Un peu de cybersécurité

[SeikoTheWiz]

Je relance, perso j'ai un algo genre:

Prendre une lettre sur 2, mettre la première et la dernière en majuscule et rajouter 2 chiffes et un symbole
Mtgverse = MgeS78!
Et pouf sécurisé ET facile à retenir

Alors l'exemple choisis rend les mdp courts c'est peut-etre pas ouf, mais c'est un algo faites ce que vous voulez tant que votre cerveaux est capable de se dire quand il voit un site : "Ah oui, MTGVerse le mdp c'est MtGvErSe1983!!!"

[sapro]

tiens @sapro , question con, je voulais changer mon mot de passe de ma boite yahoo, mais je me rends compte que j'ai une clef activée liée à mon téléphone, et il me dit "si tu veux créer un mot de passe, désactive ta clef téléphone". Mais c'est pas mieux que le mot de passe en fait? (je sais pas si je suis clair)

De manière globale, c'est toujours mieux d'avoir de la double authentification : ce que je sais (un mot de passe)+ ce que je possède (mon téléphone/ma carte bancaire) ou ce que je suis (empreinte digitale). La seule limite à ce modèle, c'est quand tu n'es plus capable de prouver un de ces éléments, typiquement le jour où ton téléphone lâche. Là, vu la description que tu en fais, tu es tranquille si ton mot de passe peut pas être utilisé, mais il faudrait savoir à quelle occasion il peut l'être, et savoir ce qui est prévu si ton téléphone marche plus (j'ai pas de boite yahoo,je sais pas comment ils prévoient la récupération de compte).

xpost : oui c'est bien tant que tu t'en souviens. Le seul bémol que je vois à ta technique, c'est que tu n'es pas capable de t'en souvenir "facilement", au moins au début, ce qui fait que in fine tu vas devoir te le répéter jusqu'à ce qu'il rentre (ex, je suis incapable de savoir ce que donnerait un mot de passe facebook comme ça sans compter les caractères)

[Niluje]

Toujours aussi instructif et ça rafraîchit la mémoire sur les bonnes pratiques
Je ne suis pas un très bon élève, j'ai 2 mots de passes principaux mais avec une dizaine de déclinaisons chacun (casse, caractères spéciaux, longueur). Le point pénible, c'est que je ne me souviens pas toujours quelle version correspond à quel site
Pour le mail c'est une déclinaison unique et beaucoup plus robuste, j'avais pris cette décision y a quelques années et je le regrette pas : rien que le fait de savoir que cette déclinaison est unique me fait m'en souvenir ^^
2 petites questions sinon :
- j'avais lu qu'une bonne pratique (que je n'applique pas, par flemme) était d'utiliser des mots de passe totalement random et d'user/abuser de la fonction « mot de passe oublié » des sites pour ne pas se soucier de s'en rappeler, t'en penses quoi ? (condition sine qua non je suppose : avoir un mdp de mail très robuste)
- j'ai découvert cette page la semaine dernière : https://en.wikipedia.org/wiki/Wikipedia ... _passwords, c'est fiable ?

[sapro]

Toujours aussi instructif et ça rafraîchit la mémoire sur les bonnes pratiques
Je ne suis pas un très bon élève, j'ai 2 mots de passes principaux mais avec une dizaine de déclinaisons chacun (casse, caractères spéciaux, longueur). Le point pénible, c'est que je ne me souviens pas toujours quelle version correspond à quel site
Pour le mail c'est une déclinaison unique et beaucoup plus robuste, j'avais pris cette décision y a quelques années et je le regrette pas : rien que le fait de savoir que cette déclinaison est unique me fait m'en souvenir ^^
2 petites questions sinon :
- j'avais lu qu'une bonne pratique (que je n'applique pas, par flemme) était d'utiliser des mots de passe totalement random et d'user/abuser de la fonction « mot de passe oublié » des sites pour ne pas se soucier de s'en rappeler, t'en penses quoi ? (condition sine qua non je suppose : avoir un mdp de mail très robuste)
- j'ai découvert cette page la semaine dernière : https://en.wikipedia.org/wiki/Wikipedia ... _passwords, c'est fiable ?

- Alors tu peux, mais effectivement tout repose sur la robustesse de ton mot de passe mail, et surtout, c'est mégachiant comme procédé vu que tu perds du temps à demander le mdp oublié, à aller voir les mails etc.
- Elle est fiable mais attention, c'est pour de l'anglais. Si on devait trier les mots de passe les plus courant pour la France ça serait sans doute très différent . Typiquement, azerty arrive en 380e position, si on prend que les utilisateurs français il doit être dans le top 5.

