IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les attaques de malware visant des MdP sont à la hausse selon les statistiques de Kaspersky
Près d'un million d'utilisateurs concernés au 1S19

Le , par Stéphane le calme
8 commentaires

47PARTAGES

12  0 
Toutes les données utilisateur, des mots de passe pour les services de divertissement aux copies électroniques de documents, sont très prisées par les hackers. Pourquoi ? Presque toutes les informations peuvent être monétisées. Par exemple, les données volées peuvent être utilisées pour transférer des fonds sur des comptes de cybercriminels, commander des biens ou des services et, si le désir ou l’opportunité de le faire soi-même fait défaut, elles peuvent toujours être vendues à d’autres cybercriminels.

Les statistiques de Kaspersky confirment cette soif de données volées : au premier semestre de 2019, plus de 940 000 utilisateurs ont été attaqués par des logiciels malveillants conçus pour collecter diverses données sur les ordinateurs. À titre de comparaison, au cours de la même période en 2018, un peu moins de 600 000 utilisateurs des produits Kaspersky ont été attaqués. La menace est appelée « Stealer Trojan » ou PSW (Password Stealing Ware), un type de malware conçu pour voler des mots de passe, des fichiers et d’autres données sur les ordinateurs des victimes.

Au cours des six derniers mois, Kaspersky a détecté une activité intense de ces Stealer en Europe et en Asie. Le plus souvent, les programmes malveillants ont ciblé des utilisateurs en Russie, en Inde, au Brésil, en Allemagne et aux États-Unis.

AZORult est l'un des Stealer Trojan les plus répandus. Il a été détecté sur les ordinateurs de plus de 25% de tous les utilisateurs qui ont rencontré un logiciel malveillant de ce type au cours de la période considérée.

Selon l'analyse de Kaspersky, un Stealer Trojan moyen peut :
  • Recueillir des données des navigateurs:
    • Mots de passe
    • Remplissage automatique des données
    • Cartes de paiement
    • Cookies

  • Copier les fichiers:
    • Tous les fichiers d'un répertoire spécifique (tel que le bureau)
    • Fichiers avec une extension spécifique (TXT, DOCX)
    • Fichiers pour des applications spécifiques (portefeuilles de crypto-monnaie, fichiers de session de messagerie)

  • Transférer les données du système:
    • Version du système d'exploitation
    • Nom d'utilisateur
    • adresse IP
    • Et beaucoup plus

  • Voler des comptes de diverses applications (clients FTP, VPN, RDP, etc.)
  • Prendre des captures d'écran
  • Télécharger des fichiers à partir d'Internet

Les spécimens les plus multifonctionnels (par exemple Azorult) prennent une « image » complète de l’ordinateur et des données de la victime:
  • Informations système complètes (liste des programmes installés, processus en cours, nom d'utilisateur / ordinateur, version du système)
  • Spécification du matériel (carte vidéo, CPU, moniteur)
  • Mots de passe sauvegardés, cartes de paiement, cookies, historique de navigation pour presque tous les navigateurs connus (plus de 30)
  • Mots de passe pour les clients mail / FTP / IM
  • Fichiers de messagerie instantanée (Skype, Telegram)
  • Fichiers du client de jeu Steam
  • Fichiers pour plus de 30 programmes de crypto-monnaie
  • Captures d'écran
  • Fichiers spécifiés par "masque" (par exemple, le masque %USERPROFILE%\Desktop\*.txt,*.jpg,*.png,*.zip,*.Rar,*.doc signifie que tous les fichiers portant les extensions spécifiées sont le bureau de la victime doit être envoyé à l’opérateur du logiciel malveillant).

Pourquoi collecter des fichiers texte ou, plus curieusement encore, tous les fichiers du bureau ? Le fait est que les fichiers les plus utiles à l'utilisateur y sont généralement stockés. Et parmi eux se trouve peut-être un fichier texte contenant des mots de passe fréquemment utilisés. Ou, par exemple, des documents de travail contenant les données confidentielles de l’employeur de la victime


Comment les mots de passe sont volés des navigateurs ?

Lorsqu'il s'agit de voler des données de navigateur (mots de passe, détails de carte bancaire, données de remplissage automatique), tous les Stealer Trojan agissent de la même manière.

