Assiste.Forums

[pierre]

Hack - Juste quelques exemples de hack (de mots de passe, ...)

L'attaque d'un hacker ou d'un groupe de hackers contre une autorité d'authentification et monaie courrante et plus l'information s'éloigne de son propriétaire, moins elle est protégée. Rien ni personne ne peut, ni ne pourra jamais garantir la protection d'une donnée à partir du moment ou elle est stockée quelque part.

Exemples de hack (de mots de passe, ...)

[pierre]

Ajouts d'exemples

Exemples de hack (de mots de passe, ...)

[pierre]

Ajouts du cas Yahoo!, confirmé hier soir : 500 millions de comptes piratés. Le plus gros casse numérique, en volume, de l'histoire.


Il n'existe pas, et n'existera jamais de logiciel, de système d'exploitation, de logiciel serveur, de cloud, de système de gestion de bases de données, etc. 100% sans erreur, sans faille de sécurité.

Un hacker dont le pseudo est " Peace " a mis en vente 200 millions d'adresses e-Mail et mots de passe d'un hack de 500 millions de comptes Yahoo! (comprenant également les noms, dates de naissance, numéros de téléphone), réussissant le plus gros piratage, en volume, de tous les temps.

Le piratage aurait eu lieu fin 2014 (il y a deux ans) et Yahoo! ne l'aurait découvert qu'en juillet 2016 sans communiquer dessus.

Yahoo! confirme le piratage ce soir, jeudi 22 septembre 2016, après l'article publié sur le site Recode. Les utilisateurs enregistrés chez Yahoo! sont invités à changer immédiatement leur mot de passe Yahoo!

Rappel : ne jamais utiliser le même mot de passe sur plusieurs sites / plusieurs comptes, sinon vous vous offrez au Web obscur, la plus grande partie, et la partie la plus active du Web).

Yahoo!, dont les choix stratégiques (le choix d'un fonctionnement en " portail ", complètement périmé et ringard depuis la nuit des temps) l'ont conduit à de grandes difficultés financières, est en cours de finalisation de la vente de certaines de ses activités au géant Verizon (qui a déjà racheté AOL en 2015), dont, justement, les services News et Mail ! Verizon, qui débourse 4,4 milliards d'euros, le prend très mal.

Le pirate " Peace " a mis en vente 200 millions d'adresses e-Mail et mots de passe (hashcodes faibles de 200 des 500 millions de comptes, probablement cassés en utilisant des tables arc-en-ciel) pour 1 600 €, soit beaucoup moins cher que l'achat d'adresses e-Mail auprès de fournisseurs plus ou moins " légaux " de fichiers de contacts (liste de fournisseurs de ce type dans : CSP+ CSP CSP- Fichiers et Catégories socioprofessionnelles). Tous les comptes courriel des utilisateurs de Yahoo! sont donc compromis (tous les courriers conservés sur le WebMail sont lisibles depuis 2 ans par le pirate et ses " clients "). Des opérations de spam et de phishing ( hameçonnage) sont possibles et, probablement, en cours.



Exemples de hack (de mots de passe, ...)

[Silure]

Bonsoir Pierre.

De quel genre d'attaque penses-tu qu'il s'agit ? Force brute ? Auquel cas tous les mots de passe dits trop faibles, qui le sont d'ailleurs réellement, sont une bénédiction pour ces pirates.

Les P@ssw0rd et autres de ce registre ont alors triste mine. Yahoo ou autres.

Dans les entreprises, combien ai-je vu de mots de passe sur "post-it" planqués sous le clavier ou bien même fixés sur le bord inférieur de l'écran. Leurs GPO imposant une modification régulière, fréquente et non récurrente de ces mots de passe dont il faut se souvenir à chaque fois, naturellement. D'où ces notes mémorielles.
Trop de sécurité tue la sécurité.

A chaque fois j'essaie de donner une méthode à l'utilisateur. libre à lui ensuite d'y adhérer ou non. J'ai mon système de ce que j'appelle une "porteuse", une phrase dont je suis sûr de me souvenir car faisant appel à un vécu personnel, dont j'extraie les initiales, en alternant la casse, en y substituant des @ aux "a", des 2 aux "de" et bien évidemment en y plaçant des chiffres dont je suis tout aussi sûr de me souvenir.

Ça me compose un mot de passe de 24 caractères que j'utilise sans craindre l'oubli. Ma clef WPA2 WiFi sur ma Box par exemple. J'en ai une variante de 15 caractères pour mes mots de passe sur divers comptes.

@+

[pierre]

Bonsoir Silure

Là, le pirate a récupéré les Hashcode (Fonction de hachage) des mots de passe (les mots de passe ne sont jamais stockés, seuls leurs hashcodes le sont).

Nota : si, lorsque l'on a oublié son mot de passe, le site est capable de nous le renvoyer en clair par e-Mail au lieu de nous en proposer un nouveau à usage unique, il faut fuir ce site qui stocke les mots de passe en clair.

Je pense que, s'il en a mis 200 millions en vente au lieu des 500 millions piratés, c'est que Yahoo! a probablement changé d'algo de hashcode dans le temps (peut être juste après son précédent hack (12 juillet 2012 - Un groupe de hackers pirate 453.000 comptes Yahoo!) et que le pirate a cassé ceux utilisant du MD5, ce qui est faisable en deux ans, pour 200 millions de MD5. Voir :
Vigilance : 16 formes d'attaques des mots de passe

Spéculation : Les nouveaux algo doivent être plus durs (SHA-1, SHA-256, etc.) et ne peuvent être cassés, même dans un compromis temps / mémoire (Rainbow Tables (Tables Arc-en-ciel) - Le compromis Temps / Mémoire pour casser les mots de passe), actuellement.

Conclusion personnelle : les mots de passe cassés seraient ceux des comptes les plus anciens, antérieurs au 12 juillet 2012.

Il est probable que l'on en saura plus dans les jours qui viennent avec la négociation à venir entre Yahoo! et Verizon. Yahoo! va devoir éclaircir sa gestion des hashcodes et se défendre afin que Verizon n'obtienne pas une baisse substantielle de ce qu'il met sur la table pour racheter les activités mail de Yahoo! Si Yahoo! s'exprime publiquement (ou s'il y a des fuites), nous saurons, sinon, nous spéculerons.

Autre spéculation : entre le précédent hack du 12 juillet 2012, après quoi Yahoo! aurait changé d'algo de hash, et fin 2014 (date présumée du hack des 500 millions de comptes), Yahoo! aurait donc "gagné" 300 millions de nouveaux comptes en 2,5 ans soit une création de 120 millions de nouveaux comptes par an.

Amitié

[pierre]

Re,

Tu me parles également d'attaque par dictionnaire.
Je ne sais pas quel est la longueur minimum des mots de passe de Yahoo! Mais, dans la page citée dans mon précédent message (16 formes d'attaques des mots de passe), il y a ce paragraphe sur les attaques par dictionnaire (la méthode qui pose le problème de taille que solutionne le compromis temps / mémoire des attaques Arc-en-ciel :

Nombre de combinaisons possibles lors d'une attaque par dictionnaire
Dans une attaque en "force brute" de mots de passe de 8 caractères de long utilisant un jeu de caractères simpliste, de 26 lettres uniquement (majuscules ou minuscules - insensibles à la case) et les 10 chiffres, il y a déjà 2 901 713 047 668 combinaisons possibles.

Dans une attaque par dictionnaire, on va tenter tous les mots présents dans de simples dictionnaires de la langue de l'utilisateur attaqué ainsi que les mots de passe faibles habituels (mots de passe par défaut des équipements, dates, immatriculations de véhicules, dictionnaires de noms d'animaux, dictionnaires des patronymes d'un pays ou d'une culture, dictionnaire des prénoms etc. ...).

En nombre, cela donne :

• 200.000 combinaisons existant réellement dans la langue française, nom propres inclus (selon l'Académie Française, ici). Et encore... un dictionnaire d'écolier, avec 20.000 mots, est suffisant ! Et encore... dans une attaque contre un mot de passe que l'autorité de vérification limite à 8 caractères, il faudrait ne tenir compte que des mots de moins de 9 caractères !
  
• Ajoutons à cela les "mot de passe" les plus bêtes, construits à partir de dates. Généralement, ce sont les dates anniversaires de naissance ou d'un évènement vécu qui sont utilisés. On se limitera donc aux 100 dernières années soit, à raison de 365 dates par an, 36.500 dates. Combien êtes-vous à utiliser la date de la prise d'Uxellodunum comme mot de passe ?
  
• Dans le pire des cas, si l'attaque est robotisée, ajoutons :
  
  
  
  
  • Environ 20.000 prénoms (ces dictionnaires sont dans le commerce)
    
  • Environ 1.500.000 patronymes du pays cible (ces dictionnaires sont dans le commerce)
    
  • Les noms d'animaux (nombre ?) (ces dictionnaires sont dans le commerce)
    
  • Les immatriculations possibles de véhicules (nombre ?)
    
  • Les juxtapositions et permutations de patronymes/prénoms ou prénoms/patronymes ou leurs initiales

Si ces attaques prennent, normalement, beaucoup de temps, même si elles en prennent beaucoup moins que les attaques en "force brute", le hasard peut s'en mêler et l'attaque peut aboutir rapidement. Il en est ainsi de l'attaque par dictionnaire faite par un pirate dont le pseudo était GMZ, en janvier 2011, contre le réseau social Twitter. Assis devant son écran, et après une seule nuit d'attaque contre le compte d'un administrateur dont le pseudo est "Crystal", GMZ trouva son mot de passe, "happiness", un mot que l'on trouve dans un dictionnaire basique anglais (donc un "mot de passe" très faible !).

Il y a une vidéo de cette attaque à suivre sur 16 formes d'attaques des mots de passe.

[Silure]

Bonjour Pierre.

Je n'étais pas passé relire. Merci pour ces précisions.

@+

[pierre]

Re,
Je ne l'ai pas dit, mais les attaques par dictionnaires sont optimisées par pays (les dictionnaires de la langue, des prénoms, des patronymes etc. du pays (ou de la langue) de l'attaqué). On subodore cette langue avec, pour les domaines à couverture mondiale comme Yahoo!, par exemple, l'url : https://fr.yahoo.com/ concerne les locuteurs français, donc dictionnaires français.

[pierre]

Ajout d'un nouvel exemple de piratage de mots de passe (et bien d'autres choses)

15 décembre 2016 - 1 milliard de comptes Yahoo piratés !
Le 22 septembre 2016, Yahoo! révélait une violation remontant à août 2013 qui compromettait les mots de passe d’1/2 milliard de ses utilisateurs.

Aujourd’hui, 15 décembre 2016, soit à peine plus de 2,5 mois après, Yahoo! admet avoir été victime d’une autre attaque, séparée de celle d'août 2013, mais ayant eu lieu également en août 2013, portant sur une autre faille de sécurité, et ayant conduit à la compromission des données de plus d’un milliard de comptes d'utilisateurs supplémentaires. Yahoo! admet également que des attaquants ont trouvé un moyen de se connecter à des comptes Yahoo! sans même avoir besoin de fournir les mots de passe des victimes.

« Selon une analyse approfondie de ces données par des experts en criminalistique, nous croyons qu'un tiers non autorisé, en août 2013, a volé des données associées à plus d'un milliard de comptes d'utilisateurs », a déclaré Bob Lord (responsable de la sécurité des systèmes d’information chez Yahoo) le 15 décembre 2016. « Nous n'avons pas été en mesure d'identifier l'intrusion associée à ce vol. »

La déclaration indique que « pour les comptes potentiellement affectés, les informations de compte d'utilisateur volé peuvent avoir inclus :

• les noms
• les adresses de courriel
• les numéros de téléphone
• les dates de naissance
• les mots de passe hachés (en utilisant MD5)
• Et, dans certains cas, des questions de sécurité chiffrées ou non chiffrées. »
  

Le hachage MD5 (Message Digest 5) est une fonction de hachage cryptographique (un algorithme) qui permet d'obtenir l'empreinte numérique (hashcode - condensat) d’une donnée. MD5 peut, depuis des années, être cassé : des techniques comme les Tables arc-en-ciel (Rainbow Tables), permettent de décrypter (remonter du condensat au contenu qui l'a généré), très rapidement, un hashcode (condensat) MD5.

En plus, Bob Lord a déclaré que les attaquants avaient élaboré un moyen de forger des « cookies » que Yahoo! place sur les ordinateurs des utilisateurs lorsqu'ils se connectent. Les cookies d'authentification sont de petits fichiers texte contenant des informations sur la session de l'utilisateur avec Yahoo. Les cookies peuvent contenir beaucoup d'informations sur l'utilisateur, par exemple si l'utilisateur s'est déjà authentifié sur les serveurs de Yahoo!

Avec de tels cookies forgés, les cybercriminels se substituent à l’utilisateur et font croire à Yahoo! que l’utilisateur est dans une session authentifiée. Ceci permet de se faire passer pour l’utilisateur ciblé sans avoir besoin de fournir le mot de passe du compte. Si la connexion est rafraîchie avant chaque expiration, un cookie forgé permet aux cybercriminels de rester connectés dans les comptes piratés indéfiniment.

Yahoo! déclare être en cours de notification aux titulaires de compte affectés, et que les cookies forgés sont invalidés.

Bob Lord a également déclaré : « Nous avons relié une partie de cette activité au même acteur, sous commande d’un État, qui serait responsable du vol de données divulgué le 22 septembre 2016 ».

Les utilisateurs doivent changer leurs mots de passe, leurs questions de sécurité et les réponses à ces questions, pour tous les comptes Yahoo! sur lesquels ils ont utilisé la même information ou une information similaire.

Yahoo! demande aux utilisateurs d'examiner leurs comptes pour les activités suspectes et d'envisager d'utiliser « Yahoo! Account Key », un outil d'authentification simple qui élimine le besoin d'utiliser un mot de passe sur Yahoo!.

D’une manière générale, ne jamais utiliser de compte courriel poubelle comme Yahoo ! Mail, Google Mail, etc.

D’une manière générale, ne jamais utiliser un même mot de passe sur plusieurs comptes. Toujours utiliser des mots de passe différents sur chaque compte, de quelque nature que soit les comptes.

Souvenez-vous qu’il n’a jamais existé, qu’il n'existe pas, et qu’il n'existera jamais de logiciel, de système d'exploitation, de logiciel serveur, de cloud, de système de gestion de bases de données, de système d’authentification, etc. 100% sans erreur, sans faille de sécurité, impossible à pirater.

Test de solidité des mots de passe.

[Vazkor]

Bonjour Pierre,

En jetant un œil sur ta prose sur 16 formes d'attaques, j'ai trouvé deux fois le même texte dans la page concernée :

Des « Spam » de « Phishing » sont envoyés par milliards chaque jour, dans le monde entier. Qui n'a pas reçu, parfois plusieurs fois par jour, des courriels du genre : ...

Ça fait un peu désordre, n'est-il pas ?

Cordialement,
JC