Rédigé par Romain Commandé dans Vieilleries le 25/02/2008

tags: Sécurité

Attention vieillerie!

Ce billet est ancien. Il a été récuperé de mon ancien blog "un blog sur la banquise" via un script douteux basé sur la lecture de flux RSS qui n'a fait que partiellement sont boulot, et c'est bien dommage... ou pas!

Il a donc été transféré dans la catégorie "vieilleries" parce que je suis comme ça: je ne jète rien.

Vous ètes donc dans une zone qui ne correspond peut-être plus à l'orientation actuel du blog, qui contient potentiellement des informations qui ne sont plus d'actualité, fausses, voir même sans interêt, bourré de liens cassés, des images ou des sources manquantes. Le pire, c'est que ce ne sera jamais corrigé.

À consulter à vos risques et périls!

Alors commençons doucement pour ce premier billet sécurité: une astuce pour le choix d'un bon mot de passe. Oubliez votre date de naissance ou le prénom de votre chien cela est bien trop facile à deviner.

image0

Avant de dévoiler cette petite astuce nous allons voir les différentes méthodes que peut utiliser une personne mal intentionné afin de découvrir votre mot de passe. Il y en a plusieurs:
  • Vous connaissant bien et le mot de passe étant un élément ou un objet vous concernant (date de naissance, prénom...) le mot de passe devient donc très facile à deviner.
  • Le système à protéger propose "une question secrète" qui peut remplacer un mot de passe en cas de perte de celui-ci. La encore, une personne vous connaissant un minimum n'aura pas de mal à répondre à cette question surtout que celles-ci sont surtout des questions très simples comme le nom de jeune fille, l'équipe de football préféré...
  • Par fishing. Alors cette fois-ci une petite explication s'impose. Le fishing c'est "l'art" de récupérer un indentifiant (loggin) et/ou un mot de passe en se fesant passer pour quelqu'un de bien intentionné. Un exemple: le fishing par mail (le plus répandu). Vous recevez un mail de votre banque vous demandant d'aller sur son site internet afin de bénéficier de sa nouvelle offre. Le mail est très bien présenté et cette fameuse offre est tout à fait interessante et à tout l'air de provenir réellement de votre banque. ERREUR! Ce mail est en faite un faux! (il est très facile d'envoyer un mail en se fesant passer pour quelqu'un d'autre (ça sera le sujet d'un prochain billet). Que se passe-t'il ensuite? Le mail vous donne un lien sur lequel vous cliquez et arrivez sur le site de votre banque cherie, mais en faite ce site est "un miroir" ou plutôt une réplique exacte du site de votre banque vous demandant de vous identifier. En faite une fois les identifiants et le mot de passe entrés c'est informations seront diréctement envoyé à l'auteur de ce canular...
  • Le "Force Brute". Généralement les mots de passe de la plupart des logiciels sont stockés cryptés dans un fichier. Pour obtenir un mot de passe, il suffit de récupérer ce fichier et de lancer un logiciel de brute force cracking. Ce procédé consiste à tester de façon exhaustive toutes les combinaisons possibles de caractères (alphanumériques + symboles), de manière à trouver au moins un mot de passe valide. Cette attaque se base sur le fait que n'importe quel mot de passe est crackable. Ce n'est qu'une histoire de temps. Mais la puissance des machines double tous les deux ans. On parle de plus en plus de processeurs 3-4GHz... De plus, les crackers n'hésitent pas à fabriquer des cartes électroniques de cracking, ce qui améliore en conséquence la rapidité de la machine, et donc les chances de trouver un mot de passe valide. En général, cette méthode est empruntée lorsque la méthode du dictionary cracking a échoué (variante du "force brute" qui consiste à utiliser un "dictionnaire" des mots de passes les plus utilisés).
  • Par keylogging. Cette méthode consiste à installer, à l'inssu de l'utilisateur, un logiciel sur le PC de la victime qui enregistrera tous ce qui a été tappé au clavier (texte, identifiant, mot de passe). La personne ayant installé le logiciel pourra récupérer par la suite tous le contenu des "logs" (fichiers contenant le listing des frappes) plus tard, soit depuis le pc de la vicitime soit par mail.

Bien sûr je ne vais pas pouvoir vous expliquer comment vous protéger de toute ces méthodes, pour la plupart vous avez devinez par vous même. Par contre, je vais vous expliqué une petite astuce pour creer un mot de passe qui sera difficile à deviner par n'importe qui, et difficile a cracker même par un ordinateur, et surtout facile a retenir ^^ (oui oui la totale :-p). Oubliez votre prénom ou votre club de football préféré en mot de passe cela ne tiendra pas la route très longtemps. A la fin de ce billet vous serez capable de créer des mot de passe comme "celpbdlrad1BslBc" simplement et facile à retenir. L'explication: * Trouvez une phrase contenant un/mot(s) en majuscules et un/des numéro(s). * Prenez uniquement les initialies.

"Ceci est juste une phrase d'exemple pour illustré le choix d'un bon mot de passe"==>"Cejupdepilcd1bmdp"

Voila c'est pas plus compliqué que ça! Ca marche avec tous types de phrases, que ce soit une expression ou les paroles de votre chanson préféré! On commence vraiment en douceur mais croyez moi cette méthode est très utile ;)

Romain Commandé
Proudly powered by Pelican, which takes great advantage of Python.
Sauf mention particulière, le contenu de ce site est mis à disposition selon les termes de la licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Pas de Modification 3.0 non transposé.