Source : Les Numériques, Mathieu Chartier
Une base de données compilant des identifiants et mots de passe dérobés à la suite de plusieurs grosses fuites de données ces dernières années a fait surface. Baptisée COMB, elle vous expose peut-être à des piratages.
Lire l’article complet sur Les Numériques
Une base de données baptisée COMB, pour « Compilation of Many Breaches », a récemment été mis en ligne par des pirates informatiques. Elle est composée de 3,2 milliards de combinaisons d’e-mails et de mots de passe, mais ne résulte pas d’un nouveau piratage massif. En effet, il s’agit d’une compilation de données personnelles sensibles volées lors de précédentes incursions dans les systèmes informatiques de plusieurs entreprises. On y trouve des données récupérées lors de l’exploitation d’anciennes failles de sécurité chez Google (Gmail), Microsoft (Hotmail, LinkedIn) ou Netflix. Entre autres.
Un outil pour savoir si l’on est concerné
Fort heureusement, la plupart de ces failles avaient fait l’objet de publications au moment de leur découverte et les utilisateurs des services compromis ont sans doute — au moins en partie — été invités à changer leurs mots de passe depuis.
Autre bonne nouvelle, on trouve sur le site CyberNews un moteur de recherche qui permet de voir, en entrant son e-mail, si l’on fait partie des personnes dont les identifiants sont listés dans cette base de données (et même plus, puisque 15 milliards de comptes piratés sont recensés).
Conseils : utilisez l’identification à deux facteurs lorsqu’elle est proposée, utilisez un mot de passe fort et différent pour chaque site et service, et restez méfiant face à tout e-mail suspicieux.
Source : Les Numériques, Mathieu Chartier, 12-02-2021
Nous vous proposons cet article afin d'élargir votre champ de réflexion. Cela ne signifie pas forcément que nous approuvions la vision développée ici. Dans tous les cas, notre responsabilité s'arrête aux propos que nous reportons ici. [Lire plus]Nous ne sommes nullement engagés par les propos que l'auteur aurait pu tenir par ailleurs - et encore moins par ceux qu'il pourrait tenir dans le futur. Merci cependant de nous signaler par le formulaire de contact toute information concernant l'auteur qui pourrait nuire à sa réputation.
Commentaire recommandé
Concernant la sécurisation des mots de passe et leur générations, je peux vous indiquer le fruit de ma longue réflexion sur le sujet que j’applique désormais depuis plusieurs années.
Un simple papier sur lequel vous écrivez avec vos petits doigts potelés et en clair vos mots de passe est largement plus fiable que tous les systèmes de stockage « sécurisés » car le « hacker » doit venir CHEZ VOUS POUR EN LIRE LE CONTENU de ses propres yeux.
Si vous stockez vos mots de passe dans un fichier sur votre machine il pourra être lu par n’importe qui sans avoir à se déplacer.
Vous pouvez, si vous êtes vicieux, stocker un fichier de mots de passe bidons sur le disque pour attiser les convoitises, et si ce fichier est chiffré (« crypté ») il sera d’autant plus attirant pour un « visiteur », mais ne l’utilisez surtout pas.
Contentez-vous siplement de faire un « touch » (mise à jour de la date) à chaque démarrage de votre machine ce qui le rendra plus « crédible » car il aura une date de mise à jour « toute fraîche ».
Et pour le choix d’un mot de passe aléatoire, une feuille de papier contenant l’alphabet (brouillé bien sûr) et un simple fléchette lancée les yeux fermés sont largement plus aléatoires que le meilleur des algorithmes.
Et vous pouvez à vos moments perdus préparer un stock de mots de passe pour une utilisation future.
Cet avis n’engage que moi, mais compte-tenu de ma longue expérience en numérique (plus de 40 ans, certains me diront que je suis un « vieux con obsolète ») c’est de loin les moyens le plus fiables que j’aie trouvé…
Mais « peu pratiques » car il faut quitter l’écran et le « mulot » pour se concentrer sur le mode physique, ce qui est « totalement ringard et anachronique ».
41 réactions et commentaires
Il y a un point que je n’ai jamais compris dans ces affaires de vols de mots de passe :
J’avais cru comprendre que seuls le chiffrement des mots de passe des utilisateurs étaient enregistrés sur les serveurs et non pas les mots de passe eux-même (c’est à dire les mots de passe transformés par un algorithme de cryptographie). Donc comment est-ce possible que des pirates aient pu voler des mots de passe
non cryptés qui n’étaient pas enregistrés sur les serveurs? Ont-ils « cassé » les algo de chiffrement ou bien faut-il en conclure que les GAFAM enregistrent nos mots de passes non cryptés?
