Une base de données contenant plus de 184 millions de logins et mots de passe uniques a été découverte en libre accès sur Internet. Derrière cette fuite massive, des identifiants liés à des services grand public, des comptes bancaires, des adresses gouvernementales… et aucun moyen d’en retracer l’origine.
Il va falloir passer à la biométrie… Et à la double authentification. TOUS, boites comprises.
Ou alors, supprimer l’anonymat du net.
2 « J'aime »
"Que faire si vous êtes concerné ? "
Comment savoir si on est concerné ?
Ou un permis à obtenir avant de devenir internaute.
Devra passer les tests de phishing, de bons comportements à respecter lors de la navigation, du téléchargement ou lors du choix des identifiants et le respect de la nétiquette.
1 « J'aime »
C’est presque le cas en ce moment, non ?
T’y connais rien, tu morfles et sans broncher.
Tu peux très bien te faire voler tes données sans que tu n’aies rien à faire. L’exemple de free suffit à le montrer.
2 « J'aime »
2 « J'aime »
A mon humble avis, il est inutile de savoir si on est concerné, mieux vaut ce weekend changer tous ses mots de passe en utilisant (d’après ce que j’ai lu), 13 caractères au moins (chiffre, lettres minuscules, majuscules, caractère spéciaux) …ce que je vais faire.
On peut assai mélanger plusieurs alphabet (latin avec des lettre Thaie ou Kmers par exemple :))
Un permis uniquement en France alors puisque la France n’est pas le monde …
Et même là, je vois mal une grande partie de la population utilisatrice capable de comprendre ce qu’il ne faut pas faire vu la tendance du QI moyen …
Très mauvaise idée … même si c’est unique et révocable, ce n’est pas renouvelable comme un mot de passe ou des clés SSL.
2 « J'aime »
En plus Troy vient de release la v2 du site !
Au moins une personne éduquée et informée c’est une personne moins vulnérable. Cela n’aurait pas de valeur contraignante au départ, juste de sensibilisation.
Il reste évidemment la question du périmètre et de la faisabilité.
Tant qu’on y est, cloisonnons les réseaux et bloquons les réseaux hostiles, exiger que les opérateurs de VPS suspendent les serveurs exploités par des botnets sous 4 heures sous peine de voir leurs subnets bloqués, puis faisons en sorte que les opérateurs de transit fassent du routage intelligent et qu’ils bloquent automatiquement les patterns qui ressemblent à des attaques. C’est sûrement infaisable et ça aurait probablement de gros effets de bords.
Prends un gestionnaire de mots de passe sérieux, comme Proton Pass, ou mieux encore, KeepassXC en local. Transfère tes mots de passe dans l’application, supprime ceux stockés sur les navigateurs et laisse Keepass gérer tout automatiquement.
Finalement, il n’y a pas plus de contraintes, juste des habitudes différentes, et au moins, c’est protégé selon tes préférences.
Il y a des gens qui n’ont strictement rien à faire de l’informatique, du numérique, etc…et pourtant qui ont un QI d’un niveau largement supérieur au tien…
1 « J'aime »
oui merci, mais ça aurait été sympa d’indiquer dans l’article comment le savoir…
la biometrie n’est pas forcement la meilleure idee.
en effet, meme si c’est infiniment plus difficile a tromper, ce n’est pas impossible.
mais contrairement a un mot de passe, bonne chance pour modifier tes empreintes digitales ou ton iris en cas de compromission.
d’autant que c’est considéré comme extremement difficile aujourd’hui. mais avec une augmentation de puissance de calcul et/ou les machines quantiques…demain…
1 « J'aime »
La biométrie n’est à peu près jamais utilisée comme identifiant « final » auprès du service.
De façon simplifiée, le service te communique des clés, et elles sont stockées dans une enclave sécurisée protégée par une vérification biométrique.
En cas de compromission, il est donc possible de révoquer les clés.
Et surtout, pour accéder au service il ne suffit pas de compromettre la partie biométrique, il faut aussi avoir réussi à voler les données de ton enclave sécurisée.
Par exemple, si tu utilises un lecteur d’empreintes Windows Hello ou celui de ton téléphone pour te connecter au site de ta banque, quelqu’un qui arrive à reproduire ton empreinte ne pourra se connecter à ta banque qu’avec ton PC/smartphone, et ce jusqu’à ce que tu révoques leurs clés.
