Un peu de cybersécurité

C'est ainsi que commença la déchéance de MF, Requiem et Wizard's Lair
Avatar de l’utilisateur
sapro
Omega
Messages : 3512
Inscription : 22 avr. 2021, 20:22

Re: Un peu de cybersécurité

Message par sapro »

MutoKenji a écrit : 16 juil. 2021, 17:44 @sapro est ce que tu as des infos à partager sur comment les monstres du Web type Facebook Google et compagnie se prennent des tentatives de piratage ?

Je parle pas d'un compte qui se fait pirater, ça c'est plutôt l'utilisateur.

Mais genre plutôt l'entreprise entière, à coup de ransomware, ou jsais pas quoi.
T'as une idée un peu de l'ampleur de ce qui se joue à ce niveau là ?
Ça doit être fascinant
Concernant les géants numériques, je vais partir de la théorie des niveaux que l'on retrouve dans tous les standards de cybersécurité. En gros, selon la criticité et la visibilité, vous allez pas chercher à avoir les mêmes niveaux de sécurité. On peut résumer ça en 5 niveaux :

- Niveau 0, aucune cybersécurité. C'est là qu'on démarre quand on lance un projet mais le but est évidemment de ne pas y rester, même en temps que petit entrepreneur.
- Niveau 1, on cherche ici à se protéger d'erreur humaine non intentionnelle. La sécurité doit protéger l'utilisateur pour qu'il ne fasse pas de la merde.
- Niveau 2, on veut se protéger d'une personne mal intentionnée. Elle peut avoir quelques ressources, du temps, mais on part du principe que seule ça sera difficile pour elle. Mtgverse est clairement à ce niveau.
- Niveau 3, on cherche à se protéger contre une organisation criminelle ou une entreprise concurrente. On sait qu'en face on a des moyens et de l'argent et que ces gens seront prêts à aller très loin pour faire du tort à votre entreprise. On retrouve ici la plupart des sites d'informations et de e-commerces.
- Niveau 4, on veut se prémunir d'une attaque émanant d'un état. On considère que le budget est illimité et qu'il faut donc de très gros moyens pour contrer ça. A la base, ce niveau concernait les institutions bancaires.

Pour les gros groupes, on pourrait penser que le niveau 3 est suffisant, sauf qu'on arrive à un point ou la visibilité de ces groupes fait qu'ils doivent viser du 4 pour espérer résister à des états belliqueux.

On notera que être protégé au niveau 4 fait qu'on est aussi protégé pour les niveaux plus bas : typiquement, le pirate qui veut hacker le compte d'une personne sur facebook n'y arrivera pas, simplement parce que le système est fait pour résister et cela même si au fond il récupérerait peu de données.
Pour les organisations, récupérer les données d'une personne, ça ne les intéresse pas, ils veulent soit beaucoup de données, soit des choses qui ne sont normalement pas accessible dans le site de base (par exemple des bases de données contenant des données bancaires ou des secrets industriels).

Le hic, c'est que les gros groupes ont tous commencé à une taille réduite, et où la cybersécurité n'était pas une règle de facto. A mesure qu'ils ont grandi ça l'est devenu, mais entre temps ils ont souvent été contraint par des opérations de hacking les forçant à réagir. De plus, aucune entreprise n'est autonome : vous allez avoir des machines venant de chez HP, des switchs, des router, des serveurs, des points d'accès wifi etc ... Tout ce matériel est une potentielle source d'emmerdes. Les entreprises savent lister et suivre tout ce qui est dans leur mur, mais ils savent que ça ne les protège pas à 100%. On peut donner comme exemple récent l'attaque autour de SolarWinds (https://thehackernews.com/2020/12/us-ag ... acked.html) qui a permis à des hackers de pénétrer dans des zones sécurisés de milliers d'entreprises en hackant en amont une usine fabriquant des machines de surveillance.

Un autre gros défi de ces géants, c'est qu'à force de grossir ils prennent de multiples aspects et doivent donc être capable de gérer toutes les menaces qui en découlent. Par exemple, Google installe et gère des cables sous marins pour le déploiement d'internet, et ont la charge de leur sécurité. Cela a occasionné des troubles quand il a été découvert que la CIA espionnait ces cables sous marins. Google a pris la décision d'encrypter le traffic pour éviter ça, et cela alors même que le gouvernement aurait bien voulu que Google ferme les yeux ...
Autre aspect, c'est le fait d'être étendu sur tout le globe. Cela rend la gestion bien plus difficile. Typiquement, Facebook a des datacenters tout autour du globe, mais certains sont bien plus à risques que d'autres. Cette décentralisation est poussée à l'extrême pour les vendeurs de matériels car ils savent que leur matériel peut se retrouver utilisé de manière détournée. Il va aussi sans dire que la notoriété amène plus de gens à se pencher sur ces matériels pour tenter de les hacker. Dernier exemple en date avec le logiciel pégasus, qui peut se targuer d'être capable de hacker un Iphone avec la dernière version d'iOS. Et pourtant Apple met un fric fou dans la sécurité, simplement c'est toujours plus simple d'attaquer que de défendre.

Pour finir, il y a quand même des raisons de se réjouir. Parce que malgré les problèmes rencontrés ces dernières années, la cybersécurité est tractée par ces grands groupes qui font des découvertes et amènent des usages résolument plus sûrs que les précédents (On peut prendre le cas d'OpenID poussé par Facebook). On devrait aussi tendre à limiter les grosses fuites de données sensibles, car les règles permettent de compartimenter et d'encrypter ce qu'il faut. Généralement les gros groupes apprennent de leurs erreurs, proposent un truc, et ça ruisselle sur les autres entreprises qui emboitent le pas.
Avatar de l’utilisateur
MutoKenji
Membre
Messages : 735
Inscription : 26 avr. 2021, 22:01

Re: Un peu de cybersécurité

Message par MutoKenji »

Génial, merci, super intéressant.

Du coup, les gros groupes type Google Facebook Apple sont en niveau 4 avec un budget illimité sur la sécurité de leurs sites et de leurs matos ?

Autre aspect de la question, est-ce que t'es au courant de grosses attaques qu'ils ont encaissées ou qui ont été déjouées ?
Ragisacam
Membre
Messages : 578
Inscription : 26 avr. 2021, 12:42

Re: Un peu de cybersécurité

Message par Ragisacam »

Un exemple d'attaque qui est assez problématique pour l'entreprise où travaille mon épouse.

Elle expédie du lait en poudre infantile. Sauf que le fabricant des emballages a été piraté. Ils reçoivent des commandes, vous disent que la commande va être traitée. Sauf qu'en fait non, car tout leur SI est en rideau donc ils ne sont plus capables de traiter les commandes et qu'aucune des informations qu'ils transmettent n'est fiable, et ce depuis des mois.

Du coup, plus de carton, plus d'expédition de lait en poudre.