Si un spécialiste connait la réponse, il ferait beaucoup advancer le débat.
+10
AlerterJe ne suis pas spécialiste du domaine, mais il se trouve que je connais un peu, et je dirais que vous avez plutôt bien compris, à ceci près que la « bonne » façon de faire est encore plus sécurisée: ce qui devrait être stocké dans les bases de données n’est certes pas le mot de passe en clair, mais pas non plus une forme chiffrée « déchiffrable » du mot de passe. Les systèmes sécurisés encodent le mot de passe avec un algorithme basé sur des fonctions mathématiques non inversibles qui rendent le décodage quasi-impossible. Et quand l’utilisateur se connecte, ils ne déchiffrent pas le mot de passe dans leur base pour le comparer à ce que l’utilisateur a entré; ils encodent le mot de passe que l’utilisateur a entré pour le comparer avec ce qu’ils ont dans leur base. Cette façon de faire date au moins des premiers systèmes Unix, c’est à dire des années 1970…
Donc oui, si des pirates ont réussi à voler des mots de passe, c’est que les systèmes étaient fait n’importe comment et qu’il y avait soit des mots de passe en clair dans les bases, soit des mots de passe chiffrés, mais déchiffrables « facilement ».
+11
AlerterLes mots de passe sont « hachés », pas stockés en clair. Mais les anciens algos de hachage peuvent être cassés en y accordant un peu de temps de calcul.
Une solution pour s’en prémunir c’est de re-hacher le mot de passe avec un nouvel algo plus fiable, lorsque la personne saisit son mot de passe pour se connecter par exemple. On vire alors l’ancienne version.
Malgré tout, la fuite ne provient pas forcément de la casse du haché. S’ils ont pu être obtenus, c’est qu’il y a compromission d’un serveur, et cette compromission a pu être exploitée de diverses manières.
Le nom de l’attaque le dit, il n’y a pas eu une seule façon d’attaquer, mais plutôt toutes celles possibles, rassemblées.
+2
AlerterTout à fait, effectivement, les mots de passes des utilisateurs ne doivent jamais être enregistrés en clair sur un serveur. Et je pense que Google ne l’a jamais fait ! Une méthode très simple permet de se douter qu’un mot de passe est enregistré en clair : si on vous envoie par mail en clair votre mot de passe, c’est qu’il est enregistré sans être crypté. Heureusement c’est plutôt rare maintenant.
+2
AlerterAlors terminons le raisonnement : si les mots de passe ont été volés comme tels donc (ce sont les mots de passe) utilisables c’est que les stockeurs sont des escrocs.
Et non pas des maladroits.
Quand on en arrive à se demander si c’est du n’importe quoi ou du banditisme, en matière de sécurité aussi primitive qu’un bon hachage, la réponse est triviale.
La réversibilité d’un hachage de type sha256 ou sha512 n’est pas à la portée des plus gros ordinateurs actuels sauf si le hachage est lui même truqué (il ne s’agit plus de bug dans ce cas) ou le temps disponible très très très … long.
+2
AlerterSi le mot de passe est assez simple, il suffit de passer en revue tout un dictionnaire de mots de passe (il en existe sur le net) et vérifier si correspond à la clé hachée.
Si le mot de passe est trouvé, il reste à essayer de se connecter sur d’autres sites plus intéressants (Amazon, Paypal…) en espérant que le même mot de passe est utilisé plusieurs fois.
+3
AlerterPour répondre à votre question très pertinente, j’ai supposé qu’en fait les mots de passes n’ont pas été trouvé en clair sur les sites qui se sont fait hackés, mais juste les adresses mail. Par contre sur d’autres sites plus petits et moins sécurisés des mots passes associés à cette adresse mail ont pu être récupérés. La correspondance suppose que l’utilisateur lambda met le même mot de passe partout. Par exemple, si Mr TrucMuche met le mot de passe Bidule sur le site peut protégé XXX avec l’adresse mail TrucMuche@gmail.com, alors on va supposer que le mot de passe pour accéder au compte TrucMuche@gmail.com est Bidule.
Du coup cette liste de mot de passes hackés n’est qu’une spéculation, et beaucoup ne doivent pas fonctionner.
L’autre possibilité, c’est que pour retrouver le mot de passe, ils ont fait un attaque par dictionnaire. On prend la liste des mot de passe chiffrés et on les compare avec une liste de millions de mot de passe utilisés fréquemment eux même chiffré par la même technique. Par exemple si Bidule est chiffré 3A45FDS et que dans le dictionnaire on trouve 3A45FDS associé à Bidule, alors bingo ! Mais cette méthode suppose que l’utilisateur Lambda utilise un mot de passe peut sécurisé et ça demande de la puissance de calcul.
+2
Alerter« Par contre sur d’autres sites plus petits et moins sécurisés des mots passes associés à cette adresse mail ont pu être récupérés »
La grosse majorité des « petits » sites (dont les-crises.fr) sont basés sur des CMS, des outils qui ne demandent pas à tout coder et qui gèrent les utilisateurs de façon sécurisée (mot de passe haché).
Sino, c’est qu’ils sont faits par des professionnels. Je ne pense pas qu’il y ait un seul professionnel qui ne sache pas qu’on hache les mots de passe avant de les stocker dans la BDD (ce qui au passage est extrêmement facile). Du coup, les petits sites non sécurisés, je n’y crois pas. Si un professionnel travaille comme un gros cochon, il le fera quelle que soit la grosseur du site. Du reste, des gros sites codés par de cochons (en tout cas en ce qui concerne le frontend, le back n’étant pas accessible), j’en vois tous les jours, surtout les officiels des administrations.
Quoi qu’il en soit, il est vrai qu’il vaut mieux avoir un mot de passe différent pour chaque site. Et cela ne pause aucun problème si on utilise le gestionnaire de mot de passe que propose Firefox et peut-être d’autres navigateurs.
D’autre part, c’est vrai qu’on peut retrouver UN mot de passe depuis son double haché, mais ça prend du temps, comme l’a souligné vert-de-taire. Personne ne va faire ça pour 3 milliards de comptes.
+1
AlerterJe ne suis pas non plus spécialiste du domaine,mais je connais un peu aussi. Disons qu’il est difficile, avec un bon algorithme de chiffrement, de retrouver le mot de passe « en clair » à partir de sa version chiffrée.
Je ne connais pas tous les types d’attaque, mais par exemple, vous pouvez utilisez les attaques dites « du dictionnaire ». Vous prenez un dictionnaire de nom commun ou de nom propres et vous faites passer l’algorithme de chiffrement sur tous les mots – vous pouvez même raffiner en faisant les substitutions habituelles a > @, o > 0, en remplaçant les majuscules par des minuscules etc.) – puis vont comparez le résultat du chiffrement avec la version chiffrée que vous avez déjà. Si c’est la même : vous avez vos mots de passe. C’est pour cela qu’on conseille de prendre une suite de caractères aléatoire comme mot de passe.
+2
Alerterde toute façon il faut partir du principe que tout ce qui peut être piraté sera piraté.
donc si vous ne voulez pas qu’on ait accès à vos données ce n’est pas une bonne idée de les stocker dans le cloud
+7
AlerterLe mot de passe est stocké « haché » sur le serveur, il est transformé en caractères qui ont l’air aléatoires. Des ordinateurs calculent les hachages des mots de passe avec les algorithme habituels (des millions de mots de passe à la seconde). Quand une basse de donnée est récupérée, on peut comparer le hachage de votre mot de passe volé avec les hachages qui ont été calculés. Vous pouvez chercher dans google le md5 ou sha1 qui correspond à une suite de caractères (ne tapez pas votre vrai mot de passe, certains site les stockent). Si vous cherchez dans google reverse md5, sha1 vous allez trouver des sites qui vont vous donner le mot de passe qui correspond au hachage que vous lui donnez (ne tapez pas celui de votre mot de passe).
+1
AlerterUn mot de passe haché ne peut plus être retrouvé. Par contre selon l’algorithme de hachage (sha, md5, etc.), un mot hashé sera toujours égale au mot d’origine (sinon impossible de savoir si le mot de passe est bon). On peut donc commencer à établir des dictionnaires de hash qui permet de faire le lien entre des mots et leur hash, selon l’algo. Il a donc été ajouté des « salt » (sel en français): des chaines de caractère aléatoire, rajouté en préfixe ou suffixe du mot de passe avant hashage. On a donc un hash qui ne correspond plus au mot ou mot de passe précisément, et cela rend les dictionnaires bien moins performant. A noter que ces salts sont donc conservé dans la base de donnée. A chaque fois que la personne rentre son mot de passe, celui ci transite via httpS, reçu par le serveur, le login permet de récupérer le salt, qui est ajouté au password, hashé et comparé.
Pour avoir mis le nez dans ces 3 milliards d’identifiants, une chose: les mots de passe sont très vieux, plutôt simpliste, datant de quasi 10ans, ne servant quasi à rien vu la sécurité actuelle des plateformes concernées. Donc surement décodé assez facilement à l’aide de dictionnaire, ou peut être de fuite interne. Mais le stockage des mots de passe en clair est une erreur que même Microsoft n’aurai pas fait il y a 20ans, c’est « la base ». La question c’est comment ces données ont fuité.
+0
AlerterJ’ai eu 3 comptes compromis, 2 sont des comptes gmail que j’utilise régulièrement, par contre les vieux comptes que j’utilise très peu n’étaient pas compromis. Les mots de passe étaient un peu vieux mais ils avaient tous 16 caractères aléatoires, chiffres, majuscules, minuscules, pas de caractère spécial par contre. J’espère qu’il n’y avait pas le mot de passe dans la liste, sinon c’est plutôt grave.
+0
AlerterÉtonnant, les seuls comptes que j’ai eu de compromis était des comptes hotmail qui dataient de 15ans. Mes comptes récent gmail (généré par des entreprises avec lesquels je travaille) n’ont pas été touché, et les fournisseurs tels que protonmail ne sont pour l’instant pas touché non plus.
Quasiment tous les mots de passes sont en clairs, donc si vous savez que certains de vos comptes font partie de COMB, je vous conseil de les changer.
+0
AlerterUn bon mot de passe n’est PAS complexe : il est simple mais constitué d’une phrase et non d’un mot. Sauf qu’elle est trop habituelle, la phrase « Debout, les damnées de la Terre » (sic) est infiniment plus sûre et plus facile à retenir que « @xK!e5[) ». Voir à ce sujet l’excellentissime BD de https://xkcd.com/936/ certes en anglais mais très compréhensible avec un peu de bonne volonté et un traducteur comme deepl.com
Il faut une « phrase de code » différente par site pour éviter la contagion. Et le bon vieux papier collé sous le clavier ne vous protège ni des collègues, ni des enfants, ni des perquisitions plus ou moins officielles et encore moins des cambrioleurs pour qui il pourrait constituer un bonus inattendu (accès bancaire !). Donc le récent logiciel libre « Bitwarden » est un indispensable compagnon de votre accès internet même s’il n’est pas repris dans cet article de 2017 https://www.lemonde.fr/pixels/article/2017/09/04/quel-gestionnaire-de-mots-de-passe-est-fait-pour-vous_5180822_4408996.html
KeepassX est une solution alternative et encore meilleure pour les plus paranos d’entre nous. Cependant sa manipulation n’est pas triviale et hors de portée de Papy ou de votre vielle belle-mère.
+0
Alerter« Conseils : utilisez l’identification à deux facteurs lorsqu’elle est proposée »…
Certes, mais je vous conseille fortement d’éviter une identification à deux facteurs passant par une voie numérique basée sur une « appli » installée sur votre smartphone (androis ou ios).
En effet, ces OS sont facilement piratables et des applis « fantômes » (rootkits et autres joyeusetés) peuvent aisément intercepter les communications numériques et les transmettre à un « petit malin » qui se fera un plaisir de l’utiliser à des fins personnelles ou les revendra à un « client intéressé », dans tous les cas « pour votre bien ».
Ma banque (qui semble moins aveugle que pas mal d’organismes « officiels ») a mis en place depuis longtemps un système de double identification qui peut (si on utilise PAS un smartphone comme moi) offrir une sécurité « acceptable » : L’envoi d’un code par SMS sur un GSM (utiliser un vieux téléphone Nokia sous Symbian OS pour éviter les interceptions) OU, encore plus sûr, l’envoi de ce code vocal en ANALOGIQUE sur un téléphone fixe (au moins des deux modes de sécurisation sont radicalement différents).
Tout le contraire de ces idiots de « l’identité numérique » qui nous CONTRAINT à utiliser une « appli de sécurisation » pour smartphone (développée à prix d’or avec des fonds publics, rien n’est perdu) qui sera facilement interceptée par les « logiciels discrets » installées à votre insu (parfois lors de leur fabrication).
Je leur ai bien signalé que leur système était une vraie passoire mais la réponse des « robots » (humains ou non) a été « si vous n’installez pas « l’appli sécurisée » vous ne pourrez plus utiliser les services régaliens…
Comment tirer une balle dans le pied des utilisateurs.
Ensuite on nous parle de « fracture numérique ».
Le plus gros problème provient en fait de la fracture cérébrale des « décideurs » qui ont défini ce système de « sécurisation » totalement débile et coûteux (mais rien n’est jamais perdu en ce monde).
