[Sécurité] Piratages Informatiques

Publié le 10 octobre 2017

Informatique Divers Sécurité

 Attention, cet article date de plus d'un an. Les informations qu'il contient sont peut-être obsolètes. 

Bonjour à tous !

Nous allons aujourd’hui parler de quelque chose qui commence à devenir une fâcheuse habitude. Comme le titre de l’article l’indique, il s’agit des piratages informatiques.

Le cliché du hacker
Le cliché du hacker

Yahoo est par exemple apparu trois fois dans la presse en quelques années pour avoir été la cible de piratages de masse. Les comptes (identifiants, mots de passe …) de tous les utilisateurs (à savoir quelque 3 milliards de comptes lors d’un piratage de grande ampleur en août 2013) ont notamment été ciblés.

Pour ne pas parler que de Yahoo, voici une petite liste de services ayant déjà été piratés et dont la sécurité des utilisateurs a pu être compromise: MySpage, LinkedIn, Adobe, Badoo, Dailymotion, Dropbox, Tumblr, Disqus ou encore Kickstarter, Snapchat, Patreon, Warframe, OVH/Kimsufi. Vous pouvez retrouver une liste assez complète à cette adresse ou bien sur ce flux RSS pour un affichage par ordre chronologique.

Les commentaires de ce site

Si je vous parle de ça aujourd’hui, ce n’est pas sans raison. Dans les derniers jours, c’est Disqus qui a révélé avoir été la cible d’un piratage en 2012 pour plus de 17 millions de comptes dérobés. Or les commentaires de ce site sont encore gérés par Disqus et que vous êtes obligé de passer par ce service pour y déposer un commentaire (même si l’inscription n’est pas obligatoire).

Logo de Disqus
Logo de Disqus

Je vais essayer dans les prochains jours/semaines (dès que je peux en fait) de migrer sur une solution à la fois open-source, mais également une solution où les commentaires seront hébergés sur mon serveur. De cette façon, je serai totalement maître et responsable des commentaires du site et vous ne serez plus obligé de passer par un service externe !

Bien sur, si vous avez changé de mot de passe Disqus depuis 2012, vous ne courrez plus de danger mais par principe, je préfère ne pas vous forcer à l’utiliser. De plus, gérer moi-même les commentaires était une chose que j’avais eu en tête à un certain moment (mais qui en était également resorti). De telles solutions existent, on retrouve par exemple Hashover. Si vous avez une autre alternative à me conseiller, je suis totalement preneur ! (Par la même occasion, je switcherai également de google-analytics à une solution “moins propriétaire”).

Comment se prévenir de ces piratages

On ne peut bien sur pas éviter à coup sûr ces piratages, la seule solution étant de ne pas avoir de comptes chez tous ces services susceptibles de se faire pirater. En revanche, on peut réduire au maximum les conséquences d’un tel piratage.

La double authentification

Je pense notamment à la double authentification qui rend la possession des identifiants et mots de passe d’une personne non suffisants pour s’y connecter.

Attention toutefois à ce que l’on utilise comme double authentification, celle par SMS ayant déjà prouvée toutes ses lacunes et donc son manque de sécurité. Comme on peut le voir dans cette vidéo, il suffit de l’identifiant et du numéro de téléphone d’une personne pour retrouver le mot de passe de son compte mail (en l’occurrence GMail) pour ensuite pouvoir utiliser les fonctions “Mot de passe oublié” que l’on retrouve sur tous les services (ici pour avoir accès au compte Bitcoin de la victime). Cela vaut également pour tous les comptes comme encore certaines banques qui utilisent encore le SMS comme double authentification.

Il est donc conseillé d’utiliser la double authentification via une application mobile, il en existe d’ailleurs des open-source si vous n’avez pas confiance en les plus utilisées (Google, Microsoft …).

