Vol de mots de passe


Drop­box a – encore – eu une faille de sécu­rité. Des mots de passe ont été volés. Visi­ble­ment le mien en fait partie.

Hi Eric,

Recently, pass­words have been stolen from some Inter­net services. This is a problem because many people use the same pass­word on multiple services, which is unsafe.

As a precau­tion, we’ve reset your pass­word and you can create a new one here.

We haven’t detec­ted any suspi­cious acti­vity in your Drop­box, but we’re proac­ti­vely taking steps to keep users safe.

We know it’s easy to use a single pass­word across different websites, but this means if any one site is compro­mi­sed, all your accounts are at risk. If you’ve ever used the same pass­word for more than one website, you should create new unique pass­words for each of them. Tools like 1Pass­word do this for you and can help make your accounts safer.

Best,

– The Drop­box Team

Des failles et des échecs ça arrive. Aucun service n’est immu­nisé, pas mal le vôtre super-sécu­risé.

Point posi­tif : Ils commu­niquent dessus et prennent l’ac­tion la plus sensée à ce niveau en forçant un chan­ge­ment de mot de passe, au risque de bloquer tota­le­ment l’ac­cès à ceux qui ont changé leur email mais utilisent encore l’an­cien compte Drop­box. Ils commu­niquent aussi sur l’im­pact possible si on utilise un seul mot de passe pour plusieurs service, ce qui est très bien­venu.

Sur les points néga­tifs tout de même : Ils ne précisent pas si le mot de passe a été déli­vré avec un hachage correct ou s’il a été divul­gué en clair. L’ab­sence de préci­sion implique un doute assez peu récon­for­tant.

Les solu­tions

Ce qui me gêne c’est qu’on retourne dans les solu­tions habi­tuelles qui sont bien en théo­rie mais pas les plus solides en réalité.

Utili­ser un mot de passe unique par service ? C’est un délire pour l’es­sen­tiel des utili­sa­teurs et même pour les geeks c’est loin d’être évident. De ce que j’en ai vu même ces derniers utilisent géné­ra­le­ment un mot de passe unique pour les deux ou trois services prin­ci­paux (dont l’adresse email prin­ci­pale) mais après c’est un ou deux mots de passe communs pour l’en­semble des services suivant leur niveau de sécu­rité.

Le conseil d’uti­li­ser 1pass­word est bon mais il est de peu d’aide en dépla­ce­ment, et ça reste un service à 50 $ pour le bureau­tique plus encore 15 $ pour la version iPhone.

Drop­box affirme travailler à une authen­ti­fi­ca­tion en deux étapes, une par mot de passe et l’autre par un média plus person­nel, par SMS par exemple. C’est une très bonne nouvelle, mais c’est aussi agaçant. Je ne veux pas avoir 150 méthodes d’au­then­ti­fi­ca­tions en deux étapes, une pour chaque service, qui fonc­tionnent diffé­rem­ment à chaque fois. C’est encore plus vrai si, comme trop souvent, les SMS sont réser­vés aux rési­dents des États Unis.

Voir autre­ment

Il est vrai­ment temps de voir autre­ment et de ne pas cher­cher à réin­ven­ter la roue. Il est temps d’uti­li­ser des authen­ti­fi­ca­tions centra­li­sées comme Open ID, WebID, Brow­serID ou d’autres. L’avan­tage c’est qu’a­vec un seul (ou deux, trois) mot(s) de passe à rete­nir on peut le(s) faire très complexe.

Mieux : On peut acti­ver une authen­ti­fi­ca­tion plus sûre, à base de certi­fi­cats SSL ou de relai par télé­phone. Ça devient possible parce qu’on ne passe pas par 150 services diffé­rents avec leurs méthodes diffé­rentes.

J’ai fait le choix de Google parce que son authen­ti­fi­ca­tion en deux étapes me conve­nait et que l’au­then­ti­fi­ca­tion dépor­tée sur Google était une des plus répan­due. D’autres utili­se­ront un Open ID qui authen­ti­fie sur la base d’un certi­fi­cat SSL. Certains pour­ront utili­ser les deux ou encore d’autres solu­tions, suivant le service visé. Il y a le choix, y compris avec des proto­coles décen­tra­li­sés (désolé pour les termes, ça fait une authen­ti­fi­ca­tion centra­li­sée par un proto­cole décen­tra­lisé, vous pouvez propo­ser de meilleurs termes en commen­taire) si vous ne voulez pas repo­ser sur un acteur tiers.

L’im­por­tant c’est d’ar­rê­ter de croire que la phase d’au­then­ti­fi­ca­tion doit forcé­ment se faire sur chaque service indé­pen­dam­ment. C’est quelque chose de trop sensible et trop parti­cu­lier pour croire qu’on a un réel béné­fice à réin­ven­ter la roue.


9 réponses à “Vol de mots de passe”

    • Ils ne sont pas très précis, mais c’est à peu près la seule raison qui peu justifier de forcer la réinitialiser des mots de passe.

    • Aux dernières informations :
      * linkedin.com, 06/2012, 8 millions de passwords hackés
      * eharmony.com, 06/2012, 1,5 million de passwords hackés
      * yahoo.com, 07/2012, 450k passwords hackés
      * pearl.fr, 08/2012, 729k passwords, + informations bancaires…

      D’après ce que j’ai lu, Dropbox ne s’est fait voler aucun mot de passe. En revanche un de leurs employés s’est fait hacké son compte et une grosse liste d’adresses emails a été piquée. C’est notamment les plaintes de spam reçu sur ces adresses emails qui a lancé les investigations en interne.

      Bon, ça reste pas très clair !

  1. J’ai vu passer il y a quelques jours une idée d’authentification par l’e-mail, qui m’a paru plutôt sensée :

    On s’identifie sur les sites en fournissant juste son e-mail, et le site envoi sur l’e-mail un lien temporaire contenant un token authentifiant la connexion.

  2. Personnellement, je m’oblige à utiliser un passwords différent sur chaque site/service, mais je reconnais que c’est un « truc de geek ».
    Quelle que soit la méthode d’authentification, je crois qu’il y a aussi une problématique liée à l’éducation des utilisateurs. Le « grand public » est peu conscient des risques liés l’utilisation d’un mot de passé unique sur plusieurs services en partie car les services en question communiquent peu (mal?) sur la question.

    • Je ne crois pas que ce soit uniquement une question d’éducation justement. Il y a aussi une question de ratio entre sécurité et emmerdement. C’est pour ça qu’on a aussi besoin de solutions techniques confortables, utilisables. C’est seulement ensuite qu’on pourra inciter les gens à les utiliser.

    • Je suis assez d’accord avec l’idée du « ratio entre sécurité et emmerdement », mais je parlerais plutôt de ratio sécurité/emmerdement/risque. Il est clair qu’il y a un effort technique à fournir pour mettre en place et généraliser les solutions « confortables » dont tu parles dans ton article.
      D’un autre côté, en attendant que ces solutions se généralisent, il reste des gens qui utilisent le même mot de passe pour leur boite mail et pour poster des commentaires sur le figaro (au hasard) et là, il me semble qu’un peu d’éducation, même sommaire, ne ferait pas de mal.

  3. Et si l’utilisation d’un logiciel pour stocker les mots de passes est contraignant, je propose que les gens s’inventent un algorithme propre à chacun du type : je prends l’url du site où je suis, je récupère la première lettre de l’url et la dernière, je recule de 4 lettres (soit « a » si la lettre est « e ») et j’avance de 2 la dernière lettre, je rajoute un mot de passe « commun » et je regarde où se situe le logo du site (« left », « right », etc). Comme ca, facile à se retenir de l’algo et difficile à deviner car propre à la personne.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.