background preloader

Se protéger sur Internet : j’ai pris un cours avec la DCRI

Se protéger sur Internet : j’ai pris un cours avec la DCRI
Internet, c’est le mal : à Sciences-Po, un agent du contre-espionnage m’a expliqué pourquoi Facebook ou Copains d’avant étaient les meilleurs amis des espions. Q (Ben Whishaw), geek des services de renseignement britanniques dans le dernier James Bond, « Skyfall » (Francois Duhamel/Danjaq, LLC, United Artists Corporation, Columbia Pictures Industries, Inc.) En mai, l’Elysée a été piraté et les ordinateurs de plusieurs conseillers haut placés infiltrés, révèle L’Express de ce mercredi. Hasard du calendrier : le jour de la sortie de l’hebdomadaire, j’ai assisté à un séminaire de formation en sécurité informatique dispensé par un policier de la Direction centrale du renseignement intérieur (DCRI, le service de contre-espionnage français, issu en 2008 de la fusion entre RG et DST). Ce séminaire, qui se déroulait dans les locaux de Sciences-Po à Paris, n’était ouvert qu’à certains étudiants de l’école, pas aux journalistes (mais voilà, je suis l’un et l’autre). Il commence, se présente :

PIN number analysis Ian’s messages made me chuckle. Then, later the same day, I read this XKCD cartoon. The merging of these two humorous topics created the seed for this article. What is the least common PIN number? If you had to make predication about what the least commonly used 4-digit PIN is, what would be your guess? This tangentially relates to the XKCD cartoon. This article is not intended to be a hacker bible, or to be used as a utility, resource, or tool to help would-be thieves perform nefarious actions. Source Obviously, I don’t have access to a credit card PIN number database. Soap Box – Password Database Exposures Bottom line Security strengthens with layers, and the simple application of encryption on your database table can help protect your customer’s data if this table is exposed. Back to the data Given that users have a free choice for their password, if users select a four digit password to their online account, it’s not a stretch to use this as a proxy for four digit PIN codes.

Mode opératoire : comment l’Intranet de l’Elysée a été piraté Un homme devant un ordinateur (Audrey Cerdan/Rue89) L’internaute lambda pense souvent que l’association pare-feu + antivirus suffit à assurer la protection de ses données numériques. Mais les hackers utilisent également des stratégies s’appuyant sur des erreurs humaines pour accéder à des informations sensibles : coordonnées bancaires, adresses, documents. Le « phishing » (hameçonnage) en fait partie. Ce stratagème, utilisé traditionnellement à l’encontre de particuliers, commence à être mis en place pour des organismes publics, comme le révèle L’Express dans un article qui relate une cyberattaque d’origine américaine sur l’Elysée datant de mai 2012. Repérer des employés de l’Elysée Pour le grand public, les pirates se cantonnent à envoyer des e-mails en masse à des adresses glanées sur Internet en se faisant passer pour des grandes compagnies ou des banques et inciter les victimes à fournir volontairement leurs informations bancaires. Entrer en contact via Facebook Intranet

Kill the Password: Why a String of Characters Can't Protect Us Anymore | Gadget Lab First thing I do? Search for the word "bank" to figure out where you do your online banking. I go there and click on the Forgot Password? link. This summer I learned how to get into, well, everything. The common weakness in these hacks is the password. Passwords are as old as civilization. In 413 BC, at the height of the Peloponnesian War, the Athenian general Demosthenes landed in Sicily with 5,000 soldiers to assist in the attack on Syracusae. But during a chaotic nighttime battle at Epipole, Demosthenes' forces were scattered, and while attempting to regroup they began calling out their watchword, a prearranged term that would identify soldiers as friendly. The first computers to use passwords were likely those in MIT's Compatible Time-Sharing System, developed in 1961. During the formative years of the web, as we all went online, passwords worked pretty well.

Danger du Net: «La prudence s'impose avec les données personnelles» - News High-Tech: Web Danger du Net La Centrale fédérale pour la sûreté de l'information (MELANI) ignore actuellement dans quelle mesure les données personnelles sont collectées sur internet. Photo d'illustration.Image: AFP Articles en relation Signaler une erreur Vous avez vu une erreur? Veuillez SVP entrez une adresse e-mail valide Partager & Commenter Votre email a été envoyé. On ignore actuellement dans quelle mesure les données personnelles sont collectées sur internet, rappelle jeudi la Centrale fédérale pour la sûreté de l'information (MELANI). Certes, «la plupart des gens savent que sur internet, la prudence s'impose avec les données personnelles», écrivent les experts de MELANI dans leur rapport du second semestre 2012. Des programmes sans cesse améliorés et la puissance de calcul croissante des processeurs permettent d'exploiter de manière toujours plus raffinée de grandes quantités de données, qui acquièrent ainsi une valeur commerciale, expliquent les auteurs du rapports. Régler son navigateur

Le viol vocal ou comment pirater le fichier STIC par un simple coup de fil Exclusif PC INpact : « Bonjour collègue, on vient de procéder à une interpellation sur l’A86, on voudrait que tu nous sortes deux STIC (…) on ne sait pas si tu es capable de le faire ». Des internautes ont visiblement réussi à récupérer les données STIC (Système de Traitement des Infractions Constatées) de plusieurs personnalités du rap… par simple coup de fil. Le Parquet a ouvert plusieurs enquêtes et l'IGS est saisie. Explications. Le principe fait appel à une technique bien connue en informatique. C’est l'ingénierie sociale (ou social engineering en anglais) qui, rappelle Wikipedia « est une forme d'acquisition déloyale d'information » qui « exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé » ici le STIC. STIC ? Exploiter le maillon faible de la chaîne de sécurité du STIC Selon les bruits ambiants, les appels semblent passer via Skype. Les recommandations de la CNIL Quatre enquêtes du Parquet à Paris, l'IGS saisie

Protéger ses données personnelles mises sur Internet Protection des informations personnelles sur Internet © Maxppp Une Ardéchoise a découvert son dossier médical sur Internet en entrant simplement son nom dans Google. Le premier lien porte un nom étrange qui ne lui dit pas grand-chose : "Dossier DBSI Mère". Elle clique et découvre son numéro de sécurité sociale en entier, et toutes les informations médicales la concernant. Dossier médical sur internet - LES CHOIX DE FRANCE INFO On retrouve sur internet des dossiers médicaux, judiciaires, mais cela est plutôt rare, explique Alain Bensoussan, avocat, spécialiste du droit de l'informatique. " En général ce sont des gens qui essayent de se venger ou qui portent atteinte à leur société. Le manque de contrôle sur Internet permet à tout un chacun d'y mettre ce qu'il veut. " C'est une autorégulation d'abord et une sanction après Protection des données.

Le piratage du fichier STIC rappelle l'efficacité des attaques par ingénierie sociale Ce Système de Traitement des Infractions Constatées rassemble des informations sur un peu plus de 36 millions de citoyens, soit parce qu'ils sont victimes, soit parce qu'ils sont mis en cause (mais pas nécessairement condamnés) dans une affaire de police. Il s'agit donc, bien entendu, d'informations dont l'accès est contrôlé. Pour déjouer ces contrôles, les pirates se sont fait passer, par téléphone, pour des policiers afin de se faire transmettre les données STIC relatives à plusieurs chanteurs de rap français. Comment ? Là encore, ils n'ont rien inventé : Kevin Mitnick disait déjà exploiter "le mensonge, la manipulation, l’influence et la politesse naturelle des gens". L'affaire vient d'être révélée par le site PC INpact, mais il ne s'agit pas d'un cas isolé. Et ce n'est pas une légende. Les conséquences d'une telle attaque peuvent être sévères. Comment se protéger face à de telles attaques ?

Authentication News: Passwords Found in the Wild for January 2013 Studying the passwords dumped on the Internet by hackers back in December provided a good opportunity for me to measure the scope of the problem. Following that experience I decided to collect and correlate some new information when analyzing password dumps from January. Overview of Password Dumps Last month I found 110 password dumps which met my criteria* for analysis, down from 154 in December. A few of the dumps contained data from multiple sites. There were 90 specific organizations or domains named as the source of the passwords. From this collection, 40 dumps consisted primarily of plaintext passwords, exposing roughly 61,000 passwords (36% of the monthly total). Compared to 450,000 passwords dumped in December, this month's total of 170,000 passwords was significantly lower. I wasn't really surprised to see this result. There were 40 different hackers or hacker groups claiming credit for January's password dumps, and more hackers that chose to dump their data anonymously.

High-Tech : Une vie numérique détruite en trois coups de téléphone Un journaliste américain a perdu le contrôle de ses comptes e-mails et a vu le contenu de son ordinateur et de son téléphone disparaître sous ses yeux. Pour réussir cet exploit, les hackeurs ont exploité les failles des procédures de sécurité téléphoniques d'Amazon et d'Apple. «En l'espace d'une heure, ma vie numérique a été détruite. Ce véritable cauchemar numérique est arrivé en fin de semaine dernière au journaliste du magazine américain Wired, Mat Honan. Ces deux géants du Web permettent à leurs clients américains de récupérer leur accès à leurs comptes par téléphone. Des informations personnelles découvertes facilement • Dès le début, les pirates souhaitaient pirater la page Twitter de Mat Honan. • En activant la récupération de mot de passe sur Gmail (procédure qui permet d'obtenir un nouveau mot de passe qui sera envoyé sur un autre compte e-mail précédemment donné par l'utilisateur), Google indique au pirate qu'un nouveau mot de passe sera envoyé sur une adresse en @me.com.

Piratage de compte : Apple audite ses méthodes de vérification d'identité Nous avons fait écho hier dans nos colonnes de la mésaventure d’un journaliste du magazine Wired. Un pirate a pris le contrôle de trois de ses machines reliées par un compte iCloud, en s’en prenant directement à ce dernier. Le pirate n’a eu besoin que d’appeler l’Apple Care et de se faire passer pour sa victime afin d’obtenir une demande de réinitialisation du mot de passe. Un acte qui n’est visiblement pas resté sans conséquences chez Apple. La source du problème : des informations pas si anodines L’histoire du journaliste Mat Honan fait la synthèse puis cristallise toutes les peurs liées au cloud. Le pirate avait récupéré les informations nécessaires auprès du support technique d’Amazon : l’adresse email, les quatre derniers chiffres de la carte bancaire ou encore l’adresse. Comme Honan le raconte lui-même dans sa version complète de l’histoire sur Wired, c’est à la base une faille de sécurité chez Amazon qui a mené au désastre. Apple bloque les réinitialisations par téléphone

tech blog » Blog Archive » zxcvbn: realistic password strength estimation Over the last few months, I’ve seen a password strength meter on almost every signup form I’ve encountered. Password strength meters are on fire. Here’s a question: does a meter actually help people secure their accounts? It’s less important than other areas of web security, a short sample of which include: Preventing online cracking with throttling or CAPTCHAs.Preventing offline cracking by selecting a suitably slow hash function with user-unique salts.Securing said password hashes. With that disclaimer — yes. These are only the really easy-to-guess passwords. Strength is best measured as entropy, in bits: it’s the number of times a space of possible passwords can be cut in half. This brute-force analysis is accurate for people who choose random sequences of letters, numbers and symbols. As a result, simplistic strength estimation gives bad advice. The table below compares zxcvbn to other meters. A few notes: I took these screenshots on April 3rd, 2012. Installation The model Data Conclusion

A brief Sony password analysis So the Sony saga continues. As if the whole thing about 77 million breached PlayStation Network accounts wasn’t bad enough, numerous other security breaches in other Sony services have followed in the ensuing weeks, most recently with SonyPictures.com. As bad guys often like to do, the culprits quickly stood up and put their handiwork on show. This time around it was a group going by the name of LulzSec. Here’s the interesting bit: Sony stored over 1,000,000 passwords of its customers in plaintext Well actually, the really interesting bit is that they created a torrent of some of the breached accounts so that anyone could go and grab a copy. I thought it would be interesting to take a look at password practices from a real data source. What’s in the torrent The Sony Pictures torrent contains a number of text files with breached information and a few instructions: The interesting bits are in the “Sony Pictures” folder and in particular, three files with a whole bunch of accounts in them:

25 Worst Passwords of 2011 Pro tip: choosing "password" as your online password is not a good idea. In fact, unless you're hoping to be an easy target for hackers, it's the worst password you can possibly choose. "Password" ranks first on password management application provider SplashData's annual list of worst internet passwords, which are ordered by how common they are. ("Passw0rd," with a numeral zero, isn't much smarter, ranking 18th on the list.) The list is somewhat predictable: Sequences of adjacent numbers or letters on the keyboard, such as "qwerty" and "123456," and popular names, such as "ashley" and "michael," all are common choices. SEE ALSO: HOW TO: Protect Your Company’s Passwords As some websites have begun to require passwords to include both numbers and letters, it makes sense varied choices, such as "abc123" and "trustno1," are popular choices. SplashData created the rankings based on millions of stolen passwords posted online by hackers. SEE ALSO: 5 Tools for Keeping Track of Your Passwords 1.

Related: