fait du bruit, ils cherchent juste à nettoyer leur réputation. Espérons que cela fonctionne pour Naoki.

    Source : Naoki Hiroshima (Medium)

    Flattr this!

    Le podcast qui traite des enjeux de la sécurité informatique. Podcast en CC-BY-NC-SA