Avec un simple appareil photo numérique de téléphone portable, nous avons réussi à usurper l’identité d’un utilisateur.

Cela pour dire que le mot de passe a encore de beaux jours devant lui.

Aussi, il y aura dans les prochains jours un article sur comment « pourrir » la vie d’un utilisateur sous Windows. Cela sera du grand art !

Le problème, c’est qu’il ne s’agit pas d’une histoire mais d’un fait.
Monster.com s’est fait pirater sa base de donnée contenant – juste – 4.5 Millions d’utilisateurs ainsi que les mots de passe associés.
Cette actualité a été vu sur le site d’un expert en sécurité qui pète un câble face à l’incompétence des DSI en matière de sécurité.

Monster s’explique :

Nous avons récemment appris qu’il y a eu un accès illégal à notre base de données et que certaines informations de contact et de compte ont été prises, notamment des identifiants utilisateur et des mots de passe, des adresses emails, des noms, numéros de téléphone et certaines données démographiques basiques. L’information ainsi collectée ne comprend pas de CV. Monster ne recueille généralement pas – et l’information collectée ne contient pas – de données sensibles telles que des numéros de sécurité sociale ou des données bancaires.

Seuls les identifiants, mots de passe et email on été volés, vos CV sont sains et saufs donc aucun risque.

Quelqu’un devrait peut-être expliquer aux DSI que 90% des personnes utilisent le même mot de passe sur tout les sites à authentification.
Et que d’autres sites comme Amazon qui ont une politique de sécurité digne d’un enfant peuvent fournir des informations très confidentielles : Carte Bleu / Cryptogramme …

Rappelons que les problèmes de sécurité informatique sont à deux niveaux : utilisateur final et administrateur.
Alors que les règles de sécurité sur les mots de passe complexes commencent à se répandre, si les administrateurs ne respectent pas les règles de sécurité élémentaires le Web sera encore et toujours un lieu unsecure.

De plus aucune excuse vis-à-vis des utilisateurs.

Ce n’est qu’après plusieurs – mini – échanges qu’il dit avoir des informations personnelles obtenues sur un tchat… Surpris, on demande quel tchat, et c’est à ce moment qu’il nous envoi une URL qui pointe vers la page de connexion Hotmail.

A première vu, tout semble normal, mais si l’on regarde l’url de plus près, on y trouve :

http://login.live.com.msn-holmail.com/...

Et voila comment l’on devient victime de phishing.

Analyse de la page

En utilisant Firebug pour analyser les flux d’information, on se rend compte que beaucoup d’information provient du vrai Hotmail – JS / CSS – ce qui permet d’avoir une « fausse » page conforme à l’original et fonctionnel.
Deux autres URI tapent à l’œil :

• http://www.50dh.com/rerapid.php
• http://www.waspami.com/

Grâce à Google et à sa traduction, nous avons pu en déduire que 50dh.com permettait d’obtenir des accès VPN/Rapidshare/etc. Tandis que Waspami.com permet de générer des pages de phishing pour Hotmail, Yahoo Mail et Gmail.
D’une utilisation très simple, il suffit de rentrer un email – pas forcement valide – et de choisir la langue. On obtient par la suite l’URL qui servira pour l’attaque.

Chaque tentative de connexion est enregistrée par la fausse page, connexion qui échouera forcement et qui renverra vers la vrai page du service . L’utilisateur n’y verra donc que du feu, car il aura l’impression d’avoir tapé un mauvais mot de passe et ronchonnera sur le temps perdu à le retaper.
L’homme malveillant retournera sur l’URL qu’il envoi à toutes ses victimes et se connectera avec l’email qu’il a utilisé pour générer la page. Il aura ensuite accès à une liste de login, mot de passe et IP.

Comment se protéger ?

Et là c’est le drame, car je n’ai trouvé aucun moyen de protection automatique. La seul protection, c’est le bon sens. Mais aller dire cela à votre grand-mère qui utilise internet depuis 4 mois ?

Nous avons fait le test avec l’utilisation d’openDNS qui est relié avec PhishTank pour – justement – éviter les problèmes de phishing. Mais rien n’est bloqué, et nous pouvons tomber dans le panneau sans y faire gaffe.
PhishTank est un service de protection contre le phishing qui fonctionne sur un principe de blacklist, donc tant que l’url n’a pas été ajoutée, elle n’est pas connue comme néfaste. Donc si le service de phishing est tout nouveau, il n’est pas référencé.

Alors qu’openDNS aurait dû – à mes yeux – être la solution la plus efficace, nous pouvons nous demander que faire ?
Mais nous sommes techniquement impuissant contre cela, la seul solution possible, c’est l’éducation des utilisateurs. On y revient toujours, car c’est la dessus que se base les attaques du type phishing, sur l’imprudence des utilisateurs.
Un peu comme en voiture, on a beau mettre des radars, des ralentisseurs, une personne qui souhaite rouler à 180km/h roulera à cette vitesse.. Alors qu’en rabâchant du plus jeune age, au plus vielle age qu’il ne faut pas rouler vite, peut-être que là nous aurons des résultats, peut-être même sans radar

Si l’attaque n’a pas fonctionné, c’est que les conditions étaient suspects. Donc Au moindre doute, il faut se méfier.

Histoire de l’article

L’article aurait dû paraitre plus tôt, et lorsqu’il y a eu la prise de décision sur sa publication, le service de phishing waspami.com n’existait plus dans son intégralité… Les liens qui sont données plus haut ne sont donc plus fonctionnels.
Il est quand même publié pour montrer que cela peut arriver à tout le monde, et pour moi c’était la première fois.
Et puis, c’est quand même de là que m’est venu l’inspiration de l’article sur les déboires d’anna

PS : Qu’est-ce qu’un Kévin ?

Stocker les mots de passe en clair

Avez-vous déjà eu ces mails désagréables vous confirmant votre inscription, ces mails qui vous font un rappel de login et de mot de passe ?

Rappel pour votre prochaine connexion :

• login: armetiz
• password: biloute

Mais comment diable ce fait-il que le site connaisse mon mot de passe et l’affiche en clair dans un email ?

• Premièrement, le mail arrivera dans ma boite au lettre, il sera consulter sans condition de sécurité particulière, malheureusement quelqu’un qui regardait mon écran à vu cette information tellement confidentiel : mon mot de passe.
• Deuxièmement, comme 95% des mails non publicitaire ne sont pas supprimés, cela signifie que si l’on subit un phising réussi, on offre à notre attaquant une vue complète de notre anatomie.
• Troisièmement, le mot de passe en clair a de forte chance d’avoir été stocké en base de donnée. Comment l’utilisateur peut-être sur de la sécurité de l’entreprise ? Un développeur stagiaire qui a accès à la base de donnée peut récupérer tout ce qu’il désire pour les ré-utiliser autrement.

Dans la catégorie poids lourd, on peut nommer Amazon.fr qui stocke les numéros de carte bleu ainsi que le cryptogramme ! Une fois inscrit, on peut revenir et commander un article sans même avoir sa CB sous les yeux.

Les risques de l’individu

Nous allons commencer par les risques des individus.
D’après les exemples ci-dessus, il peut se produire pas mal de scénario catastrophiques. Voici l’exemple imaginé d’Anna.

Anna travaillant dans une grande PME, a suivie une formation interne sur les bases de la sécurité informatique, la chose qu’elle a retenue : des mots de passe diversifiés et complexes en fonction du type de site. Après cette formation, elle a modifiée son mot de passe, et utilise désormais trois mots de passe complexes pour trois types de site

• Commerciaux.
• Non commerciaux.
• Professionnel – Accès VPN, Connexion système de fichier, etc…

Malheureusement, Anna a subit une attaque de phising Hotmail qu’elle utilise comme messagerie principal.
Cette attaque ayant été correctement orchestré, elle n’y a vue que du feu et ne s’est même pas rendue compte que son mot de passe non commercial venait de lui être volé.

Ses attaquants ont parcouru ses emails, ils sont tombés sur une confirmation d’inscription à un site de vente en ligne pour de la lingerie, rien de bien méchant, sauf que cet email contient le login de connexion, ainsi que le mot de passe affecté.
Ils ont aussi vu qu’une commande sur Amazon avait été passée.

Pas de bol pour Anna, les attaquants ont été voir sur Amazon si un des deux mots de passe fonctionnait, et c’est le cas, car elle a bien respectée la règle qu’on lui a apprise en formation, le mot de passe commercial utilisé pour la vente de lingerie est le même que pour Amazon.
Les attaquants ont commandés une télévision à 1000€, et ce n’est pas Anna qui sera livrée… Sachant qu’ils ont accès à la boite email, ils ont supprimés le bon de commande et elle ne sera rien avant que son banquier ne l’appel ou qu’elle consulte l’état de son compte.

Le calvaire de la pauvre Anna ne s’est pas arrêtée à un téléviseur, car quand on est acteur – pseudo – influant sur Internet, les choses vont vite. Et les attaquants se sont amusés avec l’identité numérique, les blogs qu’elle animait l’ont bannis, et la réputation qu’elle avait construit avec cœur s’est détériorées très rapidement.

Si l’on regarde l’expérience d’Anna, on se rend compte que le phising qu’elle a subit est sous sa responsabilité, car c’est son manque d’attention qui a mené à bien l’attaque.
Par contre, le fait que le mot de passe soit affiché en clair dans l’email est sous l’entière responsabilité du site web où s’est inscrit Anna.
Et si amazon avait ne serai-ce que demandé le cryptogramme de 3 chiffres avant de passer la commande, les 1000€ serai toujours sur son compte bancaire.

Les risques des hébergeurs / administrateur

« Moins on en sait, moins on cours de risque« . Si l’on part de ce principe, ceux qui conservent les mots de passe en clairs se heurtent à d’énormes risques légaux.

Nous allons continuer avec l’exemple d’Anna qui a été porté plainte, sachant que le débiteur des 1 000€ est Amazon, la banque se retournera contre cette enseigne qui devait s’assurer que la demande de la vente provenait bien d’Anna.
Comme nous ne pouvons pas être sur à 100% de l’identité de la personne connectée, ils ne doivent pas conserver les codes de carte bleu.

Anna qui n’a vraiment pas de chance, s’est fait usurpée son identité par un stagiaire de la boutique de vente de lingerie qui s’est amusé à récupérer les mots de passe et à tester l’accès à des forums en fonction de l’email et du mot de passe.
Le stagiaire est itinérant, mais pas la boutique, elle peut être accuser d’avoir utiliser des données confidentiels et d’une haute importance, car ces données peuvent ouvrir l’accès à d’autres données personnelles. Comment la boutique pourra justifier qu’elle n’a pas utiliser à des fins « personnels » le mot de passe d’Anna ?

Les alternatives du stockage en claire

Pour empêcher que d’autres personnes ne subissent l’expérience de la pauvre Anna, qui rappelons le, a usée de méthode d’utilisateur conscient de la sécurité informatique. Il existe des méthodes très simple à mettre en place.
Mais pour cela, il faut que les concepteurs, développeurs et même administrateur soit au courant de ces pratiques.

Lorsque l’on s’inscrit sur un site, on ne conserve qu’un Hash du mot de passe, et si un utilisateur redemande le mot de passe, on le ré-initialise avec un tout autre mot, libre à la personne de le changer par la suite.

Amazon a vraiment fait quelque chose de pas « secure ». A l’heure où l’on se bat pour que messieurs tout le monde ai droit à une sécurité informatique, si de grandes enseignes ne respectent pas les règles élémentaires, c’est mission impossible.

Car il faut le rappeler, la sécurité informatique tient du respect des règles par l’ensemble des acteurs de l’informatique.
Si les utilisateurs se forcent à utiliser des mots de passe complexe, et que les sites ne font rien pour en assurer leurs sécurités… Nous ne seront jamais tranquille.

PS : Si une loi obligeait tout les développeurs à avoir connaissance des règles de sécurité pour pouvoir exercer… Nous vivrions dans un monde sans pirate :p

Pour aller plus loin, voici une liste de livre traitant de la sécurité informatique, disponible sur Amazon bien sur

Pour vous donner un exemple, le mot de passe Administrateur de mon système a été rendu visible en moins d’une minute, il contenait six lettres, un symbole, et deux lettres.. Alors que celui de l’utilisateur principal qui est composé de trois lettres, deux symboles et trois chiffres n’a pas été trouvé.
Le mot de passe administrateur a été trouvé grâce à la rainbowtable et non pas avec le brute force, qui est par défaut limité à 4 caractères (lettre, chiffre, symbole).

Quatre téléchargement possible, pour Windows XP ou Vista, en standalone ou en liveCD.

Bien évidement, la version standalone oblige à disposer d’un accès à une session active de Windows.
Alors que la version liveCD peut être exécutée par n’importe qui disposant d’un accès physique à la machine.

Ne disposant pas de CD vierge, je suis passé par une clé USB.

Tout cela n’est pas nouveau, et Windows ne fait rien pour enrailler cette grosse faille, Vista en est la preuve… Mais à défaut de ne pas pouvoir protéger correctement votre système, vous pouvez utiliser des mots de passe complexe pour passer à travers les tables de hashage, et augmenter la difficulté du bruteforce.

Car rappelons le, aucun système de sécurité n’est totalement efficace, ce n’est qu’une question de temps…

Allant un peu trop vite, je renseigne mal mon adresse mail – thomasthomas [at] hotmail.com à la place de thomastourlourat [at] hotmail.com.
C'est en me souvenant que dans les mails de confirmation, certains sites n'hésitent pas à vous afficher en clair votre mot de passe.

Cela soulève deux problèmes liés à la confidentialité de l'information.

Premièrement, thomasthomas [at] hotmail.com existe très probablement, quelqu'un aurai donc reçu mon mot de passe et aurai pu naviguer sur l'ensemble des sites en se faisant passer pour moi.
On entre donc dans l'usurpation d'identité.

Deuxièmement, le problème ne devrai même pas se poser, aucun programmeur ne doit enregistrer les mots de passe en clair dans une Base de données.
En effet, pourquoi conserver l'information brute quand on peut simplement conserver son Hash.

Dans un article précédant, je vous parlais du livre « Sécurité informatique » de Laurent Bloch, qui fait référence à l'intervention de Mr X sur les risques encourus à conserver les mots de passe en clair.
Pour résumer, en cas de litige entre l'administrateur et un utilisateur Lambda, ce dernier pourrai vous accuser d'usurper son identité.
De plus, les mots de passe en clair sont une cible pour les attaquants, ce qui amène l'administrateur à mettre des mesures de sécurité en passe. Alors que s'il n'y avait qu'un simple Hash, ce serai une table de base de données moins importante pour les pirates.

Pour conclure, j'ai été heureux de voir que FaceBook n'a pas affiché mon mot de passe dans l'email de confirmation, et que dans la configuration de mon compte sur leur site, il n'apparaît nul part.

Bon livre sur la sécurité Informatique en général, il aborde les problèmes liés à la programmation sur les architectures courantes ainsi qu'aux réseaux qu'ils soient de petites ou grandes envergures.

Ne vous attendez pas à avoir des explications détaillées sur le paramétrage des outils, mais plutôt « Comprendre les menaces informatiques pour les juguler » – Dixit la couverture.

Les auteurs sont parfois « tranchants », plutôt du genre à penser qu'il vaut mieux apprendre à pécher que de fournir un stock de poisson.

Si vous voulez découvrir, ou même vous spécialisez dans la sécurité d'une domaine IT – Réseau ou Programmation – je vous conseille sa lecture.
En effet il fournit une vision global et reprend tous les aspects de la sécurité, en passant du management aux problèmes causés par les protocoles propriétaires.
La partie concernant les droits et obligations juridiques des Administrateurs Réseaux m'a appris quelques notions intéressantes. Ce qui m'a donné envie d'acheter un autre livre plus complet sur le droit informatique, car même en ayant eu des cours de droit dispensés à l'école, on saute beaucoup de point important. Et nul n'est censé ignorer la loi.

Quelques citations qui m'ont amusées :

• « La présente section sur le management de la sécurité présente des normes et des méthodes que nous n'approuvons pas; elles ne sont pas inutiles, mais nuisibles. » page 20
• « Si votre politique de sécurité repose sur l'éducation des utilisateurs, alors elle est vouée à l'échec. » page 228
• « Le système ou le pare-feu qui protège, c'est celui pour lequel il y a sur le site un ingénieur (oui, un ingénieur, les gens qui savent faire ça sont des ingénieurs) » page 229

PS : N'hésiter pas à consulter le site de Laurent Bloch, car il a des choses très intéressantes à raconter.