Commentaires : Le Cybermoi/s s'ouvre en France : qu'est-ce que c'est ?

Sécurité
ANSSI
mot-de-passe
Tags: #<Tag:0x00007f920ad32f18> #<Tag:0x00007f920ad32db0> #<Tag:0x00007f920ad32c70>

#1

Octobre est arrivé, et avec lui une initiative dont vous allez peut-être entendre parler tout au long du mois. Sous l’égide de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), un service français qui s’occupe de la protection informatique de l’État et des opérateurs d’importance vitale, s’ouvre le « cybermoi/s », une opération qui se focalise sur la sécurité dans l’environnement numérique. En réalité, le « cybermoi/s » — qui comme son nom le suggère propose de rehausser la protection de son « moi….

Par Julien Lausson
Revenir à l’article


#2

Eu, il n’y a que moi qui aie retourné les pages sur le cybermois et n’arrivent pas à retrouver cette liste de recommendations, en particulier celle sur le changement de mots de passe. En copiant l extrait exact sur Google je trouve bien des hits mais une fois sur la page indexée pas moyen de retomber dessus, ils ont amandé leur communication ?


#3

À ses yeux, le changement forcé du mot de passe est contreproductif, surtout s’il est régulier.

Oui en attendant vu que les bases de passwords non salées de la moitié des applications et services sur internet tournent sur le net faut bien les changer à un moment … Et si on le fait pas régulièrement c’est difficile de suivre toutes les fuites de données de services qu’on peut utiliser, à moins d’avoir de l’authent multi facteur on se fait baiser au bout d’un moment.

Edit : il y a littéralement un article en front page qui confirme ça. J’ajoute aussi qu’aujourd’hui des mots de passes ça ne se brute force plus sur des services web correctement foutus, donc qu’il soit de plus en plus faible n’est pas forcément un problème à moins que l’attaquant soit un magicien et le trouve en 3-5 tentatives avant que le compte ne soit locké


#4

Pourtant, c’est ici https://www.ssi.gouv.fr/agence/cybersecurite/cybermois-2019/ :

Un mois pour prendre conscience des enjeux de sécurité numérique et adopter les bons réflexes. Et pour commencer :

j’applique mes mises à jour ;
je change mes mots de passe ;
je fais des sauvegardes.

#5

Cela ne sert à rien de le faire régulièrement.
Imagine que la stratégie soit de faire un changement de mot de passe tous les 3 mois.
Le 1er septembre, le gars change son mot de passe.
Le 15 septembre, son mot de passe est cassé.
Le type a jusqu’au 30 novembre pour piquer tout ce qu’il veut parce que le pirate, il ne va pas attendre 6 mois pour exploiter le compte cassé.

Ce qu’il faut faire, c’est détecter les comportements anormaux : les tentatives répétées de connexions infructueuses, les tentatives depuis des IP inhabituelles voire de pays exotiques. Une fois connectés, avoir des sondes sur le comportement des comptes : téléchargement massif de répertoires et de documents, les connexions depuis des VPN ou des pays exotiques, … et dans ce cas, prendre des mesures immédiates de contrôle.

Autre piste de réflexion : enlever les mots de passe là où il n’y en a pas besoin. On sait que les utilisateurs utilisent souvent le même mot de passe pour différents systèmes. On a beau leur dire, cela ne changera pas. Donc si on réduit le nombre de système avec des mots de passe, on réduit de facto les risques de fuite d’un mot de passe.


(Dropping the password expiration policies)

https://www.ncsc.gov.uk/collection/passwords/updating-your-approach

On rappelle juste que le code secret d’une carte bancaire, c’est juste 4 chiffres :slight_smile:

Le guide sur les mots de passe de l’ANSSI date de juin 2012. En 7 ans, les connaissances sur le domaine et les technologies ont sacrément évolué. Ils en sont encore aux mots de passe à 12 caractères avec majuscules, minuscules, caractères spéciaux alors qu’on sait désormais qu’un robot, il n’a pas plus de mal à trouver un # qu’un a. Et que l’on sait que la force d’un mot de passe, c’est sa longueur (s’il n’y a pas de système anti-force brute).


#6

On rappelle juste que le code secret d’une carte bancaire, c’est juste 4 chiffres

Et ? il est presque impossible de le brute force car lock au bout de trois tentatives erronées, il est normalement généré aléatoirement (après certaines banques permettent d’en génrer des nouveaux, je ne sais pas si on peut le choisir) et ne peut servir qu’en ayant la carte physique …

Le guide sur les mots de passe de l’ANSSI date de juin 2012. En 7 ans, les connaissances sur le domaine et les technologies ont sacrément évolué. Ils en sont encore aux mots de passe à 12 caractères avec majuscules, minuscules, caractères spéciaux alors qu’on sait désormais qu’un robot, il n’a pas plus de mal à trouver un # qu’un a. Et que l’on sait que la force d’un mot de passe, c’est sa longueur (s’il n’y a pas de système anti-force brute).

12 char pour un brute force c’est long déjà … et encore une fois presque rien n’est brute forçable aujourd’hui, en tous cas aucun service / site qui a au moins suivi quelques guidelines depuis 2012 (en étant gentil …). En 7 ans en effet y a beaucoup de choses qui ont changé côté des applications et loi (RGPD), le brute force est quelque chose de presque inexploitable à moins de chercher à casser des dumps de hash de password, ce qui demande beaucoup de moyen et de temps … Mieux vaut passer son temps à vendre des botnets ou à faire des campagnes de spam pour les pirates …


#7

l’activation de la double authentification

Aaaargh !
2 facteurs qui permettent de s’authentifier 1 fois !
D’où l’authentification double facteur, m’voyez ?


#8

Comme quoi des systèmes anti force brute simplissime permettent de mettre en place des codes faciles à retenir.

Pas tant que ça finalement.
Combien d’applications intègrent en natif une détection anti-intrusion ?

Nous essayons depuis bientôt 3 ans de mettre en place un SSO sur le panel d’applications métiers que nous utilisons. La moitié des éditeurs ont encore des règles à la con comme : pas plus de 12 caractères, pas certains signes spéciaux (du style pas de virgule ou de point-virgule), pas de mot de passe qui commence par un chiffre, pas de lettres accentuées, … (ils n’ont pas toutes ces règles, mais chacun en a une particulière). A croire qu’ils se sont emmerdés chaque fois à programmer des restrictions sur ce qui devrait être un champ texte libre de 255 caractères.

Du coup, on est obligé de prendre l’intersection de toutes leurs règles à la con.

On a régulièrement des campagnes d’attaque en force brute, disons une fois tous les deux mois.

Je ne vois pas trop le rapport avec le cassage des mots de passe.


#9

Cas pratique: un des leaders français dans tout c qui ce qui touche les nouvelles technologies, dans des domaines sensibles: quand t’es embauché, t’as un compte pour les services internes à créer… tu reçois le mot de passe en clair par mail. Et pendant ce temps, t’as les quelques jours de formation obligatoire sur le bon usage de base niveau sécurité. Quand tu signales ça au mec, et que l"usager, il va très probablement utiliser le même mot de passe ailleurs, ça réponse c’est: moi j’enseigne aux gens, je contrôle pas ce qu’il font.

C’est pour ça que la sécurité, c’est vraiment quelques chose de “globale”, c’est pas

  • faites toutes les mises à jour
    changer votre mot de passe
  • faites des sauvegardes
    (qui est une vision des années 90 de la sécurité “grand public” / non sensible)
    Avec les changements des usages, ça, ça sert uniquement à se rassurer soit même de l’avoir fait, ,mais c’est zéro en terme de sécurité “pure”…

D’ailleurs à propos des mises à jour, c’est uniquement les mises à jour… de sécurité. Faire toutes les autres mises à jour en mode automatique non réflexion, peut à l’inverse, apporter des problèmes de sécurité, sans jamais en résoudre.