Il y a quelques jours, une immense fuite de données a eu lieu sur le Web. Des hackers ont en effet mis en ligne un fichier comprenant 2,2 milliards d’identifiants avec adresses email et mots de passe, c’est du jamais vu. Si j’en parle aujourd’hui, c’est pour vous sensibiliser à cette problématique parce que n’importe qui peut être touché, même nous, et vous expliquer comment sécuriser au mieux vos...
"Car justement plus vous tapez votre mot de passe, plus vous avez de chances de vous le faire aspirer" C'est à dire ? Je ne vois pas trop le rapport entre taper son mot de passe souvent et se le faire aspirer.
https://www.zdnet.com/article/critical-vulnerabilities-uncovered-in-popular-password-managers/
Franchement, vos contraintes sont un peu lourdes !
majuscules, minuscules + caractères spéciaux ...
Trop de sécurité tue la sécurité
Car, en plus d'un accès direct à des données sensibles, privées et/ou professionnelles, avec un email l'on fait aussi de l'ingénierie sociale et du fishing afin de récolter plus de données. Avec un email (et son mot de passe) l'on prend aussi le contrôle distant d'un PC moderne s'il n'est pas protégé par 2FA. Mais c'est vrai qu'il n'y a pas suffisamment de botnets qui tournent à cause de gens qui n'ont pas encore compris ce que sécurité impliquait... :rolls eyes:
Par contre j'ai un PC secondaire avec lequel je suis régulièrement sur Internet. Sans compter que j'ai un site contenant de nombreux dossiers protégés par mot de passe et je ne parle même pas de ceux de mes nombreux documents protégés eux aussi.
Donc désolé de te contredire, mais j'ai des dizaines de combinaisons identifiant mot de passe à retenir !
On va donc en rester là.
Je garde ce fichier unique sur une clé USB unique. Faudra pas que je la perdre.
Qu'est ce q'une double authentification ? Je vois bien l'idée mais comment la mettre en oeuvre ? Est-ce dépendant de l'opérateur ? Du client de messagerie ? Merci
Pardon, mais j'en reviens à ce que j'ai écris au début : ton discours est exactement le même que celui des barbus linuxiens, qui considèrent que parce qu'ils retouchent des photos en ligne de commande ou qu'ils sont capables monter un serveur sécurisé sur internet en 5mn, tout le monde devrait le faire.
maintenant ça marche,mais durdur à mémoriser !
même problème
Et oui, en matière de sécurité tout le monde doit faire un minimum d'effort ! Vivre sans faire le moindre effort, désolé mais je n'y crois pas !
Simplement parce que les constructeurs de serrure et de clés font l'effort à leur place !
Ce n'est pas se prendre un être supérieur qu'inciter les gens à utiliser à minima leur cerveau !
Ça fait du bien en plus, il parait que ça protège de la maladie d'Alzheimer.
Il faut voir la négligence avec laquelle certaines boîtes gèrent leur clé de cryptage qui est parfois carrément stockée en clair sur un serveur dans un fichier "clé de cryptage.txt".
Non je ne déconne pas, je l'ai déjà vu ! Du coup la multiplication des algorithmes imposerait un effort considérable aux hackers, qui sont actuellement au contraire, tout contents de retrouver un algo qu'ils connaissent par coeur actif sur des dizaines de sites différents.
C'est comme aux examens, c'est beaucoup plus difficile de tricher avec un sujet qui change tous les ans, plutôt qu'avec un sujet qui revient tous les 5 ou 10 ans !
Mon mot de passe préféré est "Philippeencule'1" ... rapport au 80 km/h sur les routes ...
Mamie ou Papi, qui souhaitent juste surfer, va leur demander de créer des dizaines de mot de passe et les retenir.
Ô toi l'être supérieur, on ne vit vraiment pas dans le même monde.
Finalement, je vais faire comme d’habitude.
Mot de passe changé en 5 secondes, enregistré dans Opera et aussitôt oublié.
Pour moi il faut sécuriser ce qui le mérite vraiment (email principal, compte facebook, banque, boulot…) en fonction de là ou tu mets des infos vitales ou du pognon. Le reste tu ne te complique pas la vie.
Mais le problème, c'est qu'il faut se souvenir de chaque MDP et suivant le site que tu consultes, et dans 90% des cas le risque est très faible sur les conséquences du vol du MDP.
Imaginons que quelqu'un vole ton MDP sur MonWindows, que pourra t'il faire avec, pas grand chose, à part écrire à ta place des insultes sur le site.
Mais tu t'en rendras vite compte et tu changeras ton MDP.
Bon, je vais tâcher de changer mes MDP avec au moins 13 lettres. Je vais en profiter pour acheter un petit carnet pour les noter.
Ce qui remet en cause les soi-disant super algorithmes de cryptages utilisés par les sites !
Désolé si ce que je vais dire ne fait pas plaisir à tout le monde, mais si chaque site élaborait son propre système de cryptage fait maison, ce serait quand même bien plus sûr qu'utiliser les services de telle ou telle boîte de sécurité informatique qui utilisent le même algo pour des milliers de clients différents !
Mais pas de soucis, tu n'y es pour rien car dans tous les cas, les hackers ont toujours une longueur d'avance sur la sécurité.
En tout cas, merci pour nous avoir averti rapidement.
Pour ceux que ça intéresserait, voici un article plutôt complet sur comment bien choisir son mot de passe et avec, à la fin de l'article, des comparaisons sur les gestionnaires de mots de passe les plus connus pour aider à choisir celui qui nous convient le mieux : https://www.nextinpact.com/news/100871-choisir-bon-mot-passe-regles-a-connaitre-pieges-a-eviter.htm
Concernant HaveIBeenPwned, il est tenu par un ingénieur de Microsoft (cf https://haveibeenpwned.com/About ). Quant aux données, l'usage fait est expliqué ici : https://haveibeenpwned.com/Privacy
Quant au Hassner-Plattner Insitute, il s'agit d'une université allemande si j'ai bien compris et l'utilsation des données est expliquée ici : https://sec.hpi.de/ilc/dataprivacy
Deux les cas, il y a la possibilité d'opt-out pour retirer ses données des ces bases de données.
Rassurez-vous les gars, les pirates ne sont pas encore capables de transformer vos mots de passes en passe partout, vous pouvez dormir tranquille, vos biens et votre famille sont à l’abri
C’est quand même dingue cette peur de se faire voler du vent…
Aujourd'hui avec le RGPD, les fuites de données doivent être annoncées dans les 72h suivant la découverte sous peine d'amende, donc il y a bien une obligation légale. https://www.nextinpact.com/news/106168-le-rgpd-explique-ligne-par-ligne-articles-24-a-50.htm cf article 33
Arnaud j'apprécie ta démarche concernant la transparence sur le piratage et le fait que l'on doivent changer notre mot de passe. Mais à l'heure actuelle je ne comprends pas que les sites ne soient pas dans l'obligation de prévenir les utilisateurs en cas d'intrusions. Car en se sentant protégé on ne se dit pas tiens on va aller chercher si son adresse a été piratée, surtout chez les non initiés. Mais grâce à toi je viens de regarder et une de mes adresses mails fait partie de la liste et est référencée sur des gros sites n'ayant pas demandé de changements de mot de passe ou ayant été victime de piratage. Bref honte à eux
Retoucher une photo demande des compétences à acquérir.
La mémoire est une capacité innée de tous les êtres humains.
Je dis simplement que c'est à la portée de tout le monde de retenir des dizaines de combinaisons id mot de passe. Mais il faut essayer avant de dire que ce n'est pas possible !
Je pourrais faire un tuto sur l'augmentation phénoménale des capacités de mémorisation par l'utilisation de méthodes mnémotechniques, mais ça n'a pas vraiment rapport avec l'informatique.
Peut-être sur le forum dans la cafèt ?
mission accompli et avec un peu de retard meilleurs voeux a tous
Pour ceux qui prendraient mes mots au premier degré : je blague
et dans le cas qui nous occupe en l'occurence la protection que tu proposes ne change rien puisque le hacker a récupéré la base de donnée (ou une partie) du site, il peut donc faire ce qu'il veut dans son coin snas que tu en sois jamais informé (enfin jusqu'a ce que l'admin du site s'en rende compte et previenne ses utilisateurs comme ici.
Faut que t'essaies de comprendre un peu, c'est pourtant pas très compliqué.
En tout cas il m'est devenu indispensable, il n'est juste pas possible que je me souvienne de tous mes identifiants. Alors je retiens ce que j'utilise fréquemment mais pour le reste clairement pas.
Oui, et ?
En tout cas, j'ai toujours mis au moins 3 types de caractères avec au moins 8 à 9 lettres.
Mais certains sites, ils t'imposent de mettre juste 4 chiffres et tu n'as pas le choix!
Je ne vois pas trop l'intérêt d'avoir 36 000 mots de passe différents.
En général je tourne avec plusieurs MDP avec le nombre et le type de caractères recommandés par les sites que j'alterne.
Bon, après si on voulait être mieux sécurisé, c'est pas compliqué, il suffirait que si on ne met pas le bon MDP au bout de 3 ou 4 fois, le site demande à modifier son MDP avec une double sécurité comme certains le font avec envoi d'un code par SMS ou par mail.
J'ai testé tout de même ce matin et le second site m'indique que le mail de contact de mon entreprise a été piraté, et que ...
... mon nom et mon prénom ont été divulgués !
Wow ! Des informations que n'importe qui peut avoir en consultant le whois de mon site !
C'est trop fun, internet, parfois !
La non duplication des mots de passe est une règle de base de la sécurité informatique !
Je ne comprends donc absolument pas comment certains peuvent y déroger !
Ce genre de site où il faut donner son mail / MDP et on ne sait pas qui vérifie ni comment, c'est quand même dangereux.
Je n'ai aucun problème à retenir mes couples identifiant / mot de passe sur des dizaines de sites différents !
Le problème c'est qu'aujourd'hui les gens n'entraînent plus suffisamment leur cerveau à l'utilisation de moyens mnémotechniques.
Je te donne un exemple. Sur monwindows, avec ton identifiant, tu peux associer un mot de passe relatif à ton jeu xbox préféré.
Ou sur impôts.gouv.fr tu peux mettre comme mot de passe jné-mar2-vousfilertoutmonfric-bande2tr0uduc.
C'est facile à retenir, non ?
Ceci dit, c'est pas faux non plus ! ;-)
Comme certains j'hésite á lancer des tests sur des sites qui nous proposent de tels services. Cependant l'ai fait et ai eu confirmation que le mot de passe a été capté. Idem sur une bal mail dans mon entourage et sur laquelle il y avait de fortes suspicions
Ai saisi cet évènement pour terminer le durcissement de tous mes mots de passe.
Merci Arnaud de ces rappels de conseils et ne soit pas désolé.
Ps: le test était positif sur le second site mais pas sur le premier !
Ca, c'était avant quand l'on parlait encore de mots de passe. Maintenant, avec une phrase de passe de 15+ caractères, l'on peut se contenter, en bon français, de mettre une majuscule et des espaces, genre : "Mon mot de passe pour Mon Windows" fonctionnera à merveille et beaucoup mieux que "M07 de p@ss" ! (Et, non, ce n'est pas le mien. ) Les accents et la ponctuation font aussi merveille.
Ma stratégie pour les mots de passe :
1. Un email sur Outlook.com qu'absolument personne ne connait et qui est l'unique email qui me sert à me connecter à mon compte Microsoft. C'est son usage unique. C'est email est protégé par une phrase de passe très longue et dans une langue morte rarissime sans mot que l'on pourrait trouver dans un dictionnaire. Cet email est, bien sûr, protégé par authentification à double facteur via Microsoft Authenticator sur mon mobile. Ce compte est au centre de mon identité numérique.
2. Un email secondaire à ce premier, et de la forme prénom.nom@outlook.fr, sert à gérer mon courrier privé et protégé par le compte primaire. L'on ne peut l'utiliser pour se connecter à mon compte Microsoft.
Je gère aussi mon email pro principal, avec un nom de domaine que je possède, via ce même compte Microsoft (fonctionnalité de grand fathered account maintenant disponible via Office 365). Il est aussi protégé par phase de passe complexe et, comme précédemment, l'on ne peut l'utiliser pour se connecter.
3. J'ai 7 autres emails différents sur ce compte Microsoft, un pour chaque activité (Communautaire, achats en ligne, etc.) du type mes.achats@outlook.fr et au moins un email poubelle.
J'utilise un alias différent pour chaque site ou service. Ainsi, mon compte Amazon pourrait se présenter ainsi : mes.achats+amazon@outlook.fr de sorte que je sais rapidement quand un site a vendu mon email ou s'est fait cracker. Si un alias n'est pas accepté, j'utilise un email poubelle de type email.poubelle1@outlook.fr de sorte que je puis bloquer jusque celui utilisé pour un service en utilisant une adresse du type : email.poubelle1+nom_du_site_à_la_con@outlook.fr. Quand la poubelle1 est grillée, je supprime ce compte secondaire et créé une nouvelle. L'actuelle en est à peine à la poubelle2.
4. Je n'utilise mes emails opérateurs exclusivement que comme emails poubelles.
5. Tous mes emails, secondaires, alias, etc. utilisent des phrases de passe et la double authentification dès que cela est possible.
Je ne laisse pas un navigateur enregistrer un mot de passe.
Et j'utilise Enpass pour gérer mes ~200 mots de passe sur tous mes terminaux. Je suis fort heureux de pouvoir utiliser Windows Hello en lieu et place du mot de passe maître d'Enpass sur PC et mobile car la phrase de passe utilisée est, très longue (22+) et dans une langue imaginaire extrêmement rare dont les rudiments ne sont connus que de rares initiés.
Enfin, l'avantage d'Enpass contrairement à la concurrence telle que LastPass (comment peut-on recommander un service de ce genre qui s'est même déjà fait cracker ?!) c'est que les mots de passe sont stockés en local (en chiffrement lourd et aussi toujours sous BitLocker !) et non sur un quelconque service !
Bref, je suis serein.
Le logiciel : https://keepass.info/
Autre lien utile : https://www.cert.ssi.gouv.fr/
Pensez à changer tous vos mdp sensibles genre Amazon, PayPal, etc.
J'ai changer mon mot de passe sur notre site d'info préféré par sécurité, mais il ne semblait pas avoir été violé.
Sinon, je me suis rendu sur les sites que tu as indiqué afin de contrôler mon adresse e-mail. Surprise, mes données ont été violée, mais seulement sur un compte Dropbox (faute d'avoir OneDrive) que je n'ai jamais vraiment utiliser. Je vais donc plutôt supprimer ce compte.
Je viens de changer mon adresse e-mail principale, suite à un SmartPhone androide qui à fini en Arabie Saoudite suite à l'oubli de ce dernier sur un avion EasyJet :-) Donc du coup je suis trankil.
Voilà, que du bon ce genres d'info. Merci encore Arnaud.
Bonne journée
Je ne vais ni supprimer mon compte, ni changer de mot de passe !
Tu ne peux pas être tenu pour responsable du manque de bon sens de x, y ou z !
Je l'ai déjà dit, les utilisateurs de MonWindows sont des gens intelligents. Une personne intelligente NE METS PAS de données confidentielles sur un site tel que MonWindows !
On va pirater mon compte ?
Pour quoi faire, alors ?
Poster des messages bidon avec mon identifiant ?
WOW ! Je suis terrorisé !
Non, faut arrêter la déconne.
So ... Keep cool Arnaud !
Amicalement fcmque.
Tu n'as rien à te reprocher car d'autres sites bien plus gros et avec plus de moyens ont été aussi pirater !
Personnellement de prend parfois des mots de passe générés par ce site : https://www.motdepasse.xyz/
Sinon, lorsqu'on avait suggéré de mettre le site en https (ce qui a été fait assez récemment), c'est pas toi ou un des modos qui nous avait répondu que l'intérêt était minime ?