Près de 80 000 comptes en goguette sur les réseaux P2P

Le par  |  8 commentaire(s) Source : Par la rédaction de Vulnérabilité

Des hackers de la mouvance Black Hat ont réussi à dérober les identifiants et autres données personnelles appartenant à des dizaines de milliers d'internautes enregistrés dans des forums finlandais. Ils n'ont pas hésité à publier le fruit de leur piratage.

L'éditeur de sécurité finlandais F-Secure a récemment indiqué sur son blog officiel qu'un groupe de pirates informatiques a soulevé un vent de panique au pays des 1 000 lacs en mettant en ligne sur un site finnois, un fichier texte d'une taille de 4,5 Mo contenant des noms, adresses mail, mots de passe pour partie non craqués appartenant à des comptes utilisateurs d'internautes enregistrés sur des forums. Si le fichier n'est désormais plus disponible via téléchargement direct, il circule sur les réseaux d'échanges peer-to-peer et pas moins de 79 000 internautes sont ainsi encore sous la menace d'une usurpation d'identité ou de campagnes de spam par exemple.

Selon Ars Technica qui s'est procuré ledit fichier, en préambule de ce dernier, les pirates, un tantinet menaçants et se présentant sous les pseudonymes The Magical Pink Bear et ZeroPoint n'ont pas omis de fanfaronner comme il est souvent de coutume dans ce milieu : " Nous avons piraté 78 000 (ok, presque 79 000) comptes à travers le Net et bien sûr nous aimerions les partager avec vous. (...) Nous espérons que cela vous plaira. Vous allez entendre parler de nous plus tôt que vous ne le croyez. Alors, ne vous inquiétez pas, si vous n'êtes pas sur la liste, attendez la prochaine publication. "

Bien que la majorité des mots de passe dans le fichier soient disponibles sous la forme de hashs (ou condensats), le recours à une attaque par dictionnaire en complément à une attaque par force brute semble avoir suffi à en révéler la plupart, et met une nouvelle fois en exergue l'importance qui doit être portée au choix de son mot de passe. Pour minimiser les risques, ils ne doivent en effet pas être trop simples et tirés par les cheveux*. Autre piège à éviter et pour lequel nombre d'internautes concernés risquent de s'en mordre les doigts, l'utilisation du même mot de passe pour l'ensemble de ses services en ligne. Une pratique encore monnaie courante comme le démontrent régulièrement des études dans le domaine.

* Les mots de passe robustes sont un mélage de lettres en majuscules / minuscules, nombres, caractères de ponctuation et non alpha-numériques.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #188586
Depuis le temps que je dis autours de moi que le chiffrage md5 des mots de passe n'est aujourd'hui plus suffisant !

Peut être que cette actualité permettra aux webmaster de prendre conscience du risque qu'ils font encourir à leurs utilisateurs ! Surtout que dans au moins 20% des cas, le mot de passe utilisé sur le site est le même que celui utilisé sur l'adresse mail, ce qui n'est pas trés malin non plus.

Préférez donc un système de cryptage qui tient compte d'une clé, telle que la fonction crypt($pass, $cle) de php ( ceci n'est qu'un exemple ) .
Le #188591
Ou préférez un système basé sur les grains de sel, c'est encore plus fiable.
Un lien explicatif : http://info.crypto.free.fr/wiki.php/Grain%20de%20sel
Ainsi que http://info.crypto.free.fr/wiki.php/3)%20Mots%20de%20passe pour toutes règles qui fondent un bon mot de passe.
Avec un bon mot de passe, même un MD5 est incassable...
Le #188594
oui ou alors on utilise roboform qui génère et enregistre un mot de passe sécurisé en quelques clics
Le #188610
Le soucis, c'est que le gouvernement ne voit pas d'un bon oeil les techniques de cryptage trop efficaces, car ils veulent pouvoir en cas de besoin décrypter un message (ou autre) envoyé par des terroristes.

Pour les mots de passe, ce n'est pas MD5 qu'il faut remettre en cause, mais la façon de définir les mots de passe. De plus l'utilisation du grain de sel est une bonne idée, l'idéal étant que tout le monde n'utilise pas le grain de sel de la même façon, car si on ne connaît pas la façon dont les données sont chiffrées c'est encore plus difficile de les déchiffrer.

De plus il y a une technique pour récupérer facilement un mot de passe : il suffit d'utiliser la fameuse question secrète. En effet beaucoup de gens mettent en animal favori : mon chien, ou mon chat...
Le #188621
Ils pourront utiliser cet argument d'usurpation d'identité s'ils sont poursuivis pour piratages
Une bonne chose peut-être ?

@bat-dan
Tu crois que les terroristes ou autres malfrats vont se gêner pour utiliser des cryptages puissants ?
C'est plutôt les gens qui téléchargent illégalement qui peuvent se faire prendre en utilisant des cryptages trop légés
Le #188630
Ils ne vont pas se gêner, ça je le sais. Mais ça n'empèche pas le gouvernement d'interdir de tels cryptage.

Et puis qui dit que le gouvernement n'interdit pas celà d'un côté et d'autre part développe des tels logiciels "interdits" secretement mais avec une faille pour y accéder...

Mais bon, c'est un autre débat

Toujours est-il que l'utilisation de la cryptographie est réglementée, et qu'on ne peut pas utiliser certains systèmes à cause de la loi...

Mais pour crypter un mot de passe, c'est pas le MD5 la faille, mais les utilisaeurs avec leurs mots de passe trop faciles et trop courts. De toutes façons quand on s'inscrit à un service on ne choisi pas le système de cryptage, il nous est imposé.

Avant de décrypter un mot de passe suffisement long et complexe il faudra se lever tôt. Moralité : passez tous à des mots de passe d'au moins 16 carractères et mélangeant minuscules/majuscules, chiffres et ponctuation. Et de préférence ne comportant pas de bouts ayant un sens.

Si vous avez peur de ne pas vous en souvenir, il y a une méthode très simple : prenez une phrase et prenez la première lettre de chaque mot. Exemple : "may the force be with you" pourrait donner : mtfbwy, ou alors plus tordu : "may the force be with you" pourrait donner "may the 4th B with U" ->mt4thbwu

L'avantage est aussi que si une personne nous voie écrire le mot de passe elle ne le retiendra pas.
Le #188640
"Et puis qui dit que le gouvernement n'interdit pas celà d'un côté et d'autre part développe des tels logiciels "interdits" secretement mais avec une faille pour y accéder..."

retourne à tes livre d'espionnage
Le #188651
"mélage" ->"mélange"
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]