Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La vie numérique d'un journaliste détruite en une heure
Google recommande l'utilisation de l'authentification à 2 facteurs

Le , par Hinault Romaric

22PARTAGES

7  4 
Google exhorte les internautes à utiliser l’authentification à deux facteurs suite au pirate du compte d’un journaliste de Wired.

Mat Hanon, un journaliste du magazine Wired a publié récemment un article de quatre pages qui a fait un véritable tollé sur Techmeme.com. Celui-ci raconte comment sa vie numérique a été détruite en moins d’une heure.

« En l’espace d’une heure, toute ma vie numérique a été détruite. D’abord, mon compte Google a été piraté, puis supprimé. Ensuite, mon compte Twitter a été compromis et utilisé comme une plateforme pour diffuser des messages racistes et homophobes » explique Hanon « Et le pire de tout, mon compte AppleID a été piraté, et les pirates l’ont utilisé pour effacer à distance toutes les données sur mon iPhone, iPad et MacBook ».

Une triste situation qui aurait pu être évitée si Hanon avait eu recours à une authentification à deux facteurs. « À bien des égards, ce fut de ma faute » regrette Hanon « Mes comptes étaient liés. En accédant à Amazon, les pirates sont entrés dans mon compte AppleID, qui les a permis de s’infiltrer dans Gmail et par la suite à Twitter. Si j’avais utilisé l’authentification à deux facteurs sur Google, j’aurais pu limiter les dégâts ».

L’authentification à deux facteurs est un mode d’identification sécurisé qui oblige l’utilisateur à posséder un mot de passe et un jeton ou un certificat. Ce mode de sécurisation avancé avait été intégré à l’ensemble des services de Google en février 2011.

Suite à la mésaventure de Hanon, Matt Cutts, ingénieur en chef chargé de la recherche chez Google, attire l’attention des internautes sur les risques de sécurité dont peut être victime leur compte, et encourage ceux-ci à utiliser l’authentification à deux facteurs.



L'article de Mat Hanon sur Wired

Source : Billet de Matt Cutts

Et vous ?

Utilisez-vous l'authentification à deux facteurs ? Que pensez-vous de cette mésaventure de Mat Hanon ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de gros_rougeot
Membre habitué https://www.developpez.com
Le 09/08/2012 à 18:28
Un jour prochain, une grosse société adepte du cloud, de ses facilités et de son image 'dans le vent' va se faire planter comme ce monsieur.

Les dégâts seront colossaux même avec la restore gratuite inclue dans le forfait 'starto cumulus'.

Les nuages c'est bien, les pieds sur terre, c'est pas mal aussi.

WOZ à raison.
8  1 
Avatar de MiaowZedong
Membre extrêmement actif https://www.developpez.com
Le 09/08/2012 à 17:02
Petite précision: son mot de passe n'a pas été cassé. L'assaillant, à la base, cherchait à pirater le compte Twitter car celui-ci avant un identifiant à trois lettres (j'ai un peu de mal à comprendre l'intérêt de ceci: est-ce-que cela a une importance particulière sur Twitter, ou est-ce-que c'était juste facile à trouver au hasard?).

Avec ça il a trouvé le site web du journaliste,il a utilisé la récupération de mot de passe, qui lui a donné une nouvelle addresse mail, celle-ci liée à un compte AppleID. Ensuite, il a appelé le support d'Amazon et s'est fait passer pour Honan en utilisant l'addresse mail de celui-ci et les informations trouvée par un Whois sur son site web, ce qui lui a permis d'ajouter une (fausse) carte de crédit au compte. Ensuite, grâce aux infos de la nouvelle (fausse) carte, il a rappellé Amazon en disant avoir perdu l'accès à son compte, et voilà, il a eu accès au compte Amazon (WTF #1).

Ensuite, il a pu voir sur Amazon les 4 derniers chiffres du numéro de la vrai carte de crédit du journaliste, et avec cela il s'est fait passer pour lui auprès du support Apple (WTF #2). Avec le compte AppleID, il avait accès aux appareils et à tous les comptes divers du journaliste: Gmail, Twitter, etc (WTF #3).

(source: Honan lui-même)

Deux leçons majeures à en retenir:
1) cloisonnez vos comptes (c'est le B.A. BA!)
2) le maillon faible est presque toujours humain; dans ce cas, c'était les supports d'Amazon et d'Apple
5  0 
Avatar de Ble4Ch
Membre régulier https://www.developpez.com
Le 09/08/2012 à 16:47
Un mot de passe complexe (enfin plusieurs différents selon les comptes) est selon moi la meilleure sécurité quant à un log...
Une dizaine de caractères minimum avec des spéciaux, maj, min, et chiffres (qui ne formant évidemment pas un mot compréhensible)...
Après, si le hacker s'acharne à le forcer, sans être bloqué automatiquement par le serveur pour tentatives trop nombreuses, c'est qu'il vous en veut vraiment...

Les autres solutions présentent des avantages, mais également des inconvénients, qui peuvent être vachement handicapants selon l'utilisation...

En tout cas, ça ne m'est jamais arrivé encore, le risque existe, mais j'espère ne jamais vivre ce que cet homme a vécu, car bien que ce ne soit que du virtuel (bien que le mail ait une portée autrement plus importante..), c'est quand même du temps et de l'investissement qui part en fumée à cause de la bêtise de deux-trois plaisantins...
2  0 
Avatar de ProgVal
Membre éclairé https://www.developpez.com
Le 09/08/2012 à 16:20
Citation Envoyé par Hinault Romaric Voir le message
Utilisez-vous l'authentification à deux facteurs ?


L'inconvénient de l'authentification en deux étapes, c'est que ça ne marche pas lorsque vous utilisez par exemple un client pour lire vos courriels.
Si tel est le cas, Google vous génèrera un simple mot de passe à utiliser dans l'application : https://support.google.com/mail/bin/...answer=1173270

Donc l'attaquant n'aura qu'à s'attaquer à ce mot de passe, et on en revient au problème initial.
À deux détails près :
* l'attaquant ne pourra pas accéder à la configuration du compte
* si vous oubliez votre téléphone chez vous, vous êtes grillés jusqu'à ce que vous rentriez.
1  0 
Avatar de Torgar
Rédacteur https://www.developpez.com
Le 09/08/2012 à 16:22
Je vais ce pas me renseigner sur cette option. Je me rappelle pas en avoir vu parler à l'époque.

De toute manière, je m'emploie à utiliser un couple d'identifiant et de mot de passe différent pour chacun des comptes que je peux avoir. C'est même parfois compliqué de se souvenir de tout ses mots de passe. Le seul point faible reste l'adresse email au final.

Merci.
1  0 
Avatar de pyros
Membre éprouvé https://www.developpez.com
Le 09/08/2012 à 17:03
Une dizaine de caractères minimum avec des spéciaux, maj, min, et chiffres (qui ne formant évidemment pas un mot compréhensible)...
à méditer...

J'aime les site forçant à utiliser un mot de passe de 6 à 8 caractère comprenant au moins 2 chiffres et 1 majuscules, 3 caractères spéciaux, ... Dans 99.99% des cas, le mot de passe se retrouve en claire dans notre boite e-mail ou sur un post-it sous l'écran car impossible de s'en rappeler autrement...
1  0 
Avatar de Jean-Georges
Inactif https://www.developpez.com
Le 09/08/2012 à 18:06
J'avais lu un article je ne sais plus où disant qu'il vaut mieux avoir un mot de passe long mais simple plutôt que court mais compliqué avec des majuscules, chiffres etc.

Sinon c'est bien gentil tout ça, mais si ça doit devenir un parcours du combattant d'arriver à sa boîte mail je n'en vois pas bien l'intérêt.
1  0 
Avatar de Kiiwi
Membre chevronné https://www.developpez.com
Le 09/08/2012 à 19:23
Citation Envoyé par Ble4Ch Voir le message
c'est quand même du temps et de l'investissement qui part en fumée à cause de la bêtise de deux-trois plaisantins...
Rien n'a été perdu, notre brave journaliste a récupéré toutes ses données grâce à Apple.

(d'ailleurs faudrait que je relise plus attentivement les clauses de Me (iCloud).
Si les documents supprimés sont restauration sous quelques jours, ok, si Apple a le droit de conserver tout ce qu'il veut, même quand l'utilisateur souhaite vraiment les supprimer ... )
1  0 
Avatar de xurei
Membre averti https://www.developpez.com
Le 10/08/2012 à 12:49
J'avais écrit un article il y a plusieurs mois au sujet des passwords, pour éviter d'utiliser toujours le même tout en se facilitant la vie.

L'idée : utiliser un password de base, plus 5 lettres tirées du nom de domaine, et avec une permutation quelconque (césar, changement d'ordre, etc).

L'idée était de permettre d'utiliser un seul mot de passe sur sa machine, et les 5 lettres en plus sont ajoutées par un script greasemonkey. Dans le cas où l'utilisateur doit utiliser une autre machine, il peut retrouver le mot de passe complet en mémorisant la permutation.

L'article complet : http://www.xurei-design.be/2011/12/s...-greasemonkey/
1  0 
Avatar de bugsan
Membre confirmé https://www.developpez.com
Le 20/08/2012 à 14:38
Les comptes liés, et plus généralement les options de "redéfinition de mot de passe", qui envoie un email.

C'est une bénédiction pour les hacker. Le cheminement est le suivant : récupérer un mot de passe sur un des centaines de site que la cible utilise. La probabilité que cela soit le même que le compte email est de 80%. Ensuite à partir du compte email, récupérer TOUS les comptes enregistrés avec cet email, et tous les autres compte email liés. Et ainsi de suite de compte en compte. Autant dire que c'est une catastrophe. Le problème est moins la complexité du mot de passe, que la quantité de sites sur lesquels est enregistré la cible, et leur vulnérabilité.
1  0