Depuis quelques semaines, un nombre record d’identifiants de comptes a été mis en vente sur le Darknet. Les victimes (voir graphique) sont notamment les réseaux sociaux Tumblr (65 millions de comptes utilisateurs), LinkedIn (164 millions de comptes utilisateurs) et – la patate chaude du moment – MySpace (360 millions de comptes utilisateurs).
L’hygiène informatique des réseaux sociaux : bilan catastrophique
1. L’hygiène informatique des réseaux sociaux : bilan catastrophique
Depuis quelques semaines, un nombre record d’identifiants de comptes a été mis en vente sur le Darknet. Les
victimes (voir graphique) sont notamment les réseaux sociaux Tumblr (65 millions de comptes utilisateurs),
LinkedIn (164 millions de comptes utilisateurs) et – la patate chaude du moment – MySpace (360 millions de
comptes utilisateurs). Toutes ces données (sauf celles provenant de Tumblr) ont pour facteur commun un
chiffrement très faible, démontrant une hygiène informatique des géants du Web 2.0 qui laisse à désirer. En
effet, les utilisateurs qui fréquentent ces plateformes sont désormais fortement conseillés de changer leur mot
de passe, très rapidement.
Source : Have I been pwned
Le record de données piratées est incontestablement détenu par MySpace. Le hacker à l’origine de cette cyber-
attaque est le même qui cherche à vendre la base des identifiants de comptes LinkedIn sur The Real Deal, une
place de marché sur le Darkweb. Il semblerait que, non seulement, le coupable soit le même, mais les
particularités des données dérobées sont quasiment identiques : les deux bases contiennent des identifiants qui
datent de plusieurs années et les mots de passe associés peuvent être facilement récupérés.
Pourquoi cela devrait nous intéresser, alors que ces piratages ont été subis il y a un moment (on ne connait
toujours pas la date exacte) ? Bien qu’une bonne partie des adresses ne sont plus valables, la faute revient
quand même aux responsables de MySpace et LinkedIn qui n’ont pas jugé important de mieux protéger les
données de leurs utilisateurs avec un système de stockage plus avancé. Cela étant dit, qui sont les vrais
coupables ? Les pirates qui ont profité de cette vulnérabilité ou les réseaux sociaux qui utilisent des méthodes
de stockage de mots de passe incompatibles avec les standards actuels ?
2. Une chaîne de caractères ne peut pas vous protéger…
…tant qu’elle est stockée en clair sur le système d’information. Les bonnes pratiques demandent de rendre la
protection du mot de passe non-réversible. Une option serait, donc, d’utiliser un algorithme qui produit une
chaîne unique et de longueur fixe. Par exemple, si nous prenons l’algorithme de hachage suivant, dont nous
effectuerons l’addition continue des données rentrées :
Input : 22093
2 + 2 + 0 + 9 + 3 = 16
1 + 6 = 7
Hachage : 7
Il est peu probable que nous tombions sur l’entrée d’origine en partant du « 7 », tenant compte du nombre
infini de possibilités qui peuvent arriver à la valeur 7.
Evidemment, les vrais hash sont beaucoup plus complexes que ça. Dans le cas présent, les mots de passe des
comptes utilisateurs sur MySpace et LinkedIn ont été chiffrés selon l’algorithme SHA1. Pourtant cet algorithme
ne devrait pas permettre de réaliser l’opération inverse, les pirates ont très bien pu obtenir les identifiants par
force brute ou en utilisent la technique de l’attaque par dictionnaire, qui consiste à tester si le hachage du mot
de passe utilisé a été déjà découvert par quelqu’un d’autre.
Mais alors, comment auraient dû procéder les propriétaires de ces réseaux sociaux ?
Pour éviter de se faire voler les données sensibles de leurs utilisateurs, il aurait suffi d’utiliser un algorithme plus
fort de hachage, de type SHA-256 ou SHA-512 (MD5 ou SHA1 ne sont plus considéré comme fiable car il y a
eu des cas ou deux messages ont généré la même empreinte numérique) et d’ajouter un diversifiant qui consiste
en la concaténation d’une ou plusieurs clés (procédé appelé « salage») au mot de passe, puis, dans une deuxième
étape, passer au hachage du string généré. Si un hacker tente de cracker les données en utilisant la méthode
du dictionnaire, il ne pourrait pas aller très loin sans connaître le « sel » utilisé.
3. Pour aller au-delà d’une méthode usuelle et obtenir un niveau encore plus élevé dans la protection de votre
mot de passe, le hachage répété se relève comme option idéale : vous utilisez un algorithme SHA-256 ou SHA-
512, puis vous pimentez le résultat avec un sel, pour enfin passer de nouveau le hachage obtenu 10,000 fois
(ou plus) par l’algorithme de hachage initiale (procédé connu comme « itération »).
Votre mot de passe est comme une brosse à dents
Vous ne devez laisser personne d’autre l’utiliser et une bonne pratique consiste à en changer tous les six mois
(cf. Clifford Stoll). Evidemment, l’hygiène informatique est un sujet qui nous concerne tous, que nous soyons
chef d’entreprise ou pas. C’est pour cette raison que nous vous présentons les b.a.-ba du « mot de passe » :
1. Choisissez un mot de passe robuste. Même si les réseaux sociaux ne passent pas par les processus du
salage et hachage, un mot de passe construit de manière intelligente peut retarder un peu les pirates.
Les prérequis d’un mot de passe fort sont : avoir un minimum de 8 lettres, alterner minuscules et
majuscules et inclure au moins un caractère spécial ou chiffre. Il n’est pas nécessaire (nous espérons)
de vous répéter le fait que votre mot de passe personnel ne doit faire allusion à aucun élément de
votre vie privée (deuxième prénom, nom du chat ou du chien, etc.). Nous voulons éviter des situations
4. 1. Choisissezun motdepasse robuste. Mêmesilesréseaux sociauxnepassentpasparlesprocessusdu salageet hachage,
un motde passeconstruitde manière intelligente peutretarder un peu les pirates. Les prérequis d’un mot de passefort
sont:avoirun minimumde8 lettres,alterner minusculesetmajusculesetinclureau moinsun caractèrespécialou chiffre.
Il n’est pas nécessaire (nous espérons) de vous répéter le fait que votre mot de passe personnel ne doit faire allusion à
aucun élément de votrevie privée (deuxièmeprénom,nomdu chatou du chien,etc.). Nousvoulonséviterdes situations
tel que : https://www.youtube.com/watch?v=lRqT3PtxA0Q
2. Faites attention aux manièresdestockagedevotremot depasse.Ne l’inscrivezsurtoutpassurun post-itou un butde
papier, ou, dans le cas ou vous faites appel à un coffre fort numérique, assurez vous que cela se trouve sur la liste des
gestionnaires de mot de passe approuvés par l’ANSSI.
3. Changezvotremotdepassedésquevous suspectezqu’un devoscomptesa étépiraté.Poursavoirsivousêtesvictimes
d’un piratage,il suffitd’allersur Have I been pwned etlancer un recherche survotre identifiantdecompte.Si c’estle cas,
changer votre mot de passe immédiatement. N’oubliez pas de changer le mot de passe sur tous les autres comptes où
vous avez choisi le même identifiant.
4. Réfléchissez à des méthodes alternatives comme, par exemple, la vérification des mots de passe en deux étapes, à
l’aide d’une code unique généré automatiquement sur votre portable.
5. Effectuez rapidement la mise à jour de votre OS. Un système mis à jour est potentiellement moins exposé à des
vulnérabilités et, donc, empêche les pirates d’exploiter ces failles.
Pourencore plusdesconseils,notre ExpertenSécuritédesSystèmesInformatiques,DavidSoria,vousproposeune liste
exhaustive dans l’article « Mots de passe, le mieux est l’ennemi du bien ».
Des bonnes pratiques existent pour tous les usages des OS et d’internet dans un réseau ; seule la volonté fait défaut.
Pourvousaiderà mieux repérerlespointsfaibles dansle bastionqu'estvotre systèmed'information,nousavonsrédigé
il ya quelquesannées unlivreblancsurle TOP10 desvulnérabilitésquiexpliquequelquesbonnespratiquesàmettre en
place en matière de sécurité informatique. Sans doute, si chacun respectait même un tiers de ces mesures, nous
pourrions éviter de devenir d’un jour à l’autre des célébrités accidentelles du piratage.
Construit autour d’un groupe d’experts en sécurité et de pentesters, ITrust fournit des conseils et de la formation
spécialisée dans les meilleures pratiquesen cybersécurité,pour accompagner les utilisateursà accéder à une cyber-
conscience élevée.Nous avons lancé en avril une étude en collaboration avec le cluster ICT Digital Place afin d’obtenir
une image plusclaire de lafaçon dont la cybersécurité estperçue parlesentreprises.Avezvousune opinionàpartager
? Remplissez notre questionnaire ici.
Liens :
https://www.reveelium.com/fr/cyber-hygiene-social-networks/
https://www.itrust.fr/hygi%C3%A8ne-informatique-r%C3%A9seaux-sociaux