[Zoorp]

tiens @sapro , question con, je voulais changer mon mot de passe de ma boite yahoo, mais je me rends compte que j'ai une clef activée liée à mon téléphone, et il me dit "si tu veux créer un mot de passe, désactive ta clef téléphone". Mais c'est pas mieux que le mot de passe en fait? (je sais pas si je suis clair)

De manière globale, c'est toujours mieux d'avoir de la double authentification : ce que je sais (un mot de passe)+ ce que je possède (mon téléphone/ma carte bancaire) ou ce que je suis (empreinte digitale). La seule limite à ce modèle, c'est quand tu n'es plus capable de prouver un de ces éléments, typiquement le jour où ton téléphone lâche. Là, vu la description que tu en fais, tu es tranquille si ton mot de passe peut pas être utilisé, mais il faudrait savoir à quelle occasion il peut l'être, et savoir ce qui est prévu si ton téléphone marche plus (j'ai pas de boite yahoo,je sais pas comment ils prévoient la récupération de compte).

la récupération de compte, c'est... mon autre mail , le gmail cette fois... ok lui aussi faut que je le change, mais je m'en sers quasi pas, c'est juste là qu'atterrissent les factures Deliveroo, VTC, les achats sur les jeux de téléphone genre marvel snap, tout ce qui est lié au compte google quoi

ce qui est bizarre, c'est qu'il me semble avoir un mot de passe yahoo en tête, donc il existe déjà, je vois pas pourquoi yahoo me dit "si tu mets/changes un mot de passe, tu vas niquer le lien avec ton téléphone"

[SeikoTheWiz]

xpost : oui c'est bien tant que tu t'en souviens. Le seul bémol que je vois à ta technique, c'est que tu n'es pas capable de t'en souvenir "facilement", au moins au début, ce qui fait que in fine tu vas devoir te le répéter jusqu'à ce qu'il rentre (ex, je suis incapable de savoir ce que donnerait un mot de passe facebook comme ça sans compter les caractères)

c'est l'avantage en fait, t'as pas besoin de t'en souvenir, tu as juste besoin qu'il soit facile à re-calculer facilement

[quake]

Le problème c'est quand certains sites sont incompatibles avec ton algorithme parce qu'ils n'autorisent pas les caractères spéciaux, les chiffres, les majuscules, etc.

[Kaptain]

Bon c'est cool, je suis à peu près dans les clous des recommandations de sapro. Mais je me refuse à utiliser autant que possible les doubles validations sur support physique tiers (le smartphone quoi), pour m'être déjà retrouvé coincé avec une perte de tel, une banque qui ne proposait pas d'autre choix de double authentification, et un virement ultra-urgent à gérer.

Par contre, en parlant de banque, je trouve la mienne très légère sur la question des mdp : on a pas le choix c'est forcément un nombre à 8 chiffres. Ni plus, ni moins.

[Xuelynom]

J'ai des mots de passe que je retrouve en combinant le nom du site et le placement des caractères sur clavier azerty.

Quand je dois rentrer un mdp sur mobile avec clavier android ou iphone la première chose que je dois faire c'est google imagee clavier azerty pasque je me souviens pas de la dispo des touches

[EtMini]

pour mes listes de MDP j'utilise le triple stockage. Fichier Excel avec mes noms d'utilisateur (adresse mail ou autre) et une correspondance avec une lettre (EtMini c'est le A par exemple) et un calepin avec mes MDP et une correspondance chiffre. (le MDP MtGvErSe1969! c'est le 1)
et j'ai un fichier Word sur lequel j'ai :
-MTGVERSE A-1
Il faut les 3 fichiers pour que ca serve à quelque chose, et j'ai choisi le calepin pour stocker mes MDP car c'est le fichier le plus sensible.

J'ai tenté de convertir ma femme, mais elle préfère demander la réinitialisation du MDP. Encore qu'elle commence à changer d'avis car il faut remonter de plus en plus loin dans le temps pour réutiliser les vieux MDP, et elle est en rade de MDP à recycler.

[SeikoTheWiz]

Le problème c'est quand certains sites sont incompatibles avec ton algorithme parce qu'ils n'autorisent pas les caractères spéciaux, les chiffres, les majuscules, etc.

ouais en effet ça peut arriver. Surtout sur les sites genre de validation bancaire ou les trucs ou ils demandent juste un nombre avec un pseudo clavier de boutons. C'est archi minoritaire depuis 2020 cela dit.

[Ragisacam]

Le problème c'est quand certains sites sont incompatibles avec ton algorithme parce qu'ils n'autorisent pas les caractères spéciaux, les chiffres, les majuscules, etc.

ouais en effet ça peut arriver. Surtout sur les sites genre de validation bancaire ou les trucs ou ils demandent juste un nombre avec un pseudo clavier de boutons. C'est archi minoritaire depuis 2020 cela dit.

J'ai encore dû faire un renouvellement de mot de passe aujourd'hui où la question de contrôle c'est le fameux nom de jeune fille d'un membre de ma famille. C'est pas comme si c'était l'une des plus grosses banques françaises...

Et l'histoire du fichier de login/mot de passe transmis dans un fichier excel en clair d'un presta informatique à un autre qui a été rapporté sur le discord...

Ne jamais utiliser deux fois le même mot de passe, tu sais jamais ce qui va en être fait derrière.

[MutoKenji]

https://tutut.delire.party/@rusty@piail ... 2160981793

Ça fait deux jours que je suis fasciné par ce qui se passe dans le monde de la sécurité informatique, autour de la backdoor XZ. Je vais essayer de vous l'expliquer, ça va être technique, mais c'est important.

Pour Internet, c'est l'équivalent d'un gros astéroïde qui serait passé à 5000km de la Terre. Pas d'impact, pas de dégâts directs, mais on aurait pu tous y passer et personne ne l'a vu venir.

Je vais chercher à vulgariser un maximum, tout en donnant des liens vers les sources directes, qui sont souvent très techniques et en anglais.
1/13

Absolument passionnant.

T'as vu ça @sapro ?
Si tu suis le sujet tu pourras nous donner des news du sujet et comment la compréhension du truc évolue ?

[Niluje]

Y a un petit côté SolarWinds de l'open source ou je suis totalement à côté de la plaque ?

[piRro]

La sérendipité de la découverte fait vraiment peur (c'était juste qu'il y avait une régression de perf sur un accès bdd...), ça aurait largement pu être Solarwind oui. Pour le moment l'impact est bien plus faible que Solarwind car la backdoor a été peu déployée (distribution basées sur apt ou rpm, et la maj n'a été envoyée que dans les rolling releases, enfin il y aura sans doute un œil plus fort sur les commits précédens de l'attaquant, et peut-être que finalement c'est super grave ).

[Li Mahong]

Rien compris, mais merci quand même.

[Zoorp]

j'ai compris, mais grâce aux devs du taf

[piRro]

J'avais une grille de loto à remplir, j'ai pu cocher pas mal de mots

[MutoKenji]

@sapro tu nous fais un petit debrief sur l'attaque des télécomm aux USA ?

https://securite.developpez.com/actu/36 ... utorisees/

Ça a l'air d'être un truc de ouf' non ?

[sapro]

@sapro tu nous fais un petit debrief sur l'attaque des télécomm aux USA ?

https://securite.developpez.com/actu/36 ... utorisees/

Ça a l'air d'être un truc de ouf' non ?

J'essaie de faire un truc dans la journée ou demain !

[sapro]

Alors un petit topo sur ce qui se passe aux US concernant le piratage de leurs réseaux télécoms.
Pour débuter, il va falloir expliquer ce qui se cache derrière le chiffrement des communications.

Le chiffrement bout en bout, mais pas trop

Les réseaux télécoms marchent sur le même principe (en gros) que le réseau internet, que vous pouvez vous représenter avec des tuyaux qui relient les différents acteurs tout le long du trajet de la communication. Entre votre téléphone et l'antenne 5G, puis un relais par ex en fibre optique, puis une autre antenne 5G qui renvoie la comm au téléphone de votre interlocuteur. Ces communications sont basées sur des protocoles, qui au même titre que ceux utilisés sur internet (http, ftp ...) doivent être encryptés, sinon n'importe qui peut lire.
Pour palier à ça, on a encrypté les données, et donc quelqu'un qui fait de l'écoute passive sur un cable (ou près d'une borne 5G) ne peut pas déchiffrer les communications. Mais (car il y a un mais), on a mis en place des chiffrements de manière paresseuse, à savoir que dans l'exemple de tout à l'heure :

Tel A <--> Antenne 5G X <--> Antenne 5G Y <--> Tel B

Plutôt que de faire un truc bien pensé dès le début, on s'est dit que protéger chaque tuyau, c'était suffisant. Sauf que quand Tel A envoie des données à l'antenne X, il les encrypte avec une clé. L'antenne va les décrypter avec la même clé, puis les encrypter avec une autre clé pour envoyer à l'antenne Y, qui va faire pareil, et ainsi de suite. En un sens, ça peut nous protéger -un peu- de savoir que si un lien est compromis, ils ne le sont pas tous. Sauf qu'on touche du doigt un souci : les données sont à un moment en clair dans les relais.

On a bien essayé de pousser pour faire du bout en bout : A et B se mettent d'accord, et personne sur le chemin ne peut décrypter le message. Ca marche sur des applis comme Signal ou Whatsapp. Mais au départ personne n'y croyait vraiment parce que "on avait pas besoin", et surtout bien pire du point de vue des US "ça permet d'espionner gratos".

On vous surveille pour votre bien

Parce que oui, les réseaux télécoms grossissent dans les années 2000, et à l'époque, le FBI et la NSA ne vous veulent que du bien quand vous allez aux US, et ça paraît "normal", qu'ils puissent jeter un oeil aux communications, juste au cas ou. Donc ça les arrange bien de pas faire du chiffrement bout en bout. Ils gardent volontairement des machines de relais (routeur, switch) qui vont leur permettre de se brancher et de regarder tranquille ce qui passe, mais promis que quand ils ont un mandat pour le faire, pas le reste du temps.

Pendant un temps, ça a bien marché : les agences gouvernementales avaient des façons de faire très spécifiques et sans doute bien encadrées pour être sur que personne n'utilise le système d'une mauvaise manière

Et les chinois dans tout ça ?

On y arrive. Quand il y a un truc mal sécurisé, il y a forcément un moment où quelqu'un va vouloir s'en servir. Les US avaient mis en place un système pour que les opérateurs télécoms leur permettent d'écouter selon les besoins certaines parties du réseau. On a pas la chronologie, mais on peut se douter que les chinois ont commencé par ça. Ils ont réussi à infecter ce portail et sans doute patiemment collecté des données pour voir comment le tout fonctionnait et comment agrandir leur emprise dessus.

Et ce qu'ils ont trouvé était encore mieux pour eux : au cours des vingt années passées, il y a eu une concurrence acharnée dans tous les domaines, comme sait si bien le faire le capitalisme. Les télécoms n'y ont pas échappé, encore moins aux US. Il y a eu tout un tas de créations d'entreprises, de rachats, de liquidations ... Au final, le réseau télécom est très morcelé et n'est pas maintenu par une entité issue de l'état comme en France (France télécom maintient le réseau, même si de plus en plus d'autres acteurs interviennent). Si bien qu'on a différentes entreprises, impliquées à des degrés divers, qui maintiennent un réseau avec des machines de différentes époques, avec parfois certaines provenant d'entreprises qui n'existent même plus et n'ont pas reçu de mise à jour depuis des années ... Une aubaine pour les chinois.

On ne connait pas l'ampleur de l'infection lancée par les chinois, mais on peut raisonnablement penser qu'ils ont réussi à toucher beaucoup de machines : ils ont déployé une solution qui leur a permis de se connecter à beaucoup de noeuds du réseau pour y faire de la surveillance sur mesure. Ca a été détecté et c'est pour ça que l'alarme a été donné, mais pour l'heure, les US ne peuvent pas grand chose.

Vers le bout en bout à marche forcée

Le gouvernement US a notifié largement qu'il fallait utiliser des applications qui chiffrent de bout en bout à partir de maintenant. Normal, ils n'ont pas beaucoup d'autres choix, car à l'heure actuelle, sans connaître l'ampleur de l'infection ni comment y remédier, ils ne savent pas comment protéger au mieux les gens. Il va sans doute leur falloir remplacer beaucoup de matériels dépassés, et faire des vérifications minutieuses sur ceux qu'ils gardent. Et comme le point d'entrée (le portail) n'était qu'une étape, même en résolvant cette partie, il restera la porte dérobée un peu partout et le risque que les chinois la réactivent. Du coup sur le temps court, ça va être la foire pour changer tous le matos. Puis dans un second temps, ils vont forcer les opérateurs télécoms à ne plus utiliser que des communications chiffrées de bout en bout, même si ça veut dire ne plus pouvoir espionner eux même.

[Zoorp]

merci pour le topo!

[Kaptain]

C'est vraiment symptomatique de la naïveté des services de renseignement américains d'avoir pensé pendant des décennies qu'ils étaient au-dessus du lot.

[SeikoTheWiz]

Si au moins ça pouvait faire comprendre aux gens que tout privatiser c'est peut-etre pas si bien

[Samish]

Merci Sapro !

On sait que ce sont les Chinois de manière sûre? Et a t'on une idée de si d'autres pays qui auraient pu exploiter la même faille?