@XxIluvatar on peut etre serieux: c’est du simple fishing. La double n est en aucun cas compromise. Tu ne fais rien sauter, tu profites de la betise des gens: Si je t envoie un courier se faisant passer pour une banque te demande ton IBAN et que tu me reponds, vas tu dire que la securite des banques est compromise ?
La seule regle c est de ne jamais ouvrir un lien pour aller sur un site (mail, sms, messenger, whatsapp). C’est explique par mail lorsque tu payes tes impots.
Bref un titre racoleur et trompeur n’en deplaise a son auteur a qui je souhaite un bon noel quand meme.
@ellis2323 certe mail double authentification en tant que tel n’est pas compromise.
Le problème c’est que 95% des attaques réussis proviennent d’une défaillance humaine et non technique.
Les gens qui ont activé la double authentification sont persuadés, faute à un marketing profitant de l’ignorance du public non averti, d’être intouchable et surtout pas soumis au méchant fishing …
Sous estimer le fishing est une erreur que grand nombre de personne font…
Si on part dans le “techniquement” cette technologie est quasiment (car en informatique la sécurité à 100% n’existe pas et ceux qui me pensent sont incompétent) infaillible, inventer une double authentification était inutile…
Car en soit casser un ssl sha512 pour protéger un mot de passe n’est déjà pas possible dans un temps inférieur à quelque siècle…
Mais le mot de passe est souvent facile à trouver (attaque par dictionnaire, fishing, etc.) car, on y revient, les utilisateurs sont négligeants…
Il a osé ne pas faire une apologie sans concession du sacro saint google, ça mérite au moins la lapidation avec des vieux téléphones android abandonné qui ont au moins 6 mois (ces antiquités).
Il y a des sites où on en a crucifiés pour moins que ça.
Réfléchir 3 minutes pour savoir quel titre trompeur on va mettre avant le copier-coller d’un truc récupéré sur Reddit ou ailleurs, tu appelles ça du journalisme?
Clubic a réussi ce truc phénoménal: devenir encore plus mauvais que quand ils nous expliquaient que c’était la faute de M6 s’ils ne faisaient que de la merde. Et un autre, il y a des gars comme toi pour aimer ça et en demander encore.
“Car en soit casser un ssl sha512 pour protéger un mot de passe n’est déjà pas possible dans un temps inférieur à quelque siècle…”
Cette simple phrase nous montre que tu ne sais vraiment pas de quoi tu parles. Tu pourrais candidater à la rédaction de Clubic, tu serais payé pour nous faire profiter d’approximations poussées au point qu’elles sont mensongères.
@Rayvolt: Du calme… Inutile d’incendier l’auteur comme vous le faites. Essayez de développer vos arguments plutôt que de proférer des attaques ad personam. Cela fera avancer le débat. Merci.
Titre : “Un hacker contournent la double authentification de Google”
Contenu : “Un gars a fait une réinit de mot de passe quand sa femme était aux toilettes, elle avait laissé son téléphone dans le salon”
Nan mais sérieusement y’a aucun contournement technique dans cette histoire. Juste l’exploitation de l’inattention des gens : c’est du phishing, pas du hack.
Pour faire simple la double authentification n’est pas du tout compromise.
Même s’il est important de rappeler de faire gaffe aux mails (c’est louable), le titre est anxiogène et mensonger. Ça c’est du racolage putaclic tendance “Gala / Voici / Closer” dont Clubic n’a pas le droit de s’inspirer, vous valez mieux que ça.
Je dis juste qu’il te manque la logique la plus élémentaire pour commencer.
Si le premier essai est le bon, et ça, ce n’est en rien le protocole de chiffrement utilisé qui changera quoi que ce soit, cela aura mis le temps de faire cette première tentative et en aucun cas plusieurs années.
Ceci dit, la dernière phrase de ton nouveau commentaire montre bien à quel point tu ne piges rien à rien, ne serait-ce que parce qu’elle n’a aucun rapport avec le reste de ton propos.
