GRATUIT

Vos offres d'emploi informatique

Développeurs, chefs de projets, ingénieurs, informaticiens
Postez gratuitement vos offres d'emploi ici visibles par 4 000 000 de visiteurs uniques par mois

emploi.developpez.com

La vie numérique d'un journaliste détruite en une heure
Google recommande l'utilisation de l'authentification à 2 facteurs

Le , par Hinault Romaric, Responsable .NET
Google exhorte les internautes à utiliser l’authentification à deux facteurs suite au pirate du compte d’un journaliste de Wired.

Mat Hanon, un journaliste du magazine Wired a publié récemment un article de quatre pages qui a fait un véritable tollé sur Techmeme.com. Celui-ci raconte comment sa vie numérique a été détruite en moins d’une heure.

« En l’espace d’une heure, toute ma vie numérique a été détruite. D’abord, mon compte Google a été piraté, puis supprimé. Ensuite, mon compte Twitter a été compromis et utilisé comme une plateforme pour diffuser des messages racistes et homophobes » explique Hanon « Et le pire de tout, mon compte AppleID a été piraté, et les pirates l’ont utilisé pour effacer à distance toutes les données sur mon iPhone, iPad et MacBook ».

Une triste situation qui aurait pu être évitée si Hanon avait eu recours à une authentification à deux facteurs. « À bien des égards, ce fut de ma faute » regrette Hanon « Mes comptes étaient liés. En accédant à Amazon, les pirates sont entrés dans mon compte AppleID, qui les a permis de s’infiltrer dans Gmail et par la suite à Twitter. Si j’avais utilisé l’authentification à deux facteurs sur Google, j’aurais pu limiter les dégâts ».

L’authentification à deux facteurs est un mode d’identification sécurisé qui oblige l’utilisateur à posséder un mot de passe et un jeton ou un certificat. Ce mode de sécurisation avancé avait été intégré à l’ensemble des services de Google en février 2011.

Suite à la mésaventure de Hanon, Matt Cutts, ingénieur en chef chargé de la recherche chez Google, attire l’attention des internautes sur les risques de sécurité dont peut être victime leur compte, et encourage ceux-ci à utiliser l’authentification à deux facteurs.



L'article de Mat Hanon sur Wired

Source : Billet de Matt Cutts

Et vous ?

Utilisez-vous l'authentification à deux facteurs ? Que pensez-vous de cette mésaventure de Mat Hanon ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de ProgVal ProgVal - Membre éclairé http://www.developpez.com
le 09/08/2012 à 16:20
Citation Envoyé par Hinault Romaric  Voir le message
Utilisez-vous l'authentification à deux facteurs ?



L'inconvénient de l'authentification en deux étapes, c'est que ça ne marche pas lorsque vous utilisez par exemple un client pour lire vos courriels.
Si tel est le cas, Google vous génèrera un simple mot de passe à utiliser dans l'application : https://support.google.com/mail/bin/...answer=1173270

Donc l'attaquant n'aura qu'à s'attaquer à ce mot de passe, et on en revient au problème initial.
À deux détails près :
* l'attaquant ne pourra pas accéder à la configuration du compte
* si vous oubliez votre téléphone chez vous, vous êtes grillés jusqu'à ce que vous rentriez.
Avatar de Torgar Torgar - Rédacteur http://www.developpez.com
le 09/08/2012 à 16:22
Je vais ce pas me renseigner sur cette option. Je me rappelle pas en avoir vu parler à l'époque.

De toute manière, je m'emploie à utiliser un couple d'identifiant et de mot de passe différent pour chacun des comptes que je peux avoir. C'est même parfois compliqué de se souvenir de tout ses mots de passe. Le seul point faible reste l'adresse email au final.

Merci.
Avatar de Ble4Ch Ble4Ch - Membre régulier http://www.developpez.com
le 09/08/2012 à 16:47
Un mot de passe complexe (enfin plusieurs différents selon les comptes) est selon moi la meilleure sécurité quant à un log...
Une dizaine de caractères minimum avec des spéciaux, maj, min, et chiffres (qui ne formant évidemment pas un mot compréhensible)...
Après, si le hacker s'acharne à le forcer, sans être bloqué automatiquement par le serveur pour tentatives trop nombreuses, c'est qu'il vous en veut vraiment...

Les autres solutions présentent des avantages, mais également des inconvénients, qui peuvent être vachement handicapants selon l'utilisation...