+12
AlerterRGT, parce que vous croyez que l’identification à deux facteurs va vous éviter l’espionnage de votre vie privée?!! Au contraire, les banques en sauront plus que vous. Et ne parlons pas des big data qui consomment et consument une énergie de plus en plus délirante, dans des centres DATA creusés sous la roche comme les blockhaus suisses! L’énergie grise augmente sans cesse. Non seulement on perdra l’énergie mais les données de plusieurs millénaires avec ces conneries de big data sous prétexte de progrès! Le progrès est un terme militaire: Allez de l’avant en latin! Donc que tu sois mot ou vivant!! Ouvrez les yeux les jeunes bordel! 😀
+3
AlerterC’est surtout qu’on a pas le choix ! L’organisme dispose de son système et l’impose à l’utilisateur qui n’a qu’à se soumettre.
+1
AlerterCe qui dérange dans ces infos, c’est d’être obliger de donner son adresse mène à un soi disant site qui va m’informer de mon piratage ou pas
Comment s’y fier
+5
AlerterOn ne s’y fie pas… si dans quelques jours je reçois des tonnes de spams en plus, je saurai que c’est une arnaque… 🙁 et je vous préviendrai. 🙂
Si vous ne donnez pas votre mot de passe (et qu’il est solide), c’est le pire qui puisse arriver.
+1
AlerterConcernant la sécurisation des mots de passe et leur générations, je peux vous indiquer le fruit de ma longue réflexion sur le sujet que j’applique désormais depuis plusieurs années.
Un simple papier sur lequel vous écrivez avec vos petits doigts potelés et en clair vos mots de passe est largement plus fiable que tous les systèmes de stockage « sécurisés » car le « hacker » doit venir CHEZ VOUS POUR EN LIRE LE CONTENU de ses propres yeux.
Si vous stockez vos mots de passe dans un fichier sur votre machine il pourra être lu par n’importe qui sans avoir à se déplacer.
Vous pouvez, si vous êtes vicieux, stocker un fichier de mots de passe bidons sur le disque pour attiser les convoitises, et si ce fichier est chiffré (« crypté ») il sera d’autant plus attirant pour un « visiteur », mais ne l’utilisez surtout pas.
Contentez-vous siplement de faire un « touch » (mise à jour de la date) à chaque démarrage de votre machine ce qui le rendra plus « crédible » car il aura une date de mise à jour « toute fraîche ».
Et pour le choix d’un mot de passe aléatoire, une feuille de papier contenant l’alphabet (brouillé bien sûr) et un simple fléchette lancée les yeux fermés sont largement plus aléatoires que le meilleur des algorithmes.
Et vous pouvez à vos moments perdus préparer un stock de mots de passe pour une utilisation future.
Cet avis n’engage que moi, mais compte-tenu de ma longue expérience en numérique (plus de 40 ans, certains me diront que je suis un « vieux con obsolète ») c’est de loin les moyens le plus fiables que j’aie trouvé…
Mais « peu pratiques » car il faut quitter l’écran et le « mulot » pour se concentrer sur le mode physique, ce qui est « totalement ringard et anachronique ».
+19
AlerterLes mots de passe individuels peuvent être choisis comme bon vous semble. Mais les mots de passe entreprise vous sont communiqués et seul l’administrateur réseau peut les changer, éventuellement sur votre demande.
Quand vous n’accedez qu’au réseau de votre entreprise pas de problème.
Mais quand vous êtes dans la profession IT , on vous communique plein de mots passes bien compliqués pour accéder aux systèmes des clients. Vous ne pouvez vous en souvenir vous les notez dans des cahiers au début. Mais comme vous devez accéder aux systèmes de vos clients rapidement vous les inscrivez dans des fichiers sur votre ordinateur. Beaucoup de « professionnels » disent à google d’enregistrer ces mots de passe pour ne pas avoir à chercher et aller plus vite.
Si vous saviez.
Le bon mot de passe perso n’est pas plein de @#!
Mais un mot de passe que vous pouvez retenir ou retrouver facilement.
+1
Alerter« Mais les mots de passe entreprise vous sont communiqués et seul l’administrateur réseau peut les changer, éventuellement sur votre demande. »
Non, pas du tout, pas partout.
+0
Alerteret c’est là, si vous êtes prince et que vous faites des photos sur un site sensible avec le post-it en écidence :)))))
+0
AlerterOui, pourquoi pas… cependant Windows est une passoire (et encore plus avec W10 et/ou quand on utilise les clouds), et quasiment rien ne peut vous protéger de l’installation d’un renifleur (sur votre PC ou votre réseau) qui vous piquera vos mots de passe au moment où vous les utiliserez… même Unix qui empêche l’exécution sans votre validation (donc bien plus sécurisé) a été récemment piraté quand même.
Il est à noter par ailleurs que plus on utilise les OS (et logiciels) récents et plus on est vulnérable parce que les pirates adorent les nouvelles versions qui recèlent toujours de nombreuses failles de sécurité.
J’ai résisté longtemps en gardant tant que j’ai pu mon XP avec lequel je n’ai eu que 2 « accidents » en 16 ans d’utilisation. Je résiste depuis 3 ans avec ma version W7 qui n’a jamais eu d’accident (je touche du bois 🙂 ) et qui visiblement n’intéresse plus les pirates.
Malheureusement, on peut toujours compter sur les vendeurs de logiciels et d’OS pour programmer l’obsolescence rapide des outils informatiques pour nous vendre toujours plus d’ordis, de logiciels, d’OS et de fonctions qui ne servent à rien… ouvrant, chaque fois, en grand les portes à tous les pirates.
Leur projet est d’ailleurs clair, ils ne veulent plus vendre de produits finis, mais faire de la location d’utilisation pour se créer des rentes de situation… avec son corolaire de dépendance et non accessoirement avoir accès à nos activités en permanence (ce qui génère une faille en soi).
+1
AlerterPour reprendre le contrôle de la machine, pourquoi ne pas essayer Linux ?
Personnellement, après plus de 20 ans sous Windows, j’ai franchi le pas en 2016 (le passage forcé au spyware qu’est Windows 10 aura été le déclencheur).
Après m’être initié durant 2 ans à une distribution dérivée de Debian, j’utilise aujourd’hui QUBES OS pour compartimenter mes activités et gérer les risques associés de façon adaptée (par ex, la machine virtuelle qui contient mes mots de passe n’est pas connectée aux cartes réseau gérées par l’hyperviseur…).
En outre, les connaissances acquises durant mes deux premières années d’initiation restent valables. Mieux, je les approfondies là où Microsoft me demandait un effort d’adaptation permanent à chaque changement de version sans que cela fasse sens…
J’héberge également quelques services (VPN, DNS…) sur un raspberry pi au moyen d’un OS dérivé lui-aussi de debian. Là aussi, les connaissances acquises sont réutilisées et approfondies.
Enfin, depuis quelques jours, j’ai la satisfaction de pouvoir désormais faire la même chose avec mon Smartphone (PinePhone) doté d’un systéme d’exploitation dérivé de…Je vous laisse deviner ! 😉
Bref, tout cela pour dire que l’alternative à Microsoft et à ses pratiques privatives de libertés existe, mais, comme tout ce qui vise à l’autonomie de l’individu, elle exige de lui un effort. Reste à la fin le fruit de cet effort : ici, ni plus ni moins que la satisfaction de reprendre le contrôle sur la machine…
+0
AlerterOui, je sais, j’ai testé pendant quelques mois Ubuntu et Debian… Mais quand on active toutes les interfaces qui permettent de ne pas être trop perdu par rapport à Windows, c’était trop lent pour moi… Surtout je n’ai jamais réussi à installer l’émulateur Windows qui m’aurait permis de faire tourner de vieux programmes pour me donner accès à des fichiers (notamment des comptabilités) dont j’ai encore besoin de temps en temps ; d’ailleurs j’ai souvent eu des problèmes pour les installations en général (ça dépasse ce à quoi j’ai été habitué et je n’ai plus la plasticité cérébrale de ma jeunesse). Alors pour l’instant, j’ai renoncé.
Mais, c’est prévu que je m’y remette dès 2023 quand la W7 sera totalement abandonnée, parce que oui, pour avoir débarrassé la W10 d’une amie de dizaines de traceurs, je sais qu’il y en a au moins un dans le noyau qu’on ne peut jamais supprimer ; donc hors de question de passer à une version supérieure à la W7. Ou alors si j’échoue encore avec Linux, j’envisagerai de passer sur Mac.
Intéressant QUBES OS, merci pour vos suggestions ; et puisque vous avez l’air très « branché », une solution VPN facile d’accès et qui ne vous trace lui-même parce que c’est gratuit, ça existe ?
+0
AlerterPour vous répondre sur le VPN, je vous avoue ma méconnaissance des fournisseurs fiables dans ce domaine.
Je procède donc différemment en utilisant, selon mes besoins de navigation (très facile avec Qubes OS puisque Tor/Whonix sont disponibles dès l’installation dans des VM dédiées…) :
– TorBrowser pour naviguer sur des sites où je ne souhaite pas que mon adresse IP puisse être récupérée (facilement);
– mon propre VPN (openvpn) pour naviguer sur les autres sites, non pas tant pour masquer mon adresse IP que pour empêcher la ségrégation de trafic par mon FAI, ce qui me garanti ainsi une bande passante relativement stable à toute heure du jour et de la nuit. Naturellement, ce VPN maison, je m’en sers également pour y faire passer toutes mes connexions wifi, en particulier lorsque je me connecte hors de mon domicile, pour sécuriser mes connexions via des points d’accès que je ne maitrise pas.