Google Chrome et navigateurs basés sur Chromium

Dans les navigateurs basés sur Chromium, les mots de passe enregistrés sont protégés par DPAPI (Data Protection API). La mémoire du navigateur est utilisée à cette fin, sous la forme d’une base de données SQLite. Seul l'utilisateur du système d'exploitation qui a créé les mots de passe peut les récupérer à partir de la base de données, et uniquement sur l'ordinateur sur lequel ils ont été chiffrés. Ceci est assuré par une implémentation particulière de chiffrement dans laquelle la clé de chiffrement comprend des informations sur l'ordinateur et l'utilisateur du système sous une certaine forme. Ces données ne sont pas disponibles pour les utilisateurs réguliers en dehors du navigateur sans utilitaires spéciaux.

Mais tout cela ne freine pas un Stealer Trojan qui a déjà pénétré dans l’ordinateur, car il dispose des droits d’utilisateur du système d’exploitation susmentionnés. Dans ce cas, le processus d'extraction de toutes les données sauvegardées dans le navigateur est le suivant :
  1. Récupération du fichier de base de données. Les navigateurs basé sur Chromium stockent ce fichier selon un chemin standard et non modifiable. Afin d'éviter des problèmes d'accès (par exemple, si le navigateur l'utilise), les Stealer Trojan peuvent copier le fichier dans un autre emplacement ou mettre fin à tous les processus du navigateur.
  2. Lecture de données chiffrées. Comme déjà mentionné, les navigateurs utilisent une base de données SQLite à partir de laquelle les données peuvent être lues à l'aide d'outils standard.
  3. Déchiffrement des données. Conformément au principe de protection des données décrit ci-dessus, voler le fichier de base de données lui-même n’aide pas à disposer des données car le déchiffrement doit avoir lieu sur l’ordinateur de l’utilisateur. Mais ce n’est pas un problème, car le déchiffrement est effectué directement sur l’ordinateur de la victime via un appel à la fonction CryptUnprotectData. Les cybercriminels n'ont pas besoin de données supplémentaires - DPAPI s'occupe de tout, puisque l'appel a été passé pour le compte de l'utilisateur du système. En conséquence, la fonction renvoie les mots de passe sous une forme lisible «propre».


Échantillon de code de Stealer Trojan Arkei (déchiffrement de données obtenues à partir d'un navigateur basé sur Chromium)

Dès lors, les mots de passe enregistrés, les détails de cartes bancaires et l'historique de navigation sont tous récupérés et prêts à être envoyés au serveur cybercriminel.

Firefox et les navigateurs dérivés

Le chiffrement des mots de passe dans les navigateurs basés sur Firefox est légèrement différent de ceux basés sur Chromium. Néanmoins, pour les Stealer Trojan, le processus d'obtention de ceux-ci est tout aussi simple.

Dans les navigateurs Firefox, le chiffrement utilise les services de sécurité de réseau (Network Security Services), un ensemble de bibliothèques de Mozilla pour le développement d'applications sécurisées, et entre autres la bibliothèque nss3.dll.

Comme pour les navigateurs basés sur Chromium, récupérer des données à partir du stockage chiffré revient aux mêmes actions simples, mais avec quelques réserves:
  1. Récupération du fichier de base de données. Les navigateurs dérivés de Firefox, à la différence de ceux basés sur Chromium, génèrent un nom de profil d'utilisateur aléatoire qui rend au préalable l'emplacement du fichier contenant des données chiffrés indéterminé. Cependant, comme les intrus connaissent le chemin d'accès aux dossiers contenant des profils utilisateur, il n'est pas difficile pour eux de les trier pour rechercher un fichier portant un certain nom (le nom du fichier contenant des données chiffrées ne dépend pas de l'utilisateur et est toujours le même). De plus, ces données peuvent rester même si l'utilisateur supprime le navigateur, un fait exploité par certains Stealer Trojan (par exemple, KPOT).
  2. Lecture de données chiffrées. Les données peuvent être stockées soit comme sous Chromium (au format SQLite) soit sous la forme d'un fichier JSON avec des champs contenant des données chiffrées.
  3. Déchiffrement des données. Pour déchiffrer les données, le Stealer doit charger la bibliothèque nss3.dll, puis appeler plusieurs fonctions et obtenir les données déchiffrées sous une forme lisible. Certains Stealer disposent de fonctions permettant de travailler directement avec les fichiers du navigateur, ce qui leur permet d’être indépendants de cette bibliothèque et de fonctionner même si le navigateur a été désinstallé. Cependant, il convient de noter que si la fonction de protection des données est utilisée avec un mot de passe principal, le déchiffrement sans savoir (ou forcer) ce mot de passe est impossible. Malheureusement, cette fonctionnalité est désactivée par défaut et son activation nécessite une analyse approfondie dans le menu des paramètres.


Échantillon de code de Stealer Trojan Orion (déchiffrement des données de navigateur basées sur Firefox)

Dès lors, les mots de passe enregistrés, les détails de cartes bancaires et l'historique de navigation sont tous récupérés et prêts à être envoyés au serveur cybercriminel.

Internet Explorer et Microsoft Edge

Dans les versions 4.x à 6.0 d'Internet Explorer, les mots de passe enregistrés et les données de remplissage automatique étaient stockés dans ce que l'on appelle le stockage protégé. Pour les récupérer (non seulement les données IE, mais aussi celles d'autres applications utilisant ce stockage), le Stealer avait besoin de charger la bibliothèque pstorec.dll et d'obtenir toutes les données sous forme lisible au moyen d'une liste simple.

Internet Explorer 7 et 8 utilisent une approche légèrement différente : le stockage utilisé s'appelle Credential Store, et le chiffrement est effectué à l'aide d'un sel. Malheureusement, ce sel est identique et bien connu. Le Stealer peut donc récupérer tous les mots de passe enregistrés en appelant la même fonction CryptUnprotectData que ci-dessus.

Internet Explorer 9 et Microsoft Edge utilisent un nouveau type de stockage appelé Vault. Cependant, il ne promet rien de nouveau en termes d'acquisition de données : le Stealer charge vaultcli.dll, appelle plusieurs fonctions et récupère toutes les données sauvegardées.

Ainsi, même une série de modifications apportées à la méthode de stockage des données n'empêche pas les données d'être lues par les Stealer Trojan.

Conclusion

« Les consommateurs modernes sont de plus en plus actifs en ligne et ont naturellement recours à Internet pour effectuer de nombreuses tâches de la vie quotidienne », a déclaré Alexander Eremin, chercheur en sécurité chez Kaspersky. « Cela remplit leurs profils numériques avec de plus en plus de données et de détails et en les transforme en une cible lucrative pour les criminels, car leurs données pourraient être monétisées de nombreuses façons. En stockant de manière sécurisée les mots de passe et les informations d'identification, les consommateurs peuvent utiliser leurs services en ligne préférés avec l'assurance que leurs données ne sont pas en danger. Cela peut passer par l'installation d'une solution de sécurité, car on ne peut jamais être trop prudent ».

Kaspersky recommande de ne pas partager les mots de passe ou les informations personnelles avec des amis ou des membres de la famille, car cela pourrait involontairement les rendre vulnérables aux programmes malveillants. L'éditeur recommande aussi de faire attention à ce que vous publiez sur les forums ou les médias sociaux. Les utilisateurs doivent également installer les dernières mises à jour et correctifs de produits pour assurer une protection contre les derniers logiciels malveillants ainsi que les menaces.

« Les utilisateurs confient souvent toutes les données critiques au navigateur. Après tout, c’est pratique lorsque les mots de passe et les détails de la carte bancaire sont remplis automatiquement dans les champs obligatoires. Mais nous déconseillons de confier ces informations vitales à des navigateurs Web, car les méthodes de protection qu'ils utilisent ne font pas obstacle aux logiciels malveillants.

« La popularité des programmes malveillants assoiffés de données de navigateur ne montre aucun signe de ralentissement. Les chevaux de Troie Stealer d’aujourd’hui sont activement pris en charge, mis à jour et complétés par de nouvelles fonctionnalités (par exemple, la possibilité de voler des données 2FA dans des applications générant des codes d’accès uniques).

« Nous vous recommandons d'utiliser un logiciel spécial pour stocker les mots de passe de compte en ligne et les détails de carte bancaire, ou des solutions de sécurité avec les technologies appropriées. Ne téléchargez pas et n'exécutez pas de fichiers suspects, ne suivez pas les liens des courriels suspects et respectez généralement toutes les mesures de sécurité ».

Source : Kaspersky

Et vous ?

Comment choisissez-vous votre mot de passe ?
Comment le protégez-vous ?
La recrudescence des attaques aux logiciels malveillants voleurs de mots de passe, un argument de plus pour les campagnes visant à promouvoir des alternatives aux MDP comme système d'authentification ?

Voir aussi :

EvilGnome : un nouveau malware qui espionne et cible les utilisateurs de PC Linux, il inclut plusieurs modules malveillants
Microsoft avertit qu'une campagne de diffusion du malware voleur d'informations Astaroth est en cours, via des attaques sans fichier
Avec les normes d'authentification FIDO2 intégrées à Android 7.0+, les utilisateurs pourront s'affranchir des MdP sur leurs applications et sites
Trolldi : Google et l'ONU sont parmi les pires auteurs d'erreurs liées aux MdP en 2018, d'après les résultats d'une enquête
Les MdP trop faibles sont devenus une menace majeure, rendant nécessaire l'authentification multifacteur, d'après le dernier rapport WatchGuard

Une erreur dans cette actualité ? Signalez-nous-la !

8 commentaires
Commenter Signaler un problème
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 24/07/2019 à 14:43
Les logiciels malveillants volant des mots de passe sont à la hausse selon les statistiques de Kaspersky, près d'un million d'utilisateurs attaqués au 1S19
Mouais... Mais grâce au chevalier blanc Kaspersky, les méchants voleurs de mot-de-passe sont battus! C'est cela la conclusion, non?

Le chevalier blanc oublie de dire que le vol de mots-de-passe se fait avant tout par le vol de masse en récupérant les données des clients des entreprises négligentes comme par exemple la société américaine Equifax qui a vu les données de ses 147 millions de clients mis à disposition des hackers.

Pourquoi s'emm... à récupérer un-à-un les mots-de passe de chaque Monsieur Bolomé ou chaque Madame Ducommun quand on peut accéder à des dizaines de millions de mots-de-passe en 1 seul clic?

Ma conclusion: Que le chevalier blanc range son armure et nous fiche la paix avec ses études orientées ayant pour seul but d'augmenter son chiffre d'affaire!
3  2 
Steinvikel
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 25/07/2019 à 13:47
Les gestionnaires de mots de passe ne sont pas une hérésie, c'est un moyen de renforcer la sécurité, pour les raisons suivantes :
- la sécurité par mots de passe, sur les services, programmes, solutions... passe par la définition de mdp différents, car si l'une de ces solution est corrompu, les autres accès restent intègre.
- la sécurité par mots de passe, sur les services, programmes, solutions... passe par la définition de mdp complexes, et par causalité, difficiles à retenir.
- la multiplication des mdp (une cinquantaine au minimum pour tout un chacun aujourd'hui) pousse les gens à faire des mdp plus simple et qui se ressemble pour pouvoir se rappeler de tous.
- ceux qui n'ont pas confiance en leur mémoire, ou tout simplement que ce n'est pas possible, notent ces mot de passes.

Comme indiqué plus haut, l'usage d'un mot de passe principal permet d'utiliser des Mots de passe très fort avec autant de facilité qu'auparavant, présentant des faiblesses commune :
- en cas de vol, bah l’accès est violé comme avant, mais les autres services sont également touchés. Mais la manière d'opérer pour obtenir le mdp permettait également d'obtenir les autre, donc la vulnérabilité supplémentaire n'est qu'illusoire.
- en cas de perte, bah suivant les programmes, on peut définir des méthodologie de remplacement /recouvrement du mdp principal (le service /programme turtl ne le permet pas, ce qui pour moi est d'autant plus sécurisant). Si le mdp n'est pas renouvelable dans ce cas, alors oui, les données sont verrouillés à jamais... à moins d'avoir la possibilité de tenter le déchiffrement par force brute avec un fragment du mdp dont on se souvient.

"Je préfère changer 1 serrure/mdp sur 1 compte que de devoir TOUT changer y compris la serrure/code master ..."
Tu comprend donc que si tu utilises 10 clés identiques sur 20, ou des clés de boites aux lettres, ou de valises (car c'est plus pratique), plutôt que 20 vraies serrures différentes, le problème reste le même : une serrure /clé violé = changement de toute une partie des accès.

"Cela revient à se faire voler sa clef de porte d'entrée / code d'alarme et de se faire copier/voler toutes ces autres clef (BAL , portail , voiture ... ) ."
Enfaite non, l'exemple que tu cite, serait l'équivalent de DÉFINIR le même mot de passe partout (avoir la même clé /serrure partout)... le gestionnaire de mot de passe, est à comparer à un gardien qui gères les accès d'un local, qui dispose d'un trousseau de clés ...se qui ne le protège en rien d'un vol de trousseau, mais qui limite (comparativement au cas cité) la porté du vole d'une clé.
Tu serais surpris de voir le nombre de gens qui utilisent le même mot de passe pour nombre de solutions différents (de compagnies différentes). Dans leur contexte, cela ne change rien. Un compte Facebook volé --> le mdp sera essayé sur plein d'autre services.

A2F (authentification à 2 facteurs) est un moyen de renforcer la sécurité, mais n'est pas inviolable, et présente lui aussi ses inconvénients.

Les token à changement cyclique, s'est avant tout pour prémunir d'un accès prolongé à une ressource protégé par un mdp faible (ou peu fiable). Une fois volé, il ne donne accès que durant une "courte" période.

"emprunte digital : quid de l'accès nécessaire par une tiers personne de l'entourage (famille , ami, proche ...) si vous décédez , perdez un doigt , êtes à l'hosto ? quid si la personne de confiance change et qu'elle n'est pas dans le système ? comme 9 fois sur 10 ... "
Très simple. Une tierce personne ne peux tout simplement pas utiliser TON empreinte digitale, il est nécessaire d'enregistrer la sienne au préalable. Si l'empreinte digitale du proprio principal n'est plus accessible (ex: décès), et bien les définition de mdp définissent également une adresse de récupération et une adresse de secours, il pourrait très bien en être de même pour les mots de passe biométrique ...n'est pas ce que font déjà les grandes marques avec les lecteurs d'empreintes ?
1  0 
Steinvikel
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 24/07/2019 à 21:02
+1 au message du dessus
ce qui augmente le plus, c'est le vol des grosses bases de données, on se souviendra des plateformes de jeu de sony, twiter, & co.

Citation Envoyé par Stéphane le calme Voir le message
(...) Mais nous déconseillons de confier ces informations vitales à des navigateurs Web, car les méthodes de protection qu'ils utilisent ne font pas obstacle aux logiciels malveillants. (...)
--> sauf pour Firefox, où si l'utilisateur souhaite protéger ses données par un mots de passe, le vol est alors impossible... bizarrement, c'est impossible uniquement sur les logiciels libres, quelle coïncidence !

Citation Envoyé par Stéphane le calme Voir le message
(...) En stockant de manière sécurisée les mots de passe et les informations d'identification, les consommateurs peuvent utiliser leurs services en ligne préférés avec l'assurance que leurs données ne sont pas en danger. Cela peut passer par l'installation d'une solution de sécurité, car on ne peut jamais être trop prudent.
et bien pour permettre à Mr et Mme Michu de se "sécuriser" il faudrait en premier lieu les informer. Cet article les sensibilise, mais ne les informe aucunement sur des solutions logicielles (clé en mains si possible). Donc en voici deux exemples :

"Nous vous recommandons d'utiliser un logiciel spécial pour stocker les mots de passe de compte en ligne et les détails de carte bancaire, ou des solutions de sécurité avec les technologies appropriées."
1) KeePass (ici sous licence GNU GPLv3 --> logiciel libre) qui permet de gérer ses mots de passe sur sa machine, dans le cloud... de les annoter, et de les envoyer directement et automatiquement dans les formulaires à remplir à travers le navigateur web (ça demande simplement 2 clic de plus qu'habituellement). --> "c’est pratique lorsque les mots de passe et les détails de la carte bancaire sont remplis automatiquement dans les champs obligatoires"
Bref, une alternative à Dashlane et compagnie.

2) Turtl (ici sous licence GNU GPLv3 --> logiciel libre) qui permet de gérer des notes et de l’hébergement en ligne entièrement chiffré, de bout en bout (votre application chiffre les données avant de les stocker sur le serveur, si le serveur est hacké, l'attaquant doit casser chaque données une à une --> la rentabilité de l'attaque qui est assez médiocre assure que le serveur n'en sera donc pas la cible)
Bref, une alternative à Trello, Evernote... en plus il est documenté comment faire son propre serveur Turtl pour héberger SES données ...on fera difficilement mieux pour la gouvernance de ses données.

3) Il reste plus qu'à leur faire installer leur propre serveur de mail.
Quelqu'un connaitrait-il une solution accessible ? ^^'

Comment choisissez-vous votre mot de passe ?
Préférablement plus long que compliqué, préférablement sur des termes que je n'utilise pas... il y en a pléthores... ne pas se circonscrire au français ou à l'anglais. =)
Comment le protégez-vous ?
avec Keepass
La recrudescence des attaques aux logiciels malveillants voleurs de mots de passe, un argument de plus pour les campagnes visant à promouvoir des alternatives aux MDP comme système d'authentification ?
non, juste une preuve de plus que quand un logiciel n'est pas dédié à cela et que cela représente simplement une n'ième fonctionnalité... le résultat semble peu concluant en profondeur.
Vous vous rapeler des gestionnaires de mot de passe qui stockaient en clair les mdp ? ou plus raisonnablement, le "juste" le mdp principal en clair ?
0  0 
Avatar de
https://www.developpez.com
Le 25/07/2019 à 10:59
Protéger des mots de passes par un mdp est une hérésie sans nom !

Mdp master perdu = plus d'accès au coffre ?
Mdp master volé = on vous vole toutes vos clef ?
Mdp master perdu = coffre fort virtuel ou logiciel verrouillé avec de la donnée perdu à jamais ?

Cela revient à se faire voler sa clef de porte d'entrée / code d'alarme et de se faire copier/voler toutes ces autres clef (BAL , portail , voiture ... ) .

Je préfère changer 1 serrure/mdp sur 1 compte que de devoir TOUT changer y compris la serrure/code master ...

Une bonne parade est l'authentification a plusieurs facteur vrai , mais difficilement généralisable :

avoir un token qui change tout les x temps : si le token tombe en rade ?
avoir la reception d'un mail/sms : si la bal ou le numero n'est pas/plus accessible (vole, piratage pysique ou virtuel ... )
emprunte digital : quid de l'accès nécessaire par une tiers personne de l'entourage (famille , ami, proche ...) si vous décédez , perdez un doigt , êtes à l'hosto ? quid si la personne de confiance change et qu'elle n'est pas dans le système ? comme 9 fois sur 10 ...

Que dire en cas de panne du système d'authentification .

Bref beaucoup d'elucubration avec des solutions difficilement généralisable ...
0  0 
Avatar de
https://www.developpez.com
Le 25/07/2019 à 16:45
Citation Envoyé par Steinvikel Voir le message
"Je préfère changer 1 serrure/mdp sur 1 compte que de devoir TOUT changer y compris la serrure/code master ..."
Tu comprend donc que si tu utilises 10 clés identiques sur 20, ou des clés de boites aux lettres, ou de valises (car c'est plus pratique), plutôt que 20 vraies serrures différentes, le problème reste le même : une serrure /clé violé = changement de toute une partie des accès.
Charge aux utilisateurs à s'autodiscipliner dessus ... combien de site sur lesquels ont est inscrit sont vraiment nécessaire ? Quand on voit le ramassis de merde sur le quel s’inscrivent de nombreuses personnes ... A tout casser seul 35 web services sont indispensables de nos jours. Tout ce qui relève des médias , communication, loisir, détente , consommation . C'est clair que retenir le mot de passe pour son compte ebay ou amazon la ou tu achètes tous les 36 du mois pour les soldes c'est super important ! Un mdp de messagerie est plus important à retenir à mon sens ... vu qu'on s'y connecte tous les jours quasiment.

Citation Envoyé par Steinvikel Voir le message
"Cela revient à se faire voler sa clef de porte d'entrée / code d'alarme et de se faire copier/voler toutes ces autres clef (BAL , portail , voiture ... ) ."
Enfaite non, l'exemple que tu cite, serait l'équivalent de DÉFINIR le même mot de passe partout (avoir la même clé /serrure partout)... le gestionnaire de mot de passe, est à comparer à un gardien qui gères les accès d'un local, qui dispose d'un trousseau de clés ...se qui ne le protège en rien d'un vol de trousseau, mais qui limite (comparativement au cas cité) la porté du vole d'une clé.
Tu serais surpris de voir le nombre de gens qui utilisent le même mot de passe pour nombre de solutions différents (de compagnies différentes). Dans leur contexte, cela ne change rien. Un compte Facebook volé --> le mdp sera essayé sur plein d'autre services.
Ce problème peut être balayé en utilisant des "emails" alias , l'adresse principale reçoit du courrier d'adresses alias qui sont juste des adresses de d'envoi ou de réception. Impossible de connecter avec ! L'avantage ? En cas de piratage juste à changer l'alias et tu coupes l'herbe sous le pied des fraudeurs/spammeurs et autres joyeusetés . Pas besoin de s'emmerder avec des politiques de sauvegardes de mots de passes ...

La poste , net courrier et microsoft proposent se service .

Citation Envoyé par Steinvikel Voir le message
A2F (authentification à 2 facteurs) est un moyen de renforcer la sécurité, mais n'est pas inviolable, et présente lui aussi ses inconvénients.

Les token à changement cyclique, s'est avant tout pour prémunir d'un accès prolongé à une ressource protégé par un mdp faible (ou peu fiable). Une fois volé, il ne donne accès que durant une "courte" période.

"emprunte digital : quid de l'accès nécessaire par une tiers personne de l'entourage (famille , ami, proche ...) si vous décédez , perdez un doigt , êtes à l'hosto ? quid si la personne de confiance change et qu'elle n'est pas dans le système ? comme 9 fois sur 10 ... "
Très simple. Une tierce personne ne peux tout simplement pas utiliser TON empreinte digitale, il est nécessaire d'enregistrer la sienne au préalable. Si l'empreinte digitale du proprio principal n'est plus accessible (ex: décès), et bien les définition de mdp définissent également une adresse de récupération et une adresse de secours, il pourrait très bien en être de même pour les mots de passe biométrique ...n'est pas ce que font déjà les grandes marques avec les lecteurs d'empreintes ?
Le scénario classique , tu as un accident (décès ou blessé), les secours n'ont pas accès à ton téléphone pour prévenir un proche car tu as un code dessus ... A moins d'un mode spécifique qui autorise d'appeler tel , tel et tel numéro en cas de pépin ... Je doute fort que tous les utilisateurs pensent à activer ce mode .

Bref les soi-disantes solutions token , emprunte, authentification sans mot de passe , carte , sécurisation des mdp dans un coffre fort sont très limitées et dangereuses ... Comme démontré , tout stocker des clefs au même endroit , sécurisés par une clef elle faillible n'est pas sécurisant ...

Comme déjà dit , mieux vaut changer 1 clef et 1 serrure que de devoir tout changer quand celle de l'étape d'avant a été siphonné ... Au risque de devoir TOUT changer .
0  0 
Steinvikel
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 26/07/2019 à 12:02
"Charge aux utilisateurs à s'autodiscipliner dessus..." (définir des mots de passe différents)
Ils ne sont pas disciplinés car ils font face aux difficultés que j'ai évoqué, le gestionnaire de mots de passe les élimine, et permet de retrouver cette discipline... du moment que l'utilisateur est informé (ce qui est le cas majoritairement).

"combien de site sur lesquels ont est inscrit sont vraiment nécessaire ? (...) A tout casser seul 35 web services sont indispensables de nos jours. Tout ce qui relève des médias , communication, loisir, détente , consommation . C'est clair que retenir le mot de passe pour son compte ebay ou amazon la ou tu achètes tous les 36 du mois pour les soldes c'est super important ! Un mdp de messagerie est plus important à retenir à mon sens ... vu qu'on s'y connecte tous les jours quasiment."

on peut commencer par tout ce qui est obligatoire :
- le fournisseur d'énergie (l'électricité)
- la compagnie des eaux
- celle des eaux usés
- celui de la (ou des) banque
- le site pour les impôts
- celui de son compte CPF
...
- celui pour la sécurité sociale
- celui de l'assurance maladie
- le site de son médecin (oui, maintenant il y a des prise de rendez-vous en ligne, etc.)
- les identifiants client de la ligne pour le FAI
- ceux pour l'accès aux services du FAI
- ceux pour des services particulier du FAI (ex: internet via des hot spots de son FAI)
- ceux pour son opérateur téléphonique
- les codes PUK, IMEI, et PIN de son téléphone
- ceux de la session sur son /ses PC
- ceux de ses différentes boutique en ligne
...
- ceux de ses différents réseaux sociaux
...
- ceux des services de messageries (instantané, mail, etc.)
...
- ceux de certains sites de loisir
...
- ceux de ses logiciels de sécurité
...
etc.

La liste est longue, est on atteint très facilement la cinquantaine car certains acteurs divisent leurs services par différents accès. Tu achètes peut-être tout les 36 du mois sur ebay ou amazon, j'en connais malheureusement certains qui l'utilise comme plateforme principal d'achat --> 1 achat par semaine /abonnement aux services privilégiés (Prime etc.). ^^'
Par exemple, moi je fait de l'électronique, je me fournit ma station de soudage chez un fournisseur (sur lequel je doit créer un compte), certains composants chez un 2e, d'autres chez un 3e, les outils chez un 4e... la plupart nécessitant la création d'un compte.

Oui certains services sont plus important que d'autres, mais ce n'est pas nécessairement le plus fréquenté (ex: le site des impôts). En revanche, on peut facilement comprendre qu'un mdp qu'on utilise tous les jours (comme les webmail) sont lus facile à se rappeler, du fait de leur répétitivité.

"Ce problème peut être balayé en utilisant des "emails" alias (...) L'avantage ? En cas de piratage juste à changer l'alias et tu coupes l'herbe sous le pied des fraudeurs/spammeurs et autres joyeusetés . Pas besoin de s'emmerder avec des politiques de sauvegardes de mots de passes ... "
Si ton compte Facebook se fait hacker, alias ou pas, le serveur Facebook qui s'est fait hacké, ou le PC permettant de s'y connecter, contiennent ses données de connexion (adresses Mail + mot de passe). Du coups, puisque l'on est dans le cas où Mr Michu utilise les même mots de passes partout, pour la boite mail, ce sera le même mot de passe --> le gestionnaire de mot de passe favorise les bonne habitudes (mdp différents), et donc d'éviter se genre de situation.

"Le scénario classique , tu as un accident (décès ou blessé), les secours n'ont pas accès à ton téléphone pour prévenir un proche car tu as un code dessus ... A moins d'un mode spécifique qui autorise d'appeler tel , tel et tel numéro en cas de pépin ... Je doute fort que tous les utilisateurs pensent à activer ce mode ."
A dire vrai, je ne connaissait pas ce mode. Est-il de base sur tout les téléphones ? tu l'as rencontré sur quel modèle, quel OS, quel version ?
NB: j'ai fait différemment : sur mon écran de verrouillage, le message suivant apparait : "merci d'appeler ce numéro : 06 xx xx xx xx" (pratique en cas de perte ou d'accident)
PS: évidement ce n'est pas le n° du dit téléphone x) mais celui d'une personne de confiance.

"(...) la sécurisation des mdp dans un coffre fort sont très limitées et dangereuses ... Comme démontré , tout stocker des clefs au même endroit , sécurisés par une clef elle faillible n'est pas sécurisant (...) Comme déjà dit , mieux vaut changer 1 clef et 1 serrure que de devoir tout changer quand celle de l'étape d'avant a été siphonné ... Au risque de devoir TOUT changer ."
Je crois que tu n'a pas saisi le problème majeur soulevé : les difficultés que rencontres les personnes lambda à avoir une politique de mdp solide, les poussent à avoir une politique de mdp très faible, pour des raisons pratiques. Les bonnes pratiques de sécurité on les connait, nous, technophiles, mais la masse, beaucoup moins. Du moins, lorsqu'elle en a connaissance, elle n'en saisi pas le pourquoi. Oui un mdp principal n'est pas invulnérable, est vulnérable à un keylogger, une duplication d'écran, un observateur derrière l'épaule... mais les autres solutions également !

Conclusion que j'en fait : un gestionnaire de mot de passe est plus sécurisant que les actuelles pratiques de Mr Tout-le-Monde (pour les raisons invoqués plus haut). Car il permet de résoudre une partie des problèmes rencontré, et ce présente tout aussi pratique que les solutions actuellement employés.
0  0 
Avatar de
https://www.developpez.com
Le 26/07/2019 à 14:23
Quand le gestionnaire dépend d'un poste : en cas de ransomware ou de casse du pc le gestionnaire local est perdu avec l'ensemble des données (altération, destruction, perte définitive ...)

Quand le gestionnaire dépend d'un prestataire avec un compte a créer >> risque de piratage de BDD , c'est déjà une réalité : https://www.zataz.com/des-pirates-se...rite-lastpass/ , https://www.lastpass.com/fr

Cela ma bien refroidi d'utiliser une telle solution :/
0  0 
Steinvikel
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 26/07/2019 à 17:01
Tu te trompe : si l'on veux protéger ses donnés, on ne se contente pas de les chiffrer, on les dupliques... et aujourd'hui, c'est pas les services cloud et SaaS qui manquent.
NB: puis Mr Tout-le-Monde ne copie pas ses disques fréquement sur des sauvegardes externes.

Keepass permet d'utiliser du cloud pour stocker, synchroniser et partager des données... Mais Turtl permet de le faire pour bien plus de choses avec un chiffrement de bout en bout ; )
0  0 
Commenter Signaler un problème