Connexion
Abonnez-vous

Les comptes Yahoo victimes de la réutilisation des mots de passe

Oui, c'est une sale habitude

Les comptes Yahoo victimes de la réutilisation des mots de passe

Le 31 janvier 2014 à 09h00

Un nombre inconnu, mais potentiellement important, de comptes Yahoo ont été piratés. Une campagne qui a pu être menée grâce à la récupération d’une base de données tierce contenant des identifiants et des mots de passe. Explications.

yahoo

Une importante mutation et des problèmes de sécurité trop réguliers 

Yahoo est actuellement en pleine mutation. Sous l’impulsion de Marissa Mayer, la firme procède à de nombreux rachats de petites entreprises novatrices, notamment Aviate plus tôt dans le mois, ou encore Summly en mars 2013, rendant au passage son auteur de 17 ans multimillionnaire. Le renouveau de l’entreprise passe également par une focalisation sur les applications mobiles en travaillant notamment sur l’ergonomie et l’interface, comme l’a montré l’application Météo. L’idée est de véhiculer une nouvelle image à travers des créations réussies.

 

Seulement voilà, Yahoo rencontre des difficultés avec la sécurité. Il y a un an, une faille exposait 400 millions de comptes utilisateurs et la firme avait dû réagir rapidement. En avril, une autre attaque avait lieu contre les comptes et l’arrivée progressive du HTTPS n’y changeait finalement pas grand-chose. Plus récemment, le réseau publicitaire était infecté par un malware. Enfin, la généralisation du HTTPS et l’annonce en fanfare qui en a découlé n’ont pas empêché certains de remarquer que le certificat de sécurité n’était en fait valable que jusqu’au 14 février, comme le prouve la capture d’écran ci-dessous.

 

yahoo

Les mauvaises habitudes des utilisateurs n'améliorent pas la situation 

Et c’est dans ce contexte que les comptes Yahoo sont à nouveau menacés. Mais cette fois, la firme n’est pas réellement en cause. Comme expliqué dans un billet sur le blog officiel, les accès aux comptes ont été réalisés grâce à des identifiants et des mots de passe qui ont été volés depuis un service tiers. Le principal vecteur de l’attaque est en fait… l’utilisateur lui-même. Pourquoi ? À cause d’une très mauvaise habitude que nous avons soulignée à de nombreuses reprises dans nos colonnes : l’utilisation des mêmes informations de connexion pour de nombreux services.

 

Les comptes Yahoo sont particulièrement courants. Les utilisateurs qui souhaitent s’inscrire à un service quelconque, par exemple TweetDeck, vont utiliser directement cette adresse comme un identifiant. Pour ne pas devoir gérer un trop grand nombre de mots de passe, certains vont utiliser le même que pour le compte Yahoo. L’opération est potentiellement répétée autant de fois qu’il y a inscription à un service. Mais l’utilisateur se heurte à un évident problème de sécurité : si l’une des bases de données des services est piratée, les utilisateurs n’ont qu’à tenter leur chance avec les autres pour y accéder, jusqu’au compte Yahoo lui-même.

Les mots de passe ont été réinitialisés sur les comptes concernés 

yahoo

 

Yahoo ne précise pas le nombre de comptes réellement touchés, mais le chiffre peut aller jusqu’à plusieurs millions, en fonction de la taille de la base volée. Pour court-circuiter le piratage, la firme a réinitialisé les mots de passe des comptes concernés. À la reconnexion, les utilisateurs touchés devront donc en choisir un nouveau. D’autre part, Yahoo en profite pour proposer systématiquement d’activer la double-authentification. Ceux qui l’avaient déjà activée auront d’ailleurs besoin de leur adresse email de secours ou de leur téléphone pour récupérer leur compte.

 

Dans son communiqué, Yahoo précise travailler avec les forces de l’ordre (très certainement le FBI) pour remonter la piste des pirates. En outre, de nouvelles mesures ont été mises en place pour que les systèmes puissent mieux gérer ce type d’attaque à l’avenir. Enfin, la firme insiste sur les bonnes pratiques à observer en matière de mots de passe, notamment le choix de mots différents pour chacun des services utilisés et l’utilisation d’un mélange de lettres, chiffres et symboles.

Commentaires (42)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Un vol par jour de BDD, je trouve ça affligeant… Je veux bien qu’un gros SI est difficile a maintenir mais bon au bout d’un moment il faudrait réfléchir un peux.

votre avatar







apwwn a écrit :



Un vol par jour de BDD, je trouve ça affligeant… Je veux bien qu’un gros SI est difficile a maintenir mais bon au bout d’un moment il faudrait réfléchir un peux.





Ouais enfin il y a des millions de sites avec identification dans le monde… Donc un vol par jour ça me semblerait être formidable si on descendait à si peu ;)


votre avatar



À cause d’une très mauvaise habitude que nous avons soulignée à de nombreuses reprises dans nos colonnes : l’utilisation des mêmes informations de connexion pour de nombreux services.





Habitude qui pose problème parce que les sites grand public permettent aux gens de choisir leurs mots de passe pour qu’ils ai le moins d’effort à faire pour la connexion, et après on s’étonne qu’ils réutilisent leurs mots de passe. <img data-src=" />



Si celui-ci était généré et imposé par le site, ce problème n’existerais plus….

votre avatar







maestro321 a écrit :



Habitude qui pose problème parce que les sites grand public permettent aux gens de choisir leurs mots de passe pour qu’ils ai le moins d’effort à faire pour la connexion, et après on s’étonne qu’ils réutilisent leurs mots de passe. <img data-src=" />



Si celui-ci était généré et imposé par le site, ce problème n’existerais plus….







Bof, il y aurait des pirates pour retrouver l’algorithme qui a généré le pass et faire du bruteforce. Au final nous appendrions plus tard que le site à implémenté un algorithme tout bête…

Bref, ce n’est pas aux site de générer un pass, je n’aurais pas confiance.

Mais :




  • éduquer les gens sur le choix des mots de passes,

  • que les sites forcent des règles sur la composition des mots de passes

  • que les passes soient chiffrés en base

  • que la récupération d’un mot de passe se fasse via un token et non envoyé en clair dans les mails…



    et ça serait déjà pas mal <img data-src=" />




votre avatar







Origami a écrit :



Bof, il y aurait des pirates pour retrouver l’algorithme qui a généré le pass et faire du bruteforce. Au final nous appendrions plus tard que le site à implémenté un algorithme tout bête…

Bref, ce n’est pas aux site de générer un pass, je n’aurais pas confiance.

Mais :




  • éduquer les gens sur le choix des mots de passes,

  • que les sites forcent des règles sur la composition des mots de passes

  • que les passes soient chiffrés en base

  • que la récupération d’un mot de passe se fasse via un token et non envoyé en clair dans les mails…



    et ça serait déjà pas mal <img data-src=" />





    Même si c’est généré par un algo en carton, ça n’empêche que le mot de passe sera unique par site, et le problème que rencontre Yahoo et d’autres sites n’en serait pas un.



    et ça serait déjà pas mal <img data-src=" />


votre avatar







maestro321 a écrit :



Même si c’est généré par un algo en carton, ça n’empêche que le mot de passe sera unique par site, et le problème que rencontre Yahoo et d’autres sites n’en serait pas un.



et ça serait déjà pas mal <img data-src=" />





En même temps, si le services tiers sur lequel les mot des passes ont été volés avait une sécurité digne de ce nom (hash+salt des MPD), le problème ne ce serait même pas posé.



Si la réutilisation des mot de passe n’est pas la pratique la plus sécurisée, pour moi le gros du problème vient de services nécessitant une identification avec une implémentation faite par un stagiaire…


votre avatar

Au boulot j’ai un machin qui s’appelle SSO Watch qui m’identifie partout. ça existe une telle solution multiplateforme ?

votre avatar







ActionFighter a écrit :



En même temps, si le services tiers sur lequel les mot des passes ont été volés avait une sécurité digne de ce nom (hash+salt des MPD), le problème ne ce serait même pas posé.



Si la réutilisation des mot de passe n’est pas la pratique la plus sécurisée, pour moi le gros du problème vient de services nécessitant une identification avec une implémentation faite par un stagiaire…





Le soucis ne vient pas que tant de l’implémentation de la sécurité que de la réutilisation des mots de passe.



Si j’ai un site avec une authentification parfaitement gérée, mais que les mots de passe sont commun à un service tiers, ma belle authentification ne servira à rien s’il y a une fuite du service tiers.


votre avatar







wanou2 a écrit :



Au boulot j’ai un machin qui s’appelle SSO Watch qui m’identifie partout. ça existe une telle solution multiplateforme ?







Le SSO c’est bien pour un intranet, après sur internet il y a eu des tentatives avec OpenId (entre autre), mais si les sites n’y adhèrent pas et ben çà ne sert à rien.



A moins que ce que tu cherches soit juste un coffre fort en local qui stocke tes identifiants sur les différents sites comme keepass (de mémoire)



votre avatar







wanou2 a écrit :



Au boulot j’ai un machin qui s’appelle SSO Watch qui m’identifie partout. ça existe une telle solution multiplateforme ?





Keypass est multiplateforme et dispose d’un certain nombre de plugin pour l’authentification automatique.







maestro321 a écrit :



Le soucis ne vient pas que tant de l’implémentation de la sécurité que de la réutilisation des mots de passe.



Si j’ai un site avec une authentification parfaitement gérée, mais que les mots de passe sont commun à un service tiers, ma belle authentification ne servira à rien s’il y a un fuite du service tiers.





Ben justement, le problème vient bien de l’implémentation de la sécurité du service tiers <img data-src=" />



Pas de hack du service tiers, pas de mot de passe, pas de hack du compte Yahoo.


votre avatar

J’utilise Lastpass pour mon cas, en serrant les fesses pour qu’il ne se fasse pas hacker.

J’ai plus de 300 mots de passe enregistrés et je ne vois pas comment je pourrais faire pour tous les retenir…

votre avatar







ActionFighter a écrit :



Keypass est multiplateforme et dispose d’un certain nombre de plugin pour l’authentification automatique.





Ben justement, le problème vient bien de l’implémentation de la sécurité du service tiers <img data-src=" />



Pas de hack du service tiers, pas de mot de passe, pas de hack du compte Yahoo.





Avec le même mot de passe, la faille est assurée par le maillon le plus faible de la chaine.

Si c’est un mot de passe différent par service, il n’y a pas d’effet de chaine. CQFD.


votre avatar







maestro321 a écrit :



Habitude qui pose problème parce que les sites grand public permettent aux gens de choisir leurs mots de passe pour qu’ils ai le moins d’effort à faire pour la connexion, et après on s’étonne qu’ils réutilisent leurs mots de passe. <img data-src=" />



Si celui-ci était généré et imposé par le site, ce problème n’existerais plus….







De mémoire, je crois qu’on appelle ça de la dictature <img data-src=" />

Le meilleur moyen de faire fuir les gens en leur imposant tes règles à toi y compris sur le MDP.



Puis comme si bien répondu l’algo serait bien vite cassé: Tu crée trois a cinq compte et tu a ainsi suffisamment de variable en jeu pour casser l’algo y compris le sel utilisé vu que ce n’est pas un hash mais une chaîne en clair, donc non, pas d’accord !


votre avatar

Faudrait déjà commencer par limiter les obligations de création de comptes. Les gens en ont marre de créer des comptes alors ils mettent le même mot de passe de partout. Parfois c’est vraiment abusé, il faut un compte rien que pour voir un lien sur un forum.

votre avatar

Que les boulets qui ne sont pas foutus de reflechir 3 secondes aux problèmes de sécurité se fassent pirater est une bonne chose : les pirates vident leurs comptes bancaires, ils ne peuvent plus payer leur ADSL et donc, ne viendront plus nous polluer le net…



Quant à Maestro plus haut qui nous parle de mots de passe imposés : et puis quoi encore ? On vient les border ? On lit leurs mails à leur place parce qu’ils sont trop cons pour apprendre un minimum à utiliser convenablement les outils dont ils se servent au quotidien ?



Tout ceci est une conséquence de la loi de lselection naturelle : les boulets se font avoir par plus fort ou plus malin qu’eux, pas de quoi defequer une pendule.

Qu’ils prennent le bon côté des choses : quand on se brule, on ne met plus sa main dans le feu….. Une bonne occasion pour eux de devenir un peu moins idiots….



Et à ceux qui me diraient que le net est indispensable aujourd’hui, et bla et bla que c’est bien que tout le monde y ait accès, etc : c’est pareil avec tous les outils du quotidien, et pour tous ces outils là, les gens s’y forment un minimum avant de les utiliser…

Qu’un gros naze s’eclate avec une tronçonneuse parce qu’il a été trop idiot pour apprendre à l’utiliser avant de s’en servir, ou qu’un boulet sans permis s’emplâtre dans un platane parce qu’il n’a pas appris à conduire n’émouvra personne : pourquoi donc s’émouvoir pour les boulets qui ne savent pas utiliser le net ?

A plus forte raison quand on parle de principes évidents que même un trisomique autiste comprendrait : pas deux fois le même mdp et des mdp un peu plus étoffés que sa date de naissance ou le nom de sa femme, pas besoin d’un doctorat en IT pour comprendre ca…

C’est juste de la bêtise crasse, AMHA couplée avec un poil d’1 km de long dans la main et aucune envie de se servir de son cerveau (qui pour beaucoup est devenu un organe superflu) : qu’ils assument les conséquences, je n’irai pas pleurer.

votre avatar







linconnu a écrit :



Faudrait déjà commencer par limiter les obligations de création de comptes. Les gens en ont marre de créer des comptes alors ils mettent le même mot de passe de partout. Parfois c’est vraiment abusé, il faut un compte rien que pour voir un lien sur un forum.





Excellent ca : les gens sont trop niais pour retenir 3 mots de passe et en choisir des assez robustes, donc allez, on réduit la sécurité générale de tous les sites et on impose des trucs aux webmasters, unilatéralement ….



Ca s’appelle du nivellement par le bas, et désolé de le dire, quand on nivelle par le bas, on abaisse le niveau général.

Ah, les puissants seront très contents avec la société d’assistés qu’ils sont en train de nous préparer, avec l’aval des bien pensants qui bossent à leur place pour imposer ce nivellement par le bas généralisé, dans tous les domaines….


votre avatar







sksbir a écrit :



je trouve qu’il y a bcp d’article en ce moment ou la réponse est : utilisez un coffre-fort à mot de passe.



perso, j’utilise keepass, avec keefox pour que mes logins sous firefox soient exécutés automatiquement (pas ceux de pcinpact malheureusement), et keepassdroid pour pouvoir consulter depuis mon tél.





Ca marche très bien Keepass avec PCI, mais c’est sûr que c’est pas tout automatique.

Tu deroules le bandeau pour entrer le mot de passe(pour que keefox reconaisse le formulaire, il faut ouvrir ce bandeau), tu vas sur l’icone de keefox et tu cliques sur “detecter les formulaires”, et hop.

Toujours plus rapide que de se repalucher le login + mdp en entier.


votre avatar







Drepanocytose a écrit :



Que les boulets qui ne sont pas foutus de reflechir 3 secondes aux problèmes de sécurité se fassent pirater est une bonne chose : les pirates vident leurs comptes bancaires, ils ne peuvent plus payer leur ADSL et donc, ne viendront plus nous polluer le net…



Quant à Maestro plus haut qui nous parle de mots de passe imposés : et puis quoi encore ? On vient les border ? On lit leurs mails à leur place parce qu’ils sont trop cons pour apprendre un minimum à utiliser convenablement les outils dont ils se servent au quotidien ?



Tout ceci est une conséquence de la loi de lselection naturelle : les boulets se font avoir par plus fort ou plus malin qu’eux, pas de quoi defequer une pendule.

Qu’ils prennent le bon côté des choses : quand on se brule, on ne met plus sa main dans le feu….. Une bonne occasion pour eux de devenir un peu moins idiots….



Et à ceux qui me diraient que le net est indispensable aujourd’hui, et bla et bla que c’est bien que tout le monde y ait accès, etc : c’est pareil avec tous les outils du quotidien, et pour tous ces outils là, les gens s’y forment un minimum avant de les utiliser…

Qu’un gros naze s’eclate avec une tronçonneuse parce qu’il a été trop idiot pour apprendre à l’utiliser avant de s’en servir, ou qu’un boulet sans permis s’emplâtre dans un platane parce qu’il n’a pas appris à conduire n’émouvra personne : pourquoi donc s’émouvoir pour les boulets qui ne savent pas utiliser le net ?

A plus forte raison quand on parle de principes évidents que même un trisomique autiste comprendrait : pas deux fois le même mdp et des mdp un peu plus étoffés que sa date de naissance ou le nom de sa femme, pas besoin d’un doctorat en IT pour comprendre ca…

C’est juste de la bêtise crasse, AMHA couplée avec un poil d’1 km de long dans la main et aucune envie de se servir de son cerveau (qui pour beaucoup est devenu un organe superflu) : qu’ils assument les conséquences, je n’irai pas pleurer.





Depuis quand c’est aux usagers de faire de la veille sécuritaire sur le net ? <img data-src=" />



Quand tu achètes sur le net, c’est tout le temps le même code de carte bleue, et ce n’est pas gênant car c’est sécurisé.

Pour les “boulets” qui n’ont aucune aucune connaissance, les mots de passes sont sécurisés, et ils ne voient pas le besoin d’avoir un mdp différent, puisque c’est censé être sécurisé.



Quand tu achètes une tronçonneuse, tu as un mode d’emploi fourni avec, pour utiliser une bagnole, tu as passé un permis pour apprendre à t’en servir.

Le net, il n’y a pas de mode d’emploi. Et il n’y a en général pas de mode d’emploi à l’authentification sur un site. Si certains fournissent un repaire visuel de sécurisation des mots de passes, je n’en ai jamais vu qui indique que la réutilisation des mots de passes n’est pas une bonne pratique.



Et il n’y a pas non plus moyen de savoir si celui qui a codé l’authentification est un boulet de dev stagiaire pisseur de code qui ne sait pas faire son boulot.



Donc je trouve ça très simpliste de mettre ça sur le dos des usagers de services, même si ceux-ci pourraient se renseigner par eux-même sur les bonnes pratiques.


votre avatar







ActionFighter a écrit :



Depuis quand c’est aux usagers de faire de la veille sécuritaire sur le net ? <img data-src=" />





T’es sérieux (salut au passage <img data-src=" />) ?

C’est aux usagers de faire attention à ce qu’ils font sur le net parce que c’est aux gens à faire attention à ce qu’ils font dans la vie EN GÉNÉRAL !!! (et donc sur le net en particulier)…





Quand tu achètes sur le net, c’est tout le temps le même code de carte bleue, et ce n’est pas gênant car c’est sécurisé.



Bah non justement, et c’est pour ca qu’on a inventé les e-cartes bleues avec un code qui change à chaque fois….





