l'homme numérique Index du Forum
S’enregistrerRechercherFAQMembresGroupesConnexion
Sécurisation des mots de passe : comptes distants

 
Répondre au sujet    l'homme numérique Index du Forum » Informations numériques » Autres Informations Numériques Sujet précédent
Sujet suivant
Sécurisation des mots de passe : comptes distants
Auteur Message
Domingo
Administrateur

Hors ligne

Inscrit le: 31 Juil 2013
Messages: 186
Masculin

Message Sécurisation des mots de passe : comptes distants Répondre en citant
GENERALITES

Au fil du temps, les accès électroniques se multipliant, il n'est désormais plus rare de voir un utilisateur disposer de plus d'une dizaine de comptes protégés, chacun par un mot de passe ; ceci, des statistiques (01) vont jusqu'à nous le prouver.

Or, les utilisateurs n'ont pas la capacité de se mémoriser de l'ensemble de ces mots de passe, même si ils utilisent des capacités mémo-techniques.
Principalement pour cette raison, les utilisateurs se servent, généralement de un ou deux mots de passe différents, guère d'avantage. De plus, ils utilisent souvent un mot de passe simple à retenir, si simple, qu'une personne de leur entourage pourrait le découvrir assez facilement ; ce qui lui donnerait ainsi l'accès à l'ensemble des informations figurant sur le compte.

Voici donc, ici, quelques conseils qui vous permettront de sécuriser vos différents mots de passe :
  • se servir d'un mot de passe difficilement identifiable
  • se servir d'un portefeuille de mot de passe dans le cas de l'existence de plusieurs comptes
  • se méfier des courriels reçus concernant ces comptes



MOT DE PASSE DIFFICILEMENT IDENTIFIABLE

Afin d'éviter un accès facile à vos comptes, il est conseillé d'utiliser un mot de passe difficilement identifiable.
En effet, une personne vous connaissant un tant soit peu et/ou une personne mal intentionnée et motivée (recherche dans les réseaux sociaux, sur google...etc) a la possibilité d'identifier ce mot de passe. C'est la raison pour laquelle l'application des conseils suivants est fortement recommandée :
  • se servir d'un mot de passe difficilement identifiable
  • se servir d'un mot de passe d'un nombre de caractères supérieur à 8
  • se servir d'un mot de passe composé de tous les caractères d'un clavier


1- Mot de passe difficilement identifiable

Il faut, en général, éviter d'utiliser les mots de passe suivants :
  • le nom d'un animal de compagnie
  • le nom de ses enfants
  • le nom de votre conjoint(e)
  • un nom de ville
  • un nom commun
  • une date (naissance, anniversaire...)
  • l'inversion des caractères composant le nom de votre compte
En fait, certains programmes de crackage de mots de passe (02) attaquent le compte avec la méthode du brute force (03).  on pourrait citer, à titre d'exemple, le programmme THC Hydra (04), qui a la possibilité d'effectuer ce type d'action.
Certains sites vous permettent même de calculer la résistance d'un mot de passe (05)
D'autres sites vous donnent quelques conseils supplémentaires ; par exemple, Norton (06)



2- Mot de passe à plus de 8 caractères

Plus un mot de passe va comporter de caractères, plus il va être difficile à cracker.


3- Mot de passe avec tous les caractères du clavier

Il faut privilégier des mots de passe composés de lettres (majuscules et minuscules), de chiffres et de caractères spéciaux. Plus la combinaison de lettres, chiffres et caractères spéciaux sera longue, plus le mot de passe sera difficile à cracker.


4- Conseils supplémentaires

Il faut changer régulièrement de mot de passe afin d'éviter les risques de découverte.

De même, il est fortement conseillé de disposer de mots de passe différents pour chacun des comptes dont vous disposez.

Disposer d'un mot de passe "fort" (plus de 8 caractères) et "robuste" (07) (beaucoup de combinaisons) n'est pas facile à réaliser. Afin de pallier à ces difficultés, il existe, sur internet, des outils permettant de générer aléatoirement un mot de passe respectant ces critères. Voici, ci-dessous quelques adresses pour le faire :
Si vous disposez d'un système d'exploitation libre tel que GNU-LINUX, vous pourrez générer un mot de passe aléatoire, comprenant des caractères spéciaux, en utilisant la ligne de commande suivante :
cat /dev/urandom | strings | mkpasswd -s|sed 's/\//a/'|sed 's/\./b/'

Si vous souhaitez choisir un mot de passe fort et robuste, vous pouvez utiliser le l33t speak (10) pour écrire un mot de passe facilement mémorisable. Vous pouvez compliquer un peu plus votre mot de passe en rajoutant des caractères spéciaux (par exemple un au début et un à la fin)

Par exemple, si votre mot de passe est MonNomEstPersonne, vous pourrez le transformer en M0nN0m35tP3r50nn3 (la même chose en version l33t speak). On pourrait compliquer d'avantage ce mot de passe (et le sécuriser) en rajoutant @ au début et à la fin : @M0nN0m35tP3r50nn3@

Comparaison des temps nécessaires pour cracker le mot de passe :






PORTEFEUILLE DE MOTS DE PASSE


Un portefeuille de mots de passe est, en réalité, un programme qui sert à regrouper, d'une manière sécurisée, l'ensemble de vos comptes et de vos mots de passe.

Il y a 2 avantages à utiliser un portefeuille de mots de passe :
  • il sert à sécuriser l'ensemble de vos comptes
  • il vous simplifie grandement la vie en n'ayant plus à mémoriser l'ensemble de vos mots de passe

Le portefeuille de mots de passe stocke, dans un fichier chiffré, l'ensemble des informations concernant vos comptes d'une serveur web ; c'est à dire :
  • le nom d'utilisateur
  • le mot de passe
  • les instructions d'autentification (chaine et ticket)

Pour accéder à ce fichier chiffré, il faudra donc disposer :
  • du programme de portefeuille de mot de passe
  • du mot de passe maître qui a été associé au fichier lors de sa création

Ce programme peut être localisé sur votre ordinateur ou sur un serveur distant.


1- Portefeuille de mots de passe local

Si vous disposez d'un système d'exploitation privateur (MS-WINDOWS, MAC-OS), il existe des programmes open-source et multiplateformes capables de remplir les fonction d'un portefeuille de mots de passe. Voici quelques un de ces programmes

Si vous disposez d'un système d'exploitation libre tel que GNU-LINUX, et que vous disposez d'un bureau KDE (14), le programme de portefeuille de mots de passe intégré à ce bureau est KWallet (15). Ce programme  utilise, pour le chiffrement du fichier un algorithme Blowfish (16) avec un chiffrement symétrique.

L'avantage de KWallet est que, comme il est intégré au bureau KDE, il se déclenche dès que l'utilisateur en a besoin, c'est à dire lors de l'usage d'une application qui nécessite l'usage d'une authentification. Kwallet fonctionne, en réalité, avec toutes les applications développées pour le bureau KDE. De plus, KWallet peut être intégré à Firefox ; mais, dans ce cas, il faut disposer de l'extension KWallet Password Integration (17).


2- Portefeuille de mots de passe distant


Si vous ne souhaitez pas utiliser des programmes locaux spécifiques, vous pouvez, dans ce cas, choisir de faire confiance à un site distant, spécialisé dans la protection des mots de passe.

Dans ce cas, il faudra que vous ajoutiez à Firefox, l'extension LastPass Password Manager (18) qui sera chargée de cette fonctionnalité. Cette extension vous permettra également de syncroniser l'ensemble de vos comptes entre toutes vos machines. De plus, les données figurant dans LastPass sont chiffrées.





COURRIELS DOUTEUX


Malgré toutes les précautions que vous pourrez prendre sur les mots de passe de vos comptes, il existe une technique très fréquemment utilisée permettant d'obtenir des mots de passe : l'hameçonnage (19) (Phishing).

En fait, cette technique a pour but essentiel de vous abuser et de vous faire fournir des informations que vous n'auriez jamais fournies en temps normal (mots de passe, information, sur les comptes ...etc)

Vous pourrez également avoir quelques informations sur une vidéo de Orange (20)

Cette technique consiste à faire parvenir sur votre boite aux lettres, un mail vous demandant simplement, pour diverses raisons (mises à jour, sécurité...etc), votre mot de passe. Voici ci-dessous, un exemple de mail type :


Normalement, ces sociétés ne vous demanderons jamais votre mot de passe. En partant de ce principe, vous ne devez, en aucun cas, répondre à ce type de mail.

L'université de Pari-Diderot (21) vous indique quelques techniques pour lutter contre le phishing.

Voici, cependant, quelques techniques qui vous permettront d'identifier les expéditeurs de ces courriels (dans la mesure où ceux-ci ne prennent pas suffisamment de précautions pour se dissimuler), à partir de l'en-tête du mail que vous avez reçu.

Comme je vous l'ai indiqué précédemment, tout individu laisse des traces sur internet. Dans le cas d'un mail, ces traces apparaissent dans l'en-tête du mail ; on y retrouve, entre autres, le serveur de mail qui a servi à l'envoi, l'adresse IP depuis laquelle s'est effectué cet envoi. Il reste donc souvent possible d'identifier la personne qui a effectué l'envoi.


1- Minimum recquis :


Si vous avez reçu le courriel sur votre webmail (22), il est bien souvent difficile de disposer des informations figurant dans l'en-tête.
Dans ce cas, il vous faudra transférer le mail sur un boite aux lettres que vous gérez par un programme client tel que Thunderbird (23). Ce client est, lui, capable de lire cet en-tête (dans Thunderbird, sélectionner le message désiré et faire Ctrl+U pour afficher les informations de l'en-tête - OU - Quand le message est affiché, aller dans le menu Affichage / En-têtes / Complets).

 
2- Informations de base

Dans un premier temps, vous devez "descendre" les différents serveurs, afin de pister le mail et ainsi remonter à sa source.

Dans un autre exemple, Tartempion est la victime. Il a reçu sur sa boîte aux lettres yahoo, un "faux" mail de la part de l'administrateur de yahoo, postmaster_admin demandant le mot de passe de sa boîte aux lettre pour des raisons de sécurité. En réalité, ceci est une tentative d'hameçonnage (phishing) qui va permettre à l'expéditeur de ce "faux" mail de récupérer identifiant et mot de passe de la victime afin de se servir de sa boîte aux lettres à des fins malicieuses.
Voici l'en-tête et les informations qui sont récupérées depuis ce "faux" mail :
Code:



From - Thu Jul 19 12:29:39 2013
Received: from nm17-vm0.bullet.mail.ird.yahoo.com ([77.238.189.214])  by
 mail.ir2.yahoo.com with SMTP; Thu Jul 19 12:29:38 2013
Received: from [77.238.189.55] by nm17.bullet.mail.ird.yahoo.com with NNFMP;
 Thu Jul 19 11:29:37 2013
Received: from [212.82.98.118] by tm8.bullet.mail.ird.yahoo.com with NNFMP;
 Thu Jul 19  11:29:37 2013
Received: from [127.0.0.1] by omp1055.mail.ir2.yahoo.com with NNFMP;
 Thu Jul 19 11:29:37 2013
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: 630438.77126.bm@omp1055.mail.ir2.yahoo.com
Received: (qmail 45637 invoked by uid 60001); Thu Jul 19 11:29:37 2013
Received: from [196.201.74.92] by web133102.mail.ir2.yahoo.com via HTTP;
 Thu, Jul 19 11:29:37 GMT
X-Mailer: YahooMailWebService/0.8.137.519
Message-ID: <1363087777.41402.YahooMailNeo@web133102.mail.ir2.yahoo.com>
Date: Thu, Jul 19 11:29:37 2013
From: postmaster_admin@yahoo.fr
    <postmaster_admin@yahoo.fr>
Reply-To: postmaster_admin@yahoo.fr
    <postmaster_admin@yahoo.fr>
Subject: =?utf-8?B?UkU6IEJlc29pbiBkJ2FpZGUgLy8gTWljaMOobGUgSmVhbm5lIEdhcmNpYQ==?=
To: "tartempion@yahoo.com" <tartempion@yahoo.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="679054512-806716787-1363087777=:41402"
Return-Path: postmaster_admin@yahoo.fr




Ici, les informations les plus importantes sont les suivantes :
  • date et heure d'envoi du mail (trouvées dans le dernier Recieved: from, c'est, ici, Thu, Jul 19 11:29:37 2013)
  • adresse IP de l'envoyeur (trouvée dans le dernier Recieved: from, c'est, ici, 196.201.74.92)


3- Localisation de l'adresse IP

Une fois l'adresse IP de l'envoyeur déterminée avec précision, non seulement, il faut localiser cet expéditeur physiquement ; mais, il faut, également, confirmer les renseignements obtenus dans l'en-tête du mail.

Pour obtenir des informations sur une adresse IP, il faut exécuter une requête du type whois (24), par exemple avec les sites. Il existe plusieurs sites qui peuvent effectuer des requêtes whois ; parmi eux, il y a ARIN (25), WHOIS-SEARCH (26). Grâce à cette requête, les informations suivantes vont être récupérées :
  • le réseau auquel appartient l'adresse IP
  • le nom du FAI
  • le nom de domaine du FAI
  • l'adresse postale du FAI
  • la ville du FAI
  • le pays du FAI
  • le téléphone du FAI
  • l'adresse e-mail de contact ou d'abuse
  • le registrar du FAI (dépositaire du domaine du FAI)

Dans notre exemple, voici ce que la requête permet de récupérer :
Code:



% This is the AfriNIC Whois server.
% Note: this output has been filtered.
% Information related to '196.201.74.0 - 196.201.75.255'
inetnum:    196.201.74.0 - 196.201.75.255
netname:        AVISONET
descr:            ISP Cote d'Ivoire
country:        CI
admin-c:        CTA1-AFRINIC
tech-c:            CTA1-AFRINIC
status:         ASSIGNED PA
mnt-by:            CIT-DT
mnt-lower:      CIT-DT
source:         AFRINIC # Filtered
parent:         196.201.64.0 - 196.201.95.255
role:           CONTACTS TEHNIQUE AVISO
address:        CI2M
address:        Avenue Houdaille
address:        Bp 310 cedex 01 Abidjan
address:        Ivoiry Coast
phone:          +225 20 30 09 94
e-mail:         plateforme.ip@orange-cit.ci
admin-c:        AAE11-AFRINIC
admin-c:        AMH1-AFRINIC
tech-c:            TAGE1-AFRINIC
tech-c:            NDF1-AFRINIC
mnt-by:         CIT-DT
nic-hdl:        CTA1-AFRINIC
source:         AFRINIC # Filtered





Enfin, il ne restera plus qu'à localiser physiquement l'envoyeur du mail. Certains sites tels que proposent d'effectuer cette géolocalisation ; par exemple, Localiser IP (27) ou Geo Preview (28) ou Melissa Data (29).

Dans notre exemple, voici ce que donne la géolocalisation Localiser IP (27) :


On obtient les informations suivantes dans Melissa Data :
 

Un petit tour dans Google Map (30) ou ToRop (31) précisera, ensuite, l'adresse exacte de l'envoyeur à partir de ses coordonnées satellites.
Dans notre exemple, voici ce que donne ToRop :



4- Mesures à prendre


Il y a 2 actions conjointes à effectuer :
  • une auprès du FAI de l'origine de l'envoi
  • une auprès des forces de l'ordre (à mon avis, cette tentative semble dépendre de la législation sur l'usurpation d'identité et de celle de la tentative d'abus de confiance ; mais seul des avocats pourront le confirmer)

FAI d'origine

En fait, et comme c'est souvent indiqué dans les informations récupérées sur une adresse IP, les FAI disposent d'une adresse mail réservée aux abus. Dans le cas présent, cette adresse mail contient souvent le terme d'abuse.
Vous pourrez consulter le document Comment faire une plainte auprès d'un FAI (32) ou encore un document général sur le Spam et le Phishing (33).
Dans notre exemple, il faudrait écrire le courriel suivant à l'adresse  plateforme.ip@orange-cit.ci

 
Citation:



Bonjour,
J'ai reçu sur ma boîte aux lettres tartempion@yahoo.com, le 19-07-2013 à 12:29:39 un courriel de postmaster_admin@yahoo.fr, me demandant mon mot de passe, pour des raisons de sécurité.
Je me doutai bien que ce courriel n'était pas justifié. Aussi, j'ai tenté de localiser l'expéditeur du courriel d'origine à l'aide de son en-tête.
Mes démarches de localisation m'ont permis de déterminer que l'expéditeur était l'un de vos clients et qu'il avait émis son courriel depuis l'adresse postale Boulevard de la Paix - Abidjan - Côte d'Ivoire (adresse susceptible d'être partiellement incomplète), localisée aux coordonnées satellites latitude 5,3320 longitude -4,0300
Vous trouverez, ci-joint, une copie de toutes les pièces que j'ai produites afin de justifier cette tentative d'hameçonnage et de localiser l'expéditeur.
Je vous remercie d'entreprendre toutes démarches nécessaires afin que ce type d'action cesse. De mon côté, je dépose une plainte auprès des autorités compétentes de mon pays.
Cordialement.




 A cet exemple de courrier, vous pouvez aussi ajouter la version anglo-saxonne de ce courrier (traduction).
      

Forces de l'ordre

Ensuite, une fois l'envoi effectué auprès du service abuse, il faut porter plainte auprès de votre commissariat local, en leur fournissant toutes les pièces ainsi que les démarches de recherche que vous avez entreprises (localisation du FAI, de l'adresse IP, de la géolocalisation...etc)
Conjointement à cette plainte, une plainte pourra être déposée, en plus, sur le site gouvernemental (34) prévu à cet effet :
     INFO ESCROQUERIES 
 
     0811 02 02 17 (Prix d'un appel local)
     https://www.internet-signalement.gouv.fr/


                       


SOURCES

(01) http://www.deloitte.com/assets/Dcom-Shared%20Assets/Documents/TMT%20Predictions%202013%20PDFs/dttl_TMT_Predictions2013_Final.pdf
(02) http://fr.wikipedia.org/wiki/Cassage_de_mot_de_passe
(03) http://fr.wikipedia.org/wiki/Attaque_par_force_brute
(04) http://freeworld.thc.org/thc-hydra/
(05) https://www-ssl.intel.com/content/www/us/en/forms/passwordwin.html
(06) http://fr.norton.com/dos-donts-passwords/article
(07) https://fr.wikipedia.org/wiki/Robustesse_d'un_mot_de_passe
(08) http://www.generateurdemotdepasse.com/
(09) http://www.libellules.ch/passwordgen.php
(10) http://fr.wikipedia.org/wiki/Leet_speak
(11) http://www.zdia.de/downloads/gorilla/
(12) https://www.keepassx.org/downloads
(13) https://www.keepassx.org/downloads
(14) http://fr.kde.org/
(15) http://www.linuxpedia.fr/doku.php/kde/kwallet
(16) http://fr.wikipedia.org/wiki/Blowfish
(17) https://addons.mozilla.org/fr/firefox/addon/kde-wallet-password-integratio/
(18) https://addons.mozilla.org/fr/firefox/addon/lastpass-password-manager/
(19) http://fr.wikipedia.org/wiki/Hameçonnage
(20) http://assistance.orange.fr/exemples-de-phishing-usurpant-l-identite-de-orange-1440.php
(21) http://www.eila.univ-paris-diderot.fr/sysadmin/securite/virus/phishing
(22) https://fr.wikipedia.org/wiki/Messagerie_web
(23) https://www.mozilla.org/fr/thunderbird/
(24) https://fr.wikipedia.org/wiki/Whois
(25) https://www.arin.net/
(26) http://www.whois-search.com/
(27) http://localiser-ip.com/
(28) http://fr.geoipview.com/
(29) http://www.melissadata.com/lookups/iplocation.asp
(30) https://maps.google.fr/
(31) http://www.torop.net/coordonnees-gps.php
(32) https:www.internetmonitor.lu/file/15281/
(33) https://www.signal-spam.fr/sites/default/files/content/document/fichier/Dossier%20de%20presse.pdf
(34) https://www.internet-signalement.gouv.fr/




_________________


Ven 23 Aoû - 17:26 (2013)
Publicité






Message Publicité
PublicitéSupprimer les publicités ?

Ven 23 Aoû - 17:26 (2013)
Montrer les messages depuis:    
Répondre au sujet    l'homme numérique Index du Forum » Informations numériques » Autres Informations Numériques Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers: 

Index | Panneau d’administration | créer forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2005 phpBB Group
Design by Freestyle XL / Music Lyrics.Traduction par : phpBB-fr.com