Et en général, pour faire cette compromission complète, seul un accès physique le permet, car une partie des étapes d’authentification sont effectuées directement dans le lecteur d’empreintes, la partie « logicielle » de l’appareil n’a pas accès à l’« image » de l’empreinte, et il n’est donc pas possible d’injecter une image à la place d’un vrai doigt de façon logicielle.
Il faut éviter de paniquer; plusieurs raisons à cela :
- On ne connait pas l’ancienneté de cette base.
- Il y a au bas mot 3, 4 milliards de sites web.
- 184 Millions de comptes, rapporté au niveau mondial c’est rien, une goutte d’eau que dalle.
- Ce brave chercheur a aussi sa boîte Security Discovery
.
Pour pérenniser la sécurité de ses données personnelles, il faut suivre les bonnes pratiques :
- Si ça vous angoisse, changez vos mots de passe dans la minute qui suit : au moins 10 caractères alphanumériques dont chiffres, majuscule et en plus au moins un caractère spécial (@$!& …).
- Ne mettez pas tous vos œufs dans le même panier, prenez une adresse mail par thème et pour les thèmes les plus sensibles ne diffusez jamais vos adresses.
- Que ce soit pas mail, SMS, vérifiez toujours l’émetteur (pensez à cliquer sur l’entête du mail) donc le domaine pour un mail et ne cliquez jamais sur un lien que vous n’attendez pas.
- Assurez d’avoir un antivirus correct.
Dans les gratuits BitDefender, Avast, Avira, Trend Micro (mobile) ou encore ClamAV (opensource, donc transparent et très utilisé dans le monde linux). - Vous pouvez compléter avec un anti malware/rootkit comme malwarbytes :).
- sous windows désactivez l’execution automatique des supports amovibles : https://support.lenovo.com/cl/fr/solutions/ht502955
- Choisissez des navigateurs respectueux de l’utilisateur comme Brave, FireFox ou son excellent fork WaterFox. Ajoutez au minimum les plugins ublocks origin, decentral eyes, Privacy Badger et Clear Urls (y compris pour les sessions privées).
- N’enregistrez JAMAIS vos mots de passe.
- N’allez pas sur des sites louches
. - Sur mobile ajoutez duckduckgo, il intègre un navigateur (que je n’utilise pas perso) mais surtout un vpn gratuit performant qui bloque toute requête tiers sollicitée par d’éventuels programmes en tâches de fond notamment celles qui vont vers les GAFAM !
- La biométrie c’est pas terrible, c’est encore un moyen potentiel de vous voler votre identité, et avec l’IA générative les possibilités sont effrayantes et réelles.
Là ça commence à être correct :p.
On peut assai mélanger plusieurs alphabet (latin avec des lettre Thaie ou Kmers par exemple
Ça servirait à rien, la plupart des sites ont toujours leurs règles bidons « 6 majuscules, 2 minuscules, 1/2 chiffre, 29 caractères spéciaux, mais pas d’Unicode, ni UTF8 ».
En général, il vaut mieux utiliser une phrase (l’entropie/sécurité est bien meilleure), non seulement tu peux la retenir sans te tromper.
Avec un caractère, tu as, au mieux 100 possibilités (majuscules, minuscules, chiffre, caractères spécial) alors qu’avec un mot, le nombre de possibilité est de 10’000 à 100’000. Une phrase avec une dizaines de mots, c’est 100^000¹⁰ possibilités, autant dire, très méga beaucoup.
Ou encore mieux, un gestionnaire de mots de passe.
1 « J'aime »
Les mots de passe ça ne plus exister car il faut le partager a un moment où un autre avec le service qui fait l’authentification. En plus toute la chaîne entre l’entrée du mot de pas et sont envoi peut aussi être compromise.
L’idée du mot de passe est de prouver que vous connaissez un secret pour être authentifié. Il possible de fournir cette preuve sans jamais partager le mot de passe avec le vérificateur. Cela repose sur une branche de la crypto appelé « preuve nulle divulgation de connaissances ».
Bon si l’attaquant devine le secret ou si la chaîne d’élaboration de la preuve est comprise c’est mort quand-même.