Hum c’est sûrement parce que je ne pige rien à rien mais ton commentaire est très loin d’être clair…
De ce que semble dire ton commentaire le protocole de chiffrement n’a rien à voir avec la sécurisation du mot de passe…
Sous prétexte que si lors de ton brute force le mot de passe était découvert du premier coup. Tout le reste ne sert à rien o_O, tu base donc tout ton raisonnement sur une chance de cocu qui n’a statistiquement quasiment aucune chance d’arrivée.
Mon propos d’origine était de dire qu’il ne faut pas sous estimer le fishing car la majorité des mot de passe complexe se font récupérer par des méthodes de fishing. Et bien que la double authentification revêt tout un tas davantage elle ne protège en rien du fishing.
Et pour les mot de passe les seul moments où on peut considérer qu’il soit interceptable c’est soit lors de la création/modification de celui ci soit lors de l’authentification… En gros au moment ou l’utilisateur réalise de la saisie transportée via ssl … ensuite le mdp est stocké en BD hashé (enfin si le site est codé par des gens responsable).
Et aussi bien cassé du ssl ou du hash sha512 en brute force on parle bien de plusieurs siècle avec les techno et connaissance actuel… (Bien que cassé du hash n’existe pas c’est plutôt de l’attaque par dictionnaire) mais tout ceci n’est valable que si les utilisateurs respectent les recommandations (+ de 14 char aléatoire en minuscule, majuscule, chiffre et char spéciaux).
Un gugusse qui ne pige pas le tiers des mots qu’il utilise veut me donner un cours de sécurité informatique…
Sais-tu au moins ce qu’est un algorithme de chiffrement, à quoi il sert ? Il est plus qu’évident que non. Le plus épatant est que tu dis toi-même dans ton commentaire qu’on se fout comme de la couleur du slip de Jules César du protocole de chiffrement dans notre problématique.
En résumé, l’algorithme de chiffrement sert en interne au système pour le stockage. En aucun cas il ne joue sur la complexité du mot de passe, alors que ce n’est que de ceci dont on parle.
Donc explique-moi à quel moment il est pertinent de parler du niveau de chiffrement dans le système de gestion pour faire des bruteforce ? Mais je crois que même ce mot-là tu ne le connais pas. Si ton mot de passe c’est « password », quel que soit la mécanique derrière, ce n’est en aucun cas un coup de bol si je casse ton compte en 5 minutes et pas en un milliard d’années. S’il y a bien un truc dont on se contrefout quand on fait du bruteforce, c’est bien de l’algo.
Ta banque peut bien utiliser le Momozemion7000, l’algo de chiffrement le plus fiable du monde, ton mot de passe c’est 4 chiffres, soit 10000 combinaisons. Une chance sur 10000 de trouver ton mot de passe, on est très proche du « bol de cocu » dont tu parles. Plus rigolo : l’essentiel des neuneus dans ton genre va choisir une date pour retenir ces 4 chiffres. Ce qui me fait une chance sur 366 de trouver le mot de passe en un seul essai, 30 fois plus.
A ton avis, lors d’une campagne de fishing, on s’attend à un retour de combien d’utilisateurs assez cons pour se faire piéger ? Parce que là, le super système des banques (et ce n’est qu’un exemple) me donne un taux de réussite d’environ 3 pour mille au premier essai, soit 1% de chance en 3 essais pour l’essentiel des comptes des clients.
C’est sûr que c’est pas en venant sur un site comme Clubic que tu vas réussir à avoir de vraies infos et pas de la soupe marketing avec 3 mots techniques qui ne sont là que pour afficher des pubs.
ce qui est assez fantastique c’est que tous les crackers et autres hackers des cloaques crapoteux arabo-islamiques sont tous formés soit aux Etats-Unis soit en Europe!
Je ne veut pas être méchant mais presque tout les antivirus ont un antispam donc le « envois une alerte de sécurité assez convaincante » marche moyen /: