#mots_de_passe

En dessous de 10 caractères, votre mot de passe n’est plus un mot de passe . En revanche, pour un mot de passe de 18 caractères de tous types, il faudra 26 trillions d’années pour le forcer…
▻https://www.blogdumoderateur.com/etude-temps-pirater-mot-de-passe-2023

Ce n’est pas une surprise : plus les #mots_de_passe sont longs et composés de caractères de types différents, plus ils sont sécurisés. Par exemple, un #mot_de_passe composé uniquement de 11 chiffres sera décodé instantanément par le programme. Il en est de même pour un mot de passe de 6 caractères composé de chiffres, minuscules, majuscules et caractères spéciaux.

Globalement, le tableau démontre que tout mot de passe de 10 caractères ou moins peut être déchiffré très rapidement (en maximum deux semaines). Idéalement, il faudrait recourir à des mots de passe d’au moins 16 caractères diversifiés. Si vous avez encore des mots de passe composés de 8 caractères (le minimum demandé par beaucoup de plateformes), il est donc grand temps de les changer !

Hive Systems précise également que ce tableau concerne les mots de passe utilisés sur une seule plateforme, qui n’ont jamais été forcés et qui ne sont pas composés de mots simples. Dans la configuration contraire, le tableau ressemblerait plutôt à cela…

Le spécialiste ajoute également que le temps nécessaire pour forcer un mot de passe peut varier en fonction du nombre et de la puissance des cartes graphiques utilisées par le hacker.

Les mots de passe de moins en moins sécurisés

En comparant ce tableau avec celui de 2022, on s’aperçoit que les mots de passe peuvent être forcés de plus en plus rapidement. Par exemple, le tableau de l’année dernière considérait que 3 semaines étaient nécessaires pour forcer un mot de passe composé de 18 chiffres. La mise à jour estime que cela peut être réalisé en seulement 6 jours.

C’est également le cas pour les mots de passe les plus sécurisés. Par exemple, pour forcer un mot de passe de 11 caractères composé de chiffres, de minuscules, de majuscules et de symboles, Hive Systems estime que 3 ans sont nécessaires, contre 34 ans il y a un an. Pour une sécurité maximale, vous pouvez opter pour un mot de passe de 18 caractères de tous types : il faudra 26 trillions d’années pour le forcer.

Google, Microsoft can get your passwords via web browser’s spellcheck
▻https://www.bleepingcomputer.com/news/security/google-microsoft-can-get-your-passwords-via-web-browsers-spellchec

https://www.bleepstatic.com/content/hl-images/2017/05/16/WindowsPassword.jpg

Encore une question inquiétante... même si pour cela, il faut avoir choisit la correction syntaxique améliorée et demander à voir son propre mot de passe... mais ce sont néanmoins des situations que l’on doit utiliser régulièrement... sachant que demain, ce qui est « enhanced » sera la norme standard, pour le service de l’usager, évidemment.
A tous les programmeurs : mettre l’attribut spellcheck=false dans tous les champs comportant des données sensibles (mot de passe, numéro de sécu, adresses,...). Ça évitera aussi aux usagers d’avoir des suggestions absurdes...

Extended spellcheck features in Google Chrome and Microsoft Edge web browsers transmit form data, including personally identifiable information (PII) and in some cases, passwords, to Google and Microsoft respectively.

While this may be a known and intended feature of these web browsers, it does raise concerns about what happens to the data after transmission and how safe the practice might be, particularly when it comes to password fields.

Both Chrome and Edge ship with basic spellcheckers enabled. But, features like Chrome’s Enhanced Spellcheck or Microsoft Editor when manually enabled by the user, exhibit this potential privacy risk.

