SlideShare une entreprise Scribd logo

L’hygiène informatique des réseaux sociaux : bilan catastrophique

Télécharger en tant que DOCX, PDF
ITrust - Cybersecurity as a Service
ITrust - Cybersecurity as a Service

Depuis quelques semaines, un nombre record d’identifiants de comptes a été mis en vente sur le Darknet. Les victimes (voir graphique) sont notamment les réseaux sociaux Tumblr (65 millions de comptes utilisateurs), LinkedIn (164 millions de comptes utilisateurs) et – la patate chaude du moment – MySpace (360 millions de comptes utilisateurs).

Internet
1  sur  4
L’hygiène informatique des réseaux sociaux : bilan catastrophique Depuis quelques semaines, un nombre record d’identifiants de comptes a été mis en vente sur le Darknet. Les victimes (voir graphique) sont notamment les réseaux sociaux Tumblr (65 millions de comptes utilisateurs), LinkedIn (164 millions de comptes utilisateurs) et – la patate chaude du moment – MySpace (360 millions de comptes utilisateurs). Toutes ces données (sauf celles provenant de Tumblr) ont pour facteur commun un chiffrement très faible, démontrant une hygiène informatique des géants du Web 2.0 qui laisse à désirer. En effet, les utilisateurs qui fréquentent ces plateformes sont désormais fortement conseillés de changer leur mot de passe, très rapidement. Source : Have I been pwned Le record de données piratées est incontestablement détenu par MySpace. Le hacker à l’origine de cette cyber- attaque est le même qui cherche à vendre la base des identifiants de comptes LinkedIn sur The Real Deal, une place de marché sur le Darkweb. Il semblerait que, non seulement, le coupable soit le même, mais les particularités des données dérobées sont quasiment identiques : les deux bases contiennent des identifiants qui datent de plusieurs années et les mots de passe associés peuvent être facilement récupérés. Pourquoi cela devrait nous intéresser, alors que ces piratages ont été subis il y a un moment (on ne connait toujours pas la date exacte) ? Bien qu’une bonne partie des adresses ne sont plus valables, la faute revient quand même aux responsables de MySpace et LinkedIn qui n’ont pas jugé important de mieux protéger les données de leurs utilisateurs avec un système de stockage plus avancé. Cela étant dit, qui sont les vrais coupables ? Les pirates qui ont profité de cette vulnérabilité ou les réseaux sociaux qui utilisent des méthodes de stockage de mots de passe incompatibles avec les standards actuels ?
Une chaîne de caractères ne peut pas vous protéger… …tant qu’elle est stockée en clair sur le système d’information. Les bonnes pratiques demandent de rendre la protection du mot de passe non-réversible. Une option serait, donc, d’utiliser un algorithme qui produit une chaîne unique et de longueur fixe. Par exemple, si nous prenons l’algorithme de hachage suivant, dont nous effectuerons l’addition continue des données rentrées : Input : 22093 2 + 2 + 0 + 9 + 3 = 16 1 + 6 = 7 Hachage : 7 Il est peu probable que nous tombions sur l’entrée d’origine en partant du « 7 », tenant compte du nombre infini de possibilités qui peuvent arriver à la valeur 7. Evidemment, les vrais hash sont beaucoup plus complexes que ça. Dans le cas présent, les mots de passe des comptes utilisateurs sur MySpace et LinkedIn ont été chiffrés selon l’algorithme SHA1. Pourtant cet algorithme ne devrait pas permettre de réaliser l’opération inverse, les pirates ont très bien pu obtenir les identifiants par force brute ou en utilisent la technique de l’attaque par dictionnaire, qui consiste à tester si le hachage du mot de passe utilisé a été déjà découvert par quelqu’un d’autre. Mais alors, comment auraient dû procéder les propriétaires de ces réseaux sociaux ? Pour éviter de se faire voler les données sensibles de leurs utilisateurs, il aurait suffi d’utiliser un algorithme plus fort de hachage, de type SHA-256 ou SHA-512 (MD5 ou SHA1 ne sont plus considéré comme fiable car il y a eu des cas ou deux messages ont généré la même empreinte numérique) et d’ajouter un diversifiant qui consiste en la concaténation d’une ou plusieurs clés (procédé appelé « salage») au mot de passe, puis, dans une deuxième étape, passer au hachage du string généré. Si un hacker tente de cracker les données en utilisant la méthode du dictionnaire, il ne pourrait pas aller très loin sans connaître le « sel » utilisé.
Pour aller au-delà d’une méthode usuelle et obtenir un niveau encore plus élevé dans la protection de votre mot de passe, le hachage répété se relève comme option idéale : vous utilisez un algorithme SHA-256 ou SHA- 512, puis vous pimentez le résultat avec un sel, pour enfin passer de nouveau le hachage obtenu 10,000 fois (ou plus) par l’algorithme de hachage initiale (procédé connu comme « itération »). Votre mot de passe est comme une brosse à dents Vous ne devez laisser personne d’autre l’utiliser et une bonne pratique consiste à en changer tous les six mois (cf. Clifford Stoll). Evidemment, l’hygiène informatique est un sujet qui nous concerne tous, que nous soyons chef d’entreprise ou pas. C’est pour cette raison que nous vous présentons les b.a.-ba du « mot de passe » : 1. Choisissez un mot de passe robuste. Même si les réseaux sociaux ne passent pas par les processus du salage et hachage, un mot de passe construit de manière intelligente peut retarder un peu les pirates. Les prérequis d’un mot de passe fort sont : avoir un minimum de 8 lettres, alterner minuscules et majuscules et inclure au moins un caractère spécial ou chiffre. Il n’est pas nécessaire (nous espérons) de vous répéter le fait que votre mot de passe personnel ne doit faire allusion à aucun élément de votre vie privée (deuxième prénom, nom du chat ou du chien, etc.). Nous voulons éviter des situations
1. Choisissezun motdepasse robuste. Mêmesilesréseaux sociauxnepassentpasparlesprocessusdu salageet hachage, un motde passeconstruitde manière intelligente peutretarder un peu les pirates. Les prérequis d’un mot de passefort sont:avoirun minimumde8 lettres,alterner minusculesetmajusculesetinclureau moinsun caractèrespécialou chiffre. Il n’est pas nécessaire (nous espérons) de vous répéter le fait que votre mot de passe personnel ne doit faire allusion à aucun élément de votrevie privée (deuxièmeprénom,nomdu chatou du chien,etc.). Nousvoulonséviterdes situations tel que : https://www.youtube.com/watch?v=lRqT3PtxA0Q 2. Faites attention aux manièresdestockagedevotremot depasse.Ne l’inscrivezsurtoutpassurun post-itou un butde papier, ou, dans le cas ou vous faites appel à un coffre fort numérique, assurez vous que cela se trouve sur la liste des gestionnaires de mot de passe approuvés par l’ANSSI. 3. Changezvotremotdepassedésquevous suspectezqu’un devoscomptesa étépiraté.Poursavoirsivousêtesvictimes d’un piratage,il suffitd’allersur Have I been pwned etlancer un recherche survotre identifiantdecompte.Si c’estle cas, changer votre mot de passe immédiatement. N’oubliez pas de changer le mot de passe sur tous les autres comptes où vous avez choisi le même identifiant. 4. Réfléchissez à des méthodes alternatives comme, par exemple, la vérification des mots de passe en deux étapes, à l’aide d’une code unique généré automatiquement sur votre portable. 5. Effectuez rapidement la mise à jour de votre OS. Un système mis à jour est potentiellement moins exposé à des vulnérabilités et, donc, empêche les pirates d’exploiter ces failles. Pourencore plusdesconseils,notre ExpertenSécuritédesSystèmesInformatiques,DavidSoria,vousproposeune liste exhaustive dans l’article « Mots de passe, le mieux est l’ennemi du bien ». Des bonnes pratiques existent pour tous les usages des OS et d’internet dans un réseau ; seule la volonté fait défaut. Pourvousaiderà mieux repérerlespointsfaibles dansle bastionqu'estvotre systèmed'information,nousavonsrédigé il ya quelquesannées unlivreblancsurle TOP10 desvulnérabilitésquiexpliquequelquesbonnespratiquesàmettre en place en matière de sécurité informatique. Sans doute, si chacun respectait même un tiers de ces mesures, nous pourrions éviter de devenir d’un jour à l’autre des célébrités accidentelles du piratage. Construit autour d’un groupe d’experts en sécurité et de pentesters, ITrust fournit des conseils et de la formation spécialisée dans les meilleures pratiquesen cybersécurité,pour accompagner les utilisateursà accéder à une cyber- conscience élevée.Nous avons lancé en avril une étude en collaboration avec le cluster ICT Digital Place afin d’obtenir une image plusclaire de lafaçon dont la cybersécurité estperçue parlesentreprises.Avezvousune opinionàpartager ? Remplissez notre questionnaire ici. Liens : https://www.reveelium.com/fr/cyber-hygiene-social-networks/ https://www.itrust.fr/hygi%C3%A8ne-informatique-r%C3%A9seaux-sociaux

Recommandé

10 conseils pour protéger votre pc
10 conseils pour protéger votre pc10 conseils pour protéger votre pc
10 conseils pour protéger votre pcGeorges-Pierre Tonnelier
 
Livre blanc "Comment se protéger des emails spams?"
Livre blanc "Comment se protéger des emails spams?"Livre blanc "Comment se protéger des emails spams?"
Livre blanc "Comment se protéger des emails spams?"Aquastar Consulting
 
Les attaques MITM
Les attaques MITMLes attaques MITM
Les attaques MITMAhmed Contre Ennahdha
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur InternetBELVEZE Damien
 
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA TidianeCYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane@aboukam (Abou Kamagaté)
 
T 4el clima de españa
T 4el clima de españaT 4el clima de españa
T 4el clima de españaMarta Fuentes
 
Design thinking
Design thinkingDesign thinking
Design thinkingAlfian Firmansyah
 
Kinetic typography
Kinetic typographyKinetic typography
Kinetic typographyAlfian Firmansyah
 

Recommandé

10 conseils pour protéger votre pc
10 conseils pour protéger votre pc10 conseils pour protéger votre pc
10 conseils pour protéger votre pcGeorges-Pierre Tonnelier
 
Livre blanc "Comment se protéger des emails spams?"
Livre blanc "Comment se protéger des emails spams?"Livre blanc "Comment se protéger des emails spams?"
Livre blanc "Comment se protéger des emails spams?"Aquastar Consulting
 
Les attaques MITM
Les attaques MITMLes attaques MITM
Les attaques MITMAhmed Contre Ennahdha
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur InternetBELVEZE Damien
 
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA TidianeCYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane@aboukam (Abou Kamagaté)
 
T 4el clima de españa
T 4el clima de españaT 4el clima de españa
T 4el clima de españaMarta Fuentes
 
Design thinking
Design thinkingDesign thinking
Design thinkingAlfian Firmansyah
 
Kinetic typography
Kinetic typographyKinetic typography
Kinetic typographyAlfian Firmansyah
 
The Bold & Beuty of Queen
The Bold & Beuty of QueenThe Bold & Beuty of Queen
The Bold & Beuty of QueenAli Murtadlo
 
Mi comunidad
Mi comunidadMi comunidad
Mi comunidadAngeles Vele Criollo
 
Flashtennis semanario 7 noviembre 2016
Flashtennis semanario 7 noviembre 2016Flashtennis semanario 7 noviembre 2016
Flashtennis semanario 7 noviembre 2016Edgar Gonzalez Allegre
 
Cond.générales
Cond.généralesCond.générales
Cond.généralesWalid LETAIEF
 
OBSRVR_Spring15-full
OBSRVR_Spring15-fullOBSRVR_Spring15-full
OBSRVR_Spring15-fullDavid Drakes
 
