Les serveurs mails du parlement britannique ont été attaqués, Réactions à la publication du 25/06/2017

[Lionel]

The Telegraph rapporte que les serveurs mail des parlementaires britanniques ont subi une attaque qui a démarré vendredi dans la journée.
Cette attaque "Soutenue et déterminée" a bloqué l'accès des parlementaires à leur boîte mail.

Pour endiguer l'attaque, les autorités ont bloqué l'accès à ces serveurs en dehors des locaux du Parlement, et les spécialistes en sécurité œuvrent pour y mettre fin au plus vite, et protéger les messages.

A priori l'attaque a démarré en visant les adresses dont les mots de passe étaient les plus faibles, peu de temps après qu'une base de données contenant les identifiants et mots de passe de fonctionnaires et officiels du pays a été vendue sur des sites internet pirates russes.

Lien vers le billet original

[Fafnir]

Comme dirait Elizabeth "Annus horribilis"

[Gallows Pole]

Salut,

Une fois encore, pas une semaine sans que des grosses sociétés et/ou institutions se fassent attaquer, pirater, bloquer ou voler quelque chose de leur "trésor informatique".

Ca en devient affligeant de banalité et surtout, suscite toujours chez moi une impression très désagréable : que les "méchants" (ceux qui attaquent, bloquent ou volent) ont toujours un coup d'avance sur les "gentils" (ceux qui se font attaquer, bloquer ou voler)...
Bref que les experts en sécurité sont dépassés par les experts en désécurité !
Et avec toujours de très désagréable sentiment que, du côté des gentils, on vit au pays des bisounours en se disant que ça ne nous arrivera pas et qu'on est super bien protégés...

J'imagine que le business qui consiste à négocier le contenu de ce que l'on est parvenu à récupérer est très très lucratif...

A+

[ekami]

Faisez gaffe "les gens", les phishings se font de plus en plus "pro" ces derniers temps.

[valery.jm]

Faisez gaffe "les gens", les phishings se font de plus en plus "pro" ces derniers temps.

Yes !

J'ai reçu dernièrement une demande de remboursement de ma caisse de santé, c'est à s'y méprendre au niveau présentation. Je comprends qu'une personne non avertie puisse se faire piéger. En fait quel que soit le demandeur, il faut partir du principe que si on vous demande vos infos carte bancaire c'est l'arnaque assurée.

[iAPX]

...
Ca en devient affligeant de banalité et surtout, suscite toujours chez moi une impression très désagréable : que les "méchants" (ceux qui attaquent, bloquent ou volent) ont toujours un coup d'avance sur les "gentils" (ceux qui se font attaquer, bloquer ou voler)...
Bref que les experts en sécurité sont dépassés par les experts en désécurité !
Et avec toujours de très désagréable sentiment que, du côté des gentils, on vit au pays des bisounours en se disant que ça ne nous arrivera pas et qu'on est super bien protégés...
...

La plupart des gens qui sont dans ce genre de compagnies ne sont pas des Experts en sécurité, et c'est bien le problème, par manque de formation et de suivi.

Les Experts en sécurité existent, ils sont peu nombreux, et la plupart ont été du mauvais coté de la barrière à un moment ou un autre (généralement à leurs débuts), mais peu de gens prennent la peine de faire appel à eux car ils sont très cher, le résultat d'une expertise qui peut prendre des décennies à s'acquérir, mais aussi le résultats de calculs financiers où la plupart des sociétés se disent que ça leur coûtera moins cher même s'ils se font pirater des données, sur le long-terme, que de renforcer leur sécurité (sans jamais de garantie absolu de n'être pas hacké!).

Il y a quand-même des institutions bancaires qui font appels à des équipes de hacker compétents, pour travailler sans relâche sur leur sécurité, j'en connais une ici et je connaissais certains des hackers, pour les avoir rencontré en d'autres occasions, et ce sont des bêtes dans leur domaine.

Je ne suis pas un Expert en sécurité, mais je m'y connais un peu, et c'est clair que personne n'est à l'abri aujourd'hui, et le meilleur conseil que je puisse donner est d'avoir de la sauvegarde versionné (TimeMachin) et une sauvegarde bootable (Carbon Copy Cloner ou équivalent), quand à ses données en ligne, vaut mieux les avoir -aussi- en local quelque-part (et backupé aussi) et être pr^t à perdre certains de nos comptes en ligne ou d'être conscient que les données qui y sont peuvent devenir publiques à tout moment (incluant messages, photos très personnelles, vidéos amusants et tout et tout!).