Voilà ce que je puis vous dire sur le sujet !
+0
AlerterL’idée me paraît bonne : conserver sur un support physique non numérique ses mots de passe. Pourquoi pas ? Sauf que votre document papier, il va s’abimer, peut-être même être égaré voire récupéré par des personnes pas nécessairement bien intentionnées…Bref, tous les risques sont loin d’être éliminés ainsi. Sans parler d’une certaine lourdeur lorsqu’il faut systématiquement les ressaisir le moment venu…
Mais bon, je ne pense pas qu’il y a une solution universelle à ce problème, mais juste un compromis à trouver entre l’importance que l’on accorde à ses informations et les contraintes que l’on est prêt à assumer pour les conserver en sécurité.
Personnellement, je les gére via un gestionnaire de mots de passe (keePassX), dans une machine virtuelle non connectée au réseau (sous Qubes OS), sur un disque chiffré. Les copies sur support physique amovible (clé USB), qu’elles soient conservées à mon domicile ou à l’extérieur, sont également chiffrées (VeraCrypt).
Cela peut paraître lourd, mais en fait c’est juste une habitude à prendre, un peu comme lorsqu’on attache sa ceinture avant de prendre le volant…
+0
AlerterOn n’est pas obligé d’abroger le numérique. Après c’est comme tout, mais beaucoup de gens l’oublie souvent : ça a un coût!
Mon propos est plutôt de promouvoir ce que doit être internet, du moins dans l’esprit des fondateurs du concept, i.e. un ensemble de cloud personnels.
Et donc pour revenir à la problématique de stockage numérique des mots de passe, le faire sur un serveur personnel.
Mais je vois déjà Madame Michu qui lève la main en disant qu’elle sait pas faire, qu’elle comprend rien et qu’elle ne voit pas à quoi ça pourrait lui servir… Au lieu d’acheter des smartphones « révolutionnaires » de la pomme, elle ferait mieux d’essayer de comprendre le monde dans lequel elle vit. C’est plus dur, c’est vrai, mais tellement plus efficace!
+0
AlerterC’est bien joli de demander d’avoir des mots de passe différents pour chaque cas où on en a besoin, et de les renouveler régulièrement. En clair, il faut avoir un carnet chez soi avec ses mots de passe mis à jour, alors qu’avant on pouvait se contenter de les avoir en tête. Les mots de passe on en a besoin pour deux adresses courriels au moins, parfois pour des adresses courriels professionnelles, pour tous les comptes consultables et utilisables en ligne ou les bases d’opérations financières, pour les sites qui proposent de s’inscrire comme utilisateurs, pour les sites d’achat si on achète en ligne, pour les pseudos sur des forums de discussion ou sur les sites de vidéos, pour les sites de lecture de livres en ligne, parfois pour déverrouiller un ordi à plusieurs utilisateurs,… Bref, pour avoir des mots compliqués et différenciés les uns des autres, il ne reste qu’à avoir un carnet chez soi dont on est sûr que personne ne mettra la main dessus.
+2
AlerterIl faut utiliser un gestionnaire de mot de passe comme Keepass, 1Password, Firefox en a un aussi je crois, mais il y en a beaucoup. Tous vos mots de passe sont stockés dans ce programme et vous y accédez avec un seul mot de passe. Ça permet de générer des nouveaux mots de passe aléatoires facilement et vous êtes sûr que si un site se fait pirater ses comptes, personne ne les réutilisera sur d’autres sites ou ne pourra comprendre comment vous avez créé votre mot de passe. Ça évite les méthodes qu’on entend à la télé comme prendre les initiales d’une chanson ou associer des mots du dictionnaire, qui peuvent se casser en quelques secondes.
+5
AlerterEt si vous voulez monter d’un degré dans la paranoïa, vous utilisez KeePass – qui ne gère que la base de mots de passe et pas le partage entre vos différents appareils, et qui est aussi je crois le seul préconisé par la CNIL -, et vous partagez votre base de mots de passe par un système pair-à-pair comme Syncthing. Comme ça, pas de stockage de votre base sur un serveur « cloud » on ne sait pas où, personne ne le verra sauf vous. Ce n’est pas le plus facile à mettre en place, mais quand ça marche, vous êtes assez tranquille…
+0
AlerterJe crois que vous avez bien cerne le probleme. Personnellement je suis reticent a confier mes mots de passe en ligne. J’ai donc une liste avec moi des que je me sers de mon ordi . Certains me reviennent vite, d’autres sont plus complexes, d’ou l’obligation de ma liste. Seulement il faut que je la trimballe avec moi chaque fois que je vais quelque part, et que je ne la perde pas…. Autre chose a bien se rappeler: comment on a tape ces mots de passe: petites ou grosses lettres, ou les deux, symboles, chiffres etc… Les mots securises doivent toujours etre complexes, c’est parfois un peu lassant. Mais c’est un choix :prendre ou pas ses precautions.
+3
AlerterCréer des phrases mnémotechniques personnelles comprenant des chiffres, des majuscules et des symboles. Choisir dans son propre imaginaire, blague potache, pensée personnelle, etc…
Choisir des lettres dans cette phrase suivant un principe arbitraire. 1er ou 2e lettre de chaque mot, ou 1er ET 3e lettre pour le mots en comportant plus de 3, etc…
Les chiffres peuvent être incrémentés suivant un choix aussi arbitraire.
Une fois le principe choisit, il y a peu à se souvenir réellement: seulement la phrase et le principe.
Le rappel de la phrase est synthétisé par écrit.
Mot de rappel : « Zigomar1 » par exemple
Démonstration (à la con) : « Le poids de 450 Zigomars est peanut devant la connerie de 1 seul politicien » lpd450Zepdlcd!sp
J’ai 450 mais ça peut aussi être n’importe quelle combinaison de touches d’un pavé numérique.
j’ai mis ! pour 1, on peut !!! pour 3, ? pour 4 etc… inventer n’importe quoi… 🙂
Et surtout: ne pas utiliser le même mot de passe partout.
3 à 5, un pour chaque usage.
1 pour les jeux 🙂
1 pour les achats
1 pour la correspondance diverse
1 pour la correspondance privée
1 pour les banques
avec des variantes internes à chaque groupe éventuellement 🙂
Je dis ça…
+0
Alerteren complément de ce qui précède :
— des listes de mot de passe existants ou imaginaires (dictionnaires, livres, « petit-nègre », abréviations, …) sont hachés au moyen des quelques algorithmes standard et stockés dans une immense table (« rainbow table ») ; il suffit alors de pouvoir lire le hachage sur le serveur pour, si on le trouve dans la table, connaître le mot de passe. Ou, plus précisément un mot de passe qui sera accepté car le serveur compare le hachage de ce qu’on lui soumet avec celui qu’il stocke. C’est ainsi que les « windows serveurs 2000 » prétendument parfaitement sûrs étaient piratés dès qu’on y avait accès en simple lecture.
— un contournement (qui était déjà mis en oeuvre par Unix depuis le dernier millénaire…) consiste, pour le serveur, à générer en plus un second mot de passe aléatoire (« le sel ») qu’il stockera, le hachage portant sur la concaténation des deux. Ainsi deux utilisateurs choisissant le même mot de passe auront un sel différent et donc des hachages distincts.
— le risque du hachage est la collision entre deux mots qui donneront le même résultat. Il faut utiliser un long hachage, ce que font normalement tous les logiciels corrects.
+3
Alerterautre point : pour construire une rainbow table on peut aussi utiliser des algorithmes appliquant des transformations classiques, telles conversion min/MAJ, suppression/rajout de signe de ponctuation, substitution « geek » (zéro/lettre-O, …). Cela génère une table absolument gigantesque. J’ai travaillé avec un « service » qui utilisait, à l’époque, une salle entière emplie de lecteurs/graveurs de DVD de 5G0. aujourd’hui un disque c’est 5To, mille fois plus ! alors imaginez ce qui se passe si vous ou votre fournisseur êtes léger dans votre mot de passe. Ou si son hachage+sel tombe dans les mains d’un tel « service ».
+2
Alerterde toutes façon, la plupart de toutes les données passent par gmachin ou truc360 ou gogole ou avec 20doses ou les tuyaux d’eau range , alors la sécurité, vous savez, elle n’EXISTE PLUS depuis longtemps puisqu’à un bout de la chaine, il y a toujours un ami qui vous veut du bien.
+2
Alerterallez, rajouter un truc,
tapez une fois un mot de passe sur votre téléphone ou votre tablette et il n’est plus sécurisé
+0
AlerterJe plussoie fortement , quand on file des datas à un tiers de confiance, il faudrait toujours pouvoir lui faire confiance sur tout.
Sinon il faut limiter les tiers et revenir au fonctionnement normal d’internet : le peer to peer … avec personne entre Alice et Bob.
+0
Alerterben non, entre alice et bob, il y a le tuyau
c’est pour ça que sarko avait mis les boites noirs….
2007 mais devait exister avant, validé quelques années plus tard
+0
AlerterLes commentaires sont fermés.