Prendre contrôle de nos mots de passe

Posted: December 17, 2017 in Uncategorized

Dans les dernières années, il y a eu plusieurs leaks de bases de données de mots de passe et à chaque fois, il est recommandé de changer vos mots de passe de façon sécuritaire.  Peu d’entre nous l’ont réellement fait et des analyses d’un leak à un autre permettent de déduire de telles informations qui aident notamment à prioriser diverses techniques de cracking et à exposer les [mauvaises] habitudes des utilisateurs qui aident dans leur cas à développer de meilleurs techniques pour cracker (et de noter la réutilisation des mots de passe sur plusieurs services).  Pour la plupart des faiblesses humaines dans la mémorisation des mots de passe, il y a une mnémonique et plusieurs sont implantées dans des outils de cracking.

On était donc le premier janvier et on m’achalait quant à savoir quelles seraient mes résolutions de l’année et les trucs habituels que j’oublierais après 3 semaines…très peu.  Quand j’ai pensé à changer mes batteries de détecteur de fumée, j’ai eu un déclic…excellent moment pour upgrader mon setup de mots de passe.

Ce n’est pas aussi simple que c’en a l’air comme nous verrons…

Tout d’abord, sans avoir d’index, il faut se rappeler de tous les systèmes qu’on utilise avec des mots de passe…

  • Sites Web
  • VPS
  • Appareils connectés
  • Steam
  • Services locaux
  • Codes de cadenas
  • Trucs de cellulaire
  • Messagerie Instantanée
  • Réseaux WiFi

Pour les sites Web, on peut utiliser nos e-mails ou y aller au fur et à mesure qu’on utilise ceux-ci.  Dans mon cas, je n’ai pas tout trouvé du premier coup, donc je ne m’en ferais pas trop pour ça.  Afin d’éviter cette problématique à l’avenir et d’alléger ma mémoire de tous mes mots de passe et leur mnémonique, etc je suggère donc l’utilisation d’un gestionnaire d’un mot de passe.  Il en existe plusieurs – LastPass (soyez sûr d’avoir une version avec les très récentes vulnérabilités patchées) et KeePass en sont 2 bons – sur diverses plateformes ayant leurs particularités et fonctions intéressantes.  Parmi celles-ci :

  • Création de mots de passes “random” ou suivant des critères de notre choix
  • Raccourcis clavier
  • Rappels d’expiration

Une question survint…qu’en est-il si j’ai un keylogger, ou qu’un de mes sites se fait pirater et ainsi mon compte sur ce site?  Ou toute autre raison pouvant faire que je n’ai plus accès?  Il faut donc penser au 2FA (2-factor authentication) qui consiste à avoir un autre élément d’information afin de vérifier qu’il s’agit bien de nous.  J’ai cependant été déçu de m’apercevoir que ce n’est pas tous les services qui proposent du 2FA et que certains se limitaient aux SMS.  En effet, les SMS peuvent ajouter d’autres vecteurs de vulnérabilité (lien vers référence de fake tower openBTS+MITM, lien vers vol de cryptocurrencies en prenant contrôle du compte de téléphone), ce que nous cherchons à éviter.  Notamment lors d’un vol de téléphone, une carte SIM peut facilement être changée de téléphone et ainsi le # de cell pour potentiellement récupérer des codes 2FA.

Donc, j’active le 2FA sur tous les comptes possibles et de préférence avec Google Authenticator qui est une application mobile permettant de synchroniser des codes uniques entre le site Web et le PRNG pour se servir du cellulaire afin d’obtenir les codes.  Par contre, qu’en est-il si quelqu’un me vole mon téléphone?  Il devra évidemment soit :

  • Avoir mon mot de passe et des codes 2FA d’urgence
  • Avoir mon code de déverrouillage de cellulaire…avant que je le désactive à distance
  • Me menacer physiquement…peut-être

Le tout protège aussi en quelque sorte de vulnérabilités sur le gestionnaire de mots de passe. Tel qu’arrivé “récemment” avec LastPass et 1pass.  Il est à noter qu’une alternative à Google Authenticator peut être une YubiKey.  Par contre, vu que c’est physique, ça se perd plus facilement…  

Codes 2FA d’urgence? Kessé?  Bien, imaginez vous quoi faire si vous avez oublié votre cell à la maison ou qu’il est perdu ou volé…comment rentrez-vous dans votre compte?  Bon, vous pourriez toujours vous connecter sur un autre appareil connu, mais encore…  Ces codes sont à conserver hors ligne ou dans d’autres comptes, afin de pouvoir se sortir des situations fâcheuses qui arrivent.  Bien évidemment, conserver dans un endroit sécuritaire et/ou sous votre contrôle.  Une autre bonne option est d’avoir un backup phone pré-configuré.

Autre point à surveiller avec le 2FA…plusieurs sites permettent une solution alternative aux SMS, mais ne permettent pas de désactiver ceux-ci!

Votre keyring devient corrompu?  Faites des backups…, encryptés, sachant que c’est carrément une clef passe partout.  De plus, il est possible d’utiliser un fichier de clef en plus d’un mot de passe pour protéger l’accès au keyring.  Évidemment, il va sans dire que le mot de passe maître ne doit pas être devinable en fonction de la personne, ou être constitué de termes communs – modifiés ou non.

Un élément souvent ignoré ou omis sont les questions secrètes.  Trop souvent, des sites vont nous forcer à prendre les mêmes questions habituelles et n’offrent pas la possibilité de choisir vos propres questions.  En donnant toujours les mêmes questions faciles, on s’entend que souvent les réponses sont aussi faciles, sinon facilement obtenables par social engineering.  Rien ne vous empêche de mettre une réponse qui n’a pas rapport à la question, ou de noter à une autre place la question choisie ainsi que la réponse saisie.  De plus, il est parfois bon de changer de question secrète – peut-être pas aussi souvent que vos mots de passe par contre.  Considérez le tout un peu comme une backdoor.

Vous désirez aller un peu plus loin?  Avec toutes les bases de données de mots de passes et autres informations qui ont été leakées, il est facile de faire de la corrélation en recherchant une même adresse de courriel ou nom d’utilisateur.  Vous désirez compliquer cette tâche?  Vous pouvez utiliser des points dans votre adresse et ceux-ci seront ignorés à l’envoi de courriel ex:ban.ane.nav.et@hotmail.com donnera bananenavet@hotmail.com.   L’autre option est d’ajouter un signe “+” après la première partie de votre adresse courriel et le texte que vous voulez entre celui-ci et le @ ex: aleksandr_polyatuk+duproprio@gmail.com. Ce texte sera ignoré, mais présent.  Si vous avez votre propre domaine et du courriel sur celui-ci, encore plus simple d’utiliser une boîte “catchall” où klasjflkjalsijfa@votredomaine.tk recevrait le courriel quand même.  Très simple pour un antispam personnel.

Annexe

Suggestions de sites/applications à checker pour des comptes :

  • Reddit
  • Steam
  • iTunes
  • Google
  • Telegram
  • Air Miles
  • Slack
  • Origin
  • Amazon
  • Newegg
  • Fournisseur Internet
  • Sites de recherche d’emploi
  • LinkedIn
  • Uber
  • Dropbox
  • Battle.net
  • Twitter
  • AirBnb
  • Untappd
  • Site perso/WordPress
  • Facebook
  • Skype/MSN
  • Votre fournisseur DNS
  • Votre site préféré de livraison de bouffe

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s