IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

GitHub victime d'une grande campagne d'attaques par force brute
Impliquant près de 40 000 adresses IP

Le , par Cedric Chevalier
44 commentaires

49PARTAGES

4  0 
GitHub, la célèbre plateforme d’hébergement de projets open source, a été victime d’une grande campagne d’attaques sans précédent qui a impliqué quasiment 40000 adresses IP suspectes. L’attaque par force brute a permis la compromission de plusieurs mots de passe.

Tout comme dans le cas de Java.Tomdep, les comptes protégés par des mots de passe faibles ont fait rapidement les frais de cette attaque.

Github tient néanmoins à rassurer ses utilisateurs. « Nous avons fait des mails aux utilisateurs dont les comptes ont été compromis pour leur indiquer la démarche à suivre. Leurs mots de passe ainsi que leurs clés SSH ont été réinitialisés. Par mesure de sécurité, certains comptes bien que protégés par des mots de passe forts ont dû être réinitialisés, eux aussi. Ceci parce que l’activité dans ces comptes provenait d’adresses IP impliquées dans l’attaque. », lit-on sur la page officielle.

Les contres mesures sont simples. Github recommande aux utilisateurs de créer des mots de passe forts, mais aussi d’utiliser l’authentification à deux facteurs. De plus, pour pousser les utilisateurs à adopter les bonnes habitudes, désormais, les mots de passe faibles ne seront plus acceptés par la plateforme.

Par ailleurs, Github recommande aussi aux utilisateurs de consulter, et ce régulièrement, l’historique de sécurité de leurs comptes. Ce dernier permet d’avoir accès aux différents fichiers journaux liés à la connexion au compte. Il est accessible depuis l’option de configuration des paramètres du compte.

Source : blog Github

Et vous ?

Votre compte a-t-il été compromis ?

Quelles sont les bonnes pratiques pour créer un mot de passe fort ?

Une erreur dans cette actualité ? Signalez-nous-la !

44 commentaires
Commenter Signaler un problème
Ottakar
Avatar de Ottakar
Membre régulier https://www.developpez.com
Le 29/11/2013 à 17:01
Password Strength, [xkcd.com]

3  0 
Aiekick
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 25/11/2013 à 12:50
Quel est l’intérêt pour un pirate d'attaquer une plateforme tel que github ?

je comprends pas. insérer du code malicieux dans les projet hébergés ?
1  0 
yapiti
Avatar de yapiti
Membre du Club https://www.developpez.com
Le 25/11/2013 à 13:58
Envoyé par cuicui78
Quel est l’intérêt pour un pirate d'attaquer une plateforme tel que github ?
La possibilitée de récupérer les dépots privé j'imagine.
2  1 
CapFlow
Avatar de CapFlow
Membre actif https://www.developpez.com
Le 25/11/2013 à 18:14
Citation Envoyé par Mr_Exal Voir le message
On le répètera jamais assez mais un mot de passe fort c'est :
Tu as raison on ne le répètera jamais assez.
Un mot de passe fort c'est pas forcément ce que tu dis : %E6d-_E&c

Iam1suPerDog (I am un super dog)

c'est aussi un bon mot de passe par exemple ^^
1  0 
Mr_Exal
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 26/11/2013 à 9:34
Citation Envoyé par CapFlow Voir le message
Tu as raison on ne le répètera jamais assez.
Un mot de passe fort c'est pas forcément ce que tu dis : %E6d-_E&c

Iam1suPerDog (I am un super dog)

c'est aussi un bon mot de passe par exemple ^^
Bon oui mais plus facilement cassable
1  0 
Traroth2
Avatar de Traroth2
Membre émérite https://www.developpez.com
Le 26/11/2013 à 10:37
Quelles sont les bonnes pratiques pour créer un mot de passe fort ?

A mon avis, les véritables bonnes pratiques pour créer un mot de passe fort, ce n'est pas un mot de passe imbitable genre AR42#zTan. Impossible à retenir, encore plus dans un contexte où il faut connaitre de plus en plus de mots de passe, ça reste court et pas forcément si sûr que ça. Et on finit fatalement par le noter quelque part.

Facile à retenir et difficile à casser, la phrase clé, comme : Le_matin,_Albert_préfère_3_crêpes_à_5_pancakes_!

On a des majuscules, des caractères accentués, des caractères spéciaux et même des chiffres.

Un bon début serait que toutes les plateformes acceptent des mots de passe de cette longueur, parce que c'est loin d'être le cas...

Ensuite, il y a l'implémentation de la plateforme qui joue beaucoup. Personnellement, dans la plupart des cas, je ne comprends pas que les attaques par force brute puissent encore fonctionner. Ca présuppose qu'on puisse soumettre des milliers voire des millions d'essais par seconde. Or, la plupart du temps, il n'y a pas de raison de permettre une telle chose. En imposant simplement un seul essai par seconde, pour casser un mot de passe par force brute, on passe d'un délai de quelques heures à quelques siècles, en gros. Et un utilisateur humain ne remarquera même pas que cette limite existe.
1  0 
Neckara
Avatar de Neckara
Inactif https://www.developpez.com
Le 29/11/2013 à 17:41
Citation Envoyé par n5Rzn1D9dC Voir le message
Mais alors qu'est-ce qu'un bon mot de passe de 8 caractères ?
Parce que dans l'exemple de la bd, il y a 3 chiffres + 1 spé + min/maj.
Je pensais que c'était bon (bien que mes mots de passe font bien plus de 8 caractères).
Idéalement ce serait un choix aléatoire pour chaque caractères parmi tout ceux possibles avec une probabilité équiprobable pour chaque possibilité.