En tout cas, ça ne m'est jamais arrivé encore, le risque existe, mais j'espère ne jamais vivre ce que cet homme a vécu, car bien que ce ne soit que du virtuel (bien que le mail ait une portée autrement plus importante..), c'est quand même du temps et de l'investissement qui part en fumée à cause de la bêtise de deux-trois plaisantins...
Avatar de tomlev tomlev - Rédacteur/Modérateur http://www.developpez.com
le 09/08/2012 à 16:53
Citation Envoyé par Hinault Romaric  Voir le message
Utilisez-vous l'authentification à deux facteurs ?

Oui, depuis quelques mois. C'est pas mal, c'est vraiment sécurisant.

Par contre c'est un peu contraignant : à chaque fois qu'on essaie de se connecter à partir d'un nouvel ordinateur, il faut saisir un code reçu par SMS... sauf que le SMS n'arrive pas toujours. Dans ce cas il y a aussi une option pour se faire appeler, qui marche généralement bien. Cette procédure est répétée toutes les quelques semaines, même sur les ordinateurs qu'on utilise régulièrement.

Citation Envoyé par ProgVal  Voir le message
L'inconvénient de l'authentification en deux étapes, c'est que ça ne marche pas lorsque vous utilisez par exemple un client pour lire vos courriels.

Si, ça marche très bien... c'est juste qu'il ne faut plus utiliser le mot de passe "principal" du compte, mais un mot de passe généré par application. Ce système permet aussi de révoquer les mots de passe séparément ; par exemple si tu t'es fait voler ton téléphone, tu as juste à révoquer le mot de passe utilisé par le téléphone, sans impacter les autres applications.
Avatar de hotcryx hotcryx - Membre éprouvé http://www.developpez.com
le 09/08/2012 à 16:54
Je suppose que l'OTP est lié à "l'appareil" (modèle, serial nr...).

Et si l'on perd/vole cet appareil, comment accéder notre compte Google pour redéfinir un autre appareil (et détruire l'ancien lien entre le compte et l'appareil perdu)?

Edit: la réponse est au dessus
Avatar de k o D k o D - Membre régulier http://www.developpez.com
le 09/08/2012 à 16:59
Je viens de le faire et j'ai reçu cet email de la part de Google:

Cher titulaire de compte Google,

Nous vous remercions d'avoir activé la validation en deux étapes. Maintenant que votre compte est mieux protégé, il ne vous reste plus qu'à suivre quelques étapes supplémentaires pour vous assurer de toujours avoir accès à celui-ci.

DÉFINISSEZ UN NUMÉRO DE TÉLÉPHONE DE SECOURS

Que faire si vous n'avez pas votre téléphone sur vous ? Si vous perdez l'accès au téléphone correspondant à votre numéro de téléphone principal, nous pouvons envoyer un code à un numéro de téléphone secondaire, à votre domicile ou au travail. Pour configurer un numéro de téléphone secondaire, procédez comme suit :

Rendez-vous sur https://accounts.google.com/SmsAuthConfig.
Cliquez sur "Ajouter un numéro de téléphone" à côté de "Numéro de téléphone secondaire".
Saisissez votre numéro de téléphone et choisissez de recevoir les codes par SMS ou appel vocal.

IMPRIMEZ PLUSIEURS CODES SECONDAIRES

Si vous êtes en déplacement ou si vous n'avez pas accès à votre téléphone principal ou secondaire, vous pouvez utiliser un code de secours pour vous connecter. Nous vous fournirons 10 codes à conserver dans votre portefeuille ou à enregistrer sur votre ordinateur. Si vous n'avez plus de codes, vous pouvez en créer de nouveaux.

Rendez-vous sur https://accounts.google.com/SmsAuthConfig.
Cliquez sur "Afficher/Générer des codes".
Imprimez ou téléchargez vos codes, et conservez-les en lieu sûr.

Donc on peut se permettre d'utiliser ces codes secondaires pour éviter l'oubli du téléphone ou tout simplement le fait de ne pas recevoir le SMS.

Chaque code secondaire n'est aussi valable qu'une seule fois comme indiqué sur la page:

Rappel
Si vous êtes en déplacement, ou que vous n'avez pas votre téléphone à portée de main, vous pouvez utiliser les codes supplémentaires pour accéder à votre compte. Chaque code vous permet de vous connecter une fois sans votre téléphone. Ils ne sont soumis à aucune date d'expiration.

Bref ça me va :-)
Avatar de MiaowZedong MiaowZedong - Membre émérite http://www.developpez.com
le 09/08/2012 à 17:02
Petite précision: son mot de passe n'a pas été cassé. L'assaillant, à la base, cherchait à pirater le compte Twitter car celui-ci avant un identifiant à trois lettres (j'ai un peu de mal à comprendre l'intérêt de ceci: est-ce-que cela a une importance particulière sur Twitter, ou est-ce-que c'était juste facile à trouver au hasard?).

Avec ça il a trouvé le site web du journaliste,il a utilisé la récupération de mot de passe, qui lui a donné une nouvelle addresse mail, celle-ci liée à un compte AppleID. Ensuite, il a appelé le support d'Amazon et s'est fait passer pour Honan en utilisant l'addresse mail de celui-ci et les informations trouvée par un Whois sur son site web, ce qui lui a permis d'ajouter une (fausse) carte de crédit au compte. Ensuite, grâce aux infos de la nouvelle (fausse) carte, il a rappellé Amazon en disant avoir perdu l'accès à son compte, et voilà, il a eu accès au compte Amazon (WTF #1).

Ensuite, il a pu voir sur Amazon les 4 derniers chiffres du numéro de la vrai carte de crédit du journaliste, et avec cela il s'est fait passer pour lui auprès du support Apple (WTF #2). Avec le compte AppleID, il avait accès aux appareils et à tous les comptes divers du journaliste: Gmail, Twitter, etc (WTF #3).

(source: Honan lui-même)

Deux leçons majeures à en retenir:
1) cloisonnez vos comptes (c'est le B.A. BA!)
2) le maillon faible est presque toujours humain; dans ce cas, c'était les supports d'Amazon et d'Apple
Avatar de pyros pyros - Membre éprouvé http://www.developpez.com
le 09/08/2012 à 17:03
Une dizaine de caractères minimum avec des spéciaux, maj, min, et chiffres (qui ne formant évidemment pas un mot compréhensible)...

à méditer...

J'aime les site forçant à utiliser un mot de passe de 6 à 8 caractère comprenant au moins 2 chiffres et 1 majuscules, 3 caractères spéciaux, ... Dans 99.99% des cas, le mot de passe se retrouve en claire dans notre boite e-mail ou sur un post-it sous l'écran car impossible de s'en rappeler autrement...
Avatar de Ble4Ch Ble4Ch - Membre régulier http://www.developpez.com
le 09/08/2012 à 17:16
Ensuite, il a appelé le support d'Amazon et s'est fait passer pour Honan en utilisant l'addresse mail de celui-ci et les informations trouvée par un Whois sur son site web, ce qui lui a permis d'ajouter une (fausse) carte de crédit au compte.

Violent Amazon sur le coup... Là, ça fait vraiment peur :/

pyros : ben après l'humain est toujours le maillon faible de la chaîne mais bon... Je ne parle pas professionellement parlant, mais dans le milieu personnel, tu risques bien moins d'avoir un mot de passe complexe écrit sous l'écran, qu'un mot de passe style "tulipe" que t'utilises de partout et qui est facilement cassable par un petit chinois.
Perso j'utilise plusieurs mots de passes complexes suivant le type de compte (inutile, adresse mail, compte ayant de l'argent dessus, etc...), et en 5 ans que j'ai ce système, je connais très bien mes pass, où les utiliser, et je n'ai jamais eu un seul soucis (ce qui ne veut pas dire que je n'en aurais jamais^^).
Donc je ne note rien nulle part (un mot de passe complexe ne veut pas forcément dire qu'il est dur à retenir... Faut avoir un système perso après, et un minimum de mémoire par la suite^^), et les mots de passes sont je pense assez difficiles à forcer...

Malheureusement, si Amazon ou Apple fait fi de toute sécurité, et qu'un simple appel et quelques informations trouvables très facilement, suffisent à faire des opérations sur le compte (cf la fausse carte chez Amazon), là... toutes les sécurités du monde n'y peuvent rien :/
Quoique, peut-être que la hotline Google n'est peut-être pas aussi teubée...
Avatar de Jean-Georges Jean-Georges - Inactif http://www.developpez.com
le 09/08/2012 à 18:06
J'avais lu un article je ne sais plus où disant qu'il vaut mieux avoir un mot de passe long mais simple plutôt que court mais compliqué avec des majuscules, chiffres etc.

Sinon c'est bien gentil tout ça, mais si ça doit devenir un parcours du combattant d'arriver à sa boîte mail je n'en vois pas bien l'intérêt.
Offres d'emploi IT
Formateur systèmes et réseaux - h/f
KONICA MINOLTA BUSINESS SOLUTIONS France - Picardie - Glisy (80440)
Chef de projet informatique h/f
Keework - Ile de France - Fontenay-sous-Bois (94120)
Développeur php (h/f)
altima - Rhône Alpes - Lyon (69000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil