Annonce

Réduire
Aucune annonce.

Etude sur les MDPs

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Etude sur les MDPs

    Bonsoir,

    Je vous résume ici un excellent article de Clubic:

    Tout au long de cet article, c'est mon point de vue, si vous n'êtes pas d'accord, je ferais une joie de vous répondre et/ou de débattre sur ce sujet

    Alors, on va mettre les choses au clair d'entrée, pour moi les deux failles majeures de nos Services d'Informations aujourd'hui, c'est:

    -Les utilisateurs (Notamment grâce à l'Ingénierie Sociale)
    -Les MDP des utilisateurs (Et là, je vais taper fort !)

    Donc, je vous invite donc à lire cet article de Clubic -> ICI

    Après l'avoir lu, cela confirme mes craintes, que je savais fondées déjà, mais qui sont renforcées au maximum.

    Je résume:

    A partir d'un projet d'une personne, une étude à été menée -> ICI (En anglais), ses résultats sont très intéressants:


    Cette personne à une base de 6 millions de couples IDs/MDPs pris au hasard sur internet. Dans cette base, on a:

    -98,8 % de cette base emploient les 10 000 mots de passe les plus fréquents (Cela nous fait: 5 928 000 Utilisateurs)
    -91 % se concentrent sur 1 000 mots de passe (Cela fait : 5 460 000 Utilisateurs)
    -40 % font avec 100 mots de passe (Là, on est à: 2 400 000 Utilisateurs)

    Là, pour la suite, c'est comme pour le bac, mention spéciale: ZERO POINTE

    -14 % (soit 840 000 personnes tout de même) piochent dans le top 10 ! (Comprenez, que vous pouvez accédez à 14% de ces comptes avec le top des MDPs ci-dessous:



    On y retrouve les classiques, mais certains font leur apparition, comme "adobe123".

    Là, on entre dans la réaction à une partie de l'article:

    Envoyé par Clubic
    Le remède est simple, sa mise en oeuvre plus délicate. D'après une étude de l'Université de Toronto que cite le rapport Deloitte, les êtres humains limités que nous sommes peinerions à retenir plus de sept chiffres dans notre mémoire à court terme, et même plus que cinq en prenant de l'âge. L'ajout de symboles, de lettres majuscules et minuscules produirait un mix encore moins aisé à retenir. Le rapport se fait plus accablant en ajoutant que la nature humaine a tendance à suivre des schémas de pensée limités par rapport aux possibilités offertes. La majuscule ? En première position dans les mots. Les chiffres ? à la fin. Des 32 symboles présents sur un clavier américain ? Une demi-douzaine seulement est utilisée. De quoi rendre l'aléa théorique plus prédictif pour les hackers. Rien de nouveau cependant. A moins que... le rapport ne pointe du doigt un nouveau frein, imputable aux usages mobiles. L'absence ou la moindre accessibilité des caractères spéciaux sur les claviers des smartphones amène le nomade à simplifier son mot de passe. Tout comme le temps de saisie supérieur qui inciterait un quart des personnes sondées à utiliser un mot de passe plus court pour gagner du temps. De 4 à 5 secondes pour taper un mot de passe de 10 caractères sur un clavier standard d'ordinateur, il faudrait entre 7 et 30 secondes pour faire la même chose depuis un smartphone tactile.
    Sur cette partie, je constate malheureusement aucune amélioration, que ce soit du coté des matériels "Station" (Ordinateur portable, "Tour", station de travail, etc) que des matériels ""Mobiles (tablettes, phablettes, smartphone, consoles, etc), pour moi je comprends "le triangle de la sécurité" (Je réutilise cette notion de CEH, car je pense que c'est pour cette situation, là mieux adaptée) doit être orientée vers la facilité d'utilisation (Easy of use) mais ce n'est ABSOLUMENT pas une raison pour laisser des stratégies de mots de passe si légères, intérieurement quand j'entends des utilisateurs se passer les MDPs à voix haute ou même par mail, je m'énerve. On privilégie cet EASY OF USE au détriment de la SECURITE. Certes, l'équilibre est une chose dure pour les administrateurs à trouver, mais cela n'excuse pas cette "faute". Oui, permettre à un utilisateur d'avoir un MDP de moins de 12 Caractères ne devrait pas être autorisé.

    Triangle de la sécurité:


    L'étoile noire est pour moi la situation actuelle de la sécurité des SI.


    Pourquoi 12 Caractères ?

    Je prends comme références, certains logiciels que je connais assez bien, qui proposent de casser des MDPs et au dessus de 12 grand public, on en trouve pas beaucoup, qui sont simples d'utilisation. Cela restreint de manière significative, le cassage de vos MDPs par un script Kiddie.

    De plus, sur des systèmes tels que les smartphones, des solutions d'authentification alternatives existent ! Oui, le schéma qui est dans un fichier crypté de manière assez "HARD", ou même des suites logiques pour le propriétaire (Faire un puzzle pour prouver que ce n'est pas un robot, je compte sur les doigts de la main les logiciels qui permettent de contourner ou de réussir ce test).

    Nous avons les moyens, pourquoi ne pas le faire alors ?

    A cette question, plusieurs réponses sont avancées, voici les principales:

    - C'est cher à mettre en place ! (Oui, au début, mais je peux vous garantir que si une entreprise perd ses fichiers clients, les pertes seront BEAUCOUP plus élevées ! )

    - Non, on ne vas pas imposer des contraintes en plus à l'utilisateur ! (OK, mais alors on le laisse avec un MDP de 6 caractères comme "123456): Non! Il faut qu'il y ai une évolution des mentalités, sinon, je ne prédis que des articles comme celui-ci -> ICI dans les années suivantes).

    -Mais non, cela n'arrive qu'aux autres ! (Eh oui, il y en a encore des administrateurs "je m'en foutistes". Mais alors le jour où cela va leur tomber sur le nez, ils ont intérêt à courir vite ! )


    Au final, l'entreprise gagne toujours, sur le point financier et sur le point sécurité et intégrité des données.

    Au vu des nouvelles technologies apparues ces dernières années, j'en retient deux qui me paraissent utilisables de nos jours:

    1 La biométrie:

    La biométrie est une nouvelle technologie encore balbutiante mais très intéressante, comparons avec les MDPs:



    Certes, il y a pleins d'avantages, mais le principal problème des adminitrateurs réseaux c'est la mise en oeuvre:
    -Pas d'argent
    -La législation
    -Les IRP (Institutions Représentatives du Personnel) qui vont crier à la seule vue du mot BIOMETRIE.

    2. La double authentification

    Ce procédé fonctionne très bien. Mis en place par les principaux sites de ventes, de mails et de services, elle a fait ses preuves.
    Vous rentrez votre mot de passe puis, vous lancez une application sur votre téléphone qui génère un code que vous rentrez par la suite. Vous venez de vous authentifier.
    Cette technique casse le BRUTEFORCE des MDPs. Et je pense que si on vous vole votre téléphone, vous allez vous en apercevoir rapidement. De plus, si le pirate veut avoir votre compte et que vous avez sécurisé un minimum, il va devoir:

    I. Voler votre téléphone
    II. Trouver votre code PIN
    III Trouver votre MDP
    IV. Trouver le MDP de l'application de verrouillage pour accéder au générateur de code (Là, c'est pour une personne assez portée sur la sécurité)

    Avec toutes ces étapes, vous pouvez être relativement tranquille.

    Mais attention:
    EN SECURITE, SI ON VEUT VRAIMENT VOUS NUIRE, QU'IMPORTE CELLE EXISTANTE, IL Y AURA TOUJOURS PLUS MALIN QUE VOUS
    Dernière modification par L'OMBRE, 05 juillet 2014, 00h05.
    Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

  • #2
    Merci du partage même si j'avais déjà lu l'article cela peut servir d'avertissement pour certains. Je relance le débat ave les soucis sécuritaire que pose l'unicité des mots de passe.
    En effet déjà comme tu le disais combien de service, on pu être corrompre juste à cause d'un 123456 ou même d'un compte admin mdp:test ou admin mdp:admin. On a vu de tout des root des 654321 à l'envers. Il est clair que pour quelqu'un qui a de l'expérience c'est du pain bénis.

    Le pire doit être comme je disais plus haut l'unicité des MDP. Beaucoup par soucis ou crainte de ne plus se rappeler ou perdre leur MDP n'en utilise qu'un seul. Mais la c'est une erreur grossière. Un hackeur malin va rechercher, fouiner et surtout tester à déjà avec juste une cassure , un mail, un pseudo et un MDP fait des dégâts importants.

    Alors imagine on casse un site et on prend vos identifiants. Pour certains cela s'arrête la, une déface ou juste quelques détails sur une page mais d'autres des malins vont aller plus loin. Ils vont tester chaque id recueillis afin de trouver un gars qui aura utilise le même MDP pour tous.

    A ce moment la il va ouvrir vos mails, identifier encore d'autres systèmes ou site sur lequel il pourra se loguer : une plateforme de jeux hop corrompus.

    Le reste coule de source demande de nouveaux MDP par email changement de profil sur tel système afin de récupérer l'ensemble puis au bout d'un temps vous verrez vos id sur Pastebin, Facebook ou autre site de blackHat.

    La solution comme l'a dit L'OMBRE au dessus d'une part un MDP d'au moins 12 caractères et avec une variance des caractères utilisées et d'autre part une multiplicité des MDP (à chaque compte ouvert son MDP). Noter les sur papier et hop dans le tiroir de votre bureau ou sur bloc note sur une clé USB.

    La biométrie est pour ma part une sécurité peu fiable encore et assez cher.Je pense que beaucoup d'administrateur réseaux ne pourront se payer le luxe de la mise en place d'un finger scan,hand scaniris scan,rétina-scan ou facial-scan (eventellement vein pattern-scan). Et surtout les clients on les oublie , vous voyez devoir payer un scan maison pour vous authentifier sur un serveur.A moins que cela fasse partie d'un package complet mais quel prix ce packages ?

    A moins d'utilisé un voice scan ou signature scan (reconnaissance voix ou reconnaissance signature à partir d'une palette graphique).Qui seraient à mon avis moins cher mais tout aussi hackable (faussaire ,imitateurs , oui certains sont prêts à tous pour entrer dans un système).

    Pour ce qui est de la La double authentification je pense qu'à l'ordre d'aujourd'hui cela reste la meilleur solution pour sécuriser un maximum les serveurs.Je pense que couplé avec un pseudo/MDP , des renseignements personnelles et une authentification par téléphone cela permettra de stopper pour l'instant le Hacking.

    Pourquoi je dit l'instant car on se doute bien que beaucoup bosse dessus déjà et que depuis l'aube du net et de l'informatique , des gens cherchent à outrepasser les barrières de sécurité imposer.

    Voila je pense que ce complément d'information devais être abordé.
    Dernière modification par DreAmuS, 05 juillet 2014, 09h30.

    Commentaire


    • #3
      Re: Etude sur les MDPs

      Il me semble que la Biometrie (finger scan) etait bypassable en.... soufflant dessus. Pour reactiver la derniere empreinte. Sais-tu si c'est toujours d'actualité ?
      Mon blog : http://rootsheep.info

      Commentaire


      • #4
        Ben à l'ordre d'aujourd'hui de nouvelles techniques du en grande partie à l'ingéniosité des hackers ont permis comme par exemple à l'aide d'un I phone de prendre une simple photo du doigt de la victime et de bypasser le finger .


        Pour le fun une vidéo que j'ai trouvé aussi sur Google qui montre l'utilisation de l'empreinte d'un chat



        Mais si la personne a un intérêt économique on peut penser qu'il ira jusqu'à l'investigation du domicile de la victime afin de récolter des empreintes chez lui ou renseignements afin de recréé chez soi l'élément qui bypassera la sécurité.

        On pourrait se demander si trop de sécurité ne risque pas de nuire à la personne elle même et si dans certains cas les hackers vont se transformer en véritable cambrioleur ou pire
        Dernière modification par DreAmuS, 05 juillet 2014, 10h55.

        Commentaire


        • #5
          Intéressant mais je ne suis pas d'accord sur certains points:
          De plus, si le pirate veut avoir votre compte et que vous avez sécurisé un minimum, il va devoir:

          I. Voler votre téléphone
          II. Trouver votre code PIN
          III Trouver votre MDP
          IV. Trouver le MDP de l'application de verrouillage pour accéder au générateur de code (Là, c'est pour une personne assez portée sur la sécurité)
          Je ne suis pas d'accord avec ce protocole.
          Est-ce que le pirate a besoin de voler ton ordinateur pour avoir accès à tes données bancaire et à tes mots de passes ? Non, un malware suffis.
          Sachant qu'une majeure parti des mobiles sont des smartphones, c'est le même schéma pour les téléphones.
          Ls botnets bancaire PC+Mobile existent justement pour cela.

          Concernant la biométrie: Oui c'est bypassable, comme tout protocole de sécurité.


          Suivre Hackademics: Twitter, Google+, Facebook.

          Commentaire


          • #6
            La complexité d'un mot de passe ne fait pas tout, le stockage des mdps est tout aussi important. Par exemple, j'ai assisté à une conf de gentilkiwi, créateur de mimikatz, qui nous as démontré à quel point il était facile de trouver un mot de passe de session, qu'on utilise la biométrie, le mdp image ou d'autres méthodes d'authentification.

            Commentaire


            • #7
              Interressant j'aimerais beaucoup si tu veux bien que tu approfondisse sur ce point. J'aimerais bien ,comme tu a assister à cette conférence , savoir comment ils font pour arriver à trouver le mot de passe de session suivant les méthodes d'authentification.

              Commentaire


              • #8
                Tout d'abord, je n'ai pas mentionné le fait qu'il s'agissait de mot de passe de session Windows. En gros, les mots de passe sont stockés en mémoire, si on a déjà accès aux droits admins de la machine, on peut utiliser mimikatz qui dispose de plusieurs modules pouvant effectuer un dump mémoire de la machine, injections dll ou qui s'attaque directement aux processus Windows tel que lsass et qui en récupère les mdps. Malheureusement il n'a pas vraiment documenté en détail le fonctionnement de son outils.
                Les slides de la conf sont disponibles ici : http://fr.slideshare.net/gentilkiwi/mimikatz-sthack

                Commentaire


                • #9
                  Merci beaucoup pour ces précisions et les liens ,je vais étudier tout ça de prés.Je ne connaissais pas du tout c'est vraiment interressant

                  Commentaire


                  • #10
                    Bonsoir,

                    Pour ceux qui veulent l'étudier tranquillement hors-ligne, je vous l'ai fait en PDF. -> ICI

                    Il est vraiment intéressant ce logiciel, je vais l'essayer moi.

                    L'OMBRE
                    Dernière modification par _47, 08 août 2014, 15h36. Motif: lien mis à jour
                    Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

                    Commentaire

                    Chargement...
                    X