Ensuite, on regarde le mot de passe et s'il ne comporte que des chiffres (par exemple), on recommence.

Après, je pense que 2 caractères dans un mot de passe est à peu près équivalent à 1 "mot" dans une phrase.

Donc rien n'empêche de mixer les deux pour avoir quelque chose de plus facile à retenir mais qui soit très difficile à attaquer.
1  0 
MarieKisSlaJoue
Avatar de MarieKisSlaJoue
Membre expert https://www.developpez.com
Le 26/11/2013 à 10:19
Citation Envoyé par Mr_Exal Voir le message
Bon oui mais plus facilement cassable
Alors la il va falloir argumenté. Car mathématiquement, donc par force brute. Iam1suPerDog sera trouvé après %E6d-_E&c.
A moins que tu es un article qui dit que les attaque par dictionnaire contienne maintenant des phrase et test divers combinaisons sur cette phrase ?

ps : même si j'avoue que mon schéma de mdp respecte plus le tien que celui de la phrase.
0  0 
Neckara
Avatar de Neckara
Inactif https://www.developpez.com
Le 26/11/2013 à 12:27
Citation Envoyé par Mr_Exal Voir le message
J'ai jamais compris l'absurdité de mettre un nombre de caractères maximums pour un mot de passe ...
Encore heureux qu'il y ai un nombre de caractères maximums.
Ne pas avoir de caractères maximums est une faille de sécurité très importante. Il suffit juste d'envoyer un mot de passe de 4096 caractères (pris au pif) pour que le calcul du hash soit très coûteux.
Dès lors, il suffit de "flooder" de mot de passe très longs pour faire une attaque ddos .
D'ailleurs, un service était tombé à cause de cela il y a quelques mois il me semble, il faudrait reparcourir les actualités.

Le problème n'est pas le fait qu'il y ai un maximum pour le nombre de caractères d'un mot de passe mais plutôt que ce maximum est vraiment trop faible.

Sinon, il faut faire attention pour les phrases, les attaques par dictionnaires ne contiennent pas des mots mais des mots de passe très fréquent.
Donc un mot de passe :
Aller_les_bleu_vous_êtes_les_meilleurs
Ne sera pas forcément sûr s'il est utilisé par trop de personnes.

Ensuite, rien n'interdit de créer un dictionnaire avec les "bouts" de mots de passes les plus fréquents pour pouvoir attaquer ce genre de mots de passes.

Et puis les passphrases ne résolvent pas vraiment le problème :
Il faudrait avoir un mot de passe différent par comptes/sites et le changer régulièrement.
Personnellement, je ne pense pas pouvoir retenir 30 mots de passes que je changerais tous les mois .
J'utilise donc un logiciel qui me génère des mots de passes auxquels j'ajoute quelques caractères puis j'utilise le même logiciel pour les stocker.
Je n'ai ensuite qu'un seul mot de passe à connaître.

L'idéal, sera d'avoir un petit objet non relié à un réseau sur lequel on puisse stocker et visualiser nos mots de passes grâce à un unique mot de passe. Après, il ne faudrait pas qu'on puisse le voler ou le perdre aussi (ni le casser d'ailleurs)... Donc en gros une sorte de PDA indestructible qu'on nous implanterait sous la peau

Après, un autre gros problème, c'est changer les mots de passes.
Il faudrait pouvoir, au sein d'un logiciel et quel que soit le site, changer le mot de passe automatiquement juste en renseignant l'ancien mot de passe et en donnant un nouveau mot de passe.
En gros, le logiciel se lance tous les mois/ans, on renseignes tous nos mots de passes ainsi que de nouveaux mots de passes et voilà

Mais bon :
- déjà il faudrait être vraiment parano ;
- et puis la NSA elle n'a pas besoins de nos mots de passes pour accéder à nos comptes .
0  0 
Mr_Exal
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 26/11/2013 à 12:40
Citation Envoyé par Neckara Voir le message

L'idéal, sera d'avoir un petit objet non relié à un réseau sur lequel on puisse stocker et visualiser nos mots de passes grâce à un unique mot de passe. Après, il ne faudrait pas qu'on puisse le voler ou le perdre aussi (ni le casser d'ailleurs)... Donc en gros une sorte de PDA indestructible qu'on nous implanterait sous la peau
Comme l'authenticator Bnet en gros sauf qu'il est crackable également (on m'a "piraté" mon compte Bnet 4 fois alors qu'il était en place ...)

Pour le Ddos limiter le nombre de requêtes par ip c'est déjà une bonne chose (tous les serveurs ne le font pas).
0  0 
Commenter Signaler un problème