Quand tu achètes une tronçonneuse, tu as un mode d’emploi fourni avec, pour utiliser une bagnole, tu as passé un permis pour apprendre à t’en servir.

Le net, il n’y a pas de mode d’emploi. Et il n’y a en général pas de mode

d’emploi à l’authentification sur un site. Si certains fournissent un repaire visuel de sécurisation des mots de passes, je n’en ai jamais vu qui indique que la réutilisation des mots de passes n’est pas une bonne pratique.





Pas plus qu’il n’y a marqué que le feu ca brule sur les paquets d’allumettes ou de briquets… C’est aux gens de se former tous seuls, la vie c’est risqué de partout, manquerait plus qu’on liste tous les risques possibles sur tous les services du quotidien….

Y a-t-il écrit sur les baignoires que les enfants en bas age peuvent s’y noyer ? je ne crois pas ….





Donc je trouve ça très simpliste de mettre ça sur le dos des usagers de services, même si ceux-ci pourraient se renseigner par eux-même sur les bonnes pratiques.



Il est là le desccord entre nous : les gens ne “pourraient” pas se renseigner, ils le DEVRAIENT !!!!


votre avatar







g30lim4 a écrit :



De mémoire, je crois qu’on appelle ça de la dictature <img data-src=" />







Hé bien tu n’as pas une très bonne mémoire. <img data-src=" />


votre avatar







Drepanocytose a écrit :



Bah non justement, et c’est pour ca qu’on a inventé les e-cartes bleues avec un code qui change à chaque fois….







Quoi c’est pas toi qui choisi le mot de passe bien évidement. <img data-src=" />


votre avatar







Drepanocytose a écrit :



T’es sérieux (salut au passage <img data-src=" />) ?





<img data-src=" /> <img data-src=" />

T’aimes bien les retours en fanfare toi <img data-src=" />



Et oui, je suis sérieux. Même si je comprend ton point de vue, je trouve ça un peu simpliste de tout remettre sur le dos des usagers.







Drepanocytose a écrit :



C’est aux usagers de faire attention à ce qu’ils font sur le net parce que c’est aux gens à faire attention à ce qu’ils font dans la vie EN GÉNÉRAL !!! (et donc sur le net en particulier)…





On est d’accord, mais pour les gens, le net, c’est hyper compliqué. Déjà qu’ils ont du mal à intégrer qu’il ne fallait pas donner d’infos sensibles s’il n’y avait pas le petit cadenas dans la barre d’adresse…







Drepanocytose a écrit :



Bah non justement, et c’est pour ca qu’on a inventé les e-cartes bleues avec un code qui change à chaque fois….





Et combien sont au courant ? Combien de personnes se retrouvent avec une carte bancaire avec puce NFC sans se douter du trou de sécurité que ça représente ?

Est-ce uniquement de leur faute, ou de celle des banques et des fournisseurs de carte bancaires ?







Drepanocytose a écrit :



Pas plus qu’il n’y a marqué que le feu ca brule sur les paquets d’allumettes ou de briquets… C’est aux gens de se former tous seuls, la vie c’est risqué de partout, manquerait plus qu’on liste tous les risques possibles sur tous les services du quotidien….

Y a-t-il écrit sur les baignoires que les enfants en bas age peuvent s’y noyer ? je ne crois pas ….





Comparaison foireuse.



Le corps humain a des mécanismes de défense qui lui permet d’appréhender tout seul ce genre de risque.



Et puis, franchement, ça coûte quoi de rajouter une page sur un site avec une liste de bonnes pratiques ?







Drepanocytose a écrit :



Il est là le desccord entre nous : les gens ne “pourraient” pas se renseigner, ils le DEVRAIENT !!!!





Dans ce cas là, on légitime la répression d’HADOPI, parce que MMe Michu devrait savoir ce qu’elles faisait, soit en téléchargeant illégalement sans se protéger, soit en ne sachant même pas qu’elle téléchargeait illégalement.

On légitime également les amendes à coup de millions de la MPAA.

On légitime les pratiques d’industrielles qui foutent des merdes cancérigènes dans les produits, parce que le boulet de consommateur n’avait qu’à se renseigner sur la dangerosité de ce qu’il achète.



Effectivement, il est là le désaccord entre nous. Je pense que l’ignorance du pécore ne doit pas légitimer des pratiques douteuses, ni déresponsabiliser ceux qui les mettent en place.


votre avatar







ActionFighter a écrit :



<img data-src=" /> <img data-src=" />

T’aimes bien les retours en fanfare toi <img data-src=" />



Et oui, je suis sérieux. Même si je comprend ton point de vue, je trouve ça un peu simpliste de tout remettre sur le dos des usagers.







LOL ! <img data-src=" />

Ouais je savais que je ferais réagir avec ca, mais je ne pensais pas que ca viendrait de toi !

Je ne remet pas tout sur le dos des usagers, attention, mais vois ca à l’envers.. Disons que je recadre un peu le discours exprimé ici qui enlève toute responsabilité à l’usager : même s’il n’est pas le seul à être responsable de cet état de fait, sa responsabilité n’en est pas moins réelle et assez importante





On est d’accord, mais pour les gens, le net, c’est hyper compliqué. Déjà qu’ils ont du mal à intégrer qu’il ne fallait pas donner d’infos sensibles s’il n’y avait pas le petit cadenas dans la barre d’adresse…



Toujours pareil : moi quand un truc me parait compliqué, je me renseigne. On ne peut pas dire “c’est compliqué” tout en faisant n’importe quoi quand même et ensuite pleurer qu’on ne savait pas.





Et combien sont au courant ? Combien de personnes se retrouvent avec une carte bancaire avec puce NFC sans se douter du trou de sécurité que ça représente ?

Est-ce uniquement de leur faute, ou de celle des banques et des fournisseurs de carte bancaires ?



On est d’accord, responsabilité partagée, toujours. Les banques abusent, mais combien d’usagers bancaires lisent leur contrat en détail ? Je te parie sur moins de 5%…





Comparaison foireuse.



Le corps humain a des mécanismes de défense qui lui permet d’appréhender tout seul ce genre de risque.



Si c’était vrai, il n’y aurait ni brulés, ni noyés, ni bébés secoués, etc….





Et puis, franchement, ça coûte quoi de rajouter une page sur un site avec une liste de bonnes pratiques ?



On est d’accord, ca ne coute pas grand chose.. Mais philosophiquement, on rentre dans l’assistanat..

Une fois qu’on a mis cette page en place, un autre problème ressurgira et tout ce qu’on trouvera à faire sera de remettre une autre page, et encore une, et encore une….

Et ca fera comme pour les contrats et les CLUF : personne ne les lira, parce qu’il y en aura tellement, et tellement détaillés, que le commun des pécores avec son poil de 3km dans la main ne prendra même pas la peine d’y jeter un oeil, et au lieu d’accuser la manie d’assistanant de notre socété moderne, on accusera la complexité des formulaires….





Dans ce cas là, on légitime la répression d’HADOPI, parce que MMe Michu devrait savoir ce qu’elles faisait, soit en téléchargeant illégalement sans se protéger, soit en ne sachant même pas qu’elle téléchargeait illégalement.

On légitime également les amendes à coup de millions de la MPAA.

On légitime les pratiques d’industrielles qui foutent des merdes cancérigènes dans les produits, parce que le boulet de consommateur n’avait qu’à se renseigner sur la dangerosité de ce qu’il achète.



Effectivement, il est là le désaccord entre nous. Je pense que l’ignorance du pécore ne doit pas légitimer des pratiques douteuses, ni déresponsabiliser ceux qui les mettent en place.



Là on est d’accord, dit comme ca.

Tout est dans le “recadrage” : responsabilité partagée.. Ce qui sigbnifie que les pauvres en esprit on aussi leur part de responsabilité, à ne pas nier…


votre avatar







Drepanocytose a écrit :



LOL ! <img data-src=" />

Ouais je savais que je ferais réagir avec ca, mais je ne pensais pas que ca viendrait de toi !





Je passais dans le coin, et on ne te voit plus souvent, alors c’était l’occasion de te recadrer un peu <img data-src=" /> <img data-src=" />







Drepanocytose a écrit :



Je ne remet pas tout sur le dos des usagers, attention, mais vois ca à l’envers.. Disons que je recadre un peu le discours exprimé ici qui enlève toute responsabilité à l’usager : même s’il n’est pas le seul à être responsable de cet état de fait, sa responsabilité n’en est pas moins réelle et assez importante





<img data-src=" />



Et j’ai justement commencé sur la news pour faire contrepoids à recadrer les propos de maestro qui abondaient dans ton sens, mais aussi de la news qui ne parle pas de la responsabilité du fournisseur du service piraté.







Drepanocytose a écrit :



Toujours pareil : moi quand un truc me parait compliqué, je me renseigne. On ne peut pas dire “c’est compliqué” tout en faisant n’importe quoi quand même et ensuite pleurer qu’on ne savait pas.





<img data-src=" />







Drepanocytose a écrit :



On est d’accord, responsabilité partagée, toujours. Les banques abusent, mais combien d’usagers bancaires lisent leur contrat en détail ? Je te parie sur moins de 5%…





Vu la gueule du banquier quand il a vu que je commençais à lire le contrat avant de le signer, le chiffre de 5% ne me paraît pas improbable <img data-src=" />







Drepanocytose a écrit :



Si c’était vrai, il n’y aurait ni brulés, ni noyés, ni bébés secoués, etc….





Là, on est plus dans l’incompétence, la fainéantise du bulbe, ou dans des problèmes psy qui dépassent le cadre de l’ignorance.







Drepanocytose a écrit :



On est d’accord, ca ne coute pas grand chose.. Mais philosophiquement, on rentre dans l’assistanat..

Une fois qu’on a mis cette page en place, un autre problème ressurgira et tout ce qu’on trouvera à faire sera de remettre une autre page, et encore une, et encore une….

Et ca fera comme pour les contrats et les CLUF : personne ne les lira, parce qu’il y en aura tellement, et tellement détaillés, que le commun des pécores avec son poil de 3km dans la main ne prendra même pas la peine d’y jeter un oeil, et au lieu d’accuser la manie d’assistanant de notre socété moderne, on accusera la complexité des formulaires….





Oui, mais là, je serais entièrement d’accord pour dire que ce sera bien fait pour leur gueule.



Ce que je n’estime pas pour l’instant, au vu de l’incompétence de certains dev web.







Drepanocytose a écrit :



Là on est d’accord, dit comme ca.

Tout est dans le “recadrage” : responsabilité partagée.. Ce qui sigbnifie que les pauvres en esprit on aussi leur part de responsabilité, à ne pas nier…





On est d’accord <img data-src=" />


votre avatar

Un petit site bien sympathique pour générer un mot de passe :



http://generateurdemotdepasse.com/index.php



Reste à les stocker quelque part de manière sécurisée… <img data-src=" />

votre avatar







ungars a écrit :



Un petit site bien sympathique pour générer un mot de passe :



http://generateurdemotdepasse.com/index.php



Reste à les stocker quelque part de manière sécurisée… <img data-src=" />





Ne jamais utiliser un service de ce type dont on ne sait rien, en plus.



Rien ne dit qu’ensuite, les créateurs de ce site ne savent pas utiliser ce mot de passe pour pirater un compte.



Quel type de générateur d’aléas utilise-t-il ? Est-il fiable ?


votre avatar

Comment faire confiance à une major de services qui passe au HTTPS en 2014, le fait à l’arrache, et qui ne prend conscience du problème après de multiples piratages ? <img data-src=" />

votre avatar







maestro321 a écrit :



Avec le même mot de passe, la faille est assurée par le maillon le plus faible de la chaine.

Si c’est un mot de passe différent par service, il n’y a pas d’effet de chaine. CQFD.





On est bien d’accord là dessus.



Je dis juste que pour moi, le plus gros du problème vient de professionnels qui ne font pas leur boulot correctement, et pas de Mme Michu qui n’y connaît rien en informatique, et qu’en général, aucune alerte ne la prévient d’éviter une réutilisation lorsqu’elle s’inscrit sur un service.


votre avatar







ActionFighter a écrit :



On est bien d’accord là dessus.



Je dis juste que pour moi, le plus gros du problème vient de professionnels qui ne font pas leur boulot correctement, et pas de Mme Michu qui n’y connaît rien en informatique, et qu’en général, aucune alerte ne la prévient d’éviter une réutilisation lorsqu’elle s’inscrit sur un service.





Oui, mais pour le coup c’est tout à fait inimaginable que l’ensemble des services qu’utilise Mme Michu soient parfaitement à jour pour leur sécurité, (surtout lorsque certains services perdent en vitesse)



De plus, même si l’ensemble des services étais sécurisés, le vol de mot de passe peut se faire simplement en regardant par dessus l’épaule, et si tel est le cas, avec un seul mot de passe l’attaquant accède à l’ensemble des services . Alors que ça lui complique la tâche s’il y a un mot de passe par service (faut passer plus de temps derrière l’épaule <img data-src=" />).


votre avatar







Origami a écrit :



A moins que ce que tu cherches soit juste un coffre fort en local qui stocke tes identifiants sur les différents sites comme keepass (de mémoire)











ActionFighter a écrit :



Keypass est multiplateforme et dispose d’un certain nombre de plugin pour l’authentification automatique.







ça m’a l’air pas mal ce truc !!!


votre avatar

sinon il reste quoi comme fournisseur gratuit de compte mail ? ( google j’irais jamais, laposte ça reste que pour un mail, et outlook pour mon principal )

Ceci dit yahoo commence à faire peur \o/

votre avatar







Elwyns a écrit :



sinon il reste quoi comme fournisseur gratuit de compte mail ? ( google j’irais jamais, laposte ça reste que pour un mail, et outlook pour mon principal )

Ceci dit yahoo commence à faire peur \o/





http://www.mail.lycos.com/ <img data-src=" />


votre avatar







maestro321 a écrit :



http://www.mail.lycos.com/ <img data-src=" />





quand je vois gamesvilles ça me fait peur ton site ;o donc lycos est tjrs existant , c’juste en France qu’il a crevé :o


votre avatar







maestro321 a écrit :



Oui, mais pour le coup c’est tout à fait inimaginable que l’ensemble des services qu’utilise Mme Michu soient parfaitement à jour pour leur sécurité, (surtout lorsque certains services perdent en vitesse)



De plus, même si l’ensemble des services étais sécurisés, le vol de mot de passe peut se faire simplement en regardant par dessus l’épaule, et si tel est le cas, avec un seul mot de passe l’attaquant accède à l’ensemble des services . Alors que ça lui complique la tâche s’il y a un mot de passe par service (faut passer plus de temps derrière l’épaule <img data-src=" />).





