[Linux] Vraie mauvaise nouvelle, ou non ?

Cyril Chaboisseau cyril.chaboisseau@::1
Mer 6 Aou 22:08:54 CEST 2014 

* François DREYFÜRST <francois.dreyfuerst@::1> [2014-08-06 19:47 +0200]:

> Mon père m'a signalé une nouvelle dont les DNA, ainsi que Le Monde ont parlé :
> http://www.dna.fr/actualite/2014/08/06/des-hackers-russes-ont-vole-1-2-milliard-de-mots-de-passe
> http://www.lemonde.fr/pixels/article/2014/08/06/des-pirates-informatiques-russes-auraient-vole-plus-d-un-milliard-de-mots-de-passe_4467212_4408996.html

ah...ben si "Le Monde" et les DNS en ont parlé, c'est que ça doit être
vrai

> Au Y a-t-il des choses à faire, à part espérer ne pas être concerné ?

oui : il faut se dépêcher de ne rien faire

car si tu es concerné, alors ton FAI (ou le service qui se serait fait
piraté ses MdP) ne va pas manquer de te prévenir en te demandant de le
changer, et je peux facilement imaginer que si par malheur ces méchants
pirates russe avaient mis la main sur ton mot de passe, ils n'auront pas
encore eu le temps de faire main basse sur ton compte (ainsi que sur les
999,999,999 autres !)

sinon, l'autre chose importante à faire pour limiter la casse dans ce
genre de "hack", c'est de ne pas avoir de mot de passe unique pour tous
les services sur lesquels on s'abonne (je sais que ça n'est pas simple
d'avoir une gestion saine de MdP uniques)

le truc c'est soit d'utiliser un gestionnaire de mot de passe (password
manager: ex: Keepass2), voire celui du navigateur (mais protégé par un
master passwd), ou bien une extension qui va générer un mot de passe
unique selon le site tout en gardant 1 seul mot de passe global (qui
sera donc "hashé" avec le nom du site en question)
double inconvénient :
- il ne faut pas que le site change de nom (sinon il faudra regénérer le
  mot de passe)
- on ne peut plus se connecter à partir d'un autre navigateur

autre (potentiel) risque (mais je ne sais pas si c'est facile) :
le site pourrait éventuellement découvrir le mot de passe original par
brute-force s'il sait quel est l'extension qui a été utilisé (pour peu
qu'il n'y ait pas de "salt" dans la génération du MdP)


idéalement, il faudrait utiliser des OPIE (one-time passwords / crypto
card) ou alors des validations d'authentification en 2 étapes (SMS) pour
être à peu près sûr de ne pas avoir de soucis

mais bon, la sécurité absolue n'existe pas

-- 
	Cyril Chaboisseau

Un responsable sécurité informatique finit toujours par être considéré
comme inutile lorsque ça marche ou incompétent quand ça ne marche pas.

Plus d'informations sur la liste de diffusion linux