Protéger ses comptes sur internet

Ici, on parle de tout et de rien ...
Répondre
Quentin
Développeur
Messages : 1245
Inscription : 21 février 2013, 08:55

Protéger ses comptes sur internet

Message par Quentin » 05 décembre 2018, 22:37

Bonjour à tous,

Aujourd’hui, je fais ce petit poste pour faire un point sur certaines règles de bases pour assurer votre sécurité sur internet, notamment vis-à-vis des mots de passes.

Il existe de nombreuses vidéos et de nombreux articles qui traitent de ce sujet, que je vous invite à aller voir (je donnerais un ou deux liens vers des vidéos).

Il y a de cela quelques années, la base de données d’Over2Craft a été « piraté ». En fait, PHPBB (le CMS qu’on utilise pour le forum) permet de faire des sauvegardes de la base de données qu’elle exploite. Suite à une erreur de la part de l’ancien administrateur, cette sauvegarde était tout simplement accessible par n’importe qui, en tapant un truc du genre http://over2craft.fr/forum/store/nomdelasauvegarde (Cet "hacker" était vraiment très badass... ou plutôt cet ancien administrateur très négligeant).
Une base de données contient toutes les informations nécessaires au bon fonctionnement d’une application ou d’un système, et dans notre cas du forum (messages postés, nom d’utilisateurs, adresse mail… et… les mots de passes). Vos mots de passent ne sont pas stockés en clair dans la base de données, mais c’est ce qu’on appelle leur hash qui y sont stockés.
Si vous voulez aller dans le détail, je vous laisserais vous renseigner sur internet, mais en gros un hash c’est une empreinte (théoriquement unique) généré à partir de certaines données (comme votre de mot de passe). Le principe c’est qu’on ne puisse pas retrouver les données fournies (votre de mot de passe) à partir du hash (l’empreinte de votre mot de passe). En revanche, si on ne peut pas retrouver le mot de passe originel à partir du hash… on peut toujours tenter de retrouver le hash en essayant pleins de mot de passe (c’est ce qu’on appelle le bruteforce). Plus votre mot de passe sera long et compliqué, plus il sera difficile de tester les combinaisons. A ça, on peut y ajouter un dictionnaire… pour par exemple tester en priorité les mots de passes fréquemment utilisés.
Je vous invite à aller voir cette vidéo que j’ai trouvée bien faite et assez juste techniquement : https://www.youtube.com/watch?v=_1ONcmFUOxE.
Une fois cette base de données piratée et dans les mains du pseudo hacker, celui-ci peut tenter (avec les méthodes précédemment vues) de retrouver le mot de passe qui correspond à votre hash. Plus votre mot de passe sera long, complexe et unique (c’est-à-dire des caractères aléatoires, pas des mots qui existent), plus il sera difficile à retrouver.
Une fois votre mot de passe entre ses mains, il a plus qu’à prendre votre adresse mail, ouvrir mojang.com, et changer votre mot de passe. Boum, il a piraté votre compte minecraft. Mieux, il va sur le site de votre provider de compte mail, et là… c’est la fête. Il pourra réinitialiser tous mots de passes des sites sur lesquels vous vous êtes inscrits avec ce mail.

Pour éviter ça, ce n’est pas très compliqué.
1. Vos mots de passes doivent faire au moins 8 charactères, avec des majuscules, des minuscules, et des charactères spéciaux.
2. Chaque site doit avoir un mot de passe unique.
3. Oui, ça fait beaucoup de mot de passes à retenir. Heureusement, on a ça https://www.techadvisor.fr/banc-essai/o ... t-3666137/. Mais attention… tous vos mots de passes seront donc dans un seul et même endroit… Il vous faudra être prudent.

4. Activer la double authentification autant que possible. Souvent, les sites proposent un système de double authentification… Vous tapez votre de mot de passe, puis un code qui apparaît sur votre téléphone.

Si je fais ce poste aujourd’hui, c’est parce que la base de données du forum à fuité il y a quelques années (comme je l’ai expliqué au début).
Il y aura toujours des pauvres connards, des sous merdes (sorry, mais c'est ce que sont ces gens, ils n'ont même aucun talent) qui n’ont rien à faire de leur vie et qui se sentent plus intelligent qui ne le sont en trouvant le mot de passe de Toto32 qui a été flemmard et à juste utilisé « grosenginmasculin32 » comme mot de passe de partout, sur tous les sites qu’il utilise.
Aujourd’hui, internet a une place importante dans nos vies, et se faire hacker son compte google, ça peut pourrir la vie.

Je vous invite donc tous à être prudent, et si vous étiez inscrits sur le forum lorsque la base de données à fuité (vers 2016 de mémoire), et que le mot de passe que vous utilisiez est toujours utilisé ailleurs (ou qu’il est toujours utilisé sur Over2Craft), vous devriez changer ce mot de passe et l’oublier.

Répondre