Tweet
Etude sur les MDPs
Bonsoir,
Je vous résume ici un excellent article de Clubic:
Alors, on va mettre les choses au clair d'entrée, pour moi les deux failles majeures de nos Services d'Informations aujourd'hui, c'est:
-Les utilisateurs (Notamment grâce à l'Ingénierie Sociale)
-Les MDP des utilisateurs (Et là, je vais taper fort !)
Donc, je vous invite donc à lire cet article de Clubic -> ICI
Après l'avoir lu, cela confirme mes craintes, que je savais fondées déjà, mais qui sont renforcées au maximum.
Je résume:
A partir d'un projet d'une personne, une étude à été menée -> ICI (En anglais), ses résultats sont très intéressants:
Cette personne à une base de 6 millions de couples IDs/MDPs pris au hasard sur internet. Dans cette base, on a:
-98,8 % de cette base emploient les 10 000 mots de passe les plus fréquents (Cela nous fait: 5 928 000 Utilisateurs)
-91 % se concentrent sur 1 000 mots de passe (Cela fait : 5 460 000 Utilisateurs)
-40 % font avec 100 mots de passe (Là, on est à: 2 400 000 Utilisateurs)
Là, pour la suite, c'est comme pour le bac, mention spéciale: ZERO POINTE
-14 % (soit 840 000 personnes tout de même) piochent dans le top 10 ! (Comprenez, que vous pouvez accédez à 14% de ces comptes avec le top des MDPs ci-dessous:
On y retrouve les classiques, mais certains font leur apparition, comme "adobe123".
Là, on entre dans la réaction à une partie de l'article:
Sur cette partie, je constate malheureusement aucune amélioration, que ce soit du coté des matériels "Station" (Ordinateur portable, "Tour", station de travail, etc) que des matériels ""Mobiles (tablettes, phablettes, smartphone, consoles, etc), pour moi je comprends "le triangle de la sécurité" (Je réutilise cette notion de CEH, car je pense que c'est pour cette situation, là mieux adaptée) doit être orientée vers la facilité d'utilisation (Easy of use) mais ce n'est ABSOLUMENT pas une raison pour laisser des stratégies de mots de passe si légères, intérieurement quand j'entends des utilisateurs se passer les MDPs à voix haute ou même par mail, je m'énerve. On privilégie cet EASY OF USE au détriment de la SECURITE. Certes, l'équilibre est une chose dure pour les administrateurs à trouver, mais cela n'excuse pas cette "faute". Oui, permettre à un utilisateur d'avoir un MDP de moins de 12 Caractères ne devrait pas être autorisé.
Pourquoi 12 Caractères ?
Je prends comme références, certains logiciels que je connais assez bien, qui proposent de casser des MDPs et au dessus de 12 grand public, on en trouve pas beaucoup, qui sont simples d'utilisation. Cela restreint de manière significative, le cassage de vos MDPs par un script Kiddie.
De plus, sur des systèmes tels que les smartphones, des solutions d'authentification alternatives existent ! Oui, le schéma qui est dans un fichier crypté de manière assez "HARD", ou même des suites logiques pour le propriétaire (Faire un puzzle pour prouver que ce n'est pas un robot, je compte sur les doigts de la main les logiciels qui permettent de contourner ou de réussir ce test).
Nous avons les moyens, pourquoi ne pas le faire alors ?
A cette question, plusieurs réponses sont avancées, voici les principales:
- C'est cher à mettre en place ! (Oui, au début, mais je peux vous garantir que si une entreprise perd ses fichiers clients, les pertes seront BEAUCOUP plus élevées ! )
- Non, on ne vas pas imposer des contraintes en plus à l'utilisateur ! (OK, mais alors on le laisse avec un MDP de 6 caractères comme "123456): Non! Il faut qu'il y ai une évolution des mentalités, sinon, je ne prédis que des articles comme celui-ci -> ICI dans les années suivantes).
-Mais non, cela n'arrive qu'aux autres ! (Eh oui, il y en a encore des administrateurs "je m'en foutistes". Mais alors le jour où cela va leur tomber sur le nez, ils ont intérêt à courir vite ! )
Au final, l'entreprise gagne toujours, sur le point financier et sur le point sécurité et intégrité des données.
Au vu des nouvelles technologies apparues ces dernières années, j'en retient deux qui me paraissent utilisables de nos jours:
1 La biométrie:
La biométrie est une nouvelle technologie encore balbutiante mais très intéressante, comparons avec les MDPs:
Certes, il y a pleins d'avantages, mais le principal problème des adminitrateurs réseaux c'est la mise en oeuvre:
-Pas d'argent
-La législation
-Les IRP (Institutions Représentatives du Personnel) qui vont crier à la seule vue du mot BIOMETRIE.
2. La double authentification
Ce procédé fonctionne très bien. Mis en place par les principaux sites de ventes, de mails et de services, elle a fait ses preuves.
Vous rentrez votre mot de passe puis, vous lancez une application sur votre téléphone qui génère un code que vous rentrez par la suite. Vous venez de vous authentifier.
Cette technique casse le BRUTEFORCE des MDPs. Et je pense que si on vous vole votre téléphone, vous allez vous en apercevoir rapidement. De plus, si le pirate veut avoir votre compte et que vous avez sécurisé un minimum, il va devoir:
I. Voler votre téléphone
II. Trouver votre code PIN
III Trouver votre MDP
IV. Trouver le MDP de l'application de verrouillage pour accéder au générateur de code (Là, c'est pour une personne assez portée sur la sécurité)
Avec toutes ces étapes, vous pouvez être relativement tranquille.
Mais attention:
Je vous résume ici un excellent article de Clubic:
Tout au long de cet article, c'est mon point de vue, si vous n'êtes pas d'accord, je ferais une joie de vous répondre et/ou de débattre sur ce sujet
Alors, on va mettre les choses au clair d'entrée, pour moi les deux failles majeures de nos Services d'Informations aujourd'hui, c'est:
-Les utilisateurs (Notamment grâce à l'Ingénierie Sociale)
-Les MDP des utilisateurs (Et là, je vais taper fort !)
Donc, je vous invite donc à lire cet article de Clubic -> ICI
Après l'avoir lu, cela confirme mes craintes, que je savais fondées déjà, mais qui sont renforcées au maximum.
Je résume:
A partir d'un projet d'une personne, une étude à été menée -> ICI (En anglais), ses résultats sont très intéressants:
Cette personne à une base de 6 millions de couples IDs/MDPs pris au hasard sur internet. Dans cette base, on a:
-98,8 % de cette base emploient les 10 000 mots de passe les plus fréquents (Cela nous fait: 5 928 000 Utilisateurs)
-91 % se concentrent sur 1 000 mots de passe (Cela fait : 5 460 000 Utilisateurs)
-40 % font avec 100 mots de passe (Là, on est à: 2 400 000 Utilisateurs)
Là, pour la suite, c'est comme pour le bac, mention spéciale: ZERO POINTE
-14 % (soit 840 000 personnes tout de même) piochent dans le top 10 ! (Comprenez, que vous pouvez accédez à 14% de ces comptes avec le top des MDPs ci-dessous:
On y retrouve les classiques, mais certains font leur apparition, comme "adobe123".
Là, on entre dans la réaction à une partie de l'article:
Envoyé par Clubic
Triangle de la sécurité:
L'étoile noire est pour moi la situation actuelle de la sécurité des SI.
L'étoile noire est pour moi la situation actuelle de la sécurité des SI.
Pourquoi 12 Caractères ?
Je prends comme références, certains logiciels que je connais assez bien, qui proposent de casser des MDPs et au dessus de 12 grand public, on en trouve pas beaucoup, qui sont simples d'utilisation. Cela restreint de manière significative, le cassage de vos MDPs par un script Kiddie.
De plus, sur des systèmes tels que les smartphones, des solutions d'authentification alternatives existent ! Oui, le schéma qui est dans un fichier crypté de manière assez "HARD", ou même des suites logiques pour le propriétaire (Faire un puzzle pour prouver que ce n'est pas un robot, je compte sur les doigts de la main les logiciels qui permettent de contourner ou de réussir ce test).
Nous avons les moyens, pourquoi ne pas le faire alors ?
A cette question, plusieurs réponses sont avancées, voici les principales:
- C'est cher à mettre en place ! (Oui, au début, mais je peux vous garantir que si une entreprise perd ses fichiers clients, les pertes seront BEAUCOUP plus élevées ! )
- Non, on ne vas pas imposer des contraintes en plus à l'utilisateur ! (OK, mais alors on le laisse avec un MDP de 6 caractères comme "123456): Non! Il faut qu'il y ai une évolution des mentalités, sinon, je ne prédis que des articles comme celui-ci -> ICI dans les années suivantes).
-Mais non, cela n'arrive qu'aux autres ! (Eh oui, il y en a encore des administrateurs "je m'en foutistes". Mais alors le jour où cela va leur tomber sur le nez, ils ont intérêt à courir vite ! )
Au final, l'entreprise gagne toujours, sur le point financier et sur le point sécurité et intégrité des données.
Au vu des nouvelles technologies apparues ces dernières années, j'en retient deux qui me paraissent utilisables de nos jours:
1 La biométrie:
La biométrie est une nouvelle technologie encore balbutiante mais très intéressante, comparons avec les MDPs:
Certes, il y a pleins d'avantages, mais le principal problème des adminitrateurs réseaux c'est la mise en oeuvre:
-Pas d'argent
-La législation
-Les IRP (Institutions Représentatives du Personnel) qui vont crier à la seule vue du mot BIOMETRIE.
2. La double authentification
Ce procédé fonctionne très bien. Mis en place par les principaux sites de ventes, de mails et de services, elle a fait ses preuves.
Vous rentrez votre mot de passe puis, vous lancez une application sur votre téléphone qui génère un code que vous rentrez par la suite. Vous venez de vous authentifier.
Cette technique casse le BRUTEFORCE des MDPs. Et je pense que si on vous vole votre téléphone, vous allez vous en apercevoir rapidement. De plus, si le pirate veut avoir votre compte et que vous avez sécurisé un minimum, il va devoir:
I. Voler votre téléphone
II. Trouver votre code PIN
III Trouver votre MDP
IV. Trouver le MDP de l'application de verrouillage pour accéder au générateur de code (Là, c'est pour une personne assez portée sur la sécurité)
Avec toutes ces étapes, vous pouvez être relativement tranquille.
Mais attention:
EN SECURITE, SI ON VEUT VRAIMENT VOUS NUIRE, QU'IMPORTE CELLE EXISTANTE, IL Y AURA TOUJOURS PLUS MALIN QUE VOUS
Commentaire