Billets classés sous la catégorie « Sécurité »

Catherine MathysLes pires mots de passe de 2015

par

 publié le 22 janvier 2016 à 12 h 45

Avertissement! Vous aurez une impression de déjà vu en lisant ce billet. L’art de créer un bon mot de passe semble encore bien mystérieux pour beaucoup d’utilisateurs d’Internet. Il y a ceux qui utilisent un gestionnaire de mots de passe (et qui dorment bien la nuit) et il y a tous les autres.

Screen-Shot-2016-01-19-at-8.57.36-AM

Chaque début d’année depuis 2011, un sondage de l’entreprise Splashdata vient confirmer non seulement que nous sommes plusieurs à manquer cruellement d’imagination, mais surtout que les bases de la sécurité en ligne nous échappent toujours. Oui, en 2015, les deux mots de passe les plus utilisés sur Internet étaient « 123456″ et « password »… pour une quatrième année de suite.

La fatigue du mot de passe

C’est bien connu (ou pas), un bon mot de passe contient des signes de ponctuation, des chiffres et des lettres majuscules et minuscules en alternance.

images (21)

Si l’on ne prend pas le temps de se doter d’un gestionnaire de mots de passe ou de créer un mot de passe efficace, c’est peut-être parce qu’on ne comprend pas comment fonctionnent les pirates qui cherchent à le trouver. Cet article peut vous éclairer sur la question.

Le problème avec les mots de passe simples (un mot du dictionnaire, une date de naissance, le nom du chien, etc.), c’est qu’on utilise souvent le même partout (sur Facebook, au travail, sur le site de notre banque, alouette). Un sondage révélait récemment que la moitié des travailleurs américains interrogés utilisaient le même mot de passe pour plusieurs appareils liés au travail et que les deux tiers d’entre eux les réutilisaient pour leurs comptes de réseaux sociaux personnels.

Parfois, même ceux qui connaissent les risques décident de tenter le diable avec un mot de passe simple et universel. Pourquoi? Des chercheurs pensent qu’on pourrait souffrir d’une forme de fatigue du mot de passe. On finit par avoir tellement de comptes qui en nécessitent un qu’on en perd le fil. Ce sondage d’Inlet Digital indique que la moitié des répondants ont quatre mots de passe ou plus, et plus d’un quart des gens en ont sept ou plus. Ça commence à faire beaucoup pour notre mémoire surchargée.

119_alibaba.1305924212

À quand la disparition du mot de passe?

Avouons que devant tout ça, on se dit que la meilleure chose qui pourrait nous arriver, ce serait que le mot de passe disparaisse une fois pour toutes de nos vies. Sachez qu’il y a de l’espoir. Une étude menée l’an dernier auprès de 308 experts en sécurité informatique confirmait que 91 % d’entre eux pensaient que le mot de passe n’existerait plus dans 10 ans.

En attendant, trouvez le gestionnaire de mot de passe qui vous convient ou tentez à tout le moins d’avoir un peu plus d’imagination que les utilisateurs des mots de passe trouvés dans cette liste. On semble penser qu’en rajoutant des chiffres, on ajoute une couche de sécurité. Comment expliquer autrement le progrès de « 12345678″?

facepalmst

D’autres sont inspirés par la culture populaire. Si Game of Thrones avait la cote en 2014 avec « Dragon », il perd sept places en 2015, tandis qu’on voit « starwars » apparaître. Et ne soyez pas épatés trop rapidement par le numéro 15. Quand vous voyez « 1qaz2wsx », sachez qu’il ne s’agit que des deux premières colonnes de votre clavier. Bel essai!

  1. 123456 (inchangé)
  2. password (inchangé)
  3. 12345678 (+1 place)
  4. qwerty (+1 place)
  5. 12345 (-2 places)
  6. 123456789 (inchangé)
  7. football (+3 places)
  8. 1234 (-1 place)
  9. 1234567 (+2 places)
  10. baseball (-2 places)
  11. welcome (nouveau)
  12. 1234567890 (nouveau)
  13. abc123 (+1 place)
  14. 111111 (+1 place)
  15. 1qaz2wsx (nouveau)
  16. dragon (-7 places)
  17. master (+2 places)
  18. monkey (+6 places)
  19. letmein (-6 places)
  20. login (nouveau)
  21. princess (nouveau)
  22. qwertyuiop (nouveau)
  23. solo (nouveau)
  24. passw0rd (avec un zéro- nouveau)
  25. starwars (nouveau)

 

muji 540

On a volé mon nom, mon adresse, mon numéro de carte de crédit, sa date d’expiration et son code de sécurité. C’est ce que MUJI, une enseigne de magasins japonais victime d’une longue attaque informatique pendant la première moitié de 2015, m’a appris dans une lettre reçue cette semaine. Voici quelques observations sur une situation malheureusement beaucoup trop fréquente.

La lettre reçue par la poste et signée par le président de la branche américaine de la compagnie donne peu de détails par rapport à l’attaque elle-même. MUJI nous informe seulement que les informations sur les cartes de crédit ont été obtenues par une « tierce partie », qui aurait utilisé un logiciel malveillant pour s’attaquer aux serveurs de l’entreprise.

On apprend aussi que les attaques se sont déroulées de janvier à juillet 2015, et que MUJI a ensuite fermé son site transactionnel, le temps de faire une enquête, qui vient tout juste de se conclure. Les achats sur le site n’ont toutefois toujours pas été réactivés.

Une attaque de six mois, c’est long, mais ce n’est pas surprenant
Ce qui frappe le plus dans cette histoire, c’est la durée de l’attaque, qui s’est déroulée du 22 janvier au 20 juillet 2015.

« Moi, je trouve ça excessivement long. Mais est-ce normal? Malheureusement, oui, car les gens ne s’occupent pas de la sécurité », se désole Patrick Boucher, président de l’entreprise spécialisée dans le domaine de la sécurité des TI Gardien Virtuel, avec qui je me suis entretenu sur le sujet.

« Si tu rentres chez toi et que tes meubles ont changé de place, tu vas t’en rendre compte, car tu connais l’état normal de ta maison. Il faudrait que ce soit la même chose pour les entreprises. Mais trop souvent, elles ne surveillent pas leur réseau », ajoute-t-il.

Ce qui explique comment un pirate a pu installer un logiciel et espionner chaque transaction effectuée sur le site pendant près de six mois.

Une réponse en apparence correcte
muji store

S’il paraît évident que la situation était loin d’être parfaite à MUJI avant l’attaque, est-ce que l’entreprise a au moins bien géré les choses par la suite?

Il est difficile de porter un jugement sans connaître tous les détails de l’histoire, mais il semble que ce soit le cas, estime Patrick Boucher. « Beaucoup d’entreprises, quand elles ont un problème, essaient de le balayer sous le tapis. Elles attendent de ne plus avoir le choix avant de l’annoncer, et même là, elles continuent de faire des affaires en se disant que les consommateurs ne lisent pas les nouvelles », explique le fondateur de Gardien Virtuel.

Ici, MUJI semble avoir patienté quelques jours avant de fermer son site après avoir colmaté temporairement la brèche, mais le fait de l’avoir complètement fermé par la suite montre une certaine volonté de bien faire (ou que la situation était particulièrement difficile à corriger).

Et qu’en est-il de la lettre d’avertissement et de l’abonnement à Equifax? Pour la lettre, ceux-ci sont tenus par la loi d’informer leurs clients, il n’y a donc ici rien d’exceptionnel. Pour l’abonnement, Patrick Boucher estime que « c’est gentil, mais c’est aussi normal. Ça fait partie des bonnes pratiques ».

Détail intéressant, par contre, la lettre est adaptée aux victimes canadiennes, avec notamment des indications sur ce qu’il faut faire au Canada en cas de doute de fraude. L’entreprise japonaise indique aussi les coordonnées de la Commission d’accès à l’information du Québec, en ajoutant qu’il est possible de les contacter pour « en savoir plus à propos de vos droits, y compris le droit de déposer une plainte ».

Un risque limité pour les consommateurs (cette fois-ci)
Une attaque du genre représente toujours un certain risque pour les consommateurs, mais force est de reconnaître que celui-ci est plutôt limité dans le cas de l’attaque sur MUJI.

Les compagnies de cartes de crédit remboursent, après tout, les fraudes à 100 %. Et les pirates ont obtenu très peu d’informations personnelles (seulement le nom des clients et leur adresse), ce qui limite grandement le risque de vol d’identité dans ce cas précis.

Le fait que l’annonce arrive aussi longtemps après l’attaque – j’ai acheté une valise au MUJI en février 2015 – complique toutefois certainement la vérification, et remplacer sa carte de crédit est loin d’être un processus de tout repos, surtout pour ceux qui possèdent plusieurs comptes en ligne.

Un coût énorme pour l’entreprise
L’effet de l’attaque sera toutefois beaucoup plus grand sur l’entreprise elle-même.

Le forfait annuel d’Equifax, pour notamment surveiller de plus près s’il y a un changement à son crédit, vaut à lui seul plus de 200 $. Combien de milliers de personnes ont acheté au MUJI de janvier à juillet? MUJI peut avoir obtenu un rabais, mais la facture peut, dans tous les cas, monter rapidement.

L’entreprise a aussi probablement déboursé dans les dizaines ou centaines de milliers de dollars pour la création d’un rapport par une firme de sécurité informatique, et la fermeture de son site transactionnel depuis quatre mois entraîne aussi une baisse importante de ses revenus.

Comment les entreprises en général peuvent-elles éviter des attaques du genre? Une bonne façon de prévenir le problème est avant tout d’embaucher un chef de la sécurité, juge Patrick Boucher. « Trop souvent, personne n’est directement responsable de la sécurité », remarque le président de Gardien Virtuel.

Pour ce dernier, un chef de la sécurité peut, comme tout autre employé, avoir des indicateurs de performance, le forçant notamment à adopter des pratiques plus sécuritaires.

Un chef de la sécurité n’empêchera pas magiquement la prochaine attaque, mais son embauche est certainement un pas dans la bonne direction pour éviter une future crise.

En 2008, des études ont démontré que dans les endroits densément peuplés par les humains, le chant des oiseaux est modifié. En fonction de l’environnement urbain, les oiseaux chantent dans des fréquences plus basses ou plus hautes.

Dans les endroits couverts d’asphalte ou là où il y a beaucoup de bâtiments, les oiseaux réduisent la fréquence du son de leur chant pour qu’il soit plus sourd et éviter ainsi la réverbération.

À l’inverse, dans les lieux très fréquentés, les oiseaux montent la fréquence afin que la pollution sonore ne couvre pas certaines portions de leur chant.

Le chant des oiseaux des villes s’est donc adapté à l’environnement urbain.

Source usager ZeroOne (Flickr)

Source cc ZeroOne (Flickr)

Mine de rien, une série de sons se sont modifiés ou ajoutés au fil des années dans nos villes, en partie à cause de la technologie.

On pense au signal de recul des véhicules lourds, à l’ouverture et à la fermeture des portières de voiture (avec leur bip-bip caractéristique), et évidemment au désormais classique système d’alarme de voiture qui se déclenche pour un rien.

De nouveaux sons sont apparus ou vont apparaître strictement à cause des nouvelles technologies.

Le son des voitures d’urgence

Depuis quelques années, dans nos villes nord-américaines, les sirènes des voitures de police et des ambulances émettent des fréquences plus basses.

La raison? En partie pour attirer l’attention de ceux qui portent des écouteurs.

Avec la popularité grandissante des téléphones intelligents, de plus en plus de gens se promènent les oreilles bouchées (par des écouteurs intraauriculaires ou des casques d’écoute de luxe) ou sont simplement distraits par leur écran.

Le nouveau son de la sirène transperce le corps plus que les oreilles.

Que vous soyez coiffés de votre casque d’écoute antibruit (contrôle actif du bruit ou noise cancellation) ou dans votre voiture à l’acoustique feutrée à écouter votre musique dans le tapis, cette sirène attirera automatiquement votre attention.

Le son artificiel des voitures silencieuses

Le prochain son à apparaître dans notre environnement urbain sera celui des voitures électriques.

Non, le moteur électrique ne fait pas bruit. Et c’est un point positif pour contrer la pollution sonore. Mais c’est un danger pour les piétons et les cyclistes.

En effet, ces derniers sont habitués à reconnaître la direction dans laquelle roule un véhicule par l’intensité des bruits que génère son moteur à explosion. Retirez ces bruits et la voiture devient un bolide silencieux des plus dangereux.

Des tests démontrent que, simplement par le son, une personne peut distinguer à quelle distance d’elle se trouve un véhicule en mouvement. S’il s’agit d’une voiture équipée d’un moteur à explosion, roulant à 8 km/h, on peut la repérer quand elle est à 11 mètres. S’il s’agit d’une voiture électrique, cette distance n’est que de 3,4 mètres.

Cela signifie qu’on remarque la voiture électrique quand elle n’est qu’à deux secondes de soi.

Source cc Elvert Barnes (Flickr)

Source cc Elvert Barnes (Flickr)

Voilà pourquoi il est actuellement question d’imposer un son précis sur les véhicules électriques, de façon à ce que les passants aient conscience de leur présence.

Ce son sera en quelque sorte une alerte pour le piéton ou le cycliste — et probablement aussi pour les autres conducteurs. Par contre, ce sont surtout les non-voyants qui en profiteront le plus.

Le son s’activera automatiquement en basse vitesse et à l’approche d’un obstacle. Et pourquoi en basse vitesse seulement? Parce qu’au-delà de 30 km/h, le bruit des pneus et du vent sur la carrosserie est suffisant pour alerter les piétons et les cyclistes.

Un nouveau son dans la ville

La technologie existe et elle est prête, mais elle n’est pas mise en place ni obligatoire partout.

Le gouvernement américain a repoussé hier de quelques mois l’introduction de sa loi sur les « voitures silencieuses », le temps de « trouver une entente » avec les constructeurs.

Les gouvernements européens et japonais ont aussi des projets de loi en ce sens. La mise en application est imminente partout.

Avec la disparition annoncée des voitures polluantes, et la montée inéluctable des voitures électriques, le son de nos villes passera d’un vrombissement incessant à un autre type de son qu’on découvrira très bientôt.

Martin LessardBiométrie : ce que le terrorisme nous forcera à faire

par

 publié le 20 novembre 2015 à 15 h 14

Prise d’otages à Bamako, au Mali, ce matin. Attentats de Paris, en France, la semaine dernière. La sécurité est à l’avant-plan, plus que jamais.

Toutefois, ce n’est pas une raison pour accepter toutes les dérives.

Le président français se montre ferme dans son discours sur le renforcement des politiques de sécurité. C’est quand il ajoute  » sécurité numérique comprise  » qu’on peut commencer à s’inquiéter du réel sens à donner à son discours.

John Brennan, le directeur de la CIA, lui, n’a pas attendu pour récupérer les attentats à Paris pour servir les visées sécuritaires de son agence.

 » Ces dernières années [...], des amendements aux lois ont été adoptés et des actions qui ont été posées, rendant la tâche de débusquer les terroristes bien plus ardues pour nous. » (Source)

Personne n’est dupe. Sur The Verge, la réponse est cinglante :

 » Vous les entendrez répéter que la surveillance massive a permis de déjouer de mystérieuses menaces, mais qu’elle n’est pas suffisante dans l’état actuel, parce qu’elle est constamment menacée par les défenseurs de la vie privée.  » (Source)

Avec la prise d’otages à Bamako, ce matin, le discours sur la sécurité qui prône l’écoute de toutes nos communications resurgira (au détriment de notre vie privée).

Pourtant, le terroriste n’utilise pas nécessairement les outils numériques et cryptographiques à la fine pointe de la technologie pour commettre son crime.

Il est parfois au degré zéro en technologie.

La technologie de pointe n’a pas été utilisée: deux exemples

1- Entrer en Europe comme dans un moulin
On a appris aujourd’hui qu’Abaaoud, l’organisateur présumé des attentats de Paris, est entré en Europe et s’y est déplacé à plusieurs reprises, malgré un mandat d’arrêt international émis contre lui.

Les djihadistes, quand ils reçoivent de nouvelles recrues, leur confisquent leurs passeports. Toutefois, ils ne les modifient en rien. Le djihadiste fera tout pour ressembler le plus possible à la photo du passeport qu’il utilisera.

 » Il va se faire pousser la barbe, la tailler de la même façon, et plus de 99 fois sur cent, ça va marcher. C’est imparable. Pas besoin de trafiquer le passeport « , explique le criminologue Christophe Naudin, spécialiste de la fraude documentaire dans Libération.

2- Un texto en clair
On a aussi appris que les échanges entre les assaillants à Paris se sont faits par texto, et non par un logiciel sophistiqué en cryptographie.

Un texto en clair, comme ceux envoyés par tout le monde.

Voilà la preuve que davantage d’écoute et de surveillance ne sont pas nécessaires.

Donner plus de pouvoir au gouvernement pour qu’il accède par une  » porte dérobée  » à toutes les plateformes et à toutes nos communications privées serait nettement prématuré.

Les lois en place semblent amplement suffisantes. De toute évidence, on peut faire mieux.

Ce qui risque de changer

À la suite des attentats de Paris, il est clair que les autorités devront mieux collaborer entre eux.

Les prochains développements en matière de sécurité nationale porteront entre autres sur des réseaux très rapides permettant l’échange de données massives entre les services secrets et les policiers.

Si les équipes des divers services apprennent à collaborer et à partager des données, il faudra un réseau très puissant pour le faire en temps réel.

Par exemple, une caméra portée au cou par un policier à une frontière pourrait retransmettre directement des images pour qu’elles soient analysées dans plusieurs pays.

Une personne qui entre à un point d’entrée, par exemple en Grèce, serait immédiatement analysée par la sécurité en France ou Allemagne.

C’est ici que nous risquons de constater les véritables conséquences de la montée du terrorisme. C’est l’imposition à grande échelle de la biométrie.

Ce n’est donc pas une plus grande surveillance de nos vies privées, mais l’imposition d’un fichage biométrique qui se pointe à l’horizon.

Martin LessardFacebook et la sécurité nationale

par

 publié le 16 novembre 2015 à 16 h 05

« Toutes les mesures pour protéger nos concitoyens et notre territoire sont prises dans le cadre de l’état d’urgence. »

Cette déclaration du président français François Hollande à la suite des attentats coordonnés qui ont eu lieu à Paris vendredi soir ne laisse pas voir qu’un certain pan de la sécurité nationale repose maintenant en partie dans les mains de Facebook, la plateforme de réseautage social.

En effet, si la sécurité physique des Parisiens était bel et bien assurée par les policiers et militaires français qui sillonnaient la ville pendant et après les attentats, c’est Facebook qui a eu le beau rôle de rassurer les citoyens.

Via Christian Aubry

Facebook a annoncé que sa page de « contrôle d’absence de danger » (Safety check) a été utilisée par plus de 4 millions de personnes en 24 heures à la suite des événements tragiques.

Ce service, lancé il y a tout juste un an, permet aux utilisateurs de rassurer leurs amis en un clic en indiquant qu’ils sont « en sécurité ». Facebook savait donc avant le ministère français de l’Intérieur, sur son propre territoire, qui était en sécurité ou non.

Facebook, service commercial étranger en terre française, a donc la mainmise sur une des prérogatives de l’État français, celle de rassurer les citoyens.

Effectivement, Facebook connaît exactement (à quelques mètres près) où se trouvent tous ses clients et avec qui ils sont amis. C’est un niveau de précision dont rêvent bien des États.

Il faut donc prendre acte qu’une partie de la sécurité nationale doit maintenant composer avec une firme étrangère, américaine dans ce cas. Cela s’applique pour tous les autres pays, y compris le Canada, où Facebook compte des abonnés.

Heureusement, on peut se rassurer en rappelant que la France, le Canada et les autres pays occidentaux sont des pays amis avec les États-Unis.

Mais il ne faut pas s’étonner que des pays comme la Russie ou la Chine investissent pour que ce soit plutôt des entreprises nationales qui acquièrent un tel pouvoir sur leur territoire.

Il ne leur a pas échappé que la valeur stratégique pour la sécurité nationale consiste à ne pas laisser une firme commerciale, soumise à des intérêts étrangers, jouer un tel rôle sur leur propre territoire en cas de crise.

Le droit de déclarer l’état d’urgence

Pour mesurer l’importance politique de cet outil, sachez que Beyrouth, qui a vécu une tragédie similaire la veille même des attentats de Paris, n’a pas eu droit au service de « contrôle d’absence de danger » de Facebook. Ce qui en a froissé plus d’un au Liban! « La plupart d’entre nous continuent à être exclus des préoccupations dominantes du “monde” », s’indigne le blogueur libanais Joey Ayoub.

Le service, réservé initialement à des situations de catastrophe naturelle, a été, de façon exceptionnelle, activé pour Paris.

Pourquoi Paris et non Beyrouth? C’est le taux anormal d’activité sur le réseau , selon Alex Schultz, vice-président de Facebook, qui a motivé leur décision.

Facebook a maintenant décidé d’étendre son service dans les lieux aux prises avec des « incidents sérieux et tragiques ». Les événements de Paris l’étaient suffisamment. Ceux de Beyrouth, non, faut-il croire.

À moins que le nombre d’abonnés soit ici un facteur pour générer un « taux anormal d’activité sur le réseau ».

Il faut donc comprendre que les lieux sans un nombre suffisant d’abonnés au réseau ou sans intérêt pour la firme n’auront qu’à se tourner vers d’autres services.

Facebook agit bien comme influence politique dans des pays étrangers.

Le club sélect de l’appui national

Pour illustrer davantage cette influence politique, il faut aussi noter cet autre outil que Facebook a rendu accessible sur sa plateforme le soir des attentats à Paris.

Avec toutes les bonnes intentions du monde, Facebook a proposé un outil pour habiller les avatars des utilisateurs (la photo du profil Facebook) aux couleurs du drapeau français.

C’est, bien évidemment, pour exprimer un soutien au peuple français éprouvé par les attentats que les gens se sont mis à changer massivement leurs avatars.

Or, c’est bien une invitation mondiale à un appui politique que Facebook vient de suggérer à ses membres, initiative tout à fait louable, au demeurant.

Mais dans ce cas aussi, c’est l’initiative d’une firme étrangère pour orienter une opinion sur un territoire donné. Toutes les initiatives isolées des membres sont de facto massivement noyées dans le déluge d’avatars tricolores.

Au siècle dernier, tous les pays s’étaient dotés d’une télévision nationale, car elles avaient compris sa valeur pour l’unité nationale.

Pour les réseaux sociaux, il n’est probablement pas loin, le moment où chaque pays devra s’asseoir avec ce chef de file qui s’est invité dans l’unité nationale pour discuter sérieusement des actions de sécurité qu’ils devront entreprendre conjointement en cas d’état d’urgence.