Doc/hackingmailaccount

Comment protéger son compte internet

Page fondée sur les échanges entre membres de la mailing list de l'electrolab;

Moyens par lesquels une prise de contrôle du compte est réalisée

 * 1. Moyens par lesquels une prise de contrôle du compte est réalisée:


 * 1.1 les questions de sécurité et de mot de passe;

L’un des moyens les plus utilisés est de changer le mot de passe du compte en déclenchant la procédure «d’oubli de mot de passe, recours à la « question secrète ». Comme en général les gens qui remplissent les champs « question secrète y répondent réellement :date de naissance, nom de jeune fille de votre chère maman etc, bref, rien qui ne soit à la portée d’un bon spécialiste du social engineering, ils y accèdent facilement.


 * 1.2 La récupération d'information provenant de sites fréquentés;

L’autre technique consiste à définir l’environnement de la victime, et de récupérer les hash d’un des nombreux serveurs qu’il fréquente. C’est bien le diable si l’un d’entre eux n’est pas vulnérable à une injection SQL ou un faille PHP. Généralement, les algos de chiffrement sont simples, les condensats pratiquement jamais « salés ». Et des « how to » pour récupérer un mot de passe à partir d’un hachage Sha1, sont légions sur le web.

Une fois muni de ce sésame, il suffit de l’essayer sur le compte google. Dans 98% des cas, ça marche, un seul mot de passe sert à la quasi-totalité des comptes persos


 * 1.3 Les méthodes d'essai de mot de passe systématiques ou ciblées

Le bruteforce avec un gros dico ou un table rainbow… ça se fait aussi, et l’on est étonné des résultats. Ce qui nous conduit à la solution qui consiste à tenter « d’intruser » le compte gmail avec les mots de passe les plus courants : 12345, ABCD, AZERTY...

Les solutions

 * 2.1 L'utilisation de mots de passe variés et différentiés:

Utiliser à la fois des mots de passe complexe et des réponses aux questions secrètes de nature illogique. « pourquoi les transatlantique ? parce que les capitaines de pâques beaux » ou « quelle est la différence entre un canard ? » « sa patte gauche »… votre date de naissance ? Dans la nuit du 4 aout 1789 ou la journée du 4 septembre 1870. Vous avez également toute la table de Mendeleïev et les formules chimiques du Gevrey-Chambertin ou de l’eau de javel... L’on peut également « faire confiance à google » (cherchez l’erreur) et accepter de communiquer votre numéro de téléphone. Dans ce cas, le mot de passe est rappelé par SMS, c’est un peu plus compliqué à pirater, mais pas impossible avec un attaque MIM, surtout si la victime utilise un smartphone sous Android.

Certains utilisent un algorithme maison pour écrire mes mots de passe, du coup chaque compte à un mot de passe différent. Et le moyen mémo technique est dans la tête et pas sur un bout de papier. Et bien en tant que personne prudente, je n'enregistre aucun mot de passe dans mes navigateurs.

A mon avis, la méthode la plus simple pour générer du mot de passe complexe, c’est encore de se plonger dans un bouquin de chimie (lettres majuscules, minuscules, chiffres et signes de ponctuation dans les formules) et de coller ça dans un « coffre fort à mot de passe ». Lui-même protégé par un mot de passe, précisément celui que l’on n’oublie jamais et qui servait jusqu’à présent à se loguer sur tous les serveurs à la fois. Il n’est pas nécessaire de se souvenir des mots de passe. Le soft du coffre s’en charge en général (celui intégré aux ordis toshiba basé sur un tpm est pas mal… )


 * 2.1.1 Des sites utiles pour générer des mots de passe:

L’un des plus populaire –pondu par Schneier- est password safe

http://passwordsafe.sourceforge.net/

une version multi-OS en java a été pondue http://sourceforge.net/projects/jpwsafe/

un bon petit bout de js/html qui fait le travail de générer un mot de passe différent par site/besoin. http://ctrlq.org/passwords/

Le mot de passe est entièrement généré par le js, donc pas rien ne se balade sur le réseau

bien entendu, le contenu du coffre est chiffré. Et avant de péter du Blowfish….

Ce qui veut dire que l’on peut même coller la clef sur un repo « dans le nuage », histoire de ne jamais le perdre, et d’en faire des petits sur autant de clef usb que l’on veut. On peut oublier un mot de passe, on perd rarement ses clefs de voiture ou de maison avec le « porte clef usb » qui va bien.

L’autre solution consiste à noter les mots de passe sur un simple carnet papier glissé dans son portefeuille. Ce n’est pas le genre de chose qui se perd non plus.


 * 2.1.2 Les gestionnaires de mot de passe perso

il existe des gestionnaires de mot de passe centralisé (je suppose sur le même principe que firefox sync). Perso j'utilise lastpass (y'a 1password comme concurrent par exemple), c'est pas d'une ergonomie transcendante, mais ça fait le boulot. Du coup un mot de passe c'est juste un morceau de texte aléatoire stocké dans le gestionnaire.


 * 2.2 Seconde parade : authentification en deux étapes de Gmail

Ne pas utiliser Gmail pour des échanges pouvant être personnels ou importants… that’s the first cloud computing lesson.

Si vous voulez être tranquille même contre le phishing, il faut activer l'authentification en deux étapes (http://support.google.com/accounts/bin/answer.py?hl=fr&hlrm=en&answer=180744).

Les erreurs à ne pas commettre:
L'utilisateur lambda utilise toujours le même mot de passe. Donc si tu obtiens un seul de ses mots de passe tu les as tous !

Points de discussion : firefox sync
-	De mémoire de gratte papier dans le domaine sécu, je n’ai jamais vu (mais vraiment jamais) un outil dont on ne découvre une faille un jour. Y compris dans les « password safe » et compagnie… mais ceux-là peuvent être sur un hardware indépendant de la machine, et non lié à un soft « permanent » sur l’ordinateur, comme c’est le cas de Sync. Et une faille découverte est une faille pas toujours patchée… surtout si elle concerne plusieurs pétoires. Un admin sérieux évitera ces outils de synchro, conscient du risque toujours possible d’oubli d’une machine dans ses politiques de déploiement de correctifs. Il doit tenir compte de l’ouverture possible de cette « fenêtre de vulnérabilité » sur un noyau « out of date » pour x raisons (maintenance, oubli, réforme de la machine etc etc) -	Il y a réplication des favoris et crédence de manière automatique via un proto internet. C’est un point non pas de vulnérabilité (encore que), mais un point à partir duquel tes données personnelles t’échappent. C’est pas très « orange book » tout ça. Même des proto tels que celui de Skype, pourtant sacrément sécurisés, ont été compromis à un moment donné. Si quelqu’un trouve un moyen de forger la signature d’un des navigateurs à synchroniser, il récupère sans effort la totalité de tes accès. -	Quand bien même cela ne serait, le fait de synchroniser des mots de passe sur différentes machines –donc à différents endroits a priori hors de ta portée- fait que ce coffre-fort est en dehors de tes capacités de surveillance et vulnérable à un abus ou une erreur d’usage. Certes, ces login/mots de passe sont protégés par l’accès à ton propre compte. Mais là encore, il y a possibilité de piratage de compte local. Sans parler de l’accès console sur la machine « truc » que l’on a autorisé à cousine Berthe ou à tonton George… qui lui-même peut avoir un comportement à risque. A un moment donné, ton mot de passe est nécessairement écrit en clair dans un passage de param quelconque… beware (un problème commun à tous les fameux « single sign on »). Et je ne parle pas du dump de la mémoire vive qui peut retracer des choses que la morale réprouve.

Note d'humour
http://xkcd.com/936/