Avertir le modérateur

20/11/2016

Pour : un mot de passe simplifié

On nous le répète pourtant jamais assez, quel que soit le site internet sur lequel nous avons un compte il faut un mot de passe complexe. Au risque de paraître à contre-courant je considère que c'est là une précaution inutile* et que "123456" nous protège tout autant - ou aussi peu - que par exemple "azr**ei59hJiF".
Pourquoi j'affirme cela ? Tout simplement parce que la technique "brutale" consistant à essayer un mot de passe jusqu'à ce que ça marche est une technique qui n'existe pas. Les pirates ont autre chose à faire que de tester au clavier "12345" , "password" ou autre "admin_user".
Dans les faits les hackers - dont je ne nie pas l'existence, bien au contraire - volent la base de données contenant votre login et votre mot de passe et cherchent ensuite à "casser" la base dans son ensemble, autrement dit à la décrypter, la décoder. Et à ce stade peu importe que votre mot de passe soit complexe ou pas car l'algorithme qui va le "deviner" n'est pas construit selon un système de force brute, essayer tous les codes possibles et imaginables jusqu'à tomber sur le bon.
Prenons maintenant un raisonnement inverse et imaginons que vous allez pour la première fois sur un site internet et qu'à l'inscription vous entrez votre e-mail en guise de compte utilisateur et "12345" comme mot de passe. Quels sont les risques ?
Primo, vous avez sans le savoir un "key-logger" dans votre ordinateur, un logiciel espion qui va scruter vos frappes clavier. En ce cas peu importe la complexité du mot de passe que vous venez d'entrer puisque c'est la saisie même qui est en cause.
Deuxio, un pirate essaie de se connecter à votre place sur le site en question. Il faut pour cela déjà supposer qu'il a auparavant "volé" votre adresse e-mail ou pourquoi pas l'essayer au hasard (jean.dupont@gmail.com va sûrement se reconnaître ... ).
Mais même ainsi notre pirate n'a pas d'indices, pas plus sur votre mot de passe que sur les sites sur lesquels vous êtes inscrits. On peut ici argumenter que l'utilisation du lien "mot de passe oublié" est un maillon faible dans la protection. Mais si un pirate utilise cette solution, il devra pour réussir avoir déjà piraté l'accès à vos messages e-mail. Sans compter que de toute façon le site concerné renvoit sur une page de ré-initialisation du mot de passe, ce qui implique que le pirate entre son propre mot de passe avec votre compte et que par conséquent il ne connaîtra toujours pas le mot de passe que vous aviez utilisé....
C'est pour toutes ces raisons que je considère qu'un mot de passe compliqué à deviner n'apporte aucune protection supplémentaire par rapport à un mot de passe simple à deviner.

* Oui, j'adore Beaumarchais.

08/03/2014

Snake, le virus qui fait se mordre la queue aux journalistes

On peut lire aujourd'hui dans le Figaro qu'"un virus informatique très puissant a infiltré des ordinateurs en Ukraine". Ce n'est pas en soi une nouvelle si extraordinaire que cela, toute personne ayant eu dans sa vie un ordinateur a été confronté au problème au moins une fois.
Mais la lecture de l'article laisse un goût d'inachevé. On parle de "22 cas depuis 2013, dont 14 constatés depuis le seul début de l'année". Mais parle t-on de 22 ordinateurs, de 22 serveurs ou de 22 organismes ? Impossible de le savoir en lisant l'article. Plus étrange encore "Les opérateurs de ce virus agissent en semaine et essentiellement dans un fuseau horaire correspondant à Moscou". Il faut lire plus bas pour comprendre cette dernière phrase, car c'est la première fois que je découvre qu'un pirate se préoccupe du fuseau horaire. L'article du Figaro ne fait que reprendre en fait un article du Financial Times*. Las, l'original est différent de la copie ou pour le dire plus brutalement, la traduction qui en a été faite a été très imprécise. Que dit FT ? Ceci : " (...) its programmers appear to have developed it in a GMT+4 timezone – which encompasses Moscow – according to clues left in the code", ce que je traduirais rapidement par "selon les indices laissés par le code, il semble que les programmeurs [du virus] qui l'ont développé soient sur le fuseau horaire GMT+4 qui englobe Moscou". Comme vous pouvez le voir, cela n'a rien à voir.
Si seulement c'était là la seule imprécision du Figaro, mais non ! Selon le quotidien français "Snake est comparable au virus informatique Stuxnet, qui avait attaqué en 2010 le programme nucléaire iranien et avait été attribué par Téhéran à une attaque israélo-américaine.". Là aussi se référer à l'article du Financial Times permet de trouver une nuance de taille : "experts say it is comparable in its complexity with Stuxnet" ce qui se traduirait par "les experts estiment que ce virus est comparable en complexité à Stuxnet". Comparable en complexité pas comparable "simplement", ce qui laisserait croire que les auteurs de l'un pourraient être aussi les auteur de l'autre. Enfin omission volontaire ou pas, le Figaro oublie de donner le nom du serpent "Snake" : Ouroboros qui dans la mythologie grecque avalait sa propre queue...

* Article réservé aux abonnés mais ouvrir un compte gratuit permet de lire 8 articles par mois.

29/05/2008

Pirates en herbe

Vous l'avez sans doute entendu à la radio ou lu dans les journaux d'aujourd'hui, des jeunes gens soupçonnés d'être des pirates informatiques ont été interpellés et placés en garde à vue. Je ne me prononcerais pas sur le fond de l'affaire – ce n'est pas mon rôle ici – mais sur une phrase qui a retenu mon attention dans l'article du Figaro : "Jean-Pierre Alacchi, procureur de la République de Dijon, a précisé mercredi que certains hackers ont par ailleurs «inscrit de fausses données» et également commis des «escroqueries» en créant de «faux sites» leur permettant d'obtenir les coordonnées bancaires de personnes et de vider leurs comptes." (c'est moi qui souligne).
Je parle sans preuves, mais j'ai du mal à croire à cela. Le "phishing" existe sur Internet, je ne le nie pas. Mais je conteste fermement le fait que ces gens-là soient arrivés au but ultime qui consiste à "vider des comptes". Si cela se révélait exact, ce serait une première quasi mondiale, car jamais encore je n'ai lu que quelque part dans le monde un pirate informatique avait été arrêté et jugé pour un phishing "réussi".

 Complément

J'ai trouvé aujourd'hui 31 mai un article sur ce sujet, où l'affirmation est moins nette. Comme vous le lirez, les jeunes se sont seulement "essayés au phishing", mais sans pouvoir dire avec quel (in)succès. 

17:48 Publié dans Actu | Lien permanent | Commentaires (0) | Tags : pirates, informatique, phishing

 
Toute l'info avec 20minutes.fr, l'actualité en temps réel Toute l'info avec 20minutes.fr : l'actualité en temps réel | tout le sport : analyses, résultats et matchs en direct
high-tech | arts & stars : toute l'actu people | l'actu en images | La une des lecteurs : votre blog fait l'actu