Annonce

Réduire
Aucune annonce.

Yahoo! la nouvelle cible : explication du piratage

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • News Yahoo! la nouvelle cible : explication du piratage

    Yahoo! la nouvelle cible : explication du piratage









    Les faits

    1 milliards de comptes piratés! C'est le plus haut chiffre jamais enregistré pour un casse informatique. Le piratage de la base de données a eu lieu en 2013, et aurait été effectuée par des hackers basés
    en Europe de l'Est.
    Le nombre d'identifiants ayant fuités est impressionnant, et pour cause: il s'agit quasiment de la totalité de la base de données Yahoo! Les dégâts du piratage sont considérables, en effet, la base de donnés comprenait des noms, des numéros de téléphone, des dates de naissance, des mots de passe.
    Les données bancaires des utilisateurs, elles, sont saines et sauves, Yahoo! affirme que les informations les concernant ne sont pas stockées dans le système atteint du piratage.
    Si vous êtes un utilisateurs de Yahoo! l'entreprise recommande de changer immédiatement de mot de passe.

    D'autant plus qu'un chercheur en sécurité informatique de la société
    InforArmor a découvert que les données sont en vente libre sur le Deep Web. Il y aurait eu trois acquéreur actuellement: deux d'entre eux seraient des spécialiste du "spam", le dernier semblerait impliqué dans diverses attaques d'espionnage. Il semble important de noté que parmi le milliard de compte piratés, il y en a 15 000 qui appartiennent à des membres du gouvernement américain ou à des militaires. Curieux hasard...


    La fonction de hachage MD5

    Yahoo! veut rassurer ses utilisateurs , et affirme que l'intégralité des mot de passe sont tous encryptés en MD5 (une fonction de hachage qui n'est plus reconnu comme "sûre" depuis qu'elle a été cassée en 2004 par une équipe de chercheurs Asiatique). Mais qu'est ce que le MD5 ? Comment cela fonctionne ?

    Pour commencer , il nous faut détermine ce qu'est une fonction de hachage. pour faire simple, il s'agit d'une fonction (très utilisé en cryptographie) qui permet, avec une entrée initiale, de calculer une empreinte, servant à identifier rapidement la première entrée. (voir schéma ci-dessous)


    Le MD5 est inventé en 1991 par un certain Ronald Rivest, qui améliore l'architecture du MD4, mais dans les années qui suivent, de nombreuses grands failles sont découvertes, et le MD5 est mis de coté pour des solutions estimées plus sure.
    Même si il reste encore utilisé (vérification de téléchargement, calcul...) le MD5 est aujourd'hui considéré comme totalement obsolète en matière de chiffrement.



    Conclusion

    Merci de m'avoir lu, allez dès maintenant changez votre mot de passe Yahoo! par mesure de précaution

    Source: yahoo, undernews, programmez, wikipedia
    Dernière modification par _47, 22 décembre 2016, 11h22.
    @bioshock
    Twitter: @ContactBioshock
    Mail: [email protected]

  • #2
    Ce piratage pose encore plus de question sur l'utilisation et l'éthique des géants du web, les G.A.F.A.M (Google Amazon Facebook Apple Microsoft) et des gigantesques silos de données stockés on ne sait où...(dans le cloud parait-il..) et entre les mains de n'importe qui..

    Par contre petite question et n'étant pas spécialiste des BDD, il n'existe pas un moyen plus sûr que le MD5 pour les chiffrement de données sensibles ?


    En tout cas merci Bioshock pour le partage
    Dernière modification par Supras, 21 décembre 2016, 17h30.

    Commentaire


    • #3
      Le soucis d'utiliser une autre méthode de hachage tel que le sha256 ou le sha512 c'est que le temps va être largement supérieur à du MD5 il me semble (pour ne pas te dire de conneries) que le sha256 prend 50% ou 60% de plus de temps que le MD5 à hasher les informations. Certes le hashage sera de meilleure qualité mais les requêtes mettront plus de temps à être validé.
      Keep calm and be Zen

      Commentaire


      • #4
        Effectivement, il existe d'autres méthode de hachage supérieur au MD5, comme le fait si bien remarquer Zhenn , mais elle prennent plus de temps, pour exercer leur fonction. C'est le choix de la quantité, au profit de la qualité, et cela nous ramène toujours au même problème d’éthique que tu soulèves.

        Je suis d'accord avec toi Supras, il serait peut-être temps de se questionner sur comment le système fonctionne, et de le remettre en question...
        @bioshock
        Twitter: @ContactBioshock
        Mail: [email protected]

        Commentaire


        • #5
          Envoyé par Bioshock Voir le message
          Je suis d'accord avec toi Supras, il serait peut-être temps de se questionner sur comment le système fonctionne, et de le remettre en question...
          Le gros soucis je pense comme Supras l'a souligné et toi aussi d'ailleurs Bioshock c'est le vieil adage "Le temps c'est de l'argent". Et pour l'heure il est encore très dur de faire changer les mentalités.
          Keep calm and be Zen

          Commentaire


          • #6
            est ce que ce n'est pas plutôt un problème de même si on est à jour en hashage à l'instant t, rien ne dit que 2 ans plus tard l'algo ne sera pas craqué? En l'occurrence je ne connais pas les standards à l'époque, mais depuis 2013 je crois qu'on a beaucoup évolué. Et même avec du sha 256 ou 512, rien ne dit que ça ne sera pas craqué quand sortiront les ordis quantiques (5 ans? 10 ans?). Après il reste un problème de se mettre à jour avec l'évolution des pratiques de sécu, et c'est pas forcément toujours évident

            Commentaire


            • #7
              Envoyé par [email protected]§eeker Voir le message
              est ce que ce n'est pas plutôt un problème de même si on est à jour en hashage à l'instant t, rien ne dit que 2 ans plus tard l'algo ne sera pas craqué? En l'occurrence je ne connais pas les standards à l'époque, mais depuis 2013 je crois qu'on a beaucoup évolué. Et même avec du sha 256 ou 512, rien ne dit que ça ne sera pas craqué quand sortiront les ordis quantiques (5 ans? 10 ans?). Après il reste un problème de se mettre à jour avec l'évolution des pratiques de sécu, et c'est pas forcément toujours évident
              Bien dit
              Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

              Commentaire


              • #8
                Oui, c'est possible qu'il s'agisse d'un problème de la sorte, mais ne penses-tu pas qu'une boite comme Yahoo! qui gère un milliard de comptes a les moyens de faire une MAJ sur la fonction de hachage qui lui sert à protéger sa base de données ?

                Certes, cela est peut-être compliqué, ou coûte très cher, mais je pense que c'est une priorité, pour une entreprise de ce genre de sécuriser ses utilisateurs.
                Je serais plutôt d'avis que Yahoo! a fermé les yeux sur ce problème, économisant ainsi beaucoup de temps et d'argent.


                @bioshock
                Twitter: @ContactBioshock
                Mail: [email protected]

                Commentaire


                • #9
                  md5...

                  Merci pour ton article


                  Suivre Hackademics: Twitter, Google+, Facebook.

                  Commentaire


                  • #10
                    À savoir sur les algorithmes de chiffrements et de hash en général (attention, ce n'est pas du tout le même) :
                    Ils sont parfois lents et sont aussi parfois faits pour l'être, pour augmenter le temps nécessaire à la création de dictionnaires ou le temps des brute-force.
                    Ainsi l'algo PKBS (il y a une suite que j'ai oubliée) est fait pour être (d'après son hauteur) slow-as-hell.

                    C'est aussi pour ça que l'on conseille de ne pas hasher une seule fois mais plusieurs fois de suite un mot de passe que l'on reçoit (ça casse aussi les méthodes par rainbow table si mes souvenirs sont exactes).
                    Par exemple, le hasher 500 fois avant de le stocker.

                    Aussi pour des géants du web, le temps cpu nécessaire au hash de mot de passe est insignifiant d'autant plus dans la mesure où ceux-ci ne sont généralement calculé qu'à la connexion.
                    Pas à chaque requête envoyée.

