Carnet de notes

Vol de mots de passe

Drop­box a – encore – eu une faille de sécu­rité. Des mots de passe ont été volés. Visi­ble­ment le mien en fait partie.

Hi Eric,

Recently, pass­words have been stolen from some Inter­net services. This is a problem because many people use the same pass­word on multiple services, which is unsafe.

As a precau­tion, we’ve reset your pass­word and you can create a new one here.

We haven’t detec­ted any suspi­cious acti­vity in your Drop­box, but we’re proac­ti­vely taking steps to keep users safe.

We know it’s easy to use a single pass­word across different websites, but this means if any one site is compro­mi­sed, all your accounts are at risk. If you’ve ever used the same pass­word for more than one website, you should create new unique pass­words for each of them. Tools like 1Pass­word do this for you and can help make your accounts safer.

Best,

– The Drop­box Team

Des failles et des échecs ça arrive. Aucun service n’est immu­nisé, pas mal le vôtre super-sécu­risé.

Point posi­tif : Ils commu­niquent dessus et prennent l’ac­tion la plus sensée à ce niveau en forçant un chan­ge­ment de mot de passe, au risque de bloquer tota­le­ment l’ac­cès à ceux qui ont changé leur email mais utilisent encore l’an­cien compte Drop­box. Ils commu­niquent aussi sur l’im­pact possible si on utilise un seul mot de passe pour plusieurs service, ce qui est très bien­venu.

Sur les points néga­tifs tout de même : Ils ne précisent pas si le mot de passe a été déli­vré avec un hachage correct ou s’il a été divul­gué en clair. L’ab­sence de préci­sion implique un doute assez peu récon­for­tant.

Les solu­tions

Ce qui me gêne c’est qu’on retourne dans les solu­tions habi­tuelles qui sont bien en théo­rie mais pas les plus solides en réalité.

Utili­ser un mot de passe unique par service ? C’est un délire pour l’es­sen­tiel des utili­sa­teurs et même pour les geeks c’est loin d’être évident. De ce que j’en ai vu même ces derniers utilisent géné­ra­le­ment un mot de passe unique pour les deux ou trois services prin­ci­paux (dont l’adresse email prin­ci­pale) mais après c’est un ou deux mots de passe communs pour l’en­semble des services suivant leur niveau de sécu­rité.

Le conseil d’uti­li­ser 1pass­word est bon mais il est de peu d’aide en dépla­ce­ment, et ça reste un service à 50 $ pour le bureau­tique plus encore 15 $ pour la version iPhone.

Drop­box affirme travailler à une authen­ti­fi­ca­tion en deux étapes, une par mot de passe et l’autre par un média plus person­nel, par SMS par exemple. C’est une très bonne nouvelle, mais c’est aussi agaçant. Je ne veux pas avoir 150 méthodes d’au­then­ti­fi­ca­tions en deux étapes, une pour chaque service, qui fonc­tionnent diffé­rem­ment à chaque fois. C’est encore plus vrai si, comme trop souvent, les SMS sont réser­vés aux rési­dents des États Unis.

Voir autre­ment

Il est vrai­ment temps de voir autre­ment et de ne pas cher­cher à réin­ven­ter la roue. Il est temps d’uti­li­ser des authen­ti­fi­ca­tions centra­li­sées comme Open ID, WebID, Brow­serID ou d’autres. L’avan­tage c’est qu’a­vec un seul (ou deux, trois) mot(s) de passe à rete­nir on peut le(s) faire très complexe.

Mieux : On peut acti­ver une authen­ti­fi­ca­tion plus sûre, à base de certi­fi­cats SSL ou de relai par télé­phone. Ça devient possible parce qu’on ne passe pas par 150 services diffé­rents avec leurs méthodes diffé­rentes.

J’ai fait le choix de Google parce que son authen­ti­fi­ca­tion en deux étapes me conve­nait et que l’au­then­ti­fi­ca­tion dépor­tée sur Google était une des plus répan­due. D’autres utili­se­ront un Open ID qui authen­ti­fie sur la base d’un certi­fi­cat SSL. Certains pour­ront utili­ser les deux ou encore d’autres solu­tions, suivant le service visé. Il y a le choix, y compris avec des proto­coles décen­tra­li­sés (désolé pour les termes, ça fait une authen­ti­fi­ca­tion centra­li­sée par un proto­cole décen­tra­lisé, vous pouvez propo­ser de meilleurs termes en commen­taire) si vous ne voulez pas repo­ser sur un acteur tiers.

L’im­por­tant c’est d’ar­rê­ter de croire que la phase d’au­then­ti­fi­ca­tion doit forcé­ment se faire sur chaque service indé­pen­dam­ment. C’est quelque chose de trop sensible et trop parti­cu­lier pour croire qu’on a un réel béné­fice à réin­ven­ter la roue.

Publié

dans

par

Éric

Étiquettes :

Commentaires

9 réponses à “Vol de mots de passe”

  1. Avatar de karl
    karl

    note qu’ils ne semblent pas dire que ce sont les mots de passe DropBox qui ont été volés.

    Répondre
    1. Avatar de Éric D.
      Éric D.

      Ils ne sont pas très précis, mais c’est à peu près la seule raison qui peu justifier de forcer la réinitialiser des mots de passe.

    2. Avatar de Julien Vignolles
      Julien Vignolles

      Aux dernières informations :
      * linkedin.com, 06/2012, 8 millions de passwords hackés
      * eharmony.com, 06/2012, 1,5 million de passwords hackés
      * yahoo.com, 07/2012, 450k passwords hackés
      * pearl.fr, 08/2012, 729k passwords, + informations bancaires…

      D’après ce que j’ai lu, Dropbox ne s’est fait voler aucun mot de passe. En revanche un de leurs employés s’est fait hacké son compte et une grosse liste d’adresses emails a été piquée. C’est notamment les plaintes de spam reçu sur ces adresses emails qui a lancé les investigations en interne.

      Bon, ça reste pas très clair !

  2. Avatar de Nabellaleen
    Nabellaleen

    J’ai vu passer il y a quelques jours une idée d’authentification par l’e-mail, qui m’a paru plutôt sensée :

    On s’identifie sur les sites en fournissant juste son e-mail, et le site envoi sur l’e-mail un lien temporaire contenant un token authentifiant la connexion.

    Répondre
  3. Avatar de dhar
    dhar

    Personnellement, je m’oblige à utiliser un passwords différent sur chaque site/service, mais je reconnais que c’est un « truc de geek ».
    Quelle que soit la méthode d’authentification, je crois qu’il y a aussi une problématique liée à l’éducation des utilisateurs. Le « grand public » est peu conscient des risques liés l’utilisation d’un mot de passé unique sur plusieurs services en partie car les services en question communiquent peu (mal?) sur la question.

    Répondre
    1. Avatar de Éric D.
      Éric D.

      Je ne crois pas que ce soit uniquement une question d’éducation justement. Il y a aussi une question de ratio entre sécurité et emmerdement. C’est pour ça qu’on a aussi besoin de solutions techniques confortables, utilisables. C’est seulement ensuite qu’on pourra inciter les gens à les utiliser.

    2. Avatar de dhar
      dhar

      Je suis assez d’accord avec l’idée du « ratio entre sécurité et emmerdement », mais je parlerais plutôt de ratio sécurité/emmerdement/risque. Il est clair qu’il y a un effort technique à fournir pour mettre en place et généraliser les solutions « confortables » dont tu parles dans ton article.
      D’un autre côté, en attendant que ces solutions se généralisent, il reste des gens qui utilisent le même mot de passe pour leur boite mail et pour poster des commentaires sur le figaro (au hasard) et là, il me semble qu’un peu d’éducation, même sommaire, ne ferait pas de mal.

  4. Avatar de _kud
    _kud

    Voir du côté de http://keepass.info/ qui est un très bon produit et open source. De plus, on peut rajouter un peu de salt en créant des adresses avec des alias style nom.prenom+alias@gmail.com, ca évite l’identifiant identique sur tous les sites.

    Je reste très attaché à keepass où je génère des mots de passes complexes.

    Répondre
  5. Avatar de _kud
    _kud

    Et si l’utilisation d’un logiciel pour stocker les mots de passes est contraignant, je propose que les gens s’inventent un algorithme propre à chacun du type : je prends l’url du site où je suis, je récupère la première lettre de l’url et la dernière, je recule de 4 lettres (soit « a » si la lettre est « e ») et j’avance de 2 la dernière lettre, je rajoute un mot de passe « commun » et je regarde où se situe le logo du site (« left », « right », etc). Comme ca, facile à se retenir de l’algo et difficile à deviner car propre à la personne.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *