Doc/hackingmailaccount

Comment protéger son compte internet

fondé sur les échanges entre membres de la mailing list de l'electrolab;

1. Moyens par lesquels une prise de contrôle du compte est réalisée:

1.1 les questions de sécurité et de mot de passe;

En gros, l’un des trucs les plus utilisé est de changer le mot de passe du compte en déclenchant la procédure «d’oubli de mot de passe, recours à la « question secrète ». Comme en général les gens qui remplissent les champs « question secrète y répondent réellement :date de naissance, nom de jeune fille de votre chère maman etc, bref, rien qui ne soit à la portée d’un bon spécialiste du social engineering, ils y accèdent facilement.

1.2 La récupération d'information provenant de sites fréquentés;

L’autre technique consiste à définir l’environnement de la victime, et de récupérer les hash d’un des nombreux serveurs qu’il fréquente. C’est bien le diable si l’un d’entre eux n’est pas vulnérable à une injection SQL ou un faille PHP. Généralement, les algos de chiffrement sont simples, les condensats pratiquement jamais « salés ». Et des « how to » pour récupérer un mot de passe à partir d’un hachage Sha1, y’en a plein le oueb.

Une fois muni de ce sésame, il suffit de l’essayer sur le compte google. Dans 98% des cas, ça marche, un seul mot de passe sert à la quasi-totalité des comptes persos

1.3 Les méthodes d'essai de mot de passe systématiques ou ciblées

Le bruteforce avec un gros dico ou un table rainbow… ça se fait aussi, et l’on est étonné des résultats. Ce qui nous conduit à la tout dernière solution, qui consiste à tenter « d’intruser » le compte gmail avec les mots de passe les plus courants : 12345, ABCD, AZERTY, j’en passe et des plus déconcertantes.

2. Les solutions

2.1 L'utilisation de mots de passe variés et différentiés:

Utiliser à la fois des mots de passe complexe et des réponses aux questions secrètes de nature illogique. « pourquoi les transatlantique ? parce que les capitaines de pâques beaux » ou « quelle est la différence entre un canard ? » « sa patte gauche »… votre date de naissance ? Dans la nuit du 4 aout 1789 ou la journée du 4 septembre 1870  (pour toute personne ayant dépassé le niveau CM2/Certificat d’étude, ce genre de date ne s’oublie pas). Vous avez également toute la table de Mendeleïev et les formules chimiques du Gevrey-Chambertin ou de l’eau de javel L’on peut également « faire confiance à google » (cherchez l’erreur) et accepter de communiquer votre numéro de téléphone. Dans ce cas, le mot de passe est rappelé par SMS, c’est un peu plus compliqué à pirater, mais pas impossible avec un attaque MIM, surtout si la victime utilise un smartphone sous Android

Pour ma part j'utilise un algorithme maison pour écrire mes mots de passe, du coup chaque compte à un mot de passe différent. Et le moyen mémo technique est dans la tête et pas sur un bout de papier. ^^ Et bien sur en bon parano, je n'enregistre aucun mot de passe dans mes navigateurs.

A mon avis, la méthode la plus simple pour générer du mot de passe complexe, c’est encore de piller un bouquin de chimie (lettres majuscules, minuscules, chiffres et signes de ponctuation dans les formules) et de coller ça dans un « coffre fort à mot de passe ». Lui-même protégé par un mot de passe, précisément celui que l’on n’oublie jamais et qui servait jusqu’à présent à se loguer sur tous les serveurs à la fois. Il n’est pas nécessaire de se souvenir des mots de passe. Le soft du coffre s’en charge en général (celui intégré aux ordis toshiba basé sur un tpm est pas mal… )

2.1.1 Des sites utiles pour générer des mots de passe:

L’un des plus populaire –pondu par Schneier- est password safe

http://passwordsafe.sourceforge.net/

une version multi-OS en java a été pondue http://sourceforge.net/projects/jpwsafe/

un bon petit bout de js/html qui fait le travail de générer un mot de passe différent par site/besoin. http://ctrlq.org/passwords/

Le mot de passe est entièrement généré par le js, donc pas rien ne se balade sur le réseau

bien entendu, le contenu du coffre est chiffré. Et avant de péter du Blowfish….

Ce qui veut dire que l’on peut même coller la clef sur un repo « dans le nuage », histoire de ne jamais le perdre, et d’en faire des petits sur autant de clef usb que l’on veut. On peut oublier un mot de passe, on perd rarement ses clefs de voiture ou de maison avec le « porte clef usb » qui va bien.

L’autre solution consiste à noter les mots de passe sur un simple carnet papier glissé dans son portefeuille. C’est pas le genre de chose qui se perd non plus. Et avant de trouver un exploit remote capable de passer de userland à la lecture ocr d’un truc rangé dans une poche et écrit en pattes de mouches…

2.2 Seconde parade :

Ne pas utiliser Gmail pour des échanges pouvant être personnels ou importants… that’s the first cloud computing lesson.

3. Les erreurs à ne pas commettre:

Il ne faut pas oublier le bon vieux phising ! Comme tu le dis très bien le lambda utilise toujours le même mot de passe. Donc si tu obtiens un seul de ses mots de passe tu les as tous !