l’hygiène informatique des réseaux sociaux : bilan catastrophique
TRANSCRIPT
L’hygiène informatique des réseaux sociaux : bilan catastrophique
Depuis quelques semaines, un nombre record d’identifiants de comptes a été mis en vente sur le Darknet. Les victimes (voir graphique) sont notamment les réseaux sociaux Tumblr (65 millions de comptes utilisateurs), LinkedIn (164 millions de comptes utilisateurs) et – la patate chaude du moment – MySpace (360 millions de comptes utilisateurs). Toutes ces données (sauf celles provenant de Tumblr) ont pour facteur commun un chiffrement très faible, démontrant une hygiène informatique des géants du Web 2.0 qui laisse à désirer. En effet, les utilisateurs qui fréquentent ces plateformes sont désormais fortement conseillés de changer leur mot de passe, très rapidement.
Source : Have I been pwned
Le record de données piratées est incontestablement détenu par MySpace. Le hacker à l’origine de cette cyber-attaque est le même qui cherche à vendre la base des identifiants de comptes LinkedIn sur The Real Deal, une place de marché sur le Darkweb. Il semblerait que, non seulement, le coupable soit le même, mais les particularités des données dérobées sont quasiment identiques : les deux bases contiennent des identifiants qui datent de plusieurs années et les mots de passe associés peuvent être facilement récupérés.
Pourquoi cela devrait nous intéresser, alors que ces piratages ont été subis il y a un moment (on ne connait toujours pas la date exacte) ? Bien qu’une bonne partie des adresses ne sont plus valables, la faute revient quand même aux responsables de MySpace et LinkedIn qui n’ont pas jugé important de mieux protéger les données de leurs utilisateurs avec un système de stockage plus avancé. Cela étant dit, qui sont les vrais coupables ? Les pirates qui ont profité de cette vulnérabilité ou les réseaux sociaux qui utilisent des méthodes de stockage de mots de passe incompatibles avec les
Une chaîne de caractères ne peut pas vous protéger…
…tant qu’elle est stockée en clair sur le système d’information. Les bonnes pratiques demandent de rendre la protection du mot de passe non-réversible. Une option serait, donc, d’utiliser un algorithme qui produit une chaîne unique et de longueur fixe. Par exemple, si nous prenons l’algorithme de hachage suivant, dont nous effectuerons l’addition continue des données rentrées :Input : 220932 + 2 + 0 + 9 + 3 = 161 + 6 = 7Hachage : 7
Il est peu probable que nous tombions sur l’entrée d’origine en partant du « 7 », tenant compte du nombre infini de possibilités qui peuvent arriver à la valeur 7.
Evidemment, les vrais hash sont beaucoup plus complexes que ça. Dans le cas présent, les mots de passe des comptes utilisateurs sur MySpace et LinkedIn ont été chiffrés selon l’algorithme SHA1. Pourtant cet algorithme ne devrait pas permettre de réaliser l’opération inverse, les pirates ont très bien pu obtenir les identifiants par force brute ou en utilisent la technique de l’attaque par dictionnaire, qui consiste à tester si le hachage du mot de passe utilisé a été déjà découvert par quelqu’un d’autre.Mais alors, comment auraient dû procéder les propriétaires de ces réseaux sociaux ?
Pour éviter de se faire voler les données sensibles de leurs utilisateurs, il aurait suffi d’utiliser un algorithme plus fort de hachage, de type SHA-256 ou SHA-512 (MD5 ou SHA1 ne sont plus considéré comme fiable car il y a eu des cas ou deux messages ont généré la même empreinte numérique) et d’ajouter un diversifiant qui consiste en la concaténation d’une ou plusieurs clés (procédé appelé « salage») au mot de passe, puis, dans une deuxième étape, passer au hachage du string généré. Si un hacker tente de cracker les données en utilisant la méthode du dictionnaire, il ne pourrait pas
Pour aller au-delà d’une méthode usuelle et obtenir un niveau encore plus élevé dans la protection de votre mot de passe, le hachage répété se relève comme option idéale : vous utilisez un algorithme SHA-256 ou SHA-512, puis vous pimentez le résultat avec un sel, pour enfin passer de nouveau le hachage obtenu 10,000 fois (ou plus) par l’algorithme de hachage initiale (procédé connu comme « itération »).
Votre mot de passe est comme une brosse à dents
Vous ne devez laisser personne d’autre l’utiliser et une bonne pratique consiste à en changer tous les six mois (cf. Clifford Stoll). Evidemment, l’hygiène informatique est un sujet qui nous concerne tous, que nous soyons chef d’entreprise ou pas. C’est pour cette raison que nous vous présentons les b.a.-ba du « mot de passe » :
1. Choisissez un mot de passe robuste. Même si les réseaux sociaux ne passent pas par les processus du salage et hachage, un mot de passe construit de manière intelligente peut retarder un peu les pirates. Les prérequis d’un mot de passe fort sont : avoir un minimum de 8 lettres, alterner minuscules et majuscules et inclure au moins un caractère spécial ou chiffre. Il n’est pas nécessaire (nous espérons) de vous répéter le fait que votre mot de passe personnel ne doit faire allusion à aucun élément de votre vie privée (deuxième prénom, nom du chat ou du chien, etc.). Nous voulons éviter des situations tel que : https://www.youtube.com/watch?v=lRqT3PtxA0Q
2. Faites attention aux manières de stockage de votre mot de passe. Ne l’inscrivez surtout pas sur un post-it ou un but de papier, ou, dans le cas ou vous faites appel à un coffre fort numérique, assurez vous que cela se trouve sur la liste des gestionnaires de mot de passe approuvés par l’ANSSI.
3. Changez votre mot de passe dés que vous suspectez qu’un de vos comptes a été piraté. Pour savoir si vous êtes victimes d’un piratage, il suffit d’aller sur Have I been pwned et lancer un recherche sur votre identifiant de compte. Si c’est le cas, changer votre mot de passe immédiatement. N’oubliez pas de changer le mot de passe sur tous les autres comptes où vous avez choisi le même identifiant.
4. Réfléchissez à des méthodes alternatives comme, par exemple, la vérification des mots de passe en deux étapes, à l’aide d’une code unique généré automatiquement sur votre portable.
5. Effectuez rapidement la mise à jour de votre OS. Un système mis à jour est potentiellement moins exposé à des vulnérabilités et, donc, empêche les pirates d’exploiter ces failles.
Pour encore plus des conseils, notre Expert en Sécurité des Systèmes Informatiques, David Soria, vous propose une liste exhaustive dans l’article « Mots de passe, le mieux est l’ennemi du bien ».
Des bonnes pratiques existent pour tous les usages des OS et d’internet dans un réseau ; seule la volonté fait défaut. Pour vous aider à mieux repérer les points faibles dans le bastion qu'est votre système d'information, nous avons rédigé il y a quelques années un livre blanc sur le TOP 10 des vulnérabilités qui explique quelques bonnes pratiques à mettre en place en matière de sécurité informatique. Sans doute, si chacun respectait même un tiers de ces mesures, nous pourrions éviter de devenir d’un jour à l’autre des célébrités accidentelles du piratage.
Construit autour d’un groupe d’experts en sécurité et de pentesters, ITrust fournit des conseils et de la formation spécialisée dans les meilleures pratiques en cybersécurité, pour accompagner les utilisateurs à accéder à une cyber-conscience élevée. Nous avons lancé en avril une étude en collaboration avec le cluster ICT Digital Place afin d’obtenir une image plus claire de la façon dont la cybersécurité est perçue par les entreprises. Avez vous une opinion à partager ? Remplissez notre questionnaire ici.
Liens :
https://www.reveelium.com/fr/cyber-hygiene-social-networks/
https://www.itrust.fr/hygi%C3%A8ne-informatique-r%C3%A9seaux-sociaux