Avertir le modérateur

20/11/2016

Pour : un mot de passe simplifié

On nous le répète pourtant jamais assez, quel que soit le site internet sur lequel nous avons un compte il faut un mot de passe complexe. Au risque de paraître à contre-courant je considère que c'est là une précaution inutile* et que "123456" nous protège tout autant - ou aussi peu - que par exemple "azr**ei59hJiF".
Pourquoi j'affirme cela ? Tout simplement parce que la technique "brutale" consistant à essayer un mot de passe jusqu'à ce que ça marche est une technique qui n'existe pas. Les pirates ont autre chose à faire que de tester au clavier "12345" , "password" ou autre "admin_user".
Dans les faits les hackers - dont je ne nie pas l'existence, bien au contraire - volent la base de données contenant votre login et votre mot de passe et cherchent ensuite à "casser" la base dans son ensemble, autrement dit à la décrypter, la décoder. Et à ce stade peu importe que votre mot de passe soit complexe ou pas car l'algorithme qui va le "deviner" n'est pas construit selon un système de force brute, essayer tous les codes possibles et imaginables jusqu'à tomber sur le bon.
Prenons maintenant un raisonnement inverse et imaginons que vous allez pour la première fois sur un site internet et qu'à l'inscription vous entrez votre e-mail en guise de compte utilisateur et "12345" comme mot de passe. Quels sont les risques ?
Primo, vous avez sans le savoir un "key-logger" dans votre ordinateur, un logiciel espion qui va scruter vos frappes clavier. En ce cas peu importe la complexité du mot de passe que vous venez d'entrer puisque c'est la saisie même qui est en cause.
Deuxio, un pirate essaie de se connecter à votre place sur le site en question. Il faut pour cela déjà supposer qu'il a auparavant "volé" votre adresse e-mail ou pourquoi pas l'essayer au hasard (jean.dupont@gmail.com va sûrement se reconnaître ... ).
Mais même ainsi notre pirate n'a pas d'indices, pas plus sur votre mot de passe que sur les sites sur lesquels vous êtes inscrits. On peut ici argumenter que l'utilisation du lien "mot de passe oublié" est un maillon faible dans la protection. Mais si un pirate utilise cette solution, il devra pour réussir avoir déjà piraté l'accès à vos messages e-mail. Sans compter que de toute façon le site concerné renvoit sur une page de ré-initialisation du mot de passe, ce qui implique que le pirate entre son propre mot de passe avec votre compte et que par conséquent il ne connaîtra toujours pas le mot de passe que vous aviez utilisé....
C'est pour toutes ces raisons que je considère qu'un mot de passe compliqué à deviner n'apporte aucune protection supplémentaire par rapport à un mot de passe simple à deviner.

* Oui, j'adore Beaumarchais.

19/10/2008

Nouvelle catastrophe financière : un compte a été piraté !

Le Journal du Dimanche de ce Dimanche révèle le piratage du compte personnel de Nicolas Sarkozy. Dont acte. Mais de là à en déduire que c'est une pratique courante et que les coordonnées bancaires font l'objet d'un trafic juteux sur Internet c'est bien exagérer le phénomène(1). Le journaliste enumère d'ailleurs les multiples possibilités de "dérober" les coordonnées bancaires d'un particulier. Je cite : "lors d'un achat en ligne ou au moment de la consultation d'un compte sur le Net, lors du paiement avec une carte de crédit chez un commerçant malhonnête, ou encore à l'occasion d'un vol ou d'une perte de documents " .
Reprenons les un par un voulez-vous ? Lors d'un achat en ligne il n'y a aucun, je répète aucun risque de se faire pirater. Soit le "vol" des coordonnées bancaires a eu lieu avant, et c'est l'achat dans son ensemble qui est frauduleux ; soit il n'y a pas encore eu "vol", et ce ne sera pas à ce moment là que le vol aura lieu, non. Vraiment, vous imaginez un pirate attendant tel un pêcheur à la ligne le moment précis où vous allez enfin taper ces fameux numéros ? (2).
La consultation d'un compte sur le Net ? Méconnaissance ou malhonnêteté encore une fois. Pour le faire régulièrement j'ai bien eu le temps de constater que jamais – oh grand jamais – je n'ai eu à taper mon numéro de carte bancaire. De plus je rappelle ici que le "code" pour consulter son compte n'est pas celui pour effectuer des retraits.  Je ne vais pas parler ici des autres "cas" (paiement avec une carte de crédit chez un commerçant malhonnête, vol ou perte de documents), car cela n'a rien à voir avec Internet. 
Alors, ignorance ou paranoïa dans cet article ? Les deux mon capitaine, et à haute dose encore !

(1) Je ne suis pas en train de nier l'existence d'un tel trafic. Je dis simplement que sa valeur "réelle" est infinitésimale par rapport à ce que le journaliste laisse entendre : "trafic juteux", sous entendu des millions de dollars, voire plus encore. Non, quelques milliers tout au plus d'après moi...
(2) Les spécialistes vont me parler de ces logiciels qui scrutent les frappes du clavier, mais si en "théorie" cela marche, en pratique cela ne marche pas. La preuve ? Qu'un seul de ces programmes fasse la preuve de son "efficacité", et en moins d'une journée toute la planète est au courant ! Une autre preuve ? à supposer que cela a tout de même existé et marché, on ne sait rien ni du programme, ni de l'escroc, ni des victimes !

 
Toute l'info avec 20minutes.fr, l'actualité en temps réel Toute l'info avec 20minutes.fr : l'actualité en temps réel | tout le sport : analyses, résultats et matchs en direct
high-tech | arts & stars : toute l'actu people | l'actu en images | La une des lecteurs : votre blog fait l'actu