#Sécurité #Mots_de_passe #Chrome #Spellcheck

Mot de passe fort – Carnet de notes
▻https://n.survol.fr/n/mot-de-passe-fort

Une fois qu’on exclut les #mots_de_passe unique­ment en chiffres, il n’y a quasi­ment plus que la longueur du mot de passe qui compte . Vous voulez un mot de passe sûr avec unique­ment des lettres  ? Il suffit d’ajou­ter un unique carac­tère supplé­men­taire. Autant dire pas grand chose quand on est déjà à 9 ou 10.

https://n.survol.fr/wp-content/uploads/2021/02/Capture-d%E2%80%99e%CC%81cran-2021-02-27-a%CC%80-18.09.43-1024x728.png

Avec un mot de passe de 12 caractères composé de majuscules et minuscules, on est à 600 ans avant décryptage... Bon tout ça est très relatif mais ça donne une idée de la « force » des mots de passe dans un cadre commun cohérent.

Perso, le mot de passe que je veux sécuriser, je fais des phrases avec du patois dedans.

Facebook , gangster aux 55 milliards de dollars Pia de Quatrebarbes - 21 Juin 2019 - Solidaire
▻https://www.solidaire.org/articles/facebook-gangster-aux-55-milliards-de-dollars

Un chiffre d’affaire de plus de 55 milliards de dollars en 2018 : en quinze ans, le réseau aux 2,2 milliards « d’amis » a engrangé un paquet de fric sur nos informations, quitte à s’asseoir sur quelques lois. Un « #gangster_numérique », a tranché le parlement britannique dans un rapport au vitriol... Comment le réseau social qui voulait « rendre le monde meilleur » en est-il arrivé la ?

https://www.solidaire.org/sites/default/files/styles/solidair_news_main/public/images/2019/06/17/webistock-937504280.jpg?itok=TNSxG-q9

Photo Wachiwit /iStock

En 2008, quand Facebook débarque en France, c’est la ruée sur les « murs ». On y voit alors un formidable moyen de communiquer, partager des photos, personne ne s’y informe encore, mais on y dissémine naïvement des informations aux quatre vents : scolarité, opinion, statut amoureux....et déjà on #like. Rien de grave a priori, #Mark_Zuckerberg, le concepteur du réseau souhaite alors « rendre le monde meilleur ». Pas « le conquérir, seulement rendre les gens plus ouverts et connectés ».

L’histoire est typique des innovations du web. 4 ans auparavant, dans sa chambre de Harvard, à Boston, le petit génie veut rencontrer des filles, il crée alors avec des camarades un #trombinoscope des étudiants, « The Facebook ». Les universités américaines s’y branchent, puis les lycées et collèges – Il suffit d’avoir 13 ans et une adresse mail. Et bientôt le monde entier : 2,2 milliards d’utilisateurs, un chiffre d’affaires de 55 milliards de dollars, et le 3e site internet le plus visité.

De ses utilisateurs, il sait à peu près tout !
Mais 15 ans après, sa firme est devenue un « gangster numérique au dessus des lois ». La sentence est venue mi-février de la Commission du numérique, de la culture et des médias du #Parlement_britannique. Pendant 18 mois, elle a planché sur le scandale #Cambridge_Analytica. Une centaine de témoins ont été auditionnés, mais le PDG de Facebook, lui, a refusé... A la lecture des 110 pages, on comprend pourquoi et comment #Mark_Zuckerberg a choisi « le profit avant la vie privée ».

Comprenons bien : Que Facebook sait-il de ses utilisateurs ? A peu près tout ! « La pratique la plus problématique, c’est la captation systématique de nos données personnelles », explique Sylvain Steer, enseignant en droit et membre de l’association la Quadrature du Net. Pour les « amis », ce sont donc les contenus publics, les messages privés sur #Messenger, la listes des personnes, pages et groupes suivis, la façon dont on utilise le service et accède aux contenus et les informations sur l’appareil (adresse IP, fichiers présents, mouvements de la souris, accès au GPS et à l’appareil photo).

Pour ceux qui n’ont pas de compte, la firme de Palo Alto a la solution : le « profil fantôme ». Les #cookies, les boutons « J’aime » et « Partager » affichés sur de nombreux sites, transmettent à Facebook les informations de navigation... En bref, Facebook s’accorde un pouvoir de surveillance de masse.

Et quand Mark Zuckerberg répète à tout va, « Facebook ne vend pas les données », le parlement Britannique répond : il ment. En cause, le modèle économique : « la gratuité » pour l’utilisateur contre la monétisation de ses données. « Facebook vend aux annonceurs des catégories de publicité. Ce sont l’ensemble des caractéristiques sociales, économiques et comportementales que le réseau associe à chaque utilisateur afin de mieux le cibler », explique Sylvain Steer. « Avec l’argument fallacieux que c’est pour nous proposer des contenus de la façon la plus adaptée : sous entendu la plus subtile ». Facebook est donc avant tout « une #régie_publicitaire », analyse Yann Le Pollotech, chargé des questions numériques au PCF. 98 % de son chiffre d’affaires mondial provient de la publicité ciblée.

L’accès aux données des téléphones
Le réseau ouvre aussi ses données à des développeurs tiers contre rémunération « 250 000 dollars de publicités par an », écrivait le PDG dans un mail obtenu par les parlementaires britanniques. Facebook nie, explique que l’idée n’avait jamais été appliquée. En 2015, pourtant il restreint l’accès sauf pour une liste de 150 entreprises, dont Apple, Amazon, Netflix, ou Airbnb ou encore le site de rencontre #Tinder. Et là, c’est open bar ! Et Zuckerberg écrivait : « je ne vois pas de cas où des données ont été diffusées de développeurs à développeurs et ont causé un réel problème pour nous »... Raté ! 3 ans après, Cambridge Analytica allait prouver le contraire. La société, basée à Londres, a siphonné les données de 87 millions de comptes. La cheville ouvrière de la campagne numérique de Donald Trump en 2016, a réalisé un micro ciblage des électeurs.

Parmi les autres pépites du rapport : l’accès aux données des téléphones. En 2015, la nouvelle version de l’application sur mobiles #Android pouvait avoir accès au journal des appels téléphoniques. Un cadre de Facebook s’inquiète dans un mail interne que les utilisateurs s’en rendent compte. « Ça serait très risqué : des journalistes (..) qui écrivent des articles sur “Facebook qui utilise sa mise à jour pour espionner votre vie privée” », écrit le cadre. Car le but de la firme, est bel et bien de tout savoir.... Pour cela, il faut capturer l’utilisateur et faire en sorte qu’il y reste. Et le pousser à partager toujours plus d’informations.

Les #Fake_News rentrent dans cette catégorie. C’est parce qu’elles sont beaucoup plus partagées que Facebook les laisse se propager... Le sociologue Dominique Cardon limite leur portée dans un livre salvateur (1). Pendant la campagne américaine, ces « fake news » ont été le plus consultées par les 10% des électeurs les plus convaincus, y écrit-il. Pour Yann Le Pollotech aussi, « il faut se méfier de ce concept. Depuis que les hommes communiquent, il y a de la #désinformation. Mais ici, il y a aussi une sorte de racisme social : les fake news ne concerneraient que les moins diplômés.. et les gilets jaunes ! A chacun ses Fakes news ; celle des #CSP_+ [cadres supérieurs, NdlR], c’est que les cheminots partent à la retraite à 50 ans avec un pont d’or. Mais ce n’est pas à Facebook de décider ce qui est de l’ordre du complot ou de la #vérité. La seule manière de les éviter : c’est la délibération, le débat démocratique ».

Mais ce n’est pas le programme du géant. Lui, il a un autre objectif : « enfermer les internautes dans son monde, son univers. Plus que du gangster, cela relève de la #mafia, au sens où c’est aussi une organisation sociale », continue Yann Le Pollotech. Dans ce système, Facebook compte aussi la messagerie #Whatsapp (1,5 milliard d’utilisateurs) et le site de partage de photos et vidéos #Instagram (1 milliard). Et avec elles, toutes leurs données ! En 2014, au moment du rachat de Whatsapp pour 19 milliards de dollars, Zuckerberg promettait « de ne pas combiner les données des comptes Facebook et Whatsapp. Bien sûr, il l’a fait deux ans après », continue Sylvain Steer.

Depuis les scandales continuent : le 20 mars, Facebook reconnaissait ne pas protéger les #mots_de_passe de centaines de millions de comptes. En février, d’autres applications donnaient accès à Facebook à leurs données : une application pour suivre son cycle menstruel, de sport, de santé... En septembre, 50 millions de comptes étaient piratées.

Un modèle basé sur l’illégalité
Que font les législateurs ? En Europe, ils ont franchi une première étape avec le Règlement général pour la protection des données ( #RGPD ), entré en vigueur le 28 mai dernier. Ce dernier impose des formes de consentement éclairé et libre. Mais « Facebook continue de violer les textes, car tout son modèle économique est illégal », rappelle Sylvain Steer. Une plainte collective a été déposée, la CNIL Irlandaise – là où est le siège social de Facebook en Europe- l’examine. Sauf qu’elle prend son temps. « Bien sûr, Facebook comme les autres, fait un lobbying pour retarder sa mise en conformité et prolonger son business », continue-t-il.

Le Parlement britannique veut la fin du far west... Sauf que Facebook, comme #Google « à force de ne pas être réglementés, se sont imposés comme des autorités centralisatrices sur internet. Les États au lieu de le limiter, continuent à lui déléguer des pouvoirs ». La France en tête, « les gouvernements, demandent à ces plateformes géantes de devenir juges et modérateurs des contenus en ligne. Ce qui devrait être de l’ordre de la justice ou du service public », poursuit Sylvain Steer ... Ou comment les gouvernements donnent à Facebook les clés de la censure. Zuckerberg, lui, s’excuse, encore une fois, et promet « de changer ». En attendant, le nombre d’utilisateurs recule, les jeunes désertent la plateforme... Mais pour Instagram. Et restent ainsi dans le monde clos de Facebook.

Culture numérique, Dominique Cardon, Les presses de Sciences Po, sorti en février, 19 euros, 428 pages
(Article paru dans le journal L’Humanité -Dimanche du 28 mars 2019)

#facebook #surveillance #internet #algorithme #censure #réseaux_sociaux #publicité #données #bigdata #profiling #manipulation #marketing #domination #web #voleur de vies #escroc #gangster #fric

Installer Passman, et bien gérer ses mots de passe
▻https://blog.leboeuf.me/2017/installer-passman-et-bien-gerer-ses-mots-de-passe.html

Je te vois, toi, au fond, qui a le même mot de passe partout. Met un coup de coude à ta voisine, qui pense que rajouter une petite variation à chaque utilisation la protègent. Oh, je ne vous en blâme pas, je l’ai fait aussi. Mais comme je dis toujours : c’est comme la cigarette, il n’est jamais trop tard pour arrêter.

Sauf que je fume pas.

Rien que pour ça, ça vaut le coup de passer de Owncloud à Nextcloud.

#nextcloud #passman #firefox #mots_de_passe

Ad targeters are pulling data from your browser’s password manager - The Verge
▻https://www.theverge.com/2017/12/30/16829804/browser-password-manager-adthink-princeton-research

https://cdn.vox-cdn.com/thumbor/RBUa4aCzPls7ftmJv5BVs0_PMXc=/0x45:640x380/fit-in/1200x630/cdn.vox-cdn.com/assets/1579333/verge-108.jpg

The researchers examined two different scripts — AdThink and OnAudience — both of are designed to get identifiable information out of browser-based password managers. The scripts work by injecting invisible login forms in the background of the webpage and scooping up whatever the browsers autofill into the available slots. That information can then be used as a persistent ID to track users from page to page, a potentially valuable tool in targeting advertising.

Mais il n’y a pas de voleurs sans complices :

For Narayanan, most of the blame goes to the websites who choose to run scripts like AdThink, often without realizing how invasive they truly are. “We’d