[Sécurité] Piratages Informatiques

Tags: Informatique Divers Sécurité


 Attention, cet article date de plus d'un an. Les informations qu'il contient sont peut-être obsolètes. 

Bonjour à tous !

Nous allons aujourd’hui parler de quelque chose qui commence à devenir une fâcheuse habitude. Comme le titre de l’article l’indique, il s’agit des piratages informatiques.

Le cliché du hacker
Le cliché du hacker

Yahoo est par exemple apparu trois fois dans la presse en quelques années pour avoir été la cible de piratages de masse. Les comptes (identifiants, mots de passe …) de tous les utilisateurs (à savoir quelque 3 milliards de comptes lors d’un piratage de grande ampleur en août 2013) ont notamment été ciblés.

Pour ne pas parler que de Yahoo, voici une petite liste de services ayant déjà été piratés et dont la sécurité des utilisateurs a pu être compromise: MySpage, LinkedIn, Adobe, Badoo, Dailymotion, Dropbox, Tumblr, Disqus ou encore Kickstarter, Snapchat, Patreon, Warframe, OVH/Kimsufi. Vous pouvez retrouver une liste assez complète à cette adresse ou bien sur ce flux RSS pour un affichage par ordre chronologique.

Les commentaires de ce site

Si je vous parle de ça aujourd’hui, ce n’est pas sans raison. Dans les derniers jours, c’est Disqus qui a révélé avoir été la cible d’un piratage en 2012 pour plus de 17 millions de comptes dérobés. Or les commentaires de ce site sont encore gérés par Disqus et que vous êtes obligé de passer par ce service pour y déposer un commentaire (même si l’inscription n’est pas obligatoire).

Logo de Disqus
Logo de Disqus

Je vais essayer dans les prochains jours/semaines (dès que je peux en fait) de migrer sur une solution à la fois open-source, mais également une solution où les commentaires seront hébergés sur mon serveur. De cette façon, je serai totalement maître et responsable des commentaires du site et vous ne serez plus obligé de passer par un service externe !

Bien sur, si vous avez changé de mot de passe Disqus depuis 2012, vous ne courrez plus de danger mais par principe, je préfère ne pas vous forcer à l’utiliser. De plus, gérer moi-même les commentaires était une chose que j’avais eu en tête à un certain moment (mais qui en était également resorti). De telles solutions existent, on retrouve par exemple Hashover. Si vous avez une autre alternative à me conseiller, je suis totalement preneur ! (Par la même occasion, je switcherai également de google-analytics à une solution “moins propriétaire”).

Comment se prévenir de ces piratages

On ne peut bien sur pas éviter à coup sûr ces piratages, la seule solution étant de ne pas avoir de comptes chez tous ces services susceptibles de se faire pirater. En revanche, on peut réduire au maximum les conséquences d’un tel piratage.

La double authentification

Je pense notamment à la double authentification qui rend la possession des identifiants et mots de passe d’une personne non suffisants pour s’y connecter.

Attention toutefois à ce que l’on utilise comme double authentification, celle par SMS ayant déjà prouvée toutes ses lacunes et donc son manque de sécurité. Comme on peut le voir dans cette vidéo, il suffit de l’identifiant et du numéro de téléphone d’une personne pour retrouver le mot de passe de son compte mail (en l’occurrence GMail) pour ensuite pouvoir utiliser les fonctions “Mot de passe oublié” que l’on retrouve sur tous les services (ici pour avoir accès au compte Bitcoin de la victime). Cela vaut également pour tous les comptes comme encore certaines banques qui utilisent encore le SMS comme double authentification.

Il est donc conseillé d’utiliser la double authentification via une application mobile, il en existe d’ailleurs des open-source si vous n’avez pas confiance en les plus utilisées (Google, Microsoft …).

L’utilisation d’un gestionnaire de mots de passe

Depuis que j’en utilise un (hébergé sur mon propre serveur et dont le code source est disponible ici), je ne cesse jamais de découvrir les bienfaits d’un tel service. J’ai actuellement plus d’une centaine de mots de passe (c’est énorme d’ailleurs) stockés sur mon gestionnaire, ils sont tous différents et possèdent tous au moins 16 caractères (sauf pour certains sites qui n’en acceptent toujours pas autant …). Ce qui fait que si j’appends qu’un site a été piraté, j’ai juste à me désinscrire de ce site ou bien y changer le mot de passe, tous mes autres comptes sont en sécurité (sauf si c’est un compte mail malheureusement). Je vous invite par ailleurs à lire mon article consacré aux gestionnaires de mots de passe pour en savoir plus.

Un gestionnaire de mots de passe permet également de changer simplement de mot de passe car vous n’avez plus à les retenir. N’hésitez donc pas à les changer régulièrement !

Have I Been Powned

Il existe un site pour savoir si l’on a été victime d’un piratage de masse: HaveIBeenPowned. Celui-ci référence les identifiants des victimes des plus gros piratages (241 piratages pour 4 779 745 355 comptes piratés, soit 19 832 968 victimes par piratage en moyenne). Essayez d’y rentrer votre adresse mail, vous verrez ce qu’il en ressort ! Par exemple avec mon ancienne adresse mail, je me retrouve avec 5 comptes (tels que Dailymotion ou Dropbox) dont les identifiants ont potentiellement circulé dans la nature.

Bien sur, si votre mail figure dans la base de données, il est impératif de changer les mots de passe des comptes compromis si ça n’a pas déjà été fait !! Par contre, ce n’est pas exhaustif, si vous n’y figurez pas, ça ne veut pas dire que vous êtes totalement en sécurité.

Conclusion

A moins de n’être inscrit à aucun site, vous avez toujours le risque que l’un d’eux se fasse pirater et que vos informations soient alors compromises. Il est important d’être au courant de cela et de prendre quelques précautions comme un mot de passe différent pour chaque site ou la double authentification comme je l’ai dit dans l’article.

Je vais bientôt migrer les commentaires de Disqus à une plateforme auto-hébergée et open-source ainsi que quitter google-analytics pour rendre ce site totalement libre et autonome de toutes les sociétés qui nous entourent !

Pour finir, soyez prudent mais ne tombez pas non plus dans la paranoïa.

Commentaires




Ailleurs sur le Web


Building A Virtual Machine inside ChatGPT

C'est juste dingue :o

via Shaarli le 06 décembre 2022

Le vrai coût écologique d’un email - Les Numériques

Vous avez sans doute souvent entendu que supprimer ses vieux emails et mettre de l’ordre dans sa messagerie était “bon pour la planète”. A priori, ça ne peut pas faire de mal, mais c’est une idée à laquelle il faut aujourd’hui tordre le cou. En effet, nou…

via Shaarli le 15 octobre 2022

La France Insoumise veut (encore) taxer l’utilisation commerciale des œuvres du domaine public

Je rejoins à 100% l'avis de SebSauvage. Ah mais MERDE hein. Je refuse que des gens piquent de l'argent à d'autres en exploitant ce que j'ai VOLONTAIREMENT mis dans le domaine public. Le copyreich a bien travaillé à laver les cerveaux. Est-ce…

via Shaarli le 03 octobre 2022

Généré avec openring


Recettes de gourmands


Flammekueche

Sacrilège, cette tarte flambée est dans la catégorie des pizzas ... On verra si je crée cette catégorie si je rajoute d'autres tartes flambées !

via cooking.pofilo.fr le 25 décembre 2022

Tourte au cantal

Relativement simple à préparer, cette tourte vous réchauffera durant les soirées d'hiver.

via cooking.pofilo.fr le 11 décembre 2022

Poulet Coco Curry

Un classique, mais toujours efficace. Le riz peut être remplacé par des pâtes ou des haricots verts. N’hésitez pas à doser le curry (force et quantité) selon vos préférences.

via cooking.pofilo.fr le 24 décembre 2021

Généré avec openring