CV on English Edward Prasetyo
CV on English Edward PrasetyoCV on English Edward Prasetyo
CV on English Edward PrasetyoEdward Prasetyo
 
Rank 1st national Unilever Food Solution Distributor Achievement
Rank 1st national Unilever Food Solution Distributor AchievementRank 1st national Unilever Food Solution Distributor Achievement
Rank 1st national Unilever Food Solution Distributor AchievementEdward Prasetyo
 
Cómo tomar una muestra de heces
Cómo tomar una muestra de hecesCómo tomar una muestra de heces
Cómo tomar una muestra de hecesLisley Peña
 
Seema's Bio- 20MAY15 (1)
Seema's Bio- 20MAY15 (1)Seema's Bio- 20MAY15 (1)
Seema's Bio- 20MAY15 (1)seema hallak
 
4. la cama quirurgica
4. la cama quirurgica4. la cama quirurgica
4. la cama quirurgicacaedhmh
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !Henri d'AGRAIN
 
Unidad del paciente
Unidad del pacienteUnidad del paciente
Unidad del pacienteHdzcarrillo
 
Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !SpikeeLabs
 
MOTS DE PASSE
MOTS DE PASSEMOTS DE PASSE
MOTS DE PASSEbibliothequetoulouse
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
Securité web
Securité webSecurité web
Securité webEmmanuel Gautier
 
Csc kit-strong-password-ppt-fr
Csc kit-strong-password-ppt-frCsc kit-strong-password-ppt-fr
Csc kit-strong-password-ppt-frJulien Marteel
 
Reprenez le contrôle de votre vie privée
Reprenez le contrôle de votre vie privéeReprenez le contrôle de votre vie privée
Reprenez le contrôle de votre vie privéeJérôme aka "Genma" Kun
 
Comment éviter la prise d’otage de vos données @ITrustBlog
Comment éviter la prise d’otage de vos données @ITrustBlogComment éviter la prise d’otage de vos données @ITrustBlog
Comment éviter la prise d’otage de vos données @ITrustBlogITrust - Cybersecurity as a Service
 
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud LaprévoteLe chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévotealaprevote
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Security technology in IT and social networks
Security technology in IT and social networksSecurity technology in IT and social networks
Security technology in IT and social networksihabov
 

Contenu connexe

En vedette

The Bold & Beuty of Queen
The Bold & Beuty of QueenThe Bold & Beuty of Queen
The Bold & Beuty of QueenAli Murtadlo
 
Flashtennis semanario 7 noviembre 2016
Flashtennis semanario 7 noviembre 2016Flashtennis semanario 7 noviembre 2016
Flashtennis semanario 7 noviembre 2016Edgar Gonzalez Allegre
 
OBSRVR_Spring15-full
OBSRVR_Spring15-fullOBSRVR_Spring15-full
OBSRVR_Spring15-fullDavid Drakes
 
CV on English Edward Prasetyo
CV on English Edward PrasetyoCV on English Edward Prasetyo
CV on English Edward PrasetyoEdward Prasetyo
 
Rank 1st national Unilever Food Solution Distributor Achievement
Rank 1st national Unilever Food Solution Distributor AchievementRank 1st national Unilever Food Solution Distributor Achievement
Rank 1st national Unilever Food Solution Distributor AchievementEdward Prasetyo
 
Cómo tomar una muestra de heces
Cómo tomar una muestra de hecesCómo tomar una muestra de heces
Cómo tomar una muestra de hecesLisley Peña
 
Seema's Bio- 20MAY15 (1)
Seema's Bio- 20MAY15 (1)Seema's Bio- 20MAY15 (1)
Seema's Bio- 20MAY15 (1)seema hallak
 
4. la cama quirurgica
4. la cama quirurgica4. la cama quirurgica
4. la cama quirurgicacaedhmh
 
Unidad del paciente
Unidad del pacienteUnidad del paciente
Unidad del pacienteHdzcarrillo
 

En vedette (12)

The Bold & Beuty of Queen
The Bold & Beuty of QueenThe Bold & Beuty of Queen
The Bold & Beuty of Queen
 
Mi comunidad
Mi comunidadMi comunidad
Mi comunidad
 
Flashtennis semanario 7 noviembre 2016
Flashtennis semanario 7 noviembre 2016Flashtennis semanario 7 noviembre 2016
Flashtennis semanario 7 noviembre 2016
 
Cond.générales
Cond.généralesCond.générales
Cond.générales
 
OBSRVR_Spring15-full
OBSRVR_Spring15-fullOBSRVR_Spring15-full
OBSRVR_Spring15-full
 
CV on English Edward Prasetyo
CV on English Edward PrasetyoCV on English Edward Prasetyo
CV on English Edward Prasetyo
 
Rank 1st national Unilever Food Solution Distributor Achievement
Rank 1st national Unilever Food Solution Distributor AchievementRank 1st national Unilever Food Solution Distributor Achievement
Rank 1st national Unilever Food Solution Distributor Achievement
 
Cómo tomar una muestra de heces
Cómo tomar una muestra de hecesCómo tomar una muestra de heces
Cómo tomar una muestra de heces
 
Seema's Bio- 20MAY15 (1)
Seema's Bio- 20MAY15 (1)Seema's Bio- 20MAY15 (1)
Seema's Bio- 20MAY15 (1)
 
4. la cama quirurgica
4. la cama quirurgica4. la cama quirurgica
4. la cama quirurgica
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
 
Unidad del paciente
Unidad del pacienteUnidad del paciente
Unidad del paciente
 

Similaire à L’hygiène informatique des réseaux sociaux : bilan catastrophique

Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !SpikeeLabs
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
Csc kit-strong-password-ppt-fr
Csc kit-strong-password-ppt-frCsc kit-strong-password-ppt-fr
Csc kit-strong-password-ppt-frJulien Marteel
 
Reprenez le contrôle de votre vie privée
Reprenez le contrôle de votre vie privéeReprenez le contrôle de votre vie privée
Reprenez le contrôle de votre vie privéeJérôme aka "Genma" Kun
 
Comment éviter la prise d’otage de vos données @ITrustBlog
Comment éviter la prise d’otage de vos données @ITrustBlogComment éviter la prise d’otage de vos données @ITrustBlog
Comment éviter la prise d’otage de vos données @ITrustBlogITrust - Cybersecurity as a Service
 
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud LaprévoteLe chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévotealaprevote
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesGroupe EEIE
 
Security technology in IT and social networks
Security technology in IT and social networksSecurity technology in IT and social networks
Security technology in IT and social networksihabov
 
Partagez votre code et non vos secrets
Partagez votre code et non vos secretsPartagez votre code et non vos secrets
Partagez votre code et non vos secretsOpen Source Experience
 
Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueMaxime Jobin
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterNRC
 
Know everything about Brute Force Attack
Know everything about Brute Force AttackKnow everything about Brute Force Attack
Know everything about Brute Force AttackHajar Bouchriha
 
Guide d’Hygiène numérique version 2016
Guide d’Hygiène numérique version 2016Guide d’Hygiène numérique version 2016
Guide d’Hygiène numérique version 2016Jérôme aka "Genma" Kun
 
Api - mix it 2013
Api - mix it 2013Api - mix it 2013
Api - mix it 2013Eric D.
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...SOCIALware Benelux
 
L'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeL'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeAlice and Bob
 
Quand on change de code, on prévient !(1)
Quand on change de code, on prévient !(1)Quand on change de code, on prévient !(1)
Quand on change de code, on prévient !(1)Guillaume Renaudin
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésNRC
 

Similaire à L’hygiène informatique des réseaux sociaux : bilan catastrophique (20)

Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !
 
MOTS DE PASSE
MOTS DE PASSEMOTS DE PASSE
MOTS DE PASSE
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
 
Securité web
Securité webSecurité web
Securité web
 
Csc kit-strong-password-ppt-fr
Csc kit-strong-password-ppt-frCsc kit-strong-password-ppt-fr
Csc kit-strong-password-ppt-fr
 
Reprenez le contrôle de votre vie privée
Reprenez le contrôle de votre vie privéeReprenez le contrôle de votre vie privée
Reprenez le contrôle de votre vie privée
 
Comment éviter la prise d’otage de vos données @ITrustBlog
Comment éviter la prise d’otage de vos données @ITrustBlogComment éviter la prise d’otage de vos données @ITrustBlog
Comment éviter la prise d’otage de vos données @ITrustBlog
 
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud LaprévoteLe chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévote
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
Security technology in IT and social networks
Security technology in IT and social networksSecurity technology in IT and social networks
Security technology in IT and social networks
 
Partagez votre code et non vos secrets
Partagez votre code et non vos secretsPartagez votre code et non vos secrets
Partagez votre code et non vos secrets
 
Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risque
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
 
Know everything about Brute Force Attack
Know everything about Brute Force AttackKnow everything about Brute Force Attack
Know everything about Brute Force Attack
 
Guide d’Hygiène numérique version 2016
Guide d’Hygiène numérique version 2016Guide d’Hygiène numérique version 2016
Guide d’Hygiène numérique version 2016
 
Api - mix it 2013
Api - mix it 2013Api - mix it 2013
Api - mix it 2013
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
 
L'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeL'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passe
 
Quand on change de code, on prévient !(1)
Quand on change de code, on prévient !(1)Quand on change de code, on prévient !(1)
Quand on change de code, on prévient !(1)
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 

Plus de ITrust - Cybersecurity as a Service

L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécuritéL’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécuritéITrust - Cybersecurity as a Service
 
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéQuand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéITrust - Cybersecurity as a Service
 
Artificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersArtificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersITrust - Cybersecurity as a Service
 
Passer de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesPasser de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesITrust - Cybersecurity as a Service
 
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...ITrust - Cybersecurity as a Service
 

Plus de ITrust - Cybersecurity as a Service (20)

IT security : a five-legged sheep
IT security : a five-legged sheepIT security : a five-legged sheep
IT security : a five-legged sheep
 
Petya, pire que WannaCry ?
Petya, pire que WannaCry ?Petya, pire que WannaCry ?
Petya, pire que WannaCry ?
 
L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécuritéL’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Advanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalitéAdvanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalité
 
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéQuand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
 
Artificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersArtificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changers
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
Passer de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesPasser de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menaces
 
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
 
L’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en AngleterreL’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en Angleterre
 
Ignorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDBIgnorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDB
 
Cisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magicCisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magic
 
ITrust Company Overview FR
ITrust Company Overview FRITrust Company Overview FR
ITrust Company Overview FR
 
ITrust Company Overview EN
ITrust Company Overview ENITrust Company Overview EN
ITrust Company Overview EN
 
SOC OEM - Datasheet FR
SOC OEM - Datasheet FRSOC OEM - Datasheet FR
SOC OEM - Datasheet FR
 
SOC OEM - Datasheet EN
SOC OEM - Datasheet ENSOC OEM - Datasheet EN
SOC OEM - Datasheet EN
 

L’hygiène informatique des réseaux sociaux : bilan catastrophique

  • 1. L’hygiène informatique des réseaux sociaux : bilan catastrophique Depuis quelques semaines, un nombre record d’identifiants de comptes a été mis en vente sur le Darknet. Les victimes (voir graphique) sont notamment les réseaux sociaux Tumblr (65 millions de comptes utilisateurs), LinkedIn (164 millions de comptes utilisateurs) et – la patate chaude du moment – MySpace (360 millions de comptes utilisateurs). Toutes ces données (sauf celles provenant de Tumblr) ont pour facteur commun un chiffrement très faible, démontrant une hygiène informatique des géants du Web 2.0 qui laisse à désirer. En effet, les utilisateurs qui fréquentent ces plateformes sont désormais fortement conseillés de changer leur mot de passe, très rapidement. Source : Have I been pwned Le record de données piratées est incontestablement détenu par MySpace. Le hacker à l’origine de cette cyber- attaque est le même qui cherche à vendre la base des identifiants de comptes LinkedIn sur The Real Deal, une place de marché sur le Darkweb. Il semblerait que, non seulement, le coupable soit le même, mais les particularités des données dérobées sont quasiment identiques : les deux bases contiennent des identifiants qui datent de plusieurs années et les mots de passe associés peuvent être facilement récupérés. Pourquoi cela devrait nous intéresser, alors que ces piratages ont été subis il y a un moment (on ne connait toujours pas la date exacte) ? Bien qu’une bonne partie des adresses ne sont plus valables, la faute revient quand même aux responsables de MySpace et LinkedIn qui n’ont pas jugé important de mieux protéger les données de leurs utilisateurs avec un système de stockage plus avancé. Cela étant dit, qui sont les vrais coupables ? Les pirates qui ont profité de cette vulnérabilité ou les réseaux sociaux qui utilisent des méthodes de stockage de mots de passe incompatibles avec les standards actuels ?
  • 2. Une chaîne de caractères ne peut pas vous protéger… …tant qu’elle est stockée en clair sur le système d’information. Les bonnes pratiques demandent de rendre la protection du mot de passe non-réversible. Une option serait, donc, d’utiliser un algorithme qui produit une chaîne unique et de longueur fixe. Par exemple, si nous prenons l’algorithme de hachage suivant, dont nous effectuerons l’addition continue des données rentrées : Input : 22093 2 + 2 + 0 + 9 + 3 = 16 1 + 6 = 7 Hachage : 7 Il est peu probable que nous tombions sur l’entrée d’origine en partant du « 7 », tenant compte du nombre infini de possibilités qui peuvent arriver à la valeur 7. Evidemment, les vrais hash sont beaucoup plus complexes que ça. Dans le cas présent, les mots de passe des comptes utilisateurs sur MySpace et LinkedIn ont été chiffrés selon l’algorithme SHA1. Pourtant cet algorithme ne devrait pas permettre de réaliser l’opération inverse, les pirates ont très bien pu obtenir les identifiants par force brute ou en utilisent la technique de l’attaque par dictionnaire, qui consiste à tester si le hachage du mot de passe utilisé a été déjà découvert par quelqu’un d’autre. Mais alors, comment auraient dû procéder les propriétaires de ces réseaux sociaux ? Pour éviter de se faire voler les données sensibles de leurs utilisateurs, il aurait suffi d’utiliser un algorithme plus fort de hachage, de type SHA-256 ou SHA-512 (MD5 ou SHA1 ne sont plus considéré comme fiable car il y a eu des cas ou deux messages ont généré la même empreinte numérique) et d’ajouter un diversifiant qui consiste en la concaténation d’une ou plusieurs clés (procédé appelé « salage») au mot de passe, puis, dans une deuxième étape, passer au hachage du string généré. Si un hacker tente de cracker les données en utilisant la méthode du dictionnaire, il ne pourrait pas aller très loin sans connaître le « sel » utilisé.
  • 3. Pour aller au-delà d’une méthode usuelle et obtenir un niveau encore plus élevé dans la protection de votre mot de passe, le hachage répété se relève comme option idéale : vous utilisez un algorithme SHA-256 ou SHA- 512, puis vous pimentez le résultat avec un sel, pour enfin passer de nouveau le hachage obtenu 10,000 fois (ou plus) par l’algorithme de hachage initiale (procédé connu comme « itération »). Votre mot de passe est comme une brosse à dents Vous ne devez laisser personne d’autre l’utiliser et une bonne pratique consiste à en changer tous les six mois (cf. Clifford Stoll). Evidemment, l’hygiène informatique est un sujet qui nous concerne tous, que nous soyons chef d’entreprise ou pas. C’est pour cette raison que nous vous présentons les b.a.-ba du « mot de passe » : 1. Choisissez un mot de passe robuste. Même si les réseaux sociaux ne passent pas par les processus du salage et hachage, un mot de passe construit de manière intelligente peut retarder un peu les pirates. Les prérequis d’un mot de passe fort sont : avoir un minimum de 8 lettres, alterner minuscules et majuscules et inclure au moins un caractère spécial ou chiffre. Il n’est pas nécessaire (nous espérons) de vous répéter le fait que votre mot de passe personnel ne doit faire allusion à aucun élément de votre vie privée (deuxième prénom, nom du chat ou du chien, etc.). Nous voulons éviter des situations
  • 4. 1. Choisissezun motdepasse robuste. Mêmesilesréseaux sociauxnepassentpasparlesprocessusdu salageet hachage, un motde passeconstruitde manière intelligente peutretarder un peu les pirates. Les prérequis d’un mot de passefort sont:avoirun minimumde8 lettres,alterner minusculesetmajusculesetinclureau moinsun caractèrespécialou chiffre. Il n’est pas nécessaire (nous espérons) de vous répéter le fait que votre mot de passe personnel ne doit faire allusion à aucun élément de votrevie privée (deuxièmeprénom,nomdu chatou du chien,etc.). Nousvoulonséviterdes situations tel que : https://www.youtube.com/watch?v=lRqT3PtxA0Q 2. Faites attention aux manièresdestockagedevotremot depasse.Ne l’inscrivezsurtoutpassurun post-itou un butde papier, ou, dans le cas ou vous faites appel à un coffre fort numérique, assurez vous que cela se trouve sur la liste des gestionnaires de mot de passe approuvés par l’ANSSI. 3. Changezvotremotdepassedésquevous suspectezqu’un devoscomptesa étépiraté.Poursavoirsivousêtesvictimes d’un piratage,il suffitd’allersur Have I been pwned etlancer un recherche survotre identifiantdecompte.Si c’estle cas, changer votre mot de passe immédiatement. N’oubliez pas de changer le mot de passe sur tous les autres comptes où vous avez choisi le même identifiant. 4. Réfléchissez à des méthodes alternatives comme, par exemple, la vérification des mots de passe en deux étapes, à l’aide d’une code unique généré automatiquement sur votre portable. 5. Effectuez rapidement la mise à jour de votre OS. Un système mis à jour est potentiellement moins exposé à des vulnérabilités et, donc, empêche les pirates d’exploiter ces failles. Pourencore plusdesconseils,notre ExpertenSécuritédesSystèmesInformatiques,DavidSoria,vousproposeune liste exhaustive dans l’article « Mots de passe, le mieux est l’ennemi du bien ». Des bonnes pratiques existent pour tous les usages des OS et d’internet dans un réseau ; seule la volonté fait défaut. Pourvousaiderà mieux repérerlespointsfaibles dansle bastionqu'estvotre systèmed'information,nousavonsrédigé il ya quelquesannées unlivreblancsurle TOP10 desvulnérabilitésquiexpliquequelquesbonnespratiquesàmettre en place en matière de sécurité informatique. Sans doute, si chacun respectait même un tiers de ces mesures, nous pourrions éviter de devenir d’un jour à l’autre des célébrités accidentelles du piratage. Construit autour d’un groupe d’experts en sécurité et de pentesters, ITrust fournit des conseils et de la formation spécialisée dans les meilleures pratiquesen cybersécurité,pour accompagner les utilisateursà accéder à une cyber- conscience élevée.Nous avons lancé en avril une étude en collaboration avec le cluster ICT Digital Place afin d’obtenir une image plusclaire de lafaçon dont la cybersécurité estperçue parlesentreprises.Avezvousune opinionàpartager ? Remplissez notre questionnaire ici. Liens : https://www.reveelium.com/fr/cyber-hygiene-social-networks/ https://www.itrust.fr/hygi%C3%A8ne-informatique-r%C3%A9seaux-sociaux