                    Par contre, un mauvais choix d'algo est difficile à corriger. Il demande une modification de la structure des bases de données et une modification des mots de passes de tous les utilisateurs.

                    En effet, comme une fonction de hash est à sens unique, ils ne peuvent pas à partir du hash retrouver le mot de passe.
                    Ainsi, si ils veulent passer de md5 en sha2 par exemple, ils doivent (de manière imagée car dans un système d'entreprise c'est bien plus compliqué), ajouter une colonne dans leur base de donnée des utilisateurs et obliger tous les utilisateurs à changer leurs mot de passe afin de les re-hasher dans la nouvelle fonction et de les stocker. Sans penser en plus que ces bases de données sont distribuées.

                    De plus, quid des utilisateurs devenus inactifs ?
                    On ne peut pas supprimer leurs comptes parce qu'ils sont protégés par du md5 ...

                    Aussi, pour la connexion, on a maintenant deux passwords stockés en base de données en MD5 et en SHA2. Lequel reprend t'on ?
                    Comment être certain que l'utilisateur n'a pas remis le même (sont cons ces users vous savez m'dam).

                    Bien évidement, je n'essaye pas de protéger ces choix paresseux de ne pas faire la modification vers un algorithme plus récent (en effet, AVANT le md5, c'était bien).
                    Une société aussi énorme en a largement les moyens (il serait par exemple possible de générer un one time password à la connexion de la personne, lui envoyer par mail et l'obliger avant d'accéder à son compte à le redonner pour changer son mot de passe).
                    Ce que je voudrais faire passer comme message, c'est que les modifications du côté de la sécurité comme simple et obligatoires ne sont pas forcément des plus simples à mettre en place pour une entreprise de taille plus modeste qui aurait fait un choix malheureux.

                    C'est aussi notre boulot dans la sécurité d'aider les entreprises à se rendre compte de ces problèmes de sécurité auxquelles elles s'exposet et auxquelles elles exposent leurs utilisateurs.
                    En plus des problèmes légaux. C'est aussi à nous à penser à des procédures de changement d'un algo à un autre et de faire que ces procédures ne soient pas trop lourdes pour les utilisateurs (il n'y a rien de plus dur que de leur faire changer leurs habitudes).

                    Commentaire


                    • #11
                      Envoyé par Anonyme77 Voir le message
                      C'est aussi notre boulot dans la sécurité d'aider les entreprises à se rendre compte de ces problèmes de sécurité auxquelles elles s'exposet et auxquelles elles exposent leurs utilisateurs.
                      En plus des problèmes légaux. C'est aussi à nous à penser à des procédures de changement d'un algo à un autre et de faire que ces procédures ne soient pas trop lourdes pour les utilisateurs (il n'y a rien de plus dur que de leur faire changer leurs habitudes).

                      En informatique, il faut penser à soit, à son entreprise, à ses client et penser à ce que ses clients n'ont pas pensés. et comme le dit Anonyme77 qu'est-ce qu'il est compliqué de faire changer les habitudes d'un client !!! Surtout quand il ne veut pas faire d'effort, c'est une grosse partie de mon travail de leurs faire changer leurs habitudes mais en grande partie il n'en n'ont rien à faire et ils râlent car c'est pas parfait
                      Keep calm and be Zen

                      Commentaire


                      • #12
                        Chiffrer/Hasher, etc. --> https://chiffrer.info/
                        Vous n'avez plus aucune excuse désormais !


                        Suivre Hackademics: Twitter, Google+, Facebook.

                        Commentaire


                        • #13
                          Pas mal comme site.
                          Je ne connaissais pas mais on peut dire que le mec à de l'humour

                          Commentaire


                          • #14
                            _47 merci pour ce beau site très clair, maintenant je saurai qu'on hash les mots de passe et qu'on ne les chiffre pas, même si je pense qu'on doit beaucoup l'entendre au quotidien.

                            Commentaire

                            Chargement...
                            X