GitHub victime d'une grande campagne d'attaques par force brute
Impliquant près de 40 000 adresses IP

Le , par Cedric Chevalier, Expert éminent sénior
GitHub, la célèbre plateforme d’hébergement de projets open source, a été victime d’une grande campagne d’attaques sans précédent qui a impliqué quasiment 40000 adresses IP suspectes. L’attaque par force brute a permis la compromission de plusieurs mots de passe.

Tout comme dans le cas de Java.Tomdep, les comptes protégés par des mots de passe faibles ont fait rapidement les frais de cette attaque.

Github tient néanmoins à rassurer ses utilisateurs. « Nous avons fait des mails aux utilisateurs dont les comptes ont été compromis pour leur indiquer la démarche à suivre. Leurs mots de passe ainsi que leurs clés SSH ont été réinitialisés. Par mesure de sécurité, certains comptes bien que protégés par des mots de passe forts ont dû être réinitialisés, eux aussi. Ceci parce que l’activité dans ces comptes provenait d’adresses IP impliquées dans l’attaque. », lit-on sur la page officielle.

Les contres mesures sont simples. Github recommande aux utilisateurs de créer des mots de passe forts, mais aussi d’utiliser l’authentification à deux facteurs. De plus, pour pousser les utilisateurs à adopter les bonnes habitudes, désormais, les mots de passe faibles ne seront plus acceptés par la plateforme.

Par ailleurs, Github recommande aussi aux utilisateurs de consulter, et ce régulièrement, l’historique de sécurité de leurs comptes. Ce dernier permet d’avoir accès aux différents fichiers journaux liés à la connexion au compte. Il est accessible depuis l’option de configuration des paramètres du compte.

Source : blog Github

Et vous ?

Votre compte a-t-il été compromis ?

Quelles sont les bonnes pratiques pour créer un mot de passe fort ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 25/11/2013 à 12:50
Quel est l’intérêt pour un pirate d'attaquer une plateforme tel que github ?

je comprends pas. insérer du code malicieux dans les projet hébergés ?
Avatar de Mr_Exal Mr_Exal - Membre expert https://www.developpez.com
le 25/11/2013 à 13:11
Citation Envoyé par cuicui78  Voir le message
Quel est l’intérêt pour un pirate d'attaquer une plateforme tel que github ?

je comprends pas. insérer du code malicieux dans les projet hébergés ?

Récupérer des informations entre autre.

Quelles sont les bonnes pratiques pour créer un mot de passe fort ?

On le répètera jamais assez mais un mot de passe fort c'est :

8 caractères minimum (et encore j'aurais tendance à dire 12 maintenant).
Chiffres, lettres ET caractères spéciaux.
Aucun lien entre les différents caractères (veiller à ce que ça ne forme pas un mot (même en Leet il existe des dictionnaires) et à ce que ça ne soit pas rattachable à vous (date de naissance de votre chien, enfant, de vous, ... ) )
Avatar de yapiti yapiti - Membre du Club https://www.developpez.com
le 25/11/2013 à 13:58
Envoyé par cuicui78
Quel est l’intérêt pour un pirate d'attaquer une plateforme tel que github ?

La possibilitée de récupérer les dépots privé j'imagine.
Avatar de CapFlow CapFlow - Membre actif https://www.developpez.com
le 25/11/2013 à 18:14
Citation Envoyé par Mr_Exal  Voir le message
On le répètera jamais assez mais un mot de passe fort c'est :

Tu as raison on ne le répètera jamais assez.
Un mot de passe fort c'est pas forcément ce que tu dis : %E6d-_E&c

Iam1suPerDog (I am un super dog)

c'est aussi un bon mot de passe par exemple ^^
Avatar de Mr_Exal Mr_Exal - Membre expert https://www.developpez.com
le 26/11/2013 à 9:34
Citation Envoyé par CapFlow  Voir le message
Tu as raison on ne le répètera jamais assez.
Un mot de passe fort c'est pas forcément ce que tu dis : %E6d-_E&c

Iam1suPerDog (I am un super dog)

c'est aussi un bon mot de passe par exemple ^^

Bon oui mais plus facilement cassable
Avatar de MarieKisSlaJoue MarieKisSlaJoue - Membre émérite https://www.developpez.com
le 26/11/2013 à 10:19
Citation Envoyé par Mr_Exal  Voir le message
Bon oui mais plus facilement cassable

Alors la il va falloir argumenté. Car mathématiquement, donc par force brute. Iam1suPerDog sera trouvé après %E6d-_E&c.
A moins que tu es un article qui dit que les attaque par dictionnaire contienne maintenant des phrase et test divers combinaisons sur cette phrase ?

ps : même si j'avoue que mon schéma de mdp respecte plus le tien que celui de la phrase.
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 26/11/2013 à 10:37
Quelles sont les bonnes pratiques pour créer un mot de passe fort ?

A mon avis, les véritables bonnes pratiques pour créer un mot de passe fort, ce n'est pas un mot de passe imbitable genre AR42#zTan. Impossible à retenir, encore plus dans un contexte où il faut connaitre de plus en plus de mots de passe, ça reste court et pas forcément si sûr que ça. Et on finit fatalement par le noter quelque part.

Facile à retenir et difficile à casser, la phrase clé, comme : Le_matin,_Albert_préfère_3_crêpes_à_5_pancakes_!

On a des majuscules, des caractères accentués, des caractères spéciaux et même des chiffres.

