1

Je suis un peu à cheval sur la sécurité concernant les sites web, en particulier mes informations. Et trois choses en particulier.
Déjà, j'ai le poil qui se hérisse quand je travaille sur un site réalisé avec l'ancien CMS de notre boîte, lequel stocke les mots de passe en clair, et les envoie tel quel à la première demande de récupération.

Plus grave, quand je viens de m'inscrire à mon espace client EDF... j'ai un algorithme personnel pour ma création de mot de passe, et je déteste devoir me rappeler qu'un site "est différent" quand je veux me connecter parce que celui-ci n'a accepté que des chiffres et des lettres, rien d'autre. Cékwaça ? vous n'avez pas appris à vous protéger contre les injections SQL et les failles XSS ? pourquoi interdire les caractères spéciaux et réduire ainsi la complexité ?
D'autant que les rainbows tables fonctionnent essentiellement sur une suite limitée de caractères (le top étant alpha+ALPHA+numérique), rarement incluant des caractères spéciaux (et si c'est le cas, un nombre très limité).
Et qu'on me demande ensuite une question secrète pour retrouver mon mot de passe... j'ai horreur de cela, surtout quand elle est imposée, avec 5 questions aussi bateau que "Prénom de votre mère". Jamais entendu parler de social engineering ?

Mais j'ai surtout le pompon qui est sur le point de me faire changer de FAI (et que j'adorerai leur expliquer tout mielleusement quand ils me demanderont pourquoi). Quand, dans mon espace client Bouygues Telecom j'ai voulu réinitialiser mon mot de passe, je découvre que c'est de l'alphanumérique, mais surtout limité de 3 à 8 caractères. Impeccable. L'exemple parfait, en cas de fuites des tables utilisateurs, pour retrouver les mots de passe même hashés avec une si faible entropie. Et ici sans aucune raison valable.

And that's terrible.
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

2

alphanumerique = 26 + 26 + 10 soit 62 caracteres possible (en oubliant les accents, mais ca ne change quasi rien..)

On a donc avec un mot de passe limite a 8 caracteres 62^8 = 218340105584896 combinaisons possible.

En imaginant que sur un CPU moderne a 2.5-3Ghz on ai un algo capable de generer et tester un mot de passe en 10ns (100Mhz) (car on fait 100 millions de tests par secondes)

100Mhz = 100000000 Hz

Si on fait un bete calcul

218340105584896 / 100000000 = 2183401 secondes, soit 36390 minutes, soit 606 Hr, soit 25 jours, ce qui est absolument ridicule en brute force comme temps..

(et en sachant que pour trouver tous les mots de passe, on a peu de chance de devoir parcourir tout l'espace..)

Et je ne parle que de bruteforce la..
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

3

4

La raison principale de tout ça ? Ben comme d'habitude, sur les questions techniques c'est l'avis de gens non qualifiés (managers, marketeux) qui prime sur l'avis des spécialistes :

- Machin trouve que les mots de passe de plus de 8 caractères et/ou des caractères spéciaux "c'est trop compliqué", alors il veut pas qu'on l'implémente. Tout le monde a envie de lui dire que s'il est pas foutu de retenir un simple mot de passe, sa légitimité à son poste haut placé est plus-que-douteuse, mais personne n'a envie de se faire virer.

- Truc trouve que ça sert à rien de passer du temps sur la sécurité, ça coûte de l'argent, à cause de ça il risque de pas toucher sa prime du trimestre. Et les conséquences ils s'en fout, le jour où ça pétera il aura déjà été promu à un autre poste (et personne ira lui demander des comptes).

- Chose ne veut pas embaucher de chef de projet, il préfère passer par une SSII ("c'est plus flexible"), qui est trop contente de lui vendre fort cher de la viande des jeunes diplômés présentés comme experts, mais qui en fait n'ont aucune expérience et naviguent à vue. Par une amusante coïncidence, Chose et un mec haut placé chez la SSII jouent au golf ensemble régulièrement.

- Bidule, lui, trouve qu'avoir délocalisé les call-centers au Maroc était une excellente idée, et applique la même chose avec l'info en Inde. Peu importe que la communication soit difficile, les délais explosés et la qualité médiocre : tout ça, c'est pas son problème, il a des sous-fifres pour s'en occuper.

Et une autre raison, plus trollatoire :

- le dév web est un domaine où le bricolage règne en maître (que ce soit au niveau des spécifications, des méthodologies, des certifications, des langages, des librairies/frameworks...). Tout l'inverse de ce qu'il faut pour avoir de la sécurité informatique digne de ce nom.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

5

Au passage, le dernier dessin de CommitStrip :
Strip-La-checklist-de-s%C3%A9curit%C3%A9-650-final.jpg
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

6

CDP ?
avatar
----- SNK Forever -----
Association Retro-gaming Connexion : http://www.retro-gc.fr/
http://www.consoles-portables.com

7

(chef de projet)
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

8

Ca peux sinon etre "Continuous Data Protection"
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

9

Certes, il faut connaître CommitStrip à la longue pour savoir que ce personnage est le chef de projet histoire d'éviter les ambiguïtés.
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

10

ah bah si y'a des private jokes c'est pas notre faute embarrassed

11

Zerosquare (./4) :
- le dév web est un domaine où le bricolage règne en maître (que ce soit au niveau des spécifications, des méthodologies, des certifications, des langages, des librairies/frameworks...). Tout l'inverse de ce qu'il faut pour avoir de la sécurité informatique digne de ce nom.
J'ai corrigé pour toi…
avatar
Le scénario de notre univers a été rédigée par un bataillon de singes savants. Tout s'explique enfin.
T'as un problème ? Tu veux un bonbon ?
[CrystalMPQ] C# MPQ Library/Tools - [CrystalBoy] C# GB Emulator - [Monoxide] C# OSX library - M68k Opcodes

12

Sauf que le web, c'est un fail by design largement plus retentissant...

13

Le pire niveau mdp, c'est air france :
10441899_10152678361631414_5324117947526364209_n.jpg?oh=0f9eb121b1d9c77f4f0d211f67746aeb&oe=54A9D5B1&__gda__=1424022183_2f7dce89471f65ce3b5efe1385dd954f
tritop

14

J'attends de tomber sur un site qui me sortira : "vous avez le même mot de passe que MachinChose, veuillez changer" cheeky

15

./12 > Pas tant que ça. Si tu as déjà vu/entendu comment fonctionne l'IT dans les grands groupes, parfois c'est tout autant, si ce n'est plus folklo. grin
./14 > Pour ça, tu sous-entend que le développeur serait capable de vérifier une telle unicité, mais rien n'est moins sûr. Le développeur de base ignore tout des clés primaires et des contraintes unique sur les tables de BDD. tongue
avatar
Le scénario de notre univers a été rédigée par un bataillon de singes savants. Tout s'explique enfin.
T'as un problème ? Tu veux un bonbon ?
[CrystalMPQ] C# MPQ Library/Tools - [CrystalBoy] C# GB Emulator - [Monoxide] C# OSX library - M68k Opcodes

16

Un gros (gros) client que j'avais apparemment ne hachait pas ses mots de passe dans sa base de données, et pourtant ils étaient très à cheval sur la sécurité : les mots de passe de l'application que nous allions leur concevoir nécessitaient une longueur minimale de caractère, au moins une majuscule, minuscule, chiffre et caractère spécial, il devait être changé tous les mois et ne pas être identique à un des six derniers mots de passe (ce qui est possible puisqu'on se contente de comparer les hashs).

Là où j'ai compris que le mot de passe aurait dû être stocké en clair, ou du moins crypté de manière réversible, est qu'à trop en vouloir question sécurité des pass, ils voulaient ajouter une règle comme quoi chaque nouveau mot de passe devait avoir au moins 70% de différence avec le précédent mot de passe.

Et j'ai trouvé l'idée de changer les mots de passe tous les mois en gardant une différence sur les six dernières dans le genre "Failed by design", à oublier le critère humain. Un tel dispositif de sécurité est trop contraignant, c'est un coup à ce que les utilisateurs notent leur pass sur des post-its qu'ils garderont toujours à côté de leur machine.
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

17

C'est clair, mais ça fait vachement cool à l'audit de sécurité…
avatar
Le scénario de notre univers a été rédigée par un bataillon de singes savants. Tout s'explique enfin.
T'as un problème ? Tu veux un bonbon ?
[CrystalMPQ] C# MPQ Library/Tools - [CrystalBoy] C# GB Emulator - [Monoxide] C# OSX library - M68k Opcodes

18

Après, on peut avoir les meilleurs codeurs et la meilleure stratégie qui soit, quand on utilise des outils qui ont des failles graves qui sont déjà activement recherchées et exploitées automatiquement quelques heures après avoir été rendues publiques...
http://arstechnica.com/security/2014/10/drupal-sites-had-hours-to-patch-before-attacks-started/
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

19

Drupal retiendra la leçon : la prochaine fois, ils mettront "correction d'un bug mineur" dans le changelog et expliqueront qu'il y avait une faille majeure quelques jours plus tard, que personne ne cherche comment exploiter cette faille smile
avatar
« Nous avons propagé sur Extranet une histoire fabriquée de toutes pièces selon laquelle une certaine disposition d'étoiles, vue depuis la planète d'origine des butariens, formaient le visage d'une déesse galarienne.
Sans chercher à vérifier ces informations, certains ont décrété que c'était la preuve de l'existence de la déesse. Ceux qui notaient le manque de preuves se faisaient attaquer. »

Legion, geth trolleur à portée galactique

20

Je vous l'avais dit que drupal c'etait du gruyere grin

21

squalyl (./20) :
Je vous l'avais dit que drupal c'etait du gruyere grin.gif?12

comme à peu près n'importe quel soft, globalement ^^
(y compris des logiciels pas "open-source" et développés par des "professionnels")
avatar
Tutorial C (TI-89/92+/v200) - Articles Développement Web (PHP, Javascript, ...)
« What is the sound of Perl? Is it not the sound of a wall that people have stopped banging their heads against? » - Larry Wall

22

En tout cas, je n'ai jamais vu de faille dangereuse dans du vrai gruyère embarrassed
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

23

lol grin

(nan ok y'a des failles partout, mais drupal a fait fort quand meme ^^)

24

j'en ai vu tellement quand j'étais en SSII, des failles "stupides" de ce type, ça ne me surprend même plus ^^
avatar
Tutorial C (TI-89/92+/v200) - Articles Développement Web (PHP, Javascript, ...)
« What is the sound of Perl? Is it not the sound of a wall that people have stopped banging their heads against? » - Larry Wall

25

A la pste, ils viennent de releaser (en début de mois) un soft pour gérer la caisse, les comptes, la banque, le courrier, bref, tout ce que fait un agent à son guichet. Ca tourne sur IE6 only grin

26

Pour l'instant le plus joli que j'ai vu (je peux les dénoncer maintenant qu'on a enfin changé de prestataire grin) c'est eux : https://billetterie.kalidea.com/

Les identifiants sont de la forme 1ière lettre du prénom + 5 premières lettres du nom de famille. Du coup même au sein de ma boite, il y avait des collisions sur certains identifiants. Là où c'est amusant (et j'aimerais vraiment voir le code derrière), c'est que ça ne posait aucun problème à l'appli d'avoir deux personnes ayant le même identifiant, à partir du moment où les mots de passe ne sont pas les mêmes. On a pas réussi à convaincre les deux personnes en collision de choisir le même mot de passe pour voir ce que ça faisait ("désolé, quelqu'un d'autre ayant le même login que vous a déjà choisi ce mot de passe" triso), mais aujourd'hui encore je meurs de curiosité grin
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

27

excellent grin

28

29

Assez savoureux (source) :
Wait for the class-action lawsuits to get unleashed. The lawyers are going to be all over this one like white on rice. Ex-employees from the Home Depot IT technology group are now claiming that management of the retailer had been warned for years that their Point Of Sale systems were open to attack and did not act on these warnings. Several members of the Home Depot IT security team quit their jobs in protest.

It gets worse. In 2012, Home Depot management hired Ricky Joe Mitchell as their Senior IT security architect, apparently without doing their due diligence and background check. Turns out that Mitchell was fired from a company called EnerVest Operating where he sabotaged that company’s network for 30 days in an act of revenge.

It gets even worse. Mitchell was kept on the job at Home Depot even after his indictment a year later and remained in charge of Home Depot security until he finally pled guilty to federal charges Jan 2014.

Wait, we're not done yet. Things are worse than that. The same ex-employees claim that Home Depot relied on antivirus that was not being updated with new antivirus definitions, a version of Symantec AV purchased in 2007.

And here is the next epic fail. As we all know, to be PCI compliant, you need quarterly security scans, done by authorized third parties. However, vulnerability scans were only done irregularly, and most of the time only on a relatively small number of stores. A few IT security ex-employees said that their team was blocked from doing security audits on machines that handled customer data.

And finally, to add insult to injury, in a total disregard for best practices, the Home Depot didn’t run any kind of behavioral network monitoring, which means they were not able to detect any breaches and for instance see unusual files being exfiltrated from the network.

Now their PR team tried to paper over all this criminal negligence and claims that the company maintains "robust security systems", and that the malware was custom made and hard to detect. Yeah, right. I see another CEO being fired in the near future...
Looking at this type of negligent behavior, Home Depot must not have done a lot of security awareness training for their employees either. It is not sure yet how the hackers got in, but a website that was not sufficiently protected and allowed a SQL injection and a spear-phishing attack are the most likely attack vectors.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

30

Zerosquare (./22) :
En tout cas, je n'ai jamais vu de faille dangereuse dans du vrai gruyère

C'est parce qu'on a trouvé personnes pour les exploiter

edit : répétition
avatar
https://air-gaming.com/tests/ si vous voulez de la bonne lecture :=)