Il ne faut pas compter uniquement sur le professionnalisme des devs, et les devs doivent s’assurer que leur système soit le plus fiable possibe <img data-src=" />







Elwyns a écrit :



sinon il reste quoi comme fournisseur gratuit de compte mail ? ( google j’irais jamais, laposte ça reste que pour un mail, et outlook pour mon principal )

Ceci dit yahoo commence à faire peur \o/





GMX, anciennement Caramail.



Sinon, tu peux monter ton propre serveur mail <img data-src=" />


votre avatar







ActionFighter a écrit :



GMX, anciennement Caramail.



Sinon, tu peux monter ton propre serveur mail <img data-src=" />







jcrois que j’ai une adresse gmx faudra que je fouille ^^’



Faire son propre serv mél soit ..mais bon si on te l’attaque tu l’as ds le cul .. un peu plus de protection cest loué un serveur chez OVH ,ou sinon carrement avoir un mél payant


votre avatar







Elwyns a écrit :



jcrois que j’ai une adresse gmx faudra que je fouille ^^’



Faire son propre serv mél soit ..mais bon si on te l’attaque tu l’as ds le cul .. un peu plus de protection cest loué un serveur chez OVH ,ou sinon carrement avoir un mél payant





Il y divers tutos sur le net pour faire ça bien, après, oui, tu peux héberger ton serveur ailleurs que chez toi.



Sinon, je viens de voir cette liste de fournisseurs de serveurs mails sécurisés sur le site de Korben.


votre avatar







Mig6r a écrit :



J’utilise Lastpass pour mon cas, en serrant les fesses pour qu’il ne se fasse pas hacker.

J’ai plus de 300 mots de passe enregistrés et je ne vois pas comment je pourrais faire pour tous les retenir…





Ils s’étaient fait hacker en mai 2011…

http://www.slashgear.com/lastpass-hacked-users-warned-to-change-master-passwords-05150293/


votre avatar

je trouve qu’il y a bcp d’article en ce moment ou la réponse est : utilisez un coffre-fort à mot de passe.



perso, j’utilise keepass, avec keefox pour que mes logins sous firefox soient exécutés automatiquement (pas ceux de pcinpact malheureusement), et keepassdroid pour pouvoir consulter depuis mon tél.



J’ai donc plusieurs versions de ma base ( sur le PC au boulot et à la maison, sur le téléphone ), mais l’outils de synchronisation intégré permet toujours de tout garder à jour même si on a mis deux mots de passes différents à jour d’un coté et de l’autre…

votre avatar

Daslane est français est c’est un soft qui fonctionne bien sa permet de retenir qu’un mot de passe dit master après il se connecte avec les.mot de passe indiquer tout seul sa permet de mettre des mot de passe complexe et différent a chaque site /compte

votre avatar







maestro321 a écrit :



Habitude qui pose problème parce que les sites grand public permettent aux gens de choisir leurs mots de passe pour qu’ils ai le moins d’effort à faire pour la connexion, et après on s’étonne qu’ils réutilisent leurs mots de passe. <img data-src=" />



Si celui-ci était généré et imposé par le site, ce problème n’existerais plus….





Pas sûr que le grand public s’inscrive à un site sur lequel le mot de passe est imposé


votre avatar







FunnyD a écrit :



Pas sûr que le grand public s’inscrive à un site sur lequel le mot de passe est imposé





Ça c’est certain, c’est une question d’habitude (qu’aucun des grand acteur ne souhaite donner, pourtant ils en ont les moyen).



Pourtant les gens continuent de se faire chier à taper les code wifi interminable de leur box sans se soucier d’en changer…



Si facebook, google, amazone, microsoft, adobe et compagnie se souciais vraiment de la sécurité de leurs compte utilisateur ça ferrais longtemps qu’ils l’auraient imposé et que des outils de gestion de mot de passe seraient utilisés par le grand public.



Bon, après ça pose la question de la sécurisation du logiciel de gestion de mot de passe, mais c’est une autre histoire. <img data-src=" />


votre avatar

J’utilise Keepass et Dashlane puis ma mémoire pour mes comptes mail principal et bancaires

Les comptes Yahoo victimes de la réutilisation des mots de passe

  • Une importante mutation et des problèmes de sécurité trop réguliers 

  • Les mauvaises habitudes des utilisateurs n'améliorent pas la situation 

  • Les mots de passe ont été réinitialisés sur les comptes concernés 

Fermer