PS : parce qu'évidemment, il n'y avait qu'une seule entreprise sur ce marché capable de fournir ce type de conditionnement.
Avatar de l’utilisateur
sapro
Omega
Messages : 3512
Inscription : 22 avr. 2021, 20:22

Re: Un peu de cybersécurité

Message par sapro »

@TiGrOu en réponse à ta demande sur discord :

A partir du moment où tu es piraté (ou tu soupçonnes de l'être), déjà le premier réflexe est de ne JAMAIS éteindre la machine. En tout cas pour ce qui est des attaques d'entreprise, car dans ce cas là tu risques de perdre de précieuses données pour savoir ce qui se passe, voir ne pas savoir si la machine pourra redémarrer. Il faut simplement la déconnecter du réseau le temps que des personnes compétentes puissent regarder ce qu'il y a.

Dans le cas de l'attaque des serveurs exchange, c'est évidemment problématique car tu perds ton accès à tes mails. Néanmoins ça te donne l'occasion de montrer aux dirigeants que :

- une solution de redondance des serveurs
- un suivi des mises à jour avec des serveurs récents
- l'utilisation du service cloud de microsoft
- des backups réguliers des serveurs

Au moins une de ses solutions auraient pu amoindrir voir annuler l'attaque. Bien trop souvent ça arrive à des entreprises qui ne savent pas ou on considérer que le coût de la sécurité ne valait pas le risque encouru (jusqu'au jour où il survient).

Quand tu as la preuve de l'infection, il est trop tard, donc tu peux préconiser ces solutions pour le futur, en attendant les options que tu as dépendent de l'étendu de l'infection :
- Déjà, demander aux utilisateurs de changer tous les mots de passe. Si tu as mis le serveur hors ligne, ils ne peuvent plus se faire pirater leur boite, mais tu as le risque qu'ils aient stocker d'autres trucs, voir qu'ils réutilisaient leur mots de passe partout.
- Passer au crible le serveur. Utiliser la faille permettant d'aller sur la machine est une chose, y installer des malwares en plus en est une autre. Si tu n'es que dans le premier cas, tes scans ne montreront rien. Tu peux prendre le pari de la rebrancher si tu n'as pas de backups, et la scruter pour voir si des activités suspectes surviennent (après l'avoir mise à jour pour combler la faille bien sûr). Si il y a d'autres trucs installés en prime, là ça devient difficile de concevoir que tu vas pouvoir t'en sortir, car tu ne sauras pas si la configuration n'a pas été modifié en faveur des pirates (port ouvert, boot modifié ...). C'est triste à dire mais ça va impliquer de formater.
- Dans les cas au dessus, il est de toute façon ev+ de formater / réinstaller si tu as un backup, et ce même si tu perds une semaine de mails.
- Quand tu connais l'étendu des dégâts, il faut communiquer aux clients pour les rassurer sur le fait que tu contrôles la situation. Selon ta situation et les données que tu traites, il faudra ptet se déclarer à l'ANSSI et à la CNIL. Selon la taille de la boîte, ça peut aussi être pas mal de contacter l'ANSSI au début, ils peuvent préconiser des trucs vu qu'ils sont censés être au courant de l'attaque si ça touche plusieurs entreprises.
- Une fois que tu as pu remettre ton serveur en état, il faut faire un examen de conscience en faisant le point sur ce qui s'est passé (faille, perte de données ...) et comment éviter ça à l'avenir. On en revient à la première partie où convaincre les dirigeants c'est plus simple quand ils ont perdu tous leurs mails.
Avatar de l’utilisateur
Stef
Membre
Messages : 1824
Inscription : 27 avr. 2021, 01:16

Re: Un peu de cybersécurité

Message par Stef »

tl;dr : sapro est donc la personne qui a mis facebook down hier pendant 7h. :yay:
Si on pouvait éviter twitter pour faire de la politique, pour commencer...
Avatar de l’utilisateur
sapro
Omega
Messages : 3512
Inscription : 22 avr. 2021, 20:22

Re: Un peu de cybersécurité

Message par sapro »

L'informatique quantique, ou pourquoi ça va être la merde

Ca faisait un moment que je voulais déterrer ce topic, et j'ai trouvé avec quoi. Aujourd'hui on va parler d'ordinateur quantique et son pendant en cybersécurité, la cryptographie quantique. Si vous n'avez jamais rien compris aux ordinateurs ni au chat de Schrodinger ne vous en faites pas, vous êtes au bon endroit !

L'ordinateur quantique, quand le ou devient et

Pour parler de crypto quantique, il faut d'abord un peu expliquer les bases et pourquoi ça arrive. Depuis plusieurs années des grosses entreprises bossent sur la création de ce qu'on appelle des ordinateurs quantiques. On va simplifier pour ceux qui voient leur PC comme une boîte noire insondable : votre ordinateur standard fait des opérations les unes à la suite des autres (selon une fréquence de calcul). Plus vous pouvez faire d'opérations par secondes, plus ça va vite, logique non ? Et bien pas avec un ordinateur quantique. L'ordinateur quantique va être capable de faire certaines opérations à la fois avec deux valeurs. On pourrait croire qu'il va 2 fois plus vite qu'un ordinateur classique, mais c'est plus que ça.

Exemple : je dois trouver une série de 4 bits (0 ou 1, pour les derniers arriérés du XXe siècles imperméable à l'informatique). Sur un ordinateur classique, je vais tester 0000, puis 0001, puis 0010 etc. En tout, je vais faire au maximum 16 essais pour trouver la bonne combinaison. L'ordinateur quantique lui, il a pas envie de se faire chier avec tout ça, alors il va mettre à disposition ce qu'on appelle des qbits. Et là vous allez me dire "mais c'est quoi un qbit ?" et bien, le qbit, c'est un bit qui vaut à la fois 0 et à la fois 1. C'est le même principe que les particules qui peuvent avoir deux états différents à la fois (et je vais pas aller plus loin sur la partie physique parce que c'est pas mon domaine et que je sais pas l'expliquer plus). Mais du coup, ce qu'il faut retenir, c'est qu'un ordinateur quantique qui aurait 4 qbits, il va faire ... 1 opération 0/1 0/1 0/1 0/1. Et il aura la réponse.

On estime à la louche (mais il doit y avoir des mesures plus précises) que lorsqu'un ordinateur classique effectue 2xX opérations à la seconde, l'ordi quantique lui fait du 2^X (2 puissance X, pour ceux qui ont stoppé les maths en 3e).

Alors c'est très fort tout ça, mais il y a quand même un hic : construire des qbits, c'est complexe, il faut plein de gens chelous qui font de la physique quantique pour maintenir le bouzin en état de marche, et donc c'est pas encore au top. En exemple, Intel a sorti une machine l'année dernière avec 17 qbits. C'est déjà pas mal, mais c'est encore insuffisant pour avoir une puissance de calcul rivalisant avec les meilleurs calculateurs standards.

C'est bien beau tout ça, mais que vient faire la cryptographie là dedans ?

La cryptographie, comme déjà expliquée d'autres fois, c'est l'art d'encrypter des données. Je vais pas reprendre à la base, mais il y a deux types d'encryptions, symmétrique (une clé qui sert à chiffrer et déchiffrer) et asymmétrique (deux clés différentes, l'une chiffre, l'autre déchiffre). Dis comme ça, le lien n'est pas évident, mais ça impacte surtout la crypto asymmétrique.
Dans cette branche, les clés sont dures à trouver car elles sont basées sur des problèmes mathématiques difficiles et qu'on ne sait pas résoudre dans un temps raisonnable, même à l'aide d'un ordinateur. C'est un peu pareil qu'un humain : si je vous donne 299 et que je vous demande de me dire quels sont les deux nombres premiers que j'ai multiplié, vous allez devoir faire plusieurs essais pour trouver. Alors que si je vous donne 23, c'est trivial, une division et hop, vous savez que l'autre chiffre est 13. Bon, pour simplifier, les ordis sont aussi cons que nous, ils doivent faire plein d'essais pour trouver les nombres premiers qui composent une multiplication, sauf que eux bossent sur des chiffres du genre 278124715486419238459741341290994559711 (pour les curieux, je n'ai pas la réponse).

Le truc c'est que ce genre de problèmes difficiles qui reposent sur beaucoup d'essais peut "aisément" être cassé par un ordinateur quantique suffisamment puissant. L'exemple juste au dessus comporte 128bits. Si nous avions une machine quantique avec 128qbits, on pourrait avoir un résultat quasiment immédiat, là où une machine classique devrait calculer environ 3000 ans. Vous voyez le problème ?

Bon alors, on fait quoi ?

Beaucoup d'entreprises, voyant ça arriver, ont flairé le bon filon : elles stockent des données. Il y a des petits malins un peu partout dans le monde qui stockent des tas de données, si possible à des endroits stratégiques (genre pas loin du Pentagone par exemple). Pourquoi ? Parce que toutes ces données encryptées, quand il y aura un ordinateur suffisamment puissant, pourront être décryptées facilement, et il y aura sûrement du secret juteux à monnayer dessous.

Non mais on fait quoi pour résoudre le problème, pas l'amplifier ?

Partant de ce constat, le NIST (en gros l'organisme américain qui décide ce qu'on utilise comme cryptographie aux US et donc dans le monde) a lancé il y a plusieurs années un concours en disant à tous les matheux associaux de la planète : "allez-y, trouvez nous des problèmes qui résistent aux ordis quantiques, montrez qu'on vous paie pas à rien foutre bande de feignasses". Fort heureusement, ils y sont parvenus (enfin en partie). Récemment, le NIST a publié une liste d'algorithmes (en gros, la mise en pratique du problème mathématique côté informatique) susceptibles de résister à des attaques quantiques (et à des ordis normaux). Un truc important, c'est que ces algos dit quantiques abusivement (ou post quantique) sont pensés pour résister à la quantique, mais ne l'utilise pas eux même. Le but étant que madame Michu et son Intel Celeron puissent le faire tourner sans avoir des qbits (et puis de toute façon madame Michu elle a peur des qbits, elle a lu dans valeurs actuelles qu'ils étaient différents).

Pour en revenir aux algos, il n'y en a pas beaucoup, et ils sont basés sur des objets mathématiques assez poussés notamment les réseaux euclidiens à je sais pas combien de dimensions :

Image

En gros pour expliquer l'exemple en 2 dimensions, je choisis le point X, puis je choisis où je positionne mon point 0. A partir de là, mon point X à une abscisse et une ordonnée. Mais si j'avais positionné mon point 0 dans le réseau, ça serait pas les mêmes abcisse et ordonnée. Si vous voyez le concept, ben c'est comme ça mais en + complexe avec N dimensions.

Des tas de tests ont été effectué sur plein d'algos pour tenter de les craquer et voir s'ils résistent, ça serait con de les mettre en place pour que ça lâche juste derrière. D'ailleurs, y a un mois l'algo proposé par microsoft s'est fait craqué par un ordi classique vieux de dix ans (lol les nuls : https://thehackernews.com/2022/08/singl ... antum.html ). Bref c'est assez récent, et si on sait qu'on va avoir de bons résultats sur les réseaux euclidiens, on a pas tant d'autres choix que ça.

Le bordel, c'est maintenant

Actuellement, tout le monde utilise des algos classiques. Dès que vous vous connectez à internet, que vous faites des communications, c'est utilisé partout. C'est aussi - accessoirement - ce qui protège vos cartes bleues, vos tokens NFTs ou vos bitcoins. On estime que les premiers ordis capables de casser les algos utilisés actuellement (RSA, ECC) devraient arriver d'ici 5 à 10 ans, donc c'est demain. Ce qui veut dire qu'entre temps, il faut arriver à normer et tester tout ça pour être sûr que ce soit assez robuste, puis mettre à jour les machines partout, tout en faisant en sorte que pendant un temps ces mêmes machines soient capables de faire tourner des algos classiques et des algos quantiques, pour des soucis de compatibilité (comme par exemple quand madame Michu qui n'a pas mis son ordi a jour depuis 2002 voudra quand même se connecter au site des impôts).
Autant dire qu'on va au devant d'un bazar sans nom, avec des tas de machines oubliées qui parfois ne pourront plus communiquer, et qu'à partir du moment où ces ordis quantiques seront dispos, les hackers vont s'en donner à coeur joie.


Et pour finir, un peu de hasard

Y a quand même un sujet sur lequel se réjouir avec les ordis quantiques : vu leur mode de fonctionnement, ils peuvent tirer des nombres totalement aléatoires (et non pas pseudo aléatoire comme le peuvent les ordis classiques). Ce qui fait que certaines attaques qui "prédisent" les nombres aléatoires tirées par les ordis ne marcheront plus. Dit comme ça, on peut se dire que c'est cool, mais il y a quand même deux hics : déjà, il faut un ordi quantique pour calculer ces nombres aléatoires, ou du moins un module fait pour. Avant qu'on en ait un dans chaque PC, je pense qu'on sera tous morts ici. Ensuite, parce que les ordis classiques qui ne peuvent faire "que" du pseudo aléatoires, ont quand même des résultats de tirages qu'on estime à 1 parmi le nombre d'atomes dans l'univers. On peut arguer que ce n'est pas totalement aléatoire, mais ça ressemble fortement à du branlage de nouilles à ce niveau. Donc bon, c'est bien joli de tirer des nombres aléatoires, mais ça servira pas des masses (hormi à certaines boîtes qui veulent vous vendre ça comme un truc super méga top).
Athanor
Membre
Messages : 792
Inscription : 26 avr. 2021, 09:32

Re: Un peu de cybersécurité

Message par Athanor »

Question con, il faut combien de qbits pour casser facilement un algo type RSA ? Autant que de bits dans la longueur de la clé ?
EDIT: si je comprends bien, chaque qbit permet de diviser par 2 le temps pour bruteforce, donc il en faut pas forcément autant, juste suffisamment par rapport à la clé pour suffisamment diviser
Avatar de l’utilisateur
sapro
Omega
Messages : 3512
Inscription : 22 avr. 2021, 20:22

Re: Un peu de cybersécurité

Message par sapro »

https://research.kudelskisecurity.com/2 ... sa-vs-ecc/

Il y a plusieurs tableaux dans l'article, mais en gros le RSA le plus utilisé est le 2048, et on considère que pour le casser "complètement" il faudrait 6190 qbits. C'est beaucoup, mais c'est en comptant que tu veuilles le résultat en 24h. Après il va bien arriver un moment où les boites qui fabriquent les qbits vont réussir à en mettre + en parallèle.
Un truc que montre cet article c'est également que depuis 10 ans beaucoup de gens ne jurent que par les courbes elliptiques (ECC) car elles ont l'avantage d'être aussi robuste que RSA mais avec des clés plus petites. Et ... ECC sera cassé bien avant RSA à cause de ça (il faudra 2600 qbits pour les casser en 24h comparé à l'exemple avec RSA).
Yoman
Membre
Messages : 303
Inscription : 26 avr. 2021, 09:11

Re: Un peu de cybersécurité

Message par Yoman »

Selon cet article, on peut continuer de dormir tranquillement.

https://www.01net.com/actualites/ibm-a- ... ncore.html

Dans les laboratoires d’IBM et les centres universitaires du monde entier, des chercheurs et mathématiciens ont travaillé pendant vingt ans à mettre au point les algorithmes destinés à chiffrer communications et données, à nous protéger d’une menace à peine éclose, l’informatique quantique et sa puissance de calcul inimaginable.
....
C’est en 2016 que le NIST a pris la mesure de l’urgence d’accélérer le développement des défenses face à l’avènement prochain de l’ordinateur quantique. L’autorité américaine a alors ouvert une compétition pour dégager non seulement les algorithmes de protection, mais aussi lancer le chantier de la conception d’un standard. Soixante neuf schémas cryptographiques ont été soumis et quatre ont été retenus. Les deux principaux ont des noms semblant venir de l’univers Star Wars : le chiffrement de clés publiques « CRYSTALS-Kyber » et la signature numérique des algorithmes appelée « CRYSTALS-Dilithium ».

En 2024, dans 19 mois, le standard sera validé. Chez IBM, nous avons déjà commencé à l’implémenter dans nos serveurs mainframe et les acteurs comme AWS le font aussi », explique M. Osborne. Ces boucliers numériques ne seront pas utilisés dans un premier temps pour les paiements en ligne, « suffisamment sécurisés et avec une date de validité courte dans le temps ». Les premiers clients de cette protection seront les banques centrales, les agences gouvernementales, le monde des télécoms, les services de renseignements, les acteurs de l’énergie.
Avatar de l’utilisateur
MutoKenji
Membre
Messages : 735
Inscription : 26 avr. 2021, 22:01

Re: Un peu de cybersécurité

Message par MutoKenji »

Merci @sapro je me suis régalé à lire tes explications !
Avatar de l’utilisateur
Zoorp
Membre
Messages : 7264
Inscription : 26 avr. 2021, 06:47

Message par Zoorp »

MutoKenji a écrit : 05 août 2022, 18:57 Merci @sapro je me suis régalé à lire tes explications !
il faut avouer que c'est beaucoup, beaucoup plus pertinent que celles des parties LG :-k
Ragisacam : "la religion, c'est juste le premier Ponzi ever"
Etienne
Membre
Messages : 1916
Inscription : 26 avr. 2021, 07:41

Re: Un peu de cybersécurité

Message par Etienne »

C'est pas de la cyber, mais c'est vaguement connexe :
Avatar de l’utilisateur
MutoKenji
Membre
Messages : 735
Inscription : 26 avr. 2021, 22:01

Re: Un peu de cybersécurité

Message par MutoKenji »

brief.me a écrit : Le Centre hospitalier sud francilien, situé à Corbeil-Essonnes (Essonne), a annoncé aujourd’hui subir une cyberattaque depuis la nuit de samedi à dimanche, qui affecte plusieurs logiciels et systèmes informatiques. L’établissement a redirigé en conséquence des patients vers d’autres hôpitaux de la région. Une rançon de 10 millions de dollars est demandée, selon des informations de l’AFP et de plusieurs médias.

C'te loose :(
Etienne
Membre
Messages : 1916
Inscription : 26 avr. 2021, 07:41

Re: Un peu de cybersécurité

Message par Etienne »

C'est pas mes clients. :D (ouf)
Avatar de l’utilisateur
sapro
Omega
Messages : 3512
Inscription : 22 avr. 2021, 20:22

Re: Un peu de cybersécurité

Message par sapro »

Suite à une discussion sur le discord, je fais un petit topo sur les facteurs d'authentification. Comme c'est long à taper, j'abrègerai en authN (à ne pas confondre avec authZ, qui est lié à l'autorisation).

Le sujet de base portait sur l'utilisation du téléphone pour payer et du fait que le plafond est plus haut que pour du sans contact classique. La raison derrière c'est ... La différence de facteurs d'authN ! (Bravo, y en a deux qui suivent).
On distingue plusieurs types de facteurs :
- Quelque chose que l'on possède. La carte bleue, c'est un objet, et si vous l'avez, ça vous permet déjà de faire du paiement sans contact. Ca peut être un badge pour rentrer sur un site professionnel, que généralement vous aurez récupérer en ayant donner d'abord d'autres facteurs pour prouver votre identité.
- Quelque chose que l'on sait. Les mots de passe et les codes pin.
- Quelque chose que l'on "est". J'ai pas trop d'autres tournures pour le dire, ça va regrouper ce qui caractérise un humain : empreinte digitale, scan du visage, rétine, iris ...

De manière globale, on va adapter le nombre de facteurs que l'on demande lors d'une authentification selon la criticité/importance de l'action que l'on veut réaliser L'exemple est assez parlant avec la carte bancaire :

- petite somme ( < 40€) on demande un facteur (avoir la carte)
- grosse somme, on demande 2 facteurs (avoir la carte + code pin, ou reconnaissance faciale/digitale sur le téléphone)

On peut généraliser cette approche dans beaucoup de domaine, où l'on va vous demander plus ou moins de facteurs selon ce que vous voulez faire. Typiquement, refaire une carte d'identité, c'est très important, et c'est pour ça qu'on demande le max en demandant une présence physique.

Quand on demande plus d'un facteur, on parle d'authentification forte, car c'est souvent plus dur d'en fournir 2 (voire 3). Mais c'est aussi bien plus sécurisé. La tendance actuelle est de s'affranchir totalement de l'authN à un seul facteur, car c'est considéré comme trop faible dans beaucoup de cas. On a par exemple beaucoup de sites qui dorénavant ne se contentent pas de vous demander un mot de passe, mais vont aussi "reconnaître" la machine depuis laquelle vous vous connectez, et ne va autoriser des connexions que depuis une machine approuvée, vous demandant d'approuver la nouvelle machine par exemple en vérifiant que vous avec accès à la boite mail de confiance que vous avez renseigné. Ca résoud pas mal de soucis, et à l'avenir ça devrait permettre à plus ou moins long terme de s'affranchir en grande partie des mots de passe : vous en retiendrez un complexe pour votre boite mail, et ensuite votre machine fera office de facteur d'authentification pour tous les autres sites. Bien sûr le jour où vous vous faites piquer le téléphone/pc, il faut vite bloquer l'autorisation accordée à la machine.

Petite digression sur le sujet, l'autorisation, c'est le fait ... D'autoriser. Merci captain obvious ! Mais dans les faits, c'est important et plus clair de dissocier cette action de l'authentification. Quand vous vous connectez à un site, il y a toujours ces deux étapes. D'abord vérifier votre identité (authN) puis établir ce que vous avez le droit de faire (authZ). Dans le cas expliqué précédemment, on va lier votre "rôle" (simple utilisateur, admin, modérateur ...) à votre machine. Si bien que lorsque la machine en question se connecte au site, elle aura de suite le rôle attribué. On voit vite l'intérêt de rajouter une protection en locale, pour ne pas se retrouver avec les filles de Mazz qui effacent le forum juste parce qu'elles ont cliqué partout sur l'écran. Au final, on déplace le problème, en se disant que la plupart des gens vont mettre en place des stratégies pour ne pas laisser d'autres personnes accéder à leur session locale (mdp sur un ordi windows, empreinte sur un smartphone ...) mais qu'au final on est gagnant car ça simplifie la vie pour les échanges réseaux et la gestion globale des mots de passe, ça évite d'avoir à les envoyer sans arrêt sur le réseau.

Dernier point parce qu'après je pars en réu, on a de plus en plus tendance à se reposer sur des facteurs de type "ce que l'on est" en se disant qu'en étant au plus proche de l'humain, c'est le top. Et forcément, ça a ses avantages et ses inconvénients. Oui, c'est plus dur à falsifier car on est censé être assez "unique" quand on regarde l'empreinte ou la forme du visage. Mais il y a quand même quelques soucis :
- Comme on change dans la vie et que toutes les prises de vérification ne sont jamais tout à fait pareil, il faut toujours une marge d'erreur. Sauf qu'il est difficile de quantifier à partir de quand on considère qu'on va bloquer la connexion ou pas. Si on est sur un téléphone à reconnaissance faciale, on peut mettre un taux d'échec assez élevé. Si la personne arrive pas à se faire reconnaitre, tant pis, elle rentre son code pin. Mais si on imagine la même chose à l'entrée d'un bâtiment (et ça se fait parfois), si on a trop d'erreur, on risque de créer un embouteillage avec des tas de personnes qui attendent tous les matins et ça va générer une sacrée frustration, ce qui n'est pas le but. Mais si on est trop laxiste, peut-être qu'on peut laisser entrer quelqu'un qui ressemble vaguement à un employé ... A noter que certains systèmes (comme reconnaissance de l'iris) sont bien plus fiables que l'empreinte ou la reconnaissance faciale, mais ça coute bien plus cher et c'est moins facile à mettre en place.
- On est pas vraiment unique, si bien qu'on a sûrement des gens sur la planète qui peuvent déverrouiller notre téléphone facilement (les jumeaux plus que les autres).
- Il se passe quoi quand vous vous faites "pirater" votre signature "physique" ? Et bien c'est la merde. Pour donner un exemple cocasse, l'Inde a décidé il y a quelques années de proposer des paiements par empreinte digitale. Imaginez, vous allez au resto, le serveur vient vous encaisser, vous posez votre empreinte et bim c'est payé. Facile et pratique. Sauf que ... Certaines personnes ont eu des soucis (problème d'empreinte trop proche, qui font que c'est quelqu'un à l'autre bout du pays qui est débité) et il y a eu des piratages en tentant de faire de fausses empreintes. A partir de là, les "empreintes" ont été fiché comme frauduleuse, et des gens honnêtes se sont retrouvés sans pouvoir payer avec ce système.
Avatar de l’utilisateur
Majax
Lorenzo Lamas
Messages : 4020
Inscription : 26 avr. 2021, 07:29

Re: Un peu de cybersécurité

Message par Majax »

Il est bon quand il parle d'un sujet qu'il connait ! pas d'une game de LG quoi... :-+
Avatar de l’utilisateur
Mr. Grand
Machette damnée
Messages : 1137
Inscription : 26 avr. 2021, 00:44

Re: Un peu de cybersécurité

Message par Mr. Grand »

Ouais, en même temps, qu'est-ce qui ressemble plus à un employé qu'un autre employé, hein... ?
Avatar de l’utilisateur
Zoorp
Membre
Messages : 7264
Inscription : 26 avr. 2021, 06:47

Re: Un peu de cybersécurité

Message par Zoorp »

Donc si on a des empreintes digitales proches de celles de Majax, on est catégorisé comme "super low" dans toutes les applis de jeux online c'est bien ça? :mrgreen:
Ragisacam : "la religion, c'est juste le premier Ponzi ever"
Avatar de l’utilisateur
MutoKenji
Membre
Messages : 735
Inscription : 26 avr. 2021, 22:01

Re: Un peu de cybersécurité

Message par MutoKenji »

Merci @sapro, super intéressant.

Sur le sujet, ya le blogueur sebsauvage qui est souvent abrasif dans ses posts, mais qui a une grosse xp qui parle un peu du sujet ici
https://sebsauvage.net/links/?4u7HrA
Oui oui c'est merveilleux, ça va remplacer les mots de passe, tout ça. Mais je vois quelques problèmes avec les passkeys:
- Ça se base sur la biométrie (empreinte digitale, visage...). Parce que c'est plus pratique, plus rapide et qu'on ne peut pas les "perdre". Mais je vais le répéter encore une fois: Ça se copie. Et une fois copié, vous ne pouvez pas changer de visage ou d'empreintes.
- Les passkeys sont liés à un périphérique (stockage sécurisé (TPM, Secure Enclave, etc.)). Il se passe quoi si la personne n'a qu'un seul périphérique (son téléphone) et qu'elle le perd ou se le fait voler ?
- La révocation se passe comment ? (Si vous *savez* qu'un périphérique contenant votre passkey a été volé.)
- Il faudra un mécanisme de récupération. On y échappera pas (Email, code, autre ?). Cela restera donc le maillon faible.
- Les implémentations seront compatibles ? (Votre passkey Google sera utilisable sur des services Apple ? Sur des appareils, logiciels et services non-Google ?). C'est flou.
- C'est donc encore un truc très centralisé chez quelques gros acteurs du numérique ? ENCORE ?

Ce ne serait pas la première fois qu'on nous présente une nouvelle silver-bullet d'authentification. J'ai appris à être méfiant (Vous vous souvenez d'OpenID ? Voilà. https://fr.wikipedia.org/wiki/OpenID)
Avatar de l’utilisateur
sapro
Omega
Messages : 3512
Inscription : 22 avr. 2021, 20:22

Re: Un peu de cybersécurité

Message par sapro »

De la sécurité dans le machine learning

Les IAs sont basées sur du machine learning, et à mesure que ses systèmes deviennent de plus en plus utilisés, on découvre de multiples façons de les foutre en l'air. Et autant dire qu'à l'heure actuelle, c'est pas super bien engagé pour avoir confiance dans l'avenir de cette techno.

Pour rappel, le machine learning, c'est une sous partie d'une IA, celle qui va permettre à l'IA "d'apprendre". On va donner des données à la machine, qui en les analysant va être capable de reconnaître des routines récurrentes, pour ensuite être capable de répondre à des questions ciblés. L'exemple typique, c'est que je donne 256 photos de chat à une machine, en lui disant que ce sont des chats. Elle va être capable de définir un ensemble de caractéristiques (positionnement des pixels qui dessine une forme, couleur) qui vont faire qu'ensuite si je donne à la machine une autre image, elle est capable de me dire si oui ou non cette image est celle d'un chat avec une certaine marge d'erreur. On peut donner plus de données pour réduire la marge d'erreur, mais il y a quand même des limites à ce que l'IA va être capable de déduire. De plus, à partir du moment où on va vouloir obtenir plusieurs réponses d'une IA, ça va complexifier sa capacité à répondre. Il faudra lui avoir appris à reconnaître un chat, un chien, une oie ... Pour qu'ensuite elle ait des discriminants lui permettant de répondre tel ou tel choix.

Voilà pour la base, maintenant passons à :

Où attaquer ?

Là comme ça avec la définition, ce n'est pas forcément simple de savoir ce qu'on peut faire, même si on imagine qu'on va vouloir que l'IA réponde un truc différent de ce qu'elle est censée dire. Un dessin vaut mieux que mille mots :
cat.PNG
cat.PNG (239.49 Kio) Consulté 839 fois
On a toute une collec de photo de chat, et on va vouloir altérer une photo (que ce soit dans la base de l'IA ou celle que l'on passe en paramètre) ou les algos pour qu'ont ait une réponse qui n'est pas celle que devrait donner l'IA.

Pour ça, on a plusieurs angles d'attaques :
mll.PNG
mll.PNG (230.23 Kio) Consulté 839 fois
On voit qu'en fait, on peut attaquer à tous les niveaux de l'IA : lors de l'établissement des données, lors du l'apprentissage, au niveau du hardware lui même (les composants electroniques), au niveau des paramètres que l'on passe quand on pose sa question, et au niveau des résultats des requêtes. On réalise alors que la surface d'attaque est suuuper grande, et c'est d'autant plus flippant que lorsque les algos tournent, un humain ne sait pas exactement retracer pourquoi la machine a répondu autruche à la place de chat. Si bien que si l'on ne détecte pas l'interférence, on pourra croire presque tout ou n'importe quoi.

Types d'attaques

Maintenant que vous voyez le potentiel, penchons nous sur différentes attaques possibles :
  • Rendre les réponses du modèle peu fiables : on s'est rendu compte que sur des modèles donnés, il suffit de changer très peu de choses pour réduire la fiabilité du modèle. Mettons que l'on reparte de notre modèle avec 256 photos de chat. Et bien en faisant des tests, et en changeant dix bits dans le modèle (donc 10 valeurs qu'on change entre 0 et 1), on arrive à une perte de fiabilité de 80%. C'est énorme, sachant que les images ont quand même pas mal de bits, et que ce genre d'attaques peut se faire en altérant le modèle par des moyens physiques (par exemple avec un laser). En prime, la machine n'est pas capable de détecter l'altération en elle même, si bien qu'elle va répondre mal, en pensant bien faire. Pour des photos de chats ce n'est pas grave, mais quand on analyse des photos de grain de beauté pour savoir s'il y a un mélanome, c'est un peu plus embêtant ...
  • Par extraction du modèle : que ce soit physiquement, ou en répétant les requêtes, il est possible pour un attaquant de récupérer un modèle de données s'il a du temps. Cela lui permet soit d'utiliser le même modèle que celui qu'il attaque, soit de mieux comprendre comment le modèle attaqué fonctionne, soit de planifier des attaques ultérieures en sachant où la machine répondra quelque chose de faux. Parce qu'une fois que l'attaquant a compris le modèle et comment marche la machine, il peut l'altérer pour son propre compte ou en attaquant celle de sa cible, il peut modifier les paramètres, ou le modèle lui même pour gagner un avantage. Il est à noter que ce genre d'attaques marchent particulièrement bien en ayant un accès physique à la machine contenant le modèle. Ce n'est pas le cas pour ChatGPT, mais dans le futur la plupart des applis vont déployer des bases locales dans les ordis/téléphones, et il sera facile pour un attaquant de les extraire.
  • Par erreur successive : ça se rapproche du point précédent, mais il est simple pour un attaquant de faire de multiples requêtes (et ça sans avoir accès physique au modèle) en sachant ce qui est bon ou pas, pour comprendre comment les paramètres sont utilisés dans la machine. Si bien qu'à terme, il peut savoir prédire comment la machine va répondre pour provoquer un message biaisé. Cela peut avoir de l'intérêt pour abuser la confiance d'autres personnes. Mettons que si l'attaquant peut poser des questions à une base sur les animaux, et qu'il a repéré que l'utilisation du mot sympathique renvoie autruche (alors qu'on s'attendrait à autre chose), il peut faire du social engineering pour poster sur des réseaux sociaux, enjoindre des gens à demander à la machine quel animal est le plus sympathique, et les induire en erreur. Cet exemple est rigolo, mais je vous laisse imaginer ce que ça peut donner sur des sujets sérieux et sur l'impact possible sur la masse des gens qui vont pas remettre en cause le résultat de leur recherche.
Bon vous me direz, comment on arrête tout ça ? Le plus simple, ça serait une régulation ou des certifications pour encadrer la façon dont les IAs sont construites et utilisées. Mais vu les dernières discussions entre états, ça n'en prend pas le chemin. Il y a fort à parier que ça passe par une phase où ça va être le farwest et ou la désinformation ne va faire qu'empirer, et que ce qui devrait être un outil fiable va être sans cesse remis en cause. Est-ce qu'on réussira après à renforcer la sécurité pour pouvoir se servir de ces IAs de manière fiable ? J'aimerai y croire, mais à l'heure actuelle il y a quand même pas mal d'endroits où on ne sait concrètement pas quoi faire pour empêcher les attaques, et si ça ne change pas on restera avec des doutes.
Avatar de l’utilisateur
sapro
Omega
Messages : 3512
Inscription : 22 avr. 2021, 20:22

Re: Un peu de cybersécurité

Message par sapro »

L'autre jour, @Samish a parlé de l'arrêt des réseaux 2G et 3G qui arrivera normalement en 2025. J'ai voulu répondre sur le moment et j'ai oublié, alors je fais un post succinct pour expliquer : quand on parle de ces réseaux et leur arrêt, on pense en priorité à un gain en matière de consommation. En effet quand ces réseaux ont été mis en place, on avait des algos peu optimisés qui consommaient pas mal d'électricité, alors que les plus récents 4G/5G sont optimisés là dessus.
On peut se dire que quand même, enlever ces réseaux pour forcer à passer sur les nouveaux, ça pousse à la consommation et que donc c'est pas très écolo. On peut tempérer ça avec le fait que maintenir ces réseaux a un coût pour les opérateurs, et que ce n'est pas non plus neutre en carbone de les maintenir, sachant qu'ils ont moins d'utilité qu'avant. En prime, il y a aussi un gros problème de sécurité qui essaie d'être corrigé, notamment sur la 2G. Quand elle a été créé, on se contrefoutait de la sécurité, vu que c'était déjà génial de pouvoir parler où on voulait avec un téléphone portable. Le hic, c'est que de ce fait, les communications sont très peu sécurisées. Ca entraîne deux gros soucis :
- si vous êtes en 2G, quelqu'un avec une antenne faite pour peu capter les paquets et les décrypter facilement, pour reconstituer vos sms ou vos conversations
- un pirate peut monter une fausse antenne de télécommunication et faire relais. Un téléphone en 2g ne vérifiera pas si le pylone est légitime ou pas. Dans ce cas là, c'est encore plus simple pour le pirate de tout enregistrer à la volée. Ce cas d'utilisation est d'ailleurs assez facile à abuser pour les pirates, car les téléphones sont fait pour descendre sur la génération plus basse en cas de difficulté à se connecter. Si bien que dans des cas faciles à prévoir (stade rempli par exemple) les réseaux alentours sont souvent surchargés. Un téléphone connecté en 5G qui a du mal à joindre le réseau va descendre en 4G, puis 3G, et 2G. On peut très bien orchestrer une surcharge du réseau, mettre une fausse antenne 2G et attendre.

Dans un cas comme dans l'autre, ça gêne surtout les gens qui ont peur d'être écouté (journaliste, avocat, juge ...). Il y a une parade dans les téléphones récents, qui permet de désactiver la 2G, c'est à dire de refuser au téléphone de s'y connecter quoiqu'il se passe sur le réseau. Mais pour les anciens téléphones, il n'y a pas vraiment de solution.
Samish
Membre
Messages : 703
Inscription : 26 avr. 2021, 09:23

Re: Un peu de cybersécurité

Message par Samish »

En lisant cet article (https://www.lemonde.fr/economie/article ... _3234.html) je me suis rendu compte que je ne t'avais pas remercié @sapro.

Je ne suis toujours pas à l'aise du tout avec cette décision qui va déclencher l'obsolescence programmée de tout plein de terminaux qui fonctionnaient bien jusqu'à présent (alors que pour rappel, le principal impact écologique du numérique pour les particuliers est généré par le renouvellement trop régulier des smartphone, ordis et autres appareils connectés) mais au moins ça m'aide à comprendre un peu.

Tu cibles spécifiquement la 2G dans ton explication, ça veut dire que, dans mon monde rêvé, on pourrait conserver au moins la 3G le temps que les terminaux non adaptés aux générations suivantes périclitent, ou bien c'est le même souci?
Avatar de l’utilisateur
sapro
Omega
Messages : 3512
Inscription : 22 avr. 2021, 20:22

Re: Un peu de cybersécurité

Message par sapro »

Au commencement était le mot de passe

Quand est apparue l'idée de devoir protéger ses données et d'être l'unique personne à pouvoir accéder à son compte, on a créé les mots de passe. C'est simple, mais bancal : vous connaissez un secret, vous êtes le seul à le connaître et donc le seul à pouvoir "prouver" à la machine que vous êtes la bonne personne.
Très vite, on s'est aperçu de deux problèmes : si on oublie le mot de passe, comment fait-on ? Et si le mot de passe est trop facile à deviner, il ne sert plus à rien.

Les deux problèmes sont liés, car la règle veut de choisir des mots de passe complexes, mais qui vont se révélés difficiles à retenir. Enfin, j'utilise le verbe vouloir au présent, je devrais l'utiliser au passé. Il y a vingt ans, c'était la mode de dire qu'il fallait utiliser des mots de passe avec une minuscule, une majuscule, un chiffre et un caractère spécial. Mais pourquoi ?

Un peu de calcul

Image

Quand on cherche à casser un mot de passe, on va calculer le nombre de possibilités à essayer pour casser un mot de passe. Prenons le cas simple d'un mot de passe de 2 caractères. Si je n'utilise que des lettres minuscules, j'ai 26x26= 676 possibilités (de aa à zz). Si j'ajoute les lettres majuscules, d'un coup je passe à 52x52= 2704 possibilités. En continuant le même raisonnement et en ajoutant les chiffres (10) et les caractères spéciaux (environ 10) on en arrive à 72x72= 5184.

On voit clairement que mettre des caractères divers permets de multiplier le nombre de possibilités, rendant difficile le travail d'un hacker qui cherche à casser un mot de passe. Maintenant, là on est sur des "petits" chiffres, car j'ai volontairement pris deux caractères pour que ce soit simple à calculer. Mais il y a vingt ans, on préconisait 6-8 caractères, et on considérait que c'était déjà beaucoup. En effet, si on part sur un mot de passe de 8 caractères, on arrive à plus de 700 000 milliards de possibilités. Ca commence à faire.
Sauf qu'à l'heure actuelle, on a facilement des processeurs qui font 3 milliards d'opérations à la seconde. Si bien qu'un processeur dédié à ce genre de calcul va casser un mot de passe de 8 caractères en ... 3 jours. Il y a vingt ans, on était pas sur les mêmes puissances de calcul, et donc on n'avait pas envisagé ça. Aujourd'hui, c'est trop peu.

Il vous reste un essai

Image

Pour pallier à ce problème, on a créé la fonctionnalité de user locking. Tu te trompes 3 fois ? Et bien tu vas attendre une vingtaine de secondes avant de pouvoir réessayer, voire une minute. Et ainsi de suite. Car la force du hacker, c'est de pouvoir faire 3 milliards d'opérations à la seconde. Si vous le bridez à 3 en 20 secondes, la Terre aura explosé de sa belle mort qu'il n'aura toujours pas deviner votre mot de passe. On pourrait penser le cas réglé, et ne pas avoir à changer quoique ce soit. Et c'est là qu'arrive les fuites de données.
Parce qu'il faut se le dire, un hacker, il va aller au plus simple. Il peut tenter de contourner le fonctionnement du user locking, mais c'est long et fastidieux, et généralement assez robuste (avec des alarmes et plein de choses qui feront qu'on saura ce qu'il est en train de faire). Donc à la place, le hacker va piquer complètement la base utilisateurs du site en question, et hop ! Plus besoin de trouver votre mot de passe, il est dans la base !

Ca, c'était il y a un peu plus de quinze ans. La solution ne relève pas de l'utilisateur, mais du site, qui doit stocker les mots de passe de façon à ce qu'un hacker ne puisse pas les lire (pas en clairs) ni les décrypter (pas chiffrés avec une clé) car s'il a volé la base, il y a de forte chance qu'il ait aussi la clé ... Les mots de passe sont donc censés être stockés sous forme de "hash", qui est une opération irréversible, si bien que le hacker en ayant que le hash ne pourra pas remonter à votre mot de passe. Le voilà bien avancé. Mais comme les hackers sont malins, ils ont là aussi trouvé la parade.

Taste the rainbow

Image

Comme les utilisateurs sont cons, ils utilisent toujours les mêmes mots de passe. Donc des gens motivés ont calculé les hashs les plus "probables" des mots de passe les plus probables, ils les ont mis dans une grande base qui s'appelle une rainbow table. Donc le hacker, une fois qu'il a piqué la base, il regarde votre hash, et il cherche dans sa rainbow table s'il y a une correspondance. Si oui, il est content, il a direct votre mot de passe. Si non, on en revient à la puissance de calcul : il peut faire les calculs sur son pc et chercher à casser votre mot de passe en testant tous les hashs, mais ça va lui prendre du temps, et il ne perdra pas ce temps pour un compte à piscou magazine.

Alors on fait quoi ?

Image

Déjà, on est pas à poil car avec les années, les sites ont amélioré leurs défenses : le user locking, puis le hash des mots de passe, et en prime il faut que le hacker ait piqué la base. On est pas sur un truc simple à réaliser, ce qui veut dire que la plupart des mots de passe sont "sûrs" même à 8 caractères. Seulement, c'est un peu risqué de se baser là dessus, vu le nombre de sites piratés chaque année et le nombre de fuites de données. C'est d'ailleurs pour ça qu'il y a des publications pour inciter les utilisateurs à changer leurs mots de passe et ne pas réutiliser des mots de passe qui étaient dans des fuites de données. Mais en plus de ça, il y a quelques petites astuces qu'on peut rajouter pour ne pas se faire pirater facilement.

You know the rules

Image

On va faire une liste, parce que les listes, c'est la vie :
- Un mot de passe doit être unique. Si vous réutilisez le même mot de passe ailleurs, alors il faut que ce soit sur quelque chose qui n'a pas de valeur pour vous.
- Corrolaire de la première règle, vous pouvez vous définir des "groupes". Le but est de se fixer des règles sur les mots de passe selon ces groupes, et prendre conscience de l'importance ou non de chaque (boom une liste dans une liste !):
- - les mots de passe super méga importants : email/banque, avec un niveau très élevé de sécurité. Si on vous pique votre mots de passe d'email, vous perdez au grand jeu de la vie, donc il faut que ce soit le plus dur à casser.
- - les mots de passe importants mais pas trop : site d'achat en tout genre. Si on vous le pique, vous allez sans doute offrir des cartes graphiques à des gens en Albanie mais bon vous limiterez la casse et la banque vous remboursera.
- - les mots de passe osef : franchement, si quelqu'un veut piquer les mdp de mtgv qu'il y aille, il en fera pas grand chose mis à part poster à la place de Pax de faux avis sur des jeux Nintendo pour salir sa réputation.
- Idéalement, un mot de passe très important devrait être utilisé en double authentification (empreinte digitale, vérification sur le téléphone en plus du pc,...) ou/et être très long. Les banques ne vous laissent pas le choix et utilisent de la double authentification parce que c'est le truc le plus dur à casser. Mais dans le cas d'un mail où on se connecte très souvent, ce n'est pas très pratique, et le mieux reste un très long mots de passe. Du genre 20, 25 caractères pour résister aux attaques que j'ai expliqué. Oui mais voilà, c'est dur à retenir. Sauf si ... C'est une phrase. Et là, on passe du password au passphrase ! Ca sera simple à retenir, et vous aurez aisément 20 caractères, vous pourrez même glisser facilement un chiffre dedans ou un caractère spécial. Par exemple, si jusqu'ici votre mot de passe était "Poulet41", vous pouvez mettre "Ptipouletjoue41cartes". 21 caractères, pas mal non ? Conseil à Ptipoulet : change de mot de passe.
- Pour les mots de passe un peu moins importants, on peut soit suivre la même règle (mais sans réutiliser le même que pour les comptes très importants) ou alors il y a des techniques un peu plus "simple". Vous connaissez un mot de passe par coeur, genre "oigh4cev" ? Et bien pour votre compte facebook, vous faites "oigh4cevfacebook". Pour votre compte youtube, "oigh4cevyoutube", et ainsi de suite. Comme ça, vous retenez un seul mot de passe, et le nom du site. Normalement vous devriez y arriver. Et en fait, cette technique agrandit votre mot de passe, et n'est pas détectable par un hacker. Quand ils "trouvent" des mots de passe, ils automatisent et testent sur d'autres sites, mais jamais ils ne vont les vérifier et chercher à les changer.
- Pour les mots de passe osef, mettez ce que vous voulez. Franchement, que ce soit "azerty" ou "123456", ça changera pas grand chose. Le jour ou le site est hacké, ben vous refaites un compte, ou vous réinitialisez le mot de passe.

Mais il a pas parlé du stockage !

Image

C'est vrai qu'un aspect important des mots de passe, c'est la manière de les stocker/ de s'en souvenir. Je sais que vous adorez ça, donc bam une liste :
- La mémoire. C'est le mieux, mais c'est à double tranchant si vous avez une mauvaise mémoire. En fait, si vous avez des règles comme ce que j'ai listé au dessus, ça fait très peu à mémoriser, et vous pouvez le faire, mais ça demande de s'organiser.
- Les outils de navigateurs. Les chrome/firefox proposent de stocker les mots de passe. Leurs solutions sont très bien, sachant que dans ce cas là, vous êtes sensibles à une attaque qui vous ciblerez vous. Si vous n'allez sur aucun site louche et que vous ne cliquez pas sur les mails du prince nigérian, vous devriez être safe. Néanmoins, ne pas stocker son mot de passe de mail serait de bon aloi (je suis un mauvais élève là dessus). A noter qu'avec ce genre de solutions, vous êtes surtout sensible à une attaque d'une personne qui vous connait et va accéder à votre ordi quand vous avez le dos tourné. Le bémol que je vois là dessus, c'est d'être dépendant du navigateur qui a stocké, et encore plus quand vous l'avez laissé généré le mot de passe, car comme il sort des trucs imbitables, vous l'avez pas retenu et s'il faut le remettre sur un autre pc, dans l'cul lulu.
- Keepass et autres outils de stockage. C'est mieux que les outils de navigateurs, avec la contrainte de devoir retenir un mot de passe fort (enfin, une phrase de passe). La contrainte vient plutôt de la manière dont vous voulez l'utiliser : si vous le laissez actif sans arrêt et sans qu'il redemande le mot de passe, vous retombez dans les mêmes travers que les outils de navigateurs, à savoir que quelqu'un peut s'en servir quand vous êtes pas là (j'écris ce post depuis la maison de Mazz pendant qu'il creuse à la cave).
- Le carnet. On s'est souvent moqué des gens qui notent les mots de passe sur des post-it, mais au final pour les gens qui n'ont rien de sensibles, avoir un carnet à la maison c'est raisonnable. Vous le planquez suffisamment, vous le sortez seulement quand vous ne vous souvenez plus, et surtout vous n'en parlez à personn (et vous ne le laissez pas traîner). Honnêtement, vous serez aussi safe que de les stocker dans votre pc (sauf si vous vous appelez Liliane B. et que vous notez vos codes d'accès à vos comptes sur ledit carnet).


J'ai sans doute oublié des trucs mais je dois filer, si vous avez des questions hésitez pas, j'éditerai le message pour rajouter des points.
Avatar de l’utilisateur
Zoorp
Membre
Messages : 7264
Inscription : 26 avr. 2021, 06:47

Re: Un peu de cybersécurité

Message par Zoorp »

super, merci, faut vraiment que je m'améliore, j'ai quasi le même mot de passe pour tout (sauf la banque). Je vais complexifier celui de mon mail, c'est déjà ça
Ragisacam : "la religion, c'est juste le premier Ponzi ever"
Avatar de l’utilisateur
Zoorp
Membre
Messages : 7264
Inscription : 26 avr. 2021, 06:47

Re: Un peu de cybersécurité

Message par Zoorp »

tiens @sapro , question con, je voulais changer mon mot de passe de ma boite yahoo, mais je me rends compte que j'ai une clef activée liée à mon téléphone, et il me dit "si tu veux créer un mot de passe, désactive ta clef téléphone". Mais c'est pas mieux que le mot de passe en fait? (je sais pas si je suis clair)
Ragisacam : "la religion, c'est juste le premier Ponzi ever"