L’utilisation d’un gestionnaire de mots de passe

Depuis que j’en utilise un (hébergé sur mon propre serveur et dont le code source est disponible ici), je ne cesse jamais de découvrir les bienfaits d’un tel service. J’ai actuellement plus d’une centaine de mots de passe (c’est énorme d’ailleurs) stockés sur mon gestionnaire, ils sont tous différents et possèdent tous au moins 16 caractères (sauf pour certains sites qui n’en acceptent toujours pas autant …). Ce qui fait que si j’appends qu’un site a été piraté, j’ai juste à me désinscrire de ce site ou bien y changer le mot de passe, tous mes autres comptes sont en sécurité (sauf si c’est un compte mail malheureusement). Je vous invite par ailleurs à lire mon article consacré aux gestionnaires de mots de passe pour en savoir plus.

Un gestionnaire de mots de passe permet également de changer simplement de mot de passe car vous n’avez plus à les retenir. N’hésitez donc pas à les changer régulièrement !

Have I Been Powned

Il existe un site pour savoir si l’on a été victime d’un piratage de masse: HaveIBeenPowned. Celui-ci référence les identifiants des victimes des plus gros piratages (241 piratages pour 4 779 745 355 comptes piratés, soit 19 832 968 victimes par piratage en moyenne). Essayez d’y rentrer votre adresse mail, vous verrez ce qu’il en ressort ! Par exemple avec mon ancienne adresse mail, je me retrouve avec 5 comptes (tels que Dailymotion ou Dropbox) dont les identifiants ont potentiellement circulé dans la nature.

Bien sur, si votre mail figure dans la base de données, il est impératif de changer les mots de passe des comptes compromis si ça n’a pas déjà été fait !! Par contre, ce n’est pas exhaustif, si vous n’y figurez pas, ça ne veut pas dire que vous êtes totalement en sécurité.

Conclusion

A moins de n’être inscrit à aucun site, vous avez toujours le risque que l’un d’eux se fasse pirater et que vos informations soient alors compromises. Il est important d’être au courant de cela et de prendre quelques précautions comme un mot de passe différent pour chaque site ou la double authentification comme je l’ai dit dans l’article.

Je vais bientôt migrer les commentaires de Disqus à une plateforme auto-hébergée et open-source ainsi que quitter google-analytics pour rendre ce site totalement libre et autonome de toutes les sociétés qui nous entourent !

Pour finir, soyez prudent mais ne tombez pas non plus dans la paranoïa.

Commentaires




Ailleurs sur le Web


Quitter Gandi en prenant le chemin le plus improbable - LinuxFr.org

Ce n'est pas la première fois qu'une personne passée du mail auto-hébergé fait un retour pour dire que ce n'est pas si dur que ça. Merci pour ce retour d'expérience :)

via Shaarli le 15 septembre 2023

lofi air traffic control

Ce site est juste top à mettre en bruit de fond quand on travaille ou qu'on reste sur le PC. Il s'agit de musiques LoFi (Low Fidelity) de Hip Hop combinées à des radios de contrôle aérien en direct. Il est possible de choisir entre quelques aéroport…

via Shaarli le 12 septembre 2023

Alimentation non interruptible UPS pour Raspberry Pi : PiPower de SunFounder - Framboise 314, le Raspberry Pi à la sauce française....

Bien moins cher qu'un onduleur pour quelques heures d'autonomie. Après, si on veut aussi y mettre sa box/routeur, il vaut mieux un "vrai onduleur".

via Shaarli le 03 septembre 2023

Généré avec openring


Recettes de gourmands


Galette comtoise

Sans vouloir être chauvin, cette galette venant de Besançon est ma galette préférée.

via cooking.pofilo.fr le 12 février 2023

Crösti-monsieurs

Un "creuchti-monsieur", c'est un croque-monsieur mais avec des röstis en guise de pain.

via cooking.pofilo.fr le 15 janvier 2023

Flammekueche

Sacrilège, cette tarte flambée est dans la catégorie des pizzas ... On verra si je crée cette catégorie si je rajoute d'autres tartes flambées !

via cooking.pofilo.fr le 25 décembre 2022

Généré avec openring