Vie Sauvage et Survie
Techniques et savoirs de survie => Survie en milieu urbain => Discussion démarrée par: kikou92 le 17 octobre 2013 à 11:50:35
-
Bonjour à tous,
Certes, il existe déjà un post sur la sécurité informatique. Mon propos est plus large, d'où le nouveau sujet.
J'ai la chance d'avoir assisté à une conférence de la DCRI intitulée "cyber-criminalité et l'intelligence économique".
En voici les points essentiels, c'est très instructif, même s'il y a bcp de bon sens.
Pendant la séance, l'intervenant avait un simple ordinateur portable et, au bout de 10 minutes de conférence, il a dit : "Ca fait maintenant 10' minutes que je vous parle, voici ce que mon PC a réussi à récupérer dans la salle en utilisant des logiciels tous simples :
- Il y a 70 téléphones mobiles (avec le détail du nombre d'ipho*es, de gala*y machin, ainsi que les modèles...) et x Pc portables allumés
- Parmi eux, certaines modèles sont connus pour avoir des failles facilement exploitables
- J'ai identifié des réseaux bluetooth et wifi dont certains n'étaient pas protégés et j'ai récupéré ces infos (il a affiché certains numéros de téléphone des personnes, des IP et même des mots de passe...."
J'en passe et des meilleures, ça nous a tous calmé, surtout quand il a emprunté la clé usb d'un collègue pour lui pomper et lui véroler le contenu en quelques instants avant même que la clé apparaisse dans l'explorateur.
Voici les notes que j'ai prises :
. Types d'infos dans les entreprises
- Info "blanche" (80%) : info ouverte, TOUT ce qui est trouvable sur internet,
- Info "grise" (15%) : info confidentielle sanctuarisée sur intranet,
- Info "rouge" (5%) : info stratégique bunkerisée et réservée à des personnes nominatives
Les cybercriminels étudient l'info blanche, grenouillent pour évaluer la taille et l'intérêt des infos grises et rouges. Si ça vaut le coup, ils ont des méthodes de rapprochement progressifs des personnes ciblées pour obtenir l'info grise et rouge. Donc attention à l'info blanche !!
Qui sont ces personnes ?
- Les organisations nationales : Vatican, Chine, USA (NSA, CIA, FBI, NCIS...), MOSSAD
Rappel : le USA PATRIOT Act ("Loi pour unir et renforcer l'Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme") est une loi antiterroriste qui a été votée par le Congrès des États-Unis et signée par Bush le 26/10/2001. L'outil PRISM permet un accès total aux serveurs google, yahoo, apple, microsoft, twitter, facebook.
- Les Sociétés de Renseignement Privées
. Initialement et surtout américaines, la tendance mondiale est de les intègrer dans des sociétés d'avocat qui leur confère une protection légale de leurs données, ce qui explique que bcp de personnes (politiques sont ou veulent devenir avocats).
. Très utilisé par les grandes entreprises, elles permettent de travailler discrètement via un intermédiaire
. Pas d'évaluation du nombre de ces sociétés en Chine car elles sont trop nombreuses.... Il faut partir du principe qu'il y a au moins chinois derrière tout industriel étranger qui pose le pied en Chine !
L'intelligence économique
. C'est différent de l'espionnage. Chaque item ci-dessous a été illustré avec des photos réelles et/ou des vidéos sur le terrain...Ce n'est donc pas de la paranoia.
- Exploitation d'infos récupérées facilement et directement:
- simples questionnements de personnes chez soi, au resto, en salle de sport... ou de stagiaires (d'une facilité déconcertante si bien mis en scène)
- Oreilles indiscrètes (faux passagers dans les transports avec des écouteurs, pauses café, clope...)
- Ciblage des personnes portant leur badge hors entreprise
- S'installer au bon endroit dans les bons transports : Avion Paris-Toulouse (aéronautique), train Paris-Cherbourg (nucléaire) en début/fin de semaine, Eurostar, Thalys (politique, économie)
- Exploitation des étiquettes d'inventaire sur les PC : code barre, nom, sacoche..
- Regards indiscrets sur les écrans non protégés par des films de confidentialité
- Ecoutes officielles dans les taxis Chinois.
- Exploitation des traducteurs gratuits en ligne (ils se sont généralisés et banalisés)
- Exploitation des arrières-plans des photos.
- Exploitation des déchets, yc les papiers broyés en bandelette
- Usurpation d'identité.
- Exemple réel de "flash krack" :
. préparation du terrain : ouverture d'un compte twitter et relayage de vrais infos fiables pour augmenter son "ranking"
. envoi d'un mail à un journaliste avec une rumeur industrielle ou politique et un lien twitter
. ouverture d'une pop-up, fausse évidemment, pour demander (et récupérer) le login/mdp twitter
. le journaliste voit que le ranking est élevé et en déduit que l'info est fiable => il colporte la rumeur et tout s'enchaine...
. exploitation du trading boursier haute fréquence pour tirer de l'argent à la baisse du titre concerné
. exploitation du trading boursier haute fréquence pour tirer de l'argent à la remontée du titre concerné lors du démenti...
- Intrusion smartphone pour détourner les infos camera, GPS...
- Vol ciblé
- Par distraction, à plusieurs, ce sont des pros.
- Par technique d'approche sur moyen/long terme : prise de contact, création de liens, connaissance des failles : Money (être redevable), Ideology (psychologie, Compromise, Ego), Compromise (mettre au grand jour les infos, le chantage)
- Faux entretiens d'embauche
- Utilisation de l'Ego démesuré des Français
Bonnes pratiques
- En voyage
. Ne pas utiliser le coffre-fort de l'hôtel
. Ne pas compter sur les cadenas de valise
. Utiliser un ordinateur de voyage (station blanche) avec VPN, puis effacer par réécriture au retour avant les contrôles frontière (confiscation de PC...).
- Clefs USB
. Ne pas mélanger d'infos de nature différentes : perso/boulot (sa femme en maillot de bain peut être considéré comme de l apormographie dans certains pays, et donc un motif de confiscation de la clef ou du PC)
. Ne pas sous-estimer les programmes de copie automatique des données, yc données chiffrées, à l'insertion
. Se rappeler du potentiel des virus et chevaux de troie : Key logger, vol de numéro de CB, Prise de main en ligne, Capture webcam, Capture data en continu
. Utilisier plutôt des clefs avec container sécurisé (le cryptage peut être cassé tranquillement une fois les données copiées => empêcher la copie automatique) Ex : "kings*on datatraveler locker", testée et approuvée en séance avec la DCRI.
- Réseaux Wifi
. Ne pas oublier qu'une simple box personnelle émet un wifi pouvant être capté jusqu'à plus de 100 km ! Il suffit d'avoir la bonne antenne
. Un wifi personnel craqué, c'est le risque d'héberger à son insu du contenu illicite, pouvant être utilisé ensuite pour faire chantage
. Sécurisation wifi : WPA2 EAS avec un vrai mot de passe (le WEP se craque en moins de 10' avec un logiciel autonome web, le WPA se craque en moins de 30' avec quelques outils web)
- Puces RFID et NFC (ex : badges PSA, cartes bleues)
. Portée : RFID jusqu'à 100m. NFC : 10cm. Captable dans la rue, un train, un avion
. Risque : Duplication de badges d'accès et usurpation d'identité, Piratage de moyens de paiement
. Sécurisation : ex : porte badge/carte type cage de faraday en aluminium lorsqu'on ne l'utilise pas.
- Bluetooth
. Penser à le désactiver dans les voitures et les smartphones lorsque pas utilisé (Risque de collecte d'infos pour recoupement ultérieur (MAC))
. Penser à changer le nom des réseaux par défaut car le nom du device par défault permet d'exploiter les failles connues des modèles
- Réseaux sociaux
. De plus en plus de cambriolages sont préparés depuis internet (les gens disent qui et où ils sont, montrent leurs photos, vont faire du sport : Viadeo/linkedin, Copains d'avant, Google street, Application running, Facebook)
. Detourage de photos pour malveillance, Manipulation de pdf
. Facebook : Les conditions générales sont très explicites : rien n'est secret pour eux. Bien paramétrer son compte, penser aux impacts potentiels des infos que l'on publie.
- Smartphones
. Se méfier des apps gratuites : près de 100% des apps prélèvent de l'info et la revendent sous une forme ou une autre.
. Se rappeler que l'outil Prism pioche à sa guise dans les serveurs : MS, google, yahoo, facebook, youtube, skype => Utiliser des serveurs français permet de bénéficier des droits de la CNIL
. Se rappeler que Google + Android + maps = on sait tout de vous
. Se rappeler qu'un logiciel de craquage iphone se trouve à moins de 500 euros (moins de 4' pour craquer 4 chiffres, 50 h pour 6 chiffres, 165 jours pour 8 chiffres). La Keychain iphone est en clair et contient tous les mots de passe enregistrés
. Les voleurs enlèvent la carte SIM après le vol pour empecher le blocage à distance. Dupliquer le contenu d'un iphone prend 40 minutes
- Mots de passe :
. Il vaut mieux reconstruire votre mot de passe plutôt que de le retenir par coeur.
. Il ne doit figurer dans aucun dictionnaire (langue, technique, sociétés...) et ne doit avoir aucun sens particulier.
. Utilisez plus les lettres que les chiffres.
. Diversifiez et mélangez l'ordonnancement des caractères selon leur type (minuscules, majuscules, chiffres).
. Bannissez les mots de passe faciles à retrouver : nom des enfants, animaux, dates de naissance, surnom, du nom ou du rang du mois en cours, d’un incrément appliqué à une valeur constante (par exemple prénom01, prénom02, prénom03...), de répétitions telles que aaa, CCC, 333, etc., de suites de caractères telles que 1234, 9876, abcd, DCBA, etc..
. Remplacer les a par des @, les i par des 1...
. Quelques exemples :
Ta25mE32 : mot de passe robuste (diversité chiffre/minuscule/majuscule) ;
67je4moi : mot de passe moins robuste (diversité moindre) ;
alexis1 : mot de passe très peu robuste (attaque par dictionnaire).
Un moyen intéressant de se souvenir de son Mot de Passe RPI est de retenir une phrase courte dont chaque mot fournira un des caractères de votre mot de passe, comme par exemple : « Il était une fois trois petits cochons Roses » peut donner le mot de passe Ie1f3pcR
. Gérer beaucoup de mots de passe : utiliser par exemple un préfixe unique fort (ex : Ie1f3pcR) puis ajouter-lui un suffixe propre au site concerné (ex : Ie1f3pcRfnac, Ie1f3pcRamazon:
- Liens à consulter pour aller plus loin
www.Ssi.gouv.fr
www.Securite-informatique.gouv.fr
www.Mobilevole-mobilebloque.fr
Www.Cnil.fr
Http://info-familles.netecoute.fr
www.Stopransomware.fr
www.enisa.europa.eu/media/enisa-en-français/
http://www.youtube.com/watch?v=F7pYHN9iC9I
A+
-
Excellente sensibilisation aux précautions à prendre dans un monde de plus en plus informatisé.
Se rappeler que Google + Android + maps = on sait tout de vous
Et si vous avez un GPS activé dans votre smartphone ou votre voiture, il est probable qu'il enregistre tous vos déplacements et que le constructeur récupère ces données dès qu'il en a l'occasion (par radio, ou quand vous le connectez à un PC pour installer une mise à jour). Ça sert à améliorer la cartographie et les infos sur les bouchons. Ça a été prouvé pour au moins deux modèles d'appareils. Edit: C'est une fonction de bas niveau, indépendante des services de partage de la localisation sur les réseaux sociaux par exemple.
Conséquence: Google, Apple, Nokia, Garmin, TomTom, etc connaissent potentiellement la liste exhaustive des Français qui ont accès aux centrales nucléaires, aux sites militaires sensibles, au tarmac des aéroports, etc.
C'est vrai aussi depuis 20 ans pour les opérateurs de téléphonie mobile, mais ils sont soumis à une législation très stricte, et les données restent en France.
Gérer beaucoup de mots de passe : utiliser par exemple un préfixe unique fort (ex : Ie1f3pcR) puis ajouter-lui un suffixe propre au site concerné (ex : Ie1f3pcRfnac, Ie1f3pcRamazon
Pas d'accord. C'est hyper connu, donc le pirate qui récupère la base de données des login+password de la fnac en déduira automatiquement votre password chez amazon.
-
C'est vraiment une excellente synthèse, ça, gars.
Est-ce que tu me permets d'en faire un texte (qui sera signé du nom que tu veux) pour diffusion sur le blog du ceets ?
C'est vraiment de la bonne vieille survie. Informatique pour le coup...
Ciao ;)
David
-
je vois qu'on a assisté à la même conférence ;)
par contre, je pense qu'il y a une erreur sur la portée du wifi (à 100km)
il me semble qu'il est également précisé dans le speech de se méfier des clé usb offertes lors de conférence (contiennent souvent des malwares). l'idéal est de formater son pc portable quand on revient de l'étranger...
-
par contre, je pense qu'il y a une erreur sur la portée du wifi (à 100km)
Pas d'erreur, le wifi porte à 100 m rien qu'avec l'antenne omnidirectionnelle minuscule d'un téléphone portable, alors imagine ce qu'un pirate motivé peut faire avec une antenne parabolique de 2 m de diamètre.
http://en.wikipedia.org/wiki/Long-range_Wi-Fi#Notable_links
-
Le wifi, ce n'est pas essentielement du "line of sight"?
-
Je n'ai malheureusement pas encore pu assister à une de ces conférence-sensibilisation. Je savais que c'était instructif et enrichissant, ce que tu confirmes. Comme tu le dis, il y a beaucoup de bon sens mais je sais que les démonstrations pratiques en scotchent plus d'un, même les plus hermétiques à la base.
Merci :up:
-
Le wifi, ce n'est pas essentielement du "line of sight"?
Salut! :)
- En dehors du contexte d'utilisation prévu (plutôt de la communication inter machines à courte distance, en milieu urbain, ou domestique...).
et
- en tenant compte uniquement du point de vue physique et "propagation des ondes électro-magnétiques":
vu les fréquences utilisées, 2.4 Ghz de mémoire, dans tous les cas, au moins plusieurs centaines de MHz, l'onde radio émis par un dispositif "wifi" aura un comportement de propagation proche de celui d'un faisceau lumineux optique.
en gros: propagation "en ligne droite", ce qui est un peu con comme façon de dire, mais en fait veut dire que le signal wifi ne peut pas profiter des phénomènes de propagation ionosphériques (rebonds) par exemple pour pouvoir aller au delà de l'horizon visible de la source, ou en d'autres mots, un récepteur situé en dessous de la ligne d'horizon visble de l'émetteur ne pourra pas recevoir ledit signal. donc oui Bison, c'est "line of sight".
Ce qui, si on se réfère au contexte d'utilisation, n'est pas un problème en soi...
Par contre en effet avec un système d'antenne directrice (antenne comprenant des éléments parasites réflecteurs et directeurs dans le sens le plus large (y'a un pacson de techniques et façon de faire...) ET une situation géographique ou l'émetteur serait suffisament haut placé pour avoir une ligne d'horizon la plus éloignée possible, ET une absence d'obstacle entre l'émetteur et récepteur, il reste tout à fait envisageable de faire de la communication longue distance sur plusieurs dizaines de km ou plus en "mode wifi"... c'est même pas une question de puissance en fait, tant que le ratio signal/bruit du récepteur reste suffisant...
Y'a eu des expériences intéressantes menées par la communauté radio-amateur/universitaire, entre autres, là dessus...
2 ou 3 références:
http://en.wikipedia.org/wiki/Long-range_Wi-Fi
http://www.slideshare.net/1ereposition/long-distance-wifi-trial
http://www.tomshardware.fr/articles/record-france-wi-fi,1-3087.html
à+,
Lambda
ps: désolé pour la parenthèse "technique" un peu HS, je l'avoue... :-[ mais j'a vu la question de Bison qui m'a fait devenir tout dur... enfin c'est la question qui m'a fait devenir tout dur... :-[ ;D
-
- Réseaux Wifi
. Ne pas oublier qu'une simple box personnelle émet un wifi pouvant être capté jusqu'à plus de 100 km ! Il suffit d'avoir la bonne antenne
Ouch : ne confondons pas tout !
Pas d'erreur, le wifi porte à 100 m rien qu'avec l'antenne omnidirectionnelle minuscule d'un téléphone portable, alors imagine ce qu'un pirate motivé peut faire avec une antenne parabolique de 2 m de diamètre.
http://en.wikipedia.org/wiki/Long-range_Wi-Fi#Notable_links
Une box standard NE PORTE PAS à de telles distances : les records sont établis avec des récepteurs ET émetteurs boostés ET des antennes directionnelles ET des circonstances favorables (terrain, météo, environnement hertzien).
Le wifi, ce n'est pas essentielement du "line of sight"?
Oui, du moins dès qu'on quitte un peu le voisinage immédiat.
Au delà d'une certaine distance le signal sera forcément perturbé pas les obstacles physiques et surtout par tout le "brouillard numérique" ambiant. Le nombre très limité de canaux à se partager et le nombre de box dans la nature vont finir par brouiller son propre signal très rapidement.
Même avec une antenne type Alfa un peu boostée + réflecteur directionnel de chaque côté (réception ET émission) avec un émetteur au 4ème étage et un récepteur en champ libre je n'ai pas réussi à atteindre les 500m en ville : bâtiments (obstacles physiques) + une bonne centaine d'autres box qui perturbent.
-
Est-ce que tu me permets d'en faire un texte (qui sera signé du nom que tu veux) pour diffusion sur le blog du ceets ?
Salut David,
oui, tu fais ce que tu veux, l'info est libre.
Pour la portée du wifi, je viens de relire mes notes, j'ai effectivement peut-être amalgamé un peu vite cette longue portée du wifi avec la perfo intrinsèque des box domestiques. Il devait peut-être parler de réseaux plus puissants en entreprise
Quoi qu'il en soit, merci pour avoir repositionné les ordres de grandeur sur cet item, c'est le principal.
Si vous avez des questions, j'y répondrai avec plaisir.
Bonus à voir :
. le coup de la valise avec le stylo : http://youtu.be/ADPQiQ0JBRs (http://youtu.be/ADPQiQ0JBRs)
. http://chine.aujourdhuilemonde.com/pekin-loeil-du-parti-rode-aussi-dans-les-taxis (http://chine.aujourdhuilemonde.com/pekin-loeil-du-parti-rode-aussi-dans-les-taxis)
. http://www.securite-informatique.gouv.fr/IMG/pdf/Passeport-de-conseils-aux-voyageurs_janvier-2010.pdf (http://www.securite-informatique.gouv.fr/IMG/pdf/Passeport-de-conseils-aux-voyageurs_janvier-2010.pdf)
A+
Alexis
-
Même avec une antenne type Alfa un peu boostée + réflecteur directionnel de chaque côté (réception ET émission) avec un émetteur au 4ème étage et un récepteur en champ libre je n'ai pas réussi à atteindre les 500m en ville : bâtiments (obstacles physiques) + une bonne centaine d'autres box qui perturbent.
Là on est plus du des antennes Alfa un peu boosté, mais bien sur des antennes dédiées, genre http://www.radiolabs.com/products/antennas/2.4gig/2.4grid.php
Pit
ps: avec de tels jouets par contre, on peut oublier les limites de puissance émettrice... ::)
-
Bonnes pratiques
- Mots de passe :
. Il vaut mieux reconstruire votre mot de passe plutôt que de le retenir par coeur. OUI
. Il ne doit figurer dans aucun dictionnaire (langue, technique, sociétés...) et ne doit avoir aucun sens particulier.OUI
. Utilisez plus les lettres que les chiffres. Utilisez des lettres minuscules et majuscules, des chiffres et des caractères spéciaux
. Diversifiez et mélangez l'ordonnancement des caractères selon leur type (minuscules, majuscules, chiffres). OUI
. Bannissez les mots de passe faciles à retrouver : nom des enfants, animaux, dates de naissance, surnom, du nom ou du rang du mois en cours, d’un incrément appliqué à une valeur constante (par exemple prénom01, prénom02, prénom03...), de répétitions telles que aaa, CCC, 333, etc., de suites de caractères telles que 1234, 9876, abcd, DCBA, etc.. OUI
. Remplacer les a par des @, les i par des 1... NON (voir plus bas)
. Quelques exemples :
Ta25mE32 : mot de passe robuste (diversité chiffre/minuscule/majuscule) ;
67je4moi : mot de passe moins robuste (diversité moindre) ;
alexis1 : mot de passe très peu robuste (attaque par dictionnaire).
Un moyen intéressant de se souvenir de son Mot de Passe RPI est de retenir une phrase courte dont chaque mot fournira un des caractères de votre mot de passe, comme par exemple : « Il était une fois trois petits cochons Roses » peut donner le mot de passe Ie1f3pcR
. Gérer beaucoup de mots de passe : utiliser par exemple un préfixe unique fort (ex : Ie1f3pcR) puis ajouter-lui un suffixe propre au site concerné (ex : Ie1f3pcRfnac, Ie1f3pcRamazon:
Je suis d'accord avec ces recommandations, mais je recommande vivement la lecture de ces articles (en anglais malheureusement) :
- http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/
- http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/
Ces articles font froid dans le dos.
Le premier explique comment un journaliste (pas un pirate), avec des logiciels trouvable facilement, arrive à cracker grosso modo la moitié d'une liste de mot de passe.
Le second donne plus d'explications techniques, et démontre qu'avec des attaques par dictionnaire + substitution, on peut trouver des mots de passe estimés "compliqués". La recommandation de substituer des caractères (@ à la place de "a"), à mon sens, ne tient plus, car un pirate motivé passera outre (mais bon ca permet toujours de ne pas être dans les "low hanging fruits" qui se font ramasser au premier passage).
Ce que j'en retiens toutefois c'est que :
- Nous autres humains sommes peu fiable à trouver un mot de passe réellement aléatoire
- Un mot de passe efficace est un mot de passe "dur" à retenir (et ce sera de plus en plus le cas)
- Un mot de passe (aujourd'hui) doit avoir au moins 12 caractères, des lettres (maj et min), des chiffres et si possible des caractères spéciaux.
En partant de ce constat, je recommande l'utilisation d'un "coffre fort" à mot de passe, du type KeePass.
Le "combo" keepass (http://keepass.info/) + addon Firefox "keefox" (https://addons.mozilla.org/fr/firefox/addon/keefox/) est vraiment efficace. Lorsque l'on doit rentrer un mot de passe sur un site, l'addon reconnait l'adresse, propose d'ouvrir le "coffre fort", puis renseigne directement le mot de passe (on a pas à le taper). Lorsqu'on s'enregistre sur un nouveau site, l'addon propose de retenir le nouveau mot de passe dans la base. On peut même générer un mot de passe directement depuis Firefox.
Cela permet d'avoir un mot de passe super costaud pour la base, et ensuite d'utiliser le générateur de mot de passe (qui lui est "vraiment" aléatoire) pour créer les mots de passes restants. Le tout est très facile d'utilisation.
Evidemment, cela comporte des inconvénients : si l'accès à la base (ou à la machine lorsque la base est ouverte) est compromis, c'est tous vos mots de passe qui sont accessibles (donc faut éviter les keyloggers, etc...). Autre soucis, on ne peut pas facilement se souvenir des mots de passe, on est donc "contraints" d'avoir constamment accès à cette base de donnée (mais on peut contourner le problème avec dropbox, et il existe aussi des clients keepass pour android par exemple - même si du coup on ouvre une "nouvelle porte" si le téléphone n'est pas sécurisé).
C'est tellement dommage que ce système ne fonctionne "que" pour windows ! (En effet cela requiert Keepass2, qui n'est pas encore porté sous Linux. Les portages sous linux de keepass -keepassX par exemple- ne concernent pour le moment que la version 1 de keepass, et ne gèrent pas les plugins nécessaires pour faire fonctionner keefox. Une solution est d'utiliser Keepass2 avec Wine).
Bref, la sécurité est un processus et un compromis, difficile de trouver le juste milieu.
Pour ma part, j'utilise KeePass (keepassX sous linux), mais je conserve la technique "racine de mot de passe un peu dur à trouver" + "extension en fonction du site" pour les sites auxquels je suis appelé à me connecter souvent (ou alors en dehors de chez moi, par exemple facebook, linkedin, amazon...). Il s'agit evidemment d'un compromis sécurité / facilité d'utilisation.
-
Tiens, c'est le cours que je donne à mes étudiants XD... Je fais aussi intervenir la DCRI, ça marche toujours bien.
Attention, sur le mot de passe je suis pas d'accord, un mot de passe très facile à retenir peut être un casse tête informatique.
Tu aimes Brel, mets comme mot de passe une chanson avec ta ville de naissance, c'est TRES dur informatiquement, hyper simple humainement :
Ex : Dans le port de Cherbourg, y'a des marins qui chantent
Avec les ponctuations, espaces et majuscules, ça fait un mot de passe terrible à craquer, mais trop simple à retenir.
-
je n'ai pas réussi à atteindre les 500m en ville : bâtiments (obstacles physiques) + une bonne centaine d'autres box qui perturbent.
C'est déjà pas mal. Maintenant, imagine qu'on te donne le budget de la DCRI ou d'un service étranger d'espionnage économique, un pylône au sommet du Mont Valérien avec sa vue imprenable sur Paris et sur La Défense, des locaux en haut de la Tour Montparnasse, 1 kg de charge utile sur un ballon météo, une matrice d'antennes synchronisées réparties sur plusieurs km, etc.
Bon, inutile de se focaliser sur le wifi. Dès lors qu'on a activé WPA2 AES256, et qu'on a vérifié que le smartphone ne sauvegarde pas la clé chez Google ou Apple, le principal risque est de se faire pister par l'adresse MAC.
le coup de la valise avec le stylo : http://youtu.be/ADPQiQ0JBRs (http://youtu.be/ADPQiQ0JBRs)
C'est décidé, je ne prendrai plus jamais l'avion :o
-
J'ai aussi assisté à cette conférence.
Une information qui m'avait interpellé aussi, c'était au sujet des imprimantes.
Les imprimantes ont des disques pour enregistrer les documents qu'on leur envoie à imprimer. Si on récupère ces disques, apparement il est possible de retrouver tout les dosuments qui ont été imprimé.
Sans donner les noms, ils disaient que de grosses boites avaient perdu des infos par ce biais là parce que les sous-traitants chargés des imprimantes ne détruisaient pas correctement les disques lorsqu'ils changeaient les imprimantes. C'est tout con mais il faut y penser.
-
Là on est plus du des antennes Alfa un peu boosté, mais bien sur des antennes dédiées, genre http://www.radiolabs.com/products/antennas/2.4gig/2.4grid.php
On est bien d'accord : cela ne concerne donc pas la box Orange / Free / SFR de la famille Michu hackée par des vilains pirates à 10km.
C'est déjà pas mal. Maintenant, imagine qu'on te donne le budget de la DCRI ou d'un service étranger d'espionnage économique, un pylône au sommet du Mont Valérien avec sa vue imprenable sur Paris et sur La Défense, des locaux en haut de la Tour Montparnasse, 1 kg de charge utile sur un ballon météo, une matrice d'antennes synchronisées réparties sur plusieurs km, etc.
Le signal de la box Michu sera rapidement brouillé par les autres box en ville : tout le monde ou presque a le WiFi actif sur sa box et il n'y a que 13 canaux à se partager. Même en numérique il y a des limites surtout que le protocole est optimisé pour un usage de proximité sans collisions de signaux. Arriver à reconstituer à distance un trafic isolé dans le gloubiboulga numérique capté au-dessus de Paris relève alors de l'exploit.
De plus en zone urbaine il est quasiment impossible aux vilains hackers de reconnaitre le signal WiFi de la famille Michu de celui de ses voisins (à condition évidemment de lui donner un nom aléatoire et non pas WIFI_MICHU_2EME_ETAGE_5_RUE_DU_GENERAL_DE_GAULLE). Ils devront donc se poster à proximité pour écouter tous les WiFi du voisinage et les cracker 1 par 1 avant de tomber sur le bon !
La situation n'est évidemment pas la même si la famille Michu vit dans un bâtiment isolé et directement visible à 1km à la ronde (même dans ce cas il est possible de détecter des tentatives d'intrusion avant qu'elles n'aboutissent).
Toutes ces considérations ne sont évidemment valables que pour des hackers "privés", pas pour des services de renseignement qui pourront plus probablement s'introduire directement via des backdoors dans les box (qui a audité le code qui tourne dans toutes nos box ;) ?)...
-
On est bien d'accord : cela ne concerne donc pas la box Orange / Free / SFR de la famille Michu hackée par des vilains pirates à 10km.
Ben si justement, une antenne directionnelle suffisamment puissante permet de se connecter à un réseau wifi "normal".
Concernant les interférence en centre ville, on est bien d'accord. Là où ce genre de dispositif est intéressant, c'est sur les entreprises implentées en ZI spacieuses ^^. Là on sort du cadre "protection personnelle" (donc HS), mais cela reste techniquement possible.
Pit
-
Attention, sur le mot de passe je suis pas d'accord, un mot de passe très facile à retenir peut être un casse tête informatique.
Tu aimes Brel, mets comme mot de passe une chanson avec ta ville de naissance, c'est TRES dur informatiquement, hyper simple humainement :
Ex : Dans le port de Cherbourg, y'a des marins qui chantent
Avec les ponctuations, espaces et majuscules, ça fait un mot de passe terrible à craquer, mais trop simple à retenir.
Je suis d'accord avec toi...
Je cite quand même l'article que je donne en référence :
"By doing hybrid attacks, I'm getting new ideas about how people build new [password] patterns. This is why I'm always watching outputs."
The specific type of hybrid attack that cracked that password ["momof3g8kids"] is known as a combinator attack. It combines each word in a dictionary with every other word in the dictionary. Because these attacks are capable of generating a huge number of guesses—the square of the number of words in the dict—crackers often work with smaller word lists or simply terminate a run in progress once things start slowing down. Other times, they combine words from one big dictionary with words from a smaller one. Steube was able to crack "momof3g8kids" because he had "momof3g" in his 111 million dict and "8kids" in a smaller dict.
"The combinator attack got it! It's cool," he said. Then referring to the oft-cited xkcd comic (http://xkcd.com/936/batteryhorsestaple), he added: "This is an answer to the batteryhorsestaple thing."
Le Hacker interrogé dans l'article explique donc qu'une approche combinatoire permet de lutter contre les longues phrases de mots communs. Cette approche, rendue célèbre par le comic XKCD mentionné ci dessus, explique qu'une longue phrase de mots communs ("battery horse staple correct") est un meilleur mot de passe qu'un mot de passe court compliqué à retenir ("Troub@dour123").
Ici "batteryhorsestaplecorrect" est équivalent à "Dans le port de Cherbourg, y'a des marins qui chantent".
Donc certes c'est plus efficace, mais malheureusement les attaques de plus en plus perfectionnées auront bientôt raison de cette approche.
Un PC qui génère un mot de passe aléatoire aura toujours plus d'entropie qu'un humain qui crée un mot de passe à partir d'une longue liste de mots communs (et présents dans le dictionnaire).
-
J'ai assisté il y a 5 ans au même type de conférence avec Orange Business et l'ancêtre de la DCRI.
Leur démo vous laisse assis. En 1 journée avec le nom et le prénom et la société où on travaillait (fiche d'inscription au stage), il a récupéré le mot de passe de la boite pro de 30 % des participants. Et les réseaux sociaux étaient à leur début.
Pour protéger un ordinateur portable, ils nous conseillaient d'éteindre tous les Wirless quand on en a pas besoin (WIFI, BT, 3G, IR...) et l'idéal, c'est un interrupteur physique qui coiupe l'alimentation électrique des cartes Wirless comme sur le CF-19 de Panasonic. (mode furtif) (en plus, ça rallonge l'autonomie)
D'éviter d'avoir des périphériques de saisie sans fil (clavier ou souris sans fil).
De désactiver la détection sur les ports USB quand on s'en sert pas, dans la table de registre.
On créé un fichier usb_off.reg avec un raccourci en mode admin sur le bureau
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004On peut aussi le lancer au démarrage pour pas oublier.
Et on crée un autrte fichier usb_on.reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
qu'on planque sur le DD.
Comme ça même si quelqu'un arrive à détourner votre attention, il n'aura pas le temps de réactiver la détection.
Ca permet quand même d'utiliser ses propres périphériques USB mais la détection de nouveaux périphériques USB est bloqué.
Si vraiment, on a des infos qui craignent, avoir un ordinateur avec disque dur amovible (comme le CF-19) et on se déplace avec l'ordi et le DD à des endroits différents. Si le disque dur utilise un mode qui le rend visible car par l'ordi qui l'a crypté, l'un sans l'autre sert à rien.
Pour le WIFI, 100 km je sais pas mais Numéo, Ozone et d'autres FAI propose un accès à internet en WIFi sur plusieurs dizaines de kilomètres en vue directe avec des antennes du commerce uni directionnel.
-
J'ai une question par rapport à "Google + Android + Maps" = on sait tout de vous.
J'ai lu quelque part que la meilleure façon de "sécuriser" son téléphone Android était de :
- "rooter" son téléphone (permettre un accès total au téléphone)
- Installer une "ROM" alternative (par exemple CyanogenMOD)
- Ne pas installer le pack d'applications Google (Gmail, Maps, etc...)
Est-ce que vous avez des infos la dessus ?
Est ce que lors de la conférence, la DCRI a donné des pistes à ce sujet ?
Par avance merci.
-
J'ai aussi assisté à cette conférence.
Une information qui m'avait interpellé aussi, c'était au sujet des imprimantes.
Les imprimantes ont des disques pour enregistrer les documents qu'on leur envoie à imprimer. Si on récupère ces disques, apparement il est possible de retrouver tout les dosuments qui ont été imprimé.
Sans donner les noms, ils disaient que de grosses boites avaient perdu des infos par ce biais là parce que les sous-traitants chargés des imprimantes ne détruisaient pas correctement les disques lorsqu'ils changeaient les imprimantes. C'est tout con mais il faut y penser.
Dans la conférence que j'ai suivi, il y a 5 ans, ils nous disaient que les DSI (ou le responsable informatique) devaient enlever les disques durs de tous les périphériques avant de les faire recycler. Ils nous ont montrer une vidéo qu'ils avaient tourner en Inde ou on voyait une montagne de disque durs à vendre sur les marchés et des sociétés françaises se sont fait voler des projets de brevet par leur concurrent qui avait soudoyer la boite indienne qui recyclait les ordis.
Chez nous, je récupère les disques, poser sur un IPM et un coup de merlin dessus pour éclater les plateaux et les morceaux dans 2 déchéteries différentes.
-
J'ai une question par rapport à "Google + Android + Maps" = on sait tout de vous.
Est ce que lors de la conférence, la DCRI a donné des pistes à ce sujet ?
Par rapport à cet item, il nous a montré sur son propre compte gmail que, mal configuré, maps enregistrait l'historique de tes déplacements via les infos du smartphone qui réplique régulièrement les mails par exemple (connexion gmail-maps). Il en ressort une carte maps avec tous tes déplacements sur plusieurs mois et, surtout, une déduction automatique de ton domicile et de ton travail !! en corrélant les horaires, les répétitions de déplacements et de lieux.
Et enfin il te sort des stats : vous passez x % de votre journée à tel endroit qui est manifestement votre lieu de travail et tel endroit qui est manifestement ton domicile...
http://www.ya-graphic.com/2011/04/google-maps-android/ (http://www.ya-graphic.com/2011/04/google-maps-android/)
Comme ton smartphone te suit partout, il n'y a pas de difficulté majeure, même pour moi, de déduire que tu as des enfants car tu vas tous les matin à 8h30 à l'école, que tu fais tel sport tel jour à tellle heure... que tu as une personne de ton entourage malade ou dans une maison de retraite...... Dis-moi où tu vas, je te dirai qui tu es !
D'où l'importance de bien paramétrer ses comptes !
Enfin, je suis content de voir que beaucoup d'entre nous ont bénéficié de cette conférence de la DCRI qui, comme ils l'expliquent au début, fait partie de leur mission
.
A+
-
Par rapport à cet item, il nous a montré sur son propre compte gmail que, mal configuré, maps enregistrait l'historique de tes déplacements via les infos du smartphone qui réplique régulièrement les mails par exemple (connexion gmail-maps).
http://www.ya-graphic.com/2011/04/google-maps-android/ (http://www.ya-graphic.com/2011/04/google-maps-android/)
D'où l'importance de bien paramétrer ses comptes !
C'était exactement le sens de ma question, d'un point de vue "opérationnel" : comment dois je configurer mes comptes pour éviter cela ?
J'ai suivi le lien que tu mentionnes, qui renvoie vers https://www.google.com/latitude/b/0/history, qui indique :
Google Latitude was retired on August 9th, 2013. Products retired include Google Latitude in Google Maps for Android, Latitude for iPhone, the Latitude API, the public badge, the iGoogle Gadget, and the Latitude website at maps.google.com/latitude.
What does this mean for me?
You are no longer able to share your location using Latitude.
We haven’t included Latitude as a feature in the latest version of Google Maps for mobile on Android and you can no longer see Latitude for iPhone on the App Store.
Your list of friends on Latitude is no longer visible. You are no longer able to see or manage friends. Existing friends will no longer see your location in Google Maps for mobile on Android, Latitude for iPhone, the public badge, the iGoogle Gadget, and the Latitude website at maps.google.com/latitude, if you continue to use these products.
While location sharing is no longer possible with Latitude, there are still actions you can take with your location information:
Share using Google+
You can share your location with your friends on Google+ using the Google+ Android app (http://support.google.com/mobile?p=plus_location). The ability to share your location on Google+ on iOS will be coming soon.
Control Location Reporting
If you only used Location Reporting for Latitude sharing, your Location Reporting will be disabled. You can enable Location Reporting afterwards if you’d like to turn it on for location sharing via Google+, Location History, or other uses.
Control Location History
If you use Location Reporting and have Location History enabled, your location data will continue to be recorded to your Location History. You can view and manage Location History data on the Location History dashboard (https://maps.google.com/locationhistory/).
En cliquant sur ce dernier lien en effet, on arrive sur un google map sensé vous montrer vos déplacements. L'onglet "Dashboard" permet de configurer le partage de localisation. Chez moi, ce n'est pas activé.
Est ce encore d'actualité ?
J'ai tout de même désactivé, dans mon téléphone, l'option "permettre à Google de partager vos données de localisation pour améliorer les recherches" (dans "Paramètres > localisation").
-
Ben si justement, une antenne directionnelle suffisamment puissante permet de se connecter à un réseau wifi "normal".
ben non. une antenne avec un gain important te permettra, au mieux, d'écouter le signal wifi, et si le chiffrement est faible de récupérer des infos. mais ça ne te permet pas de te connecter, puisque justement l'antenne de la box ne sera pas suffisamment sensible pour entendre la réponse
c'est un peu le principe de certaines offre d'adsl par satellite où tu reçois les infos par la parabole, et tu les renvoies par un modem téléphonique à bas débit.
le wifi long distance est différent dans le sens où les antennes des deux extrémités sont particulières.
-
Selon l'article, cette fonction n'est pas activée par défaut ?
Normalement, la géolocalisation n'est pas possible si le GPS du téléphone est éteint (comme pirater un smartphone via le wireless si le WIFI et la BT sont éteint).
Les tests qu'on a fait pour la géolocalisation, en utilisant la triangulation des antennes GSM, (GPS et WIFI du smartphone éteints) via la fonction d'HTML5 sur une page web sont loin d'être probant même en ville.
-
ben non. une antenne avec un gain important te permettra, au mieux, d'écouter le signal wifi.
Au temps pour moi alors.
J'ai le souvenir d'une démo de Mark Semmler qui s'amusait à envoyer des deauths aux clients mobiles d'un réseau wifi situé à quelques kms pour ensuite spoofer le SSID et récupérer les clients et récupérer des données sur ces clients. Ça m'a induit en erreur, mea culpa maxima :).
Pit
-
ben non. une antenne avec un gain important te permettra, au mieux, d'écouter le signal wifi, et si le chiffrement est faible de récupérer des infos.
C'est bien le risque dont on parle. Antenne ultra directionnelle ou réseau d'antennes (comme dans les radiotélescopes), amplificateurs refroidis cryogéniquement, traitement du signal plus sophistiqué que dans un chipset wifi standard (car sans contrainte de temps de réponse ni de puissance de calcul), etc.
mais ça ne te permet pas de te connecter, puisque justement l'antenne de la box ne sera pas suffisamment sensible pour entendre la réponse
En théorie si, il suffit d'émettre suffisamment fort pour compenser le faible gain de l'antenne de réception de la box. Les produits wifi standard ont droit à 100 mW mais quelqu'un qui se moque de la réglementation pourrait émettre 100 à 1000 fois plus sans trop difficultés techniques, sans compter le gain de son antenne d'émission directionnelle. Le vrai problème, c'est qu'au delà de 1,6 km le délai de propagation commence à perturber les protocoles (http://en.wikipedia.org/wiki/Long-range_Wi-Fi#Protocol_hacking).
PAVC car on pinaille. Le message de la DCRI, c'est qu'un pirate dans une voiture garée au pied d'un immeuble de bureaux peut faire des dégats sans risquer de se faire prendre.
(http://www.ftva.org/heritage/anflr9/RAFChicksands.jpg)
-
Bon ben en fait le fil au complet est juste trop intéressant pour que je récupère seulement le premier message ;)
Dans un monde idéal j'aurais du temps pour en faire une synthèse... en attendant je poste le lien vers ce fil.
Tchuss et merci pour ce bon signal (ouah le jeu de mot pourri) ;)
David
-
Antenne ultra directionnelle ou réseau d'antennes (comme dans les radiotélescopes), amplificateurs refroidis cryogéniquement, traitement du signal plus sophistiqué que dans un chipset wifi standard (car sans contrainte de temps de réponse ni de puissance de calcul), etc.
D'un côté le petit hacker n'a pas les moyens de se payer ce type d'installation.
Pour le wifi jacking, c'est un sport très prisé (et pas que des hackers), le voisin qui économise un abonnement ADSL grace à vous.
Le geek boutonneux qui donne votre adresse IP à Hadopi pour télécharger le dernier film ou le dernier CD.
Le barbu qui surfe sur des sites salafistes sous votre nom (et c'est un crime depuis l'affaire Meyra)...
Maintenant que les box sont livrés avec un mot de passe WPA2 AES256 par défaut, les geeks ont moins besoin de circuler en voiture pour repérer les box pas sécurisés et mettre un mot dans la boite aux lettres du bonhomme avec la méthode pour sécuriser sa box et 2 ou 3 photos persos prises sur son ordi pour lui montrer que c'est pas un canular.
-
Bon exceptionnellement je fais faire un peu de pub institutionnelle.
La DCRI est une des administrations en charge de l'Intelligence Economique et surtout dans on cas de la Sécurité Economique c'est à dire le volet "contre ingérence", autrement dit le contre espionnage.
Son pendant militaire, la DPSD mène également des missions de sécurité, CI/E, et sensibilisation auprès des entreprises ou organismes travaillant pour le Ministère de la défense.
Ceci dit il existe:
- une mission interministérielle sur l'Intelligence Economique: http://www.intelligence-economique.gouv.fr/
- une agence nationale de la cyber sécurité/défense: http://www.ssi.gouv.fr/
- deux institut de recherche publique dans le domaine: www.ihedn.fr et www.inhesj.fr
Tout se dispositif se décline en région par des antennes, des groupes de travail, etc ...
Je sais je sais le gouvernement tout ça ... mais ça vaut le coup de consulter ces sites, on y apprends des choses 8)
Elliant
-
Ici "batteryhorsestaplecorrect" est équivalent à "Dans le port de Cherbourg, y'a des marins qui chantent".
Donc certes c'est plus efficace, mais malheureusement les attaques de plus en plus perfectionnées auront bientôt raison de cette approche.
Malheureusement les phrases connues même à rallonges sont déjà plus faibles que "batteryhorsestaplecorrect".
Énormément de phrases non aléatoires et à rallonges issues de la plupart des textes classiques accessibles sur Internet (dont peut-être Brel) commencent à être crackées par des amateurs (de haut vol) avec les techniques récentes.
=> À lire par toute personne intéressée par le sujet : Ars Technica : How the Bible and YouTube are fueling the next frontier of password cracking (http://arstechnica.com/security/2013/10/how-the-bible-and-youtube-are-fueling-the-next-frontier-of-password-cracking/) (Crackers tap new sources to uncover "givemelibertyorgivemedeath" and other phrases.)
For a graphic example of passphrase weakness, consider the string "Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn1" (minus the quotes). With a length of 51 and a 95-character set containing upper- and lowercase letters, numbers, and special characters, its entropy is 284.9 bits. The total number of combinations required to brute-force crack it would be 95^51, making such a technique impossible on any sort of computer known to exist today. What's more, the string isn't found in any language dictionary. No wonder password strength meters like this one use words such as "overkill" to describe it.
But as Ars recently reported, Chrysanthou had no trouble cracking the SHA1 hash that corresponded to the string for one simple reason. This is a fictional occult phrase from the H. P. Lovecraft short story "The Call of Cthulhu," and it was contained in this Wikipedia entry.
L'astuce qui "sauve" temporairement la clé "Dans le port de Cherbourg, y'a des marins qui chantent" c'est le remplacement d'Amsterdam par Cherbourg. Mais elle va finir par sauter lorsque Brel sera intégré aux dictionnaires d'attaques associés à des permutations logiques.
De même "Dans le port de Cherbourg, y'a des marins qui braillent comme des casseroles" n'est pas beaucoup plus sécurisée :
- dictionnaire des chansons francophones : Amsterdam de Brel
- dictionnaire de noms propres ou villes : Amsterdam -> Cherbourg
- dictionnaire d'expressions : chanter -> chanter comme une casserole
- dictionnaires de synonymes ou sens proches : chanter -> brailler
"batteryhorsestaplecorrect" ne tient encore (contre des amateurs) que parce qu'il s'agit de 4 mots vraiment aléatoires (totalement décorrélés) et de longueur totale suffisante.
La choix aléatoire des mots est primordial pour éviter toute proximité statistique ou logique : "Forum vie sauvage et survie David Manise" sauterait de la même façon car il n'est réellement composé que de 2 éléments eux-mêmes non indépendants "Forum vie sauvage et survie" et "David Manise".
Toute l'intelligence des hackers consiste à tenir compte statistiquement des faiblesses humaines :
- probabilité d'apparition d'un signe en fonction de la position (p.ex. majuscules généralement au début et rarement au milieu, inversement pour la ponctuation)
- chiffres, symboles ou majuscules placés en préfixes ou suffixes et rarement au milieu
- duplication des caractères de "brouillage" ou séquences évidentes (p.ex. "123" ou tripler le même chiffre n'est pas plus robuste qu'1 seule lettre : 10 + 10 combinaisons à tester en priorité)
- substitutions bien connues des lettres par des chiffres ou symboles (tout hacker intègre le leet speak : 1337 5|*34|< type p@55w0rd dans ses règles de base de génération de dictionnaires)
- probabilité plus élevée d'une combinaison de mots courants et de moins de 6-8 lettres plus faciles à mémoriser et à frapper au clavier (donc vocabulaire et combinatoire limités)
- intégration des combinaisons de touches basées sur la disposition du clavier (pas seulement US)
- scan des forums ou réseaux sociaux pour trouver des termes d'argot ou des expressions spécifiques au domaine ciblé (p.ex. crack des mots de passe d'un site de rencontre pour militaires US en scrutant le vocabulaire militaire sur Twitter)
- indexation des phrases de Wikipedia et de 15000 livres du projet Gutemberg
- ...
La puissance de calcul explose en y mettant un peu plus de moyens financiers qu'un amateur : traitements massivement parallélisables par un supercalculateur ou tout simplement un cloud type Amazon loué ponctuellement.
Quelques exemples de mots de passes crackés récemment par un amateur très doué en mode "brute force intelligent" (toujours chez l'excellent Ars Technica : IZMY P@55W0RD SAPH? (http://arstechnica.com/security/2013/10/izmy-p55w0rd-saph/)) :
!@#$%^&*()_+lisa <= séquence de touches sur clavier QWERTY suivi d'un prénom en minuscules
0987POIUqwerasdf <= 4 séquences de touches 0987 POIU qwer asdf
A troll account now banned. <= phrase certainement trouvée dans un forum
Admin*3A2F5B9FCBE3F1A71D81833C1A <= Admin (premiers mots testés avec les variantes de password) + séparateur + séquence de 26 chiffres hexadécimaux (soit 16^26 possibilités : il doit y avoir une astuce ;))
Didnt someone write a book about this? <= expression trouvée sur le web
i have no idea what my password is <= Bonne nouvelle, il a été retrouvé ! :lol:
Laws like these will be used against us soon enough. <= juste 2 expression accolées : "Laws like these" et "will be used against us soon enough"
Password must be at least 8 characters <= Vive le copier / coller des messages d'erreurs ! :lol:
Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn1 <= Phrase intégrale de Lovecraft dans "Cthulhu" + 1 chiffre
thisisthebestpasswordever <= Non, la preuve ! :lol:
zxcvbnmlkjhgfdsaqwertyuioA Little Piece Of Heaven01 <= 3 séquences de touches + titre de chanson ("A Little Piece Of Heaven") + séquence basique de 2 chiffres
L'élément le plus faible reste l'humain et ses capacités limitées par rapport à la machine...
-
Perso pour composer des mots de passes solides et que je peux retenir, j'utilise une technique mnémotechnique qui se base sur des objets de mon environnement.
Exemple là sur la table j'ai une cafetière bialetti, une bouteille d'evian, un tel Nokia 101, un bouquin "crossops", et un pikachu en mousse.
Je prends l'image en photo (mentalement ou sur mon tel) et je compose un truc à la con genre pikacr0ssOpsb1aletti#101
Ca arrive souvent que j'oublie où j'ai remplacé des lettres par des chiffres ou pas, mais après 2-3 tentatives en général je retrouve mon mot de passe et après 5-6 utilisations ça y est, il est dans mon disque crânien.
C'est forcément pas totalement incassable (pis bon si le FSB rachète des vieilles machines à écrire et du papier c'est pas pour rien non plus LOL)...
Ciao ;)
David
-
un point très important : pour vos comptes de forum, utilisez des mots de passe dédiés (surtout pas les mêmes que pour votre messagerie ou votre banque) car vous ne maîtrisez pas leur confidentialité. ils peuvent être stockés en clair sur dans la base de données du site, ou être mal protégés...
-
Perso pour composer des mots de passes solides et que je peux retenir, j'utilise une technique mnémotechnique qui se base sur des objets de mon environnement.
Héhé c'est d'autant plus futé que la mémoire visuelle reste hors de portée des traitements informatiques !
Impossible d'automatiser l'attaque sans un très gros traitement humain préalable même avec la "photo du mot de passe" qui fuite noyée au milieu d'autres.
Du coup c'est plus la peine de tenter de me connecter en administrateur avec une combinatoire de :
- "David Manise"
- "Vie sauvage et survie"
- "Silence is better than bullshit"
- "Stages survie CEETS"
- "Communautés résilientes"
- "adaptation collective au changement"
- Grizzli, Carcajou, Wiggy's...
- ou tout autre terme ne correspondant pas à un objet physique relativement courant...
C'est toujours ça de gagné ! ;)
-
Oui et t'as bien noté que dans mon image, en plus, y'a des objets que je n'utilise pas, y'a des bouts de mots qui sont tronqués...
Pour encore plus corser le truc je peux tout aussi bien coller un mot (en le déformant) auquel un objet me fait penser. Là, par exemple, j'ai une veste M65 devant moi qui me fait penser à IFFASAA. Faudra être super proche de moi et avoir une culture générale immense pour comprenre à quoi je fais allusion. Surtout si je balance un truc genre 1fF4$aA//204A139B
La dernière séquence étant le numéro de série de ma montre (que je n'utiliserai du coup plus jamais de ma vie sur aucun mot de passe hein, vu que là je l'ai mis en open).
Bref, tout le défi c'est d'avoir un moyen mnémotechnique sûr qui, en fait :
- est inaccessible au monde ;
- est difficile à cerner / percer même pour vos proches (si votre conjoint était jaloux est-ce qu'il pourrait percer le mystère est une bonne question à se poser pour savoir si c'est vraiment solide) ;
- n'est pas trouvable en ligne, en open, ou dans n'importe quelle base documentaire...
- n'utilise pas souvent la même structure : toujours séparer les termes d'un mot de passe long par un espace ou par un / devient un pattern... et "les patterns c'est pour les ternes"...
C'est d'autant plus difficile de faire ça quand on est actif sur les forums, les réseaux sociaux, etc. Avec tout ce qu'on laisse traîner derrière nous c'est plus facile pour les bad guys de définir un profil socio-culturel, de cerner vos habitudes, vos relations, votre identité... et donc de se rapprocher toujours un peu plus de zones statistiques où ils augmentent leurs chances de casser vos codes, ou plus généralement de pouvoir obtenir plus de pistes et d'indices qui servent de porte d'entrée vers "vous" (vos données, vos intentions, vos projets, vos missions, vos points noirs qui peuvent servir de moyen de pression genre votre maîtresse, les sites pornos chelous que vous visitez de temps en temps, votre penchant pour le THC ou la petite tache sur votre CV que vous aviez réussi à planquer jusque là).
Ciao ;)
David
-
Yo
Perso pour composer des mots de passes solides et que je peux retenir, j'utilise une technique mnémotechnique qui se base sur des objets de mon environnement.
J'utilise cette méthode là aussi, ce qui va pas trop mal.
Après, il y a des fois où il est plus simple d'utiliser un générateur de mot de passe (c'est ce que je fais lorsque je doit créer x boites mail: à un moment mon environnement ne suffit plus); Par exemple, il y a sa: http://www.01net.com/telecharger/windows/Utilitaire/cryptage_et_securite/fiches/10657.html (http://www.01net.com/telecharger/windows/Utilitaire/cryptage_et_securite/fiches/10657.html) mais du coup, tu crées le moyen mnémotechnique sur le mot de passe et pas l'inverse.
Une autre solution, c'est de sortir une liste de xxx mot de passe, et tu ne retiens que le numéro de la ligne; mais sa veut dire avoir quelque part la liste et du coup, grosse faille au système...(encore faut il savoir que tu travail comme sa...)
Ceci dit, on ne le dira jamais assez: il est inutile d'acheter un coffre fort à 3000€ pour y mettre un billet de 50.... ;)
Tcho
Hugo
-
Dans le même registre il y a le principe de la Password Card : mémoire visuelle ou moyen mnémotechnique simple (et non déductible) + vraiment aléatoire + absent de tout dictionnaire + ultra low-tech !
Le principe a peut-être déjà été mentionné sur DM mais le sujet se prête bien à un petit rappel : https://www.passwordcard.org/fr
(http://images.weserv.nl/?w=400&url=www.passwordcard.org/generatecard.do%3Fnumber=190a8f101d7f9c29%26cookie=-tv3cc38xdago)
Principe :
- générer plusieurs "password cards" aléatoires sur le site et en choisir une au hasard (histoire de brouiller les pistes)
- l'imprimer en X exemplaires (existe également en version mobile, Android et iPhone)
- choisir ses mots de passe aléatoires de la longueur qui convient en suivant un cheminement à mémoriser
- on ne mémorise que le cheminement sur la carte
- on peut laisser ses cartes dans des endroits de confiance
- on peut partager des mots de passe (p.ex. au boulot) juste en convenant d'avance d'un chemin
- pour changer de mot de passe on change soit de chemin, soit on garde le chemin en générant une nouvelle carte
C'est une astuce utilisée au boulot pour des comptes partagés utilisés très rarement mais devant changer régulièrement de mots de passe (politique corporate) : les quelques personnes concernées savent comment trouver la dernière carte à jour (même en "environnement dégradé" avec une partie de l'IT HS) et connaissent le cheminement à suivre (qui ne change pas)...
-
En effet, que du bon signal dans ce fil, merci Phil67, David et Moss.
Phil67, on a eu la même vision !
Je m'apprétais à recommander ce système... mais après quelques recherches rapides, je suis tombé sur cette page notamment : http://security.stackexchange.com/questions/34602/how-secure-is-passwordcard-org
Il y a de nombreux points à améliorer, et le développeur semble à l'écoute.
Donc la encore, il s'agit d'un compromis à faire... ou pas.
L'un des avantages de cette carte est la possibilité "d'oublier" le mot de passe en détruisant la carte.
-
C'est d'autant plus difficile de faire ça quand on est actif sur les forums, les réseaux sociaux, etc. Avec tout ce qu'on laisse traîner derrière nous c'est plus facile pour les bad guys de définir un profil socio-culturel, de cerner vos habitudes, vos relations, votre identité... et donc de se rapprocher toujours un peu plus de zones statistiques où ils augmentent leurs chances de casser vos codes, ou plus généralement de pouvoir obtenir plus de pistes et d'indices qui servent de porte d'entrée vers "vous" (vos données, vos intentions, vos projets, vos missions, vos points noirs qui peuvent servir de moyen de pression genre votre maîtresse, les sites pornos chelous que vous visitez de temps en temps, votre penchant pour le THC ou la petite tache sur votre CV que vous aviez réussi à planquer jusque là).
Ciao ;)
David
Salut,
à ce sujet, il m'a été facile d'identifier un type louche qui vendait un truc qui m'intéressait sur le bon coin: je lui ai posé une question, il m'a répondu par mail, lequel email m'a conduit rapidement, via google, a son compte twitter et a ses posts sur le net. J'ai vu qu'il mentait sur le produit, qu'il n'habitait pas là où il le pretendait...
A+
Alexis