[Sécurité] Piratages Informatiques

Tags: Informatique Divers Sécurité


Bonjour à tous !

Nous allons aujourd’hui parler de quelque chose qui commence à devenir une facheuse habitude. Comme le titre de l’article l’indique, il s’agit des piratages informatiques.

Le cliché du hacker
Le cliché du hacker

Yahoo est par exemple apparu trois fois dans la presse en quelques années pour avoir été la cible de piratages de masse. Les comptes (identifiants, mots de passe …) de tous les utilisateurs (à savoir quelques 3 milliards de comptes lors d’un piratage de grande ampleur en Août 2013) ont notamment été ciblés.

Pour ne pas parler que de Yahoo, voici une petite liste de services ayant déjà été piratés et dont la sécurité des utilisateurs a pu être compromise: MySpage, LinkedIn, Adobe, Badoo, Dailymotion, Dropbox, Tumblr, Disqus ou encore Kickstarter, Snapchat, Patreon, Warframe, OVH/Kimsufi.
Vous pouvez retrouver une liste assez complète à cette adresse ou bien sur ce flux RSS pour un affichage par ordre chronologique.

Les commentaires de ce site

Si je vous parle de ça aujourd’hui, ce n’est pas sans raison. Dans les derniers jours, c’est Disqus qui a révélé avoir été la cible d’un piratage en 2012 pour plus de 17 millions de comptes dérobés. Or les commentaires de ce site sont encore gérés par Disqus et que vous êtes obligé de passer par ce service pour y déposer un commentaire (même si l’inscription n’est pas obligatoire).

Logo de Disqus
Logo de Disqus

Je vais essayer dans les prochains jours/semaines (dès que je peux en fait) de migrer sur une solution à la fois open-source, mais également une solution où les commentaires seront hébergés sur mon serveur. De cette façon, je serai totalement maître et responsable des commentaires du site et vous ne serez plus obligé de passer par un service externe !

Bien sur, si vous avez changé de mot de passe Disqus depuis 2012, vous ne courrez plus de danger mais par principe, je préfère ne pas vous forcer à l’utiliser. De plus, gérer moi même les commentaires était une chose que j’avais eu en tête à un certain moment (mais qui en était également resorti). De telles solutions existent, on retrouve par exemple Hashover. Si vous avez une autre alternative à me conseiller, je suis totalement preneur ! (Par la même occasion, je switcherai également de google-analytics à une solution “moins propriétaire”).

Comment se prévenir de ces piratages

On ne peut bien sur pas éviter à coup sûr ces piratages, la seule solution étant de ne pas avoir de comptes chez tous ces services susceptibles de se faire pirater. En revanche, on peut réduire au maximum les conséquences d’un tel piratage.

La double authentification

Je pense notamment à la double authentification qui rend la possession des identifiants et mots de passe d’une personne non suffisants pour s’y connecter.

Attention toutefois à ce que l’on utilise comme double authentification, celle par SMS ayant déjà prouvée toutes ses lacunes et donc son manque de sécurité.
Comme on peut le voir dans cette vidéo, il suffit de l’identifiant et du numéro de téléphone d’une personne pour retrouver le mot de passe de son compte mail (en l’occurence GMail) pour ensuite pouvoir utiliser les fonctions “Mot de passe oublié” que l’on retrouve sur tous les services (ici pour avoir accès au compte Bitcoin de la victime). Cela vaut également pour tous les comptes comme encore certaines banques qui utilisent encore le SMS comme double authentification.

Il est donc conseillé d’utiliser la double authentification via une application mobile, il en existe d’ailleurs des open-source si vous n’avez pas confiance en les plus utilisées (Google, Microsoft ..).

L’utilisation d’un gestionnaire de mots de passe

Depuis que j’en utilise un (hébergé sur mon propre serveur et dont le code source est disponible ici), je ne cesse jamais de découvrir les bienfaits d’un tel service. J’ai actuellement plus d’une centaine de mots de passe (c’est énorme d’ailleurs) stockés sur mon gestionnaire, ils sont tous différents et possèdent tous au moins 16 caractères (sauf pour certains sites qui n’en acceptent toujours pas autant …). Ce qui fait que si j’appends qu’un site a été piraté, j’ai juste à me désinscrire de ce site ou bien y changer le mot de passe, tous mes autres comptes sont en sécurité (sauf si c’est un compte mail malheureusement). Je vous invite par ailleurs à lire mon article consacré aux gestionnaires de mots de passe pour en savoir plus.

Un gestionnaire de mots de passe permet également de changer simplement de mot de passe car vous n’avez plus à les retenir. N’hésitez donc pas à les changer régulièrement !

Have I Been Powned

Il existe un site pour savoir si l’on a été victime d’un piratage de masse: HaveIBeenPowned. Celui-ci référence les identifiants des victimes des plus gros piratages (241 piratages pour 4 779 745 355 comptes piratés, soit 19 832 968 victimes par piratage en moyenne). Essayez d’y rentrer votre adresse mail, vous verrez ce qu’il en ressort !
Par exemple avec mon ancienne adresse mail, je me retrouve avec 5 comptes (tels que Dailymotion ou Dropbox) dont les identifiants ont potentiellement circulé dans la nature.

Bien sur, si votre mail figure dans la base de données, il est impératif de changer les mots de passe des comptes compromis si ça n’a pas déjà été fait !! Par contre, ce n’est pas exhaustif, si vous n’y figurez pas, ça ne veut pas dire que vous êtes totalement en sécurité.

Conclusion

A moins de n’être inscrit à aucun site, vous avez toujours le risque que l’un d’eux se fasse pirater et que vos informations soient alors compromises. Il est important d’être au courant de cela et de prendre quelques précautions comme un mot de passe différent pour chaque site ou la double authentification comme je l’ai dit dans l’article.

Je vais bientôt migrer les commentaires de Disqus à une plateforme auto-hébergée et open-source ainsi que quitter google-analytics pour rendre ce site totalement libre et autonome de toutes les sociétés qui nous entourent !

Pour finir, soyez prudent mais ne tombez pas non plus dans la paranoïa.

Commentaires