!!!!! De l'intérêt d'avoir un mot de passe différent par service !!!!!

Alors je viens de valider une inscription sur le fofo et le mot de passe commun a plusieurs plate-formes me fait hurler (surtout quand c'est super simple à trouver). J'en profite donc pour faire un rappel.

Vous allez me dire : un mot de passe c'est chiant à retenir surtout quand on nous en demande maintenant sur n'importe quelle plate-forme. C'est plus simple de mettre "retenir le mot de passe" ou de mettre le même partout.
Et bien je dis NON !!!! car voilà ce qui peut arriver.

Je vais prendre deux cas concrets pour bien que vous captiez l'enjeu.

Le 1er est votre téléphone portable. Maintenant avec les téléphones, on peut facilement se connecter au net. Bilan on a accès à ses services en ligne (facebook, twitter, paypal, mails, ....) comme si on était sur son ordi portable ou sa tour.
Alors que ce passe t'il quand on perd son téléphone.

J'ai eu l'occasion d'avoir en ma possession un portable trouvé dans la rue. Le collègue voulait connaître l'identité du propriétaire pour pouvoir le lui rendre.
Après deux heures, juste en réfléchissant et sans aucun outil (et c'est pas ce qui manque pour cracker un portable).
J'avais accès au nom, prénom de la personne.
Ses comptes paypal et ebay dont sa dernière transaction (un sac de sport) --> vive les archives ebay dans le cache google.
Le numéro de CB de sa mère
Une copie de son billet d'avion nice/paris pour aller à rolland garros car le gars joue en junior.
Tous ses contacts msn. Y avait plus qu'à rentrer en contact avec l'une de ces personnes en se faisant passer pour un pote, définir un profil du gars et avoir encore plus d'infos pour une usurpation d'identité.
Et avec google map, j'avais un visuel de sa maison.

Et j'ai fait quoi ? juste filé l'adresse du gars à mon collègue pour qu'il puisse le déposer avec un ptit mot.
Tout ça juste parce que les mots de passes étaient enregistré par défaut. Même pas eu besoin du code pin car le portable était en veille.

2eme cas concret, vous mettez le même mot de passe partout. Facebook, mails et par exemple un fofo genre : comment peindre ses figs ou trouver des recettes de cuisine.
La sécurité de facebook et de votre hébergeur de mails est quand même pas mal admettons. Mais le fofo "truc machin" est par exemple, une solution de forum gratos hébergé sur une plate-forme moins sécurisé. Suffit qu'un ptit malin ayant trouvé une soluce sur comment cracker les mots de passe de telle plate-forme et hop le gars a accès à vos identifiants (votre adresse mail perso le plus souvent) et un mot de passe.
Suffit d'en déduire que la plupart des gens auront gardés le même mot de passe sur leur adresse mail, facebook, ....
Bilan une fois l'accès aux mails, pas besoin de faire le con dedans. Suffit juste de lire les mails sans éveiller les soupçons de la victime et de prendre connaissance des tout pleins de mails, genre paypal, facebook, .....
En dehors de l'usurpation d'identité, le crackage des comptes de jeux, on se fait un bel accès à certains comptes bancaires en lignes. Alors heureusement maintenant la plupart du temps, les banques croisent ça avec un sms envoyé sur votre portable mais bon c'est toujours moyen de voir des insultes envoyés à ses potes/son patron depuis sa boîte mail.

Donc que faire ?????

Solution :

Pour votre téléphone portable : Ne pas enregistrer vos mots de passes dans votre téléphone.

Pour les services en ligne :

Un mot de passe différent par service sensible : facebook, twitter, paypal, boîte mail.
Tout ce qui peut avoir un impact désastreux sur votre personne en cas de compromission.
Et pas un truc du genre : 123456 ou love.
Mais plutôt prenez une phrase genre : le film district 9 est pas mal. Prenez différentes lettres pour composer votre mot de passe. Le FilM DistricT 9 EsT PaS MaL !
Ce qui fait LFMDT9ETPSML!
ça sera plus simple pour le retenir.
Avant qu'un programme vous le pète y aura déjà de la marge. Vous en faite plusieurs comme ça et toujours un mot de passe différent par services sensibles.

Pour les fofo où vous passez une fois par an, pas la peine de se galérer et mettez un mot de passe simple : lettre et chiffre de minimum 8 caractères.
Mais pensez bien que plus votre identité virtuelle prendre d'importance dans un forum (press ganger, administrateur, modérateur, référent d'un jeu) plus le crackage de votre compte sera catastrophique pour votre image développé patiemment au fil du temps.

Et tiens un

BONUS :

Quand vous recevez un mail de votre banque, votre fleuriste ou n'importe qui vous demandant de vous connecter pour changer vos identifiants, laissez tomber le lien filé dans le mail et connectez vous directement sur l'adresse de votre service. une ptite recherche google et hop vous trouvez le lien vite fait.
De là vous pourrez vous connecter à votre compte client et changer vos infos si c'est vraiment nécessaire.
Autant éviter de filer ses infos via mail à un gars qui tente de faire un phishing et foutra par terre tous vos efforts pour trouver un mot de passe galère à mettre (en dehors du fait de faire le con sur votre service compromis).


Voilà s'était une ptite piqûre de rappel.

ouai men fout !!!! ( pas taper )

Oui lisez bien ce message car il est tres important , et en plus vavan s y connait bien sur ce domaine
donc ecoutez le et changer vos vilaines habitudes !!!!!



ps : heu vanvan tu peux lacher mon bras il fait des bruits etranges et il est pas dans le bon sens ca fait mal , jai dis tout ce que tu m'as demandé , svp !!!! aie aie aie .....

(pas taper) T'as pas de galère avec la box sfr de ton salon ?

Bien vue c'est assez inquiétant pour le coup du téléphone je suis surpris pour le reste je suis méfiant mais merci du rappel

ça vaut le temps de retapé mon mdp a chaque fois :L

Et ouaip pour ca que j'ai trois mail et trois mot de passe différent que je fait tournée avec une combinaisons de chiffre derrière. et un code pin a mon portable.

Je marche avec thunderbird pour la consultation des mail , je n'ouvre JAMAIS de mail dont j'ai un doute ou je ne connais pas la provenance ( car si c'est vraiment important la personnes est censer avoir d'autre coordonner pour me joindre)

1 mail que j'utilise sur els truc pas forcément nickel sur la sécurité ( boite a spam que je ne lit jamais)
1 mail pour els inscription standard
1 mail pour les inscription sérieuse et un chouilla différent
1 quatrième pour le taf
et un cinquième pour les truc pour pas qu'on me piste, associée a hotspot shield ( change ton ip) et le tout dans une virtual box ( oui y a desfois je pousse la parano vachement loin lol).
cela dit je garde mes passe enregistré dans le cache de mon pc et mon phone.

ET MALGRES TOUT CA, On n'es jamais a l'abris d'une emmerde ( j'avais manger le virus hadopi bloquant le pc par exemple) a cause d'une mise a jours non faite sur mon lecteur flash et java!


Enfin pire que tout : le social engineering.

Je vous raconte une histoire aussi qui ma été ramené par un mec qui travail en sécurité informatique.
A un repas d'affaire , un gars d'une boite gérant la sécurité d'une société ce vanter d'être a l'avant dernier echellons niveaux sécurité de donnée , le truc inviolable et tout , qu'il allez présenter l'après midi a ses collaborateur, cadre patron etc ....

La dessus mon copain pouf de rire.
Intriguer il lui demande ce qui le fait rire.

Il lui répond : quelqu'un connait ton patron dans ta boite ? visuellement ? ou même de voix ?
Il confirme qu'en effet non .
Et de la il enchaine donc qu'est ce qui m'empeche moi de me faire passer pour le patron ?
je vais sur le site de ta boite , les non des grand patron y sont, donc je connais leurs nom et prénom.

J'appelle la boite ( puisque le numero et fournit en prime sur ton site).
je suppose que je vait tomber sur une secretaire c'est ca ?

Il confirme.

Et la je me présente avec nom et prénom et me met à l'incendié que je ne peut plus accéder a mon ordinateur car je n'ai plus ni le passe ni l'identifiant !
elle va me passée le service info puisqu'elle y connait rien, et sur qui je vais tomber ? sur l'emloyée de base c'est ca ?

Il confirme qu'il ne tombera pas sur un responsable de service.
Et rebellote je l'incendie , jusqu'a ce qu'il change les login et passe et me les donne de vive voix .


j'ai plus qu'a me connecter et avoir accès a l'ensemble de ses fichier donner mail etc ....



NE FAITE JAMAIS CONFIANCE AU BOUT DU FIL VOUS NE SAVEZ JAMAIS QUI VOUS AVEZ !!!!!

euh sur ton dernier point, un admin ne donnent jamais des identifiants par phone à moins d'avoir pû croiser des infos interne sur l'identité de la personne. Au pire, si vraiment c'est pas possible de savoir qui on a au phone (genre grosse boite) les infos sont envoyés par courrier.
L'intérêt en fait de l'ingénierie sociale n'est pas d'avoir un contact avec une personne du service info mais plutôt une personne d'un service lamba sur laquelle on se démerde à choper des infos pour s'ouvrir un accès à son poste. Genre, on se fait passer pour un service externalisé ou distant et on envoi un trojan par mail pour s'ouvrir un accès.
Une fois que c fait on a déjà un accès dans la boîte après on creuse.

Mais plus on remonte vers des proches du service info, plus les gens sont censés être sensibilisés.

Même si ton boss menace de te virer, tu ne donnes jamais ce genre d'info.

Sauf que dans ce genre de boite ( a paris) tu te retrouve souvent au phone avec des junior ( les responsable ne gérent pas els appel tel).

Tu hurle tu jure parce que tu as un putain de gros dossier , et que si tu perd le marché a cause de ses connerie le mec est viré , je t'assure qu'il te donnera ce que tu veux :p ( enfin ce qu'il m'a dit) et il a assez d'expérience pour que je le croit sur parole lol ^^.

Je sais que l'intérêt du social enginnering est plutot fait pour le particulier.

cela dit je sais pas si tu te rappel de l'elysée qu'a faillis perdre 2M d'euro et les envoyer en chine , c'était une attaque de ce type la ( comme quoi).

SInon en truc perso y a pas mal de chose au niveaux des opérateur de box qui se passe ( SFR).
Ma frangine a eut le coup : installation de box récente , on lui fait croire qu'y a un problème sur son compte et qu'il faudrait qu'elle rapelle tel numéro;

Elle rappel, et la le gars l'embrouille, et lui demande son numéro de carte en lui balançant plein d'information.

Le truc louche c'est, ce qu'elle leurs a dit : j'aimerais comprendre pourquoi vous avez besoin de mon numéro de carte alors que c'est un virement automatique.



perso le truc par téléphone je trouve que c'est le pire , ca te laisse a peine le temps de réfléchir.

skyller a écrit:

Je sais que l'intérêt du social enginnering est plutot fait pour le particulier.

en fait c'est plutôt de cibler une société. Que ce soit pour accéder à ses ressources informatiques (pour disposer de sa capacité de stockage), cibler des données confidentielles de la boîte et faire de l'espionnage industriel).

En lien les tarifs sur le sujet

http://korben.info/les-tarifs-du-cybercrimel.html

merki

en effet une remise a niveaux s'impose entre les diverse forme d'attaque pishing fishing spoofing-ip Ddos etc .... on sait pu trop ce qui sert a quoi et qui est pour attaquer quoi ^^.

Un dernier détail en parlant de mot de passe :

jamais de variante !!!! genre machin85 pour un site et machin37 pour un autre.
Les programmes de crackage de mot de passe se basent sur des bibliothèque de mot de passe et essayeront systématiquement les variantes. Et vu que c'est un programme, il peut essayer autant de fois que nécessaire jusqu'à le choper.

alors si on a par exemple :

Machin
Bidule
Tronblon

Et qu'on y assoscie en tournant

Par exemmple :
22
1968

Ca fait 6 version de mot de passe suivant les endroit.

Ca roule ou pas ?

PS: je compromet mes adresse mail perso ... ( un pass)

trop simple à trouver (les bot s'appuient comme je l'ai dis sur des bibliothèque de mots et croisent ça avec des chiffres). Si tu as mis un mot connus du dico, tu peux être sur que ça sera facile à trouver.
Après la plupart, du temps, c'est l'endroit qui stocke le mot de passe qui est claqué et qui fait qu'on le voit ensuite en clair quelque soit la façon dont il a été créé.
Et encore je passe sur les keylogger qui enregistre ce qu'on tape au clavier

non en faite c'est pas des mot connu du dico c'est des nom de personnage de roman fantastique

j'ai mit des mot plus commun pour pas dévoiler mes passe ni mes chiffre.