Je conseille aussi de créer plusieurs comptes email séparés (avec des passes différents svp!), notamment pour PayPal j'utilise une adresse email qui lui est réservé, qui n'est utilisée ou diffusée nulle part, donc quand le phishing arrive c'est sur une autre adresse email, et là c'est assez évident!

Un dernier point, un gestionnaire de mots-de-passe comme 1Password aide à avoir des passes différents sur chaque compte/site/email/etc en permettant en plus de générer des passes sécuritaires facilement. Je déconseille de stocker le trousseau en ligne, sauf à ce que vous compreniez ls implications et comment son gérées les clés de chiffrement/déchiffrement dudit trousseau (et qu'elles soient fortes!), donc pour l commun des mortels, garder ça local!

[yponomeute]

Un dernier point, un gestionnaire de mots-de-passe comme 1Password aide à avoir des passes différents sur chaque compte/site/email/etc en permettant en plus de générer des passes sécuritaires facilement. Je déconseille de stocker le trousseau en ligne, sauf à ce que vous compreniez ls implications et comment son gérées les clés de chiffrement/déchiffrement dudit trousseau (et qu'elles soient fortes!), donc pour l commun des mortels, garder ça local!

Il faut savoir qu'on peut très bien synchroniser le trousseau de 1password en local avec le WiFi, il y a une option à activer pour transmettre le trousseau vers iOS et/ou Android.

[iAPX]

Un dernier point, un gestionnaire de mots-de-passe comme 1Password aide à avoir des passes différents sur chaque compte/site/email/etc en permettant en plus de générer des passes sécuritaires facilement. Je déconseille de stocker le trousseau en ligne, sauf à ce que vous compreniez ls implications et comment son gérées les clés de chiffrement/déchiffrement dudit trousseau (et qu'elles soient fortes!), donc pour l commun des mortels, garder ça local!

Il faut savoir qu'on peut très bien synchroniser le trousseau de 1password en local avec le WiFi, il y a une option à activer pour transmettre le trousseau vers iOS et/ou Android.

Et tu vas faire un article complet pour expliquer dans quels cas c'est sécuritaire, suivant les logiciels employés (1Password et *tous* les autres) et les versions d'OS qu'on possède?
Ainsi que les risques de capture du mot-de-passe maître si on a dans le lot un dispositif qui a un malware installé?

Car écrire ce que tu as écrit, ça ne va pas s'appliquer nécessairement à d'autres logiciels, ou tous les cas.

Et en sécurité, je préfère appliquer la méthode de la white-list, dire ce que l'on peut faire (ou surtout toujours faire), pour augmenter le niveau de sécurité, plutôt que d'avoir à lister tous les -trop- nombreux contre-exemple, voir avoir à se perdre à expliquer les subtiles différences entre les logiciels de gestion de mot-de-passe.
Si on est en recherche de sécurité, il vaut mieux commencer par réduire ses possibilités/fonctionnalité et son confort, pour atteindre un niveau élevé, quitte à s'assurer qu'on peut en réactiver/utiliser certaines après en avoir vérifié l'inocuité.

Et le principe même de donner des conseils à des gens qui ne sont pas formés pour ça est qu'ils puissent appliquer directement le conseil, sans en comprendre les tenants et aboutissants.
Et malheureusement, augmenter son niveau de sécurité, à partir d'un certain niveau, nécessite de sacrifier son confort.

Ce message a été modifié par iAPX - 25 Jun 2017, 19:39.

[yponomeute]

Un dernier point, un gestionnaire de mots-de-passe comme 1Password aide à avoir des passes différents sur chaque compte/site/email/etc en permettant en plus de générer des passes sécuritaires facilement. Je déconseille de stocker le trousseau en ligne, sauf à ce que vous compreniez ls implications et comment son gérées les clés de chiffrement/déchiffrement dudit trousseau (et qu'elles soient fortes!), donc pour l commun des mortels, garder ça local!

Il faut savoir qu'on peut très bien synchroniser le trousseau de 1password en local avec le WiFi, il y a une option à activer pour transmettre le trousseau vers iOS et/ou Android.

Et tu vas faire un article complet pour expliquer dans quels cas c'est sécuritaire, suivant les logiciels employés (1Password et *tous* les autres) et les versions d'OS qu'on possède?

Euh, tu peux te calmer là ? Je signale qu'il existe une option sur 1password qui permet de synchroniser un trousseau vers d'autre appareils en restant sur son réseau local, un point c'est tout.

Edit : on me signale dans l'oreillette qu'il existe une option "ignorer ce membre" sur le forum.

Ce message a été modifié par yponomeute - 25 Jun 2017, 19:51.

[Oncle Sophocle]

À peine étonnant que des services d'un état, qui devraient faire l'objet d'une protection "rapprochée", puissent être si facilement piratés. C'est symptomatique de la trop grande confiance que l'on accorde à un système parce que c'est l' "Etat".

Pour ma part, un mot de passe par service de l'internet, des mots de passe "durs" pour les services "sensibles", changés régulièrement, est une règle.

Et pas de trousseau, ni local ni dans un quelconque "nuage".

Je jette systématiquement à la poubelle, après les avoir marqués "indésirables", les messages dont l'émetteur m'est inconnu ou dont l'objet ne me concerne pas.

Sans oublier des sauvegardes régulières de mes données sur un disque externe local et un clone amorçable de mon disque dur.

Et je sais que je ne suis pas pour autant à l'abri d'une attaque, si elle vise les serveurs d'un site que je visite (FAI ou autre), mais j'aurai fait de mon mieux.

P.M. : un mot de passe de douze caractères choisis aléatoirement parmi 69 (minuscules + majuscules + chiffres + signes de ponctuation) est pour ainsi dire "incraquable" par force brute (5000 milliards de milliards de combinaisons possibles).

Ce message a été modifié par Oncle Sophocle - 25 Jun 2017, 20:14.

[Guest_anonym_d019ede3_*]

P.M. : un mot de passe de douze caractères choisis aléatoirement parmi 69 (minuscules + majuscules + chiffres + signes de ponctuation) est pour ainsi dire "incraquable" par force brute (5000 milliards de milliards de combinaisons possibles).

Tu peux ajouter les caractères spéciaux qui sont rarement utilisés par les modules de craquage, il t'es alors possible à l'aide d'un logiciel de mappage d'affilier un caractère ou plus à certaines touches afin de ne pas avoir à ouvrir visualiseur de caractères à chaque fois pour les signes compliqués. (mettons de F6 à F9 par exemple). Pour des caractères comme:
♻ɟ☂…

Ce message a été modifié par anonym_d019ede3 - 25 Jun 2017, 20:19.

[Oncle Sophocle]

Salut,
...
Ca en devient affligeant de banalité et surtout, suscite toujours chez moi une impression très désagréable : que les "méchants" (ceux qui attaquent, bloquent ou volent) ont toujours un coup d'avance sur les "gentils" (ceux qui se font attaquer, bloquer ou voler)...
...
Et avec toujours de très désagréable sentiment que, du côté des gentils, on vit au pays des bisounours en se disant que ça ne nous arrivera pas et qu'on est super bien protégés...

J'imagine que le business qui consiste à négocier le contenu de ce que l'on est parvenu à récupérer est très très lucratif...

A+

C'est ça, la vie : les méchants ont toujours (je souligne) un coup d'avance sur les gentils, c'est pour ça que les gendarmes passent leur temps à courir après les voleurs et du côté des gentils, 99,99etc % vivent au pays des bisounours, c'est le fonds de commerce des voleurs et la raison d'être des gendarmes

Ce message a été modifié par Oncle Sophocle - 25 Jun 2017, 20:27.

[Oncle Sophocle]

...
Tu peux ajouter les caractères spéciaux qui sont rarement utilisés par les modules de craquage, il t'es alors possible à l'aide d'un logiciel de mappage d'affilier un caractère ou plus à certaines touches afin de ne pas avoir à ouvrir visualiseur de caractères à chaque fois pour les signes compliqués. (mettons de F6 à F9 par exemple). Pour des caractères comme:
♻ɟ☂…

Je n'ai pas trouvé comment utiliser ces caractères, et pour mon usage (mots de passe de messagerie essentiellement), je ne suis pas sûr qu'ils "passeraient".

[iAPX]

...
Edit : on me signale dans l'oreillette qu'il existe une option "ignorer ce membre" sur le forum.

Ne te gêne pas

Et continue à donner des bons conseils de sécurité qui vont être mal compris.

[Guest_anonym_d019ede3_*]

Je n'ai pas trouvé comment utiliser ces caractères, et pour mon usage (mots de passe de messagerie essentiellement), je ne suis pas sûr qu'ils "passeraient".

Drag n drop ou copier/coller depuis le visualiseur de clavier ensuite à l'aide de ukulele tu attribues le caractère à une touche (F7 par exemple), par contre effectivement ils ne passent pas toujours partout.

Ce message a été modifié par anonym_d019ede3 - 25 Jun 2017, 21:13.