Un bon début serait que toutes les plateformes acceptent des mots de passe de cette longueur, parce que c'est loin d'être le cas...

Ensuite, il y a l'implémentation de la plateforme qui joue beaucoup. Personnellement, dans la plupart des cas, je ne comprends pas que les attaques par force brute puissent encore fonctionner. Ca présuppose qu'on puisse soumettre des milliers voire des millions d'essais par seconde. Or, la plupart du temps, il n'y a pas de raison de permettre une telle chose. En imposant simplement un seul essai par seconde, pour casser un mot de passe par force brute, on passe d'un délai de quelques heures à quelques siècles, en gros. Et un utilisateur humain ne remarquera même pas que cette limite existe.
Avatar de Mr_Exal Mr_Exal - Membre expert https://www.developpez.com
le 26/11/2013 à 11:56
Citation Envoyé par MarieKisSlaJoue  Voir le message
Alors la il va falloir argumenté. Car mathématiquement, donc par force brute. Iam1suPerDog sera trouvé après %E6d-_E&c.
A moins que tu es un article qui dit que les attaque par dictionnaire contienne maintenant des phrase et test divers combinaisons sur cette phrase ?

ps : même si j'avoue que mon schéma de mdp respecte plus le tien que celui de la phrase.

J'ai pas de sources mais ça se trouve et surtout ça se construit.

Citation Envoyé par Traroth2  Voir le message
Un bon début serait que toutes les plateformes acceptent des mots de passe de cette longueur, parce que c'est loin d'être le cas...

J'ai jamais compris l'absurdité de mettre un nombre de caractères maximums pour un mot de passe ...
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 26/11/2013 à 12:27
Citation Envoyé par Mr_Exal  Voir le message
J'ai jamais compris l'absurdité de mettre un nombre de caractères maximums pour un mot de passe ...

Encore heureux qu'il y ai un nombre de caractères maximums.
Ne pas avoir de caractères maximums est une faille de sécurité très importante. Il suffit juste d'envoyer un mot de passe de 4096 caractères (pris au pif) pour que le calcul du hash soit très coûteux.
Dès lors, il suffit de "flooder" de mot de passe très longs pour faire une attaque ddos .
D'ailleurs, un service était tombé à cause de cela il y a quelques mois il me semble, il faudrait reparcourir les actualités.

Le problème n'est pas le fait qu'il y ai un maximum pour le nombre de caractères d'un mot de passe mais plutôt que ce maximum est vraiment trop faible.

Sinon, il faut faire attention pour les phrases, les attaques par dictionnaires ne contiennent pas des mots mais des mots de passe très fréquent.
Donc un mot de passe :
Aller_les_bleu_vous_êtes_les_meilleurs

Ne sera pas forcément sûr s'il est utilisé par trop de personnes.

Ensuite, rien n'interdit de créer un dictionnaire avec les "bouts" de mots de passes les plus fréquents pour pouvoir attaquer ce genre de mots de passes.

Et puis les passphrases ne résolvent pas vraiment le problème :
Il faudrait avoir un mot de passe différent par comptes/sites et le changer régulièrement.
Personnellement, je ne pense pas pouvoir retenir 30 mots de passes que je changerais tous les mois .
J'utilise donc un logiciel qui me génère des mots de passes auxquels j'ajoute quelques caractères puis j'utilise le même logiciel pour les stocker.
Je n'ai ensuite qu'un seul mot de passe à connaître.

L'idéal, sera d'avoir un petit objet non relié à un réseau sur lequel on puisse stocker et visualiser nos mots de passes grâce à un unique mot de passe. Après, il ne faudrait pas qu'on puisse le voler ou le perdre aussi (ni le casser d'ailleurs)... Donc en gros une sorte de PDA indestructible qu'on nous implanterait sous la peau

Après, un autre gros problème, c'est changer les mots de passes.
Il faudrait pouvoir, au sein d'un logiciel et quel que soit le site, changer le mot de passe automatiquement juste en renseignant l'ancien mot de passe et en donnant un nouveau mot de passe.
En gros, le logiciel se lance tous les mois/ans, on renseignes tous nos mots de passes ainsi que de nouveaux mots de passes et voilà

Mais bon :
- déjà il faudrait être vraiment parano ;
- et puis la NSA elle n'a pas besoins de nos mots de passes pour accéder à nos comptes .
Avatar de Mr_Exal Mr_Exal - Membre expert https://www.developpez.com
le 26/11/2013 à 12:40
Citation Envoyé par Neckara  Voir le message
L'idéal, sera d'avoir un petit objet non relié à un réseau sur lequel on puisse stocker et visualiser nos mots de passes grâce à un unique mot de passe. Après, il ne faudrait pas qu'on puisse le voler ou le perdre aussi (ni le casser d'ailleurs)... Donc en gros une sorte de PDA indestructible qu'on nous implanterait sous la peau

Comme l'authenticator Bnet en gros sauf qu'il est crackable également (on m'a "piraté" mon compte Bnet 4 fois alors qu'il était en place ...)

Pour le Ddos limiter le nombre de requêtes par ip c'est déjà une bonne chose (tous les serveurs ne le font pas).
Offres d'emploi IT
Analyste développeur SI gestion h/f
Atos - Provence Alpes Côte d'Azur - Sophia Antipolis
Architecte logiciel defense h/f
Atos - Ile de France - FRANCE
Développement numérique (H/F)
Crédit Foncier - Ile de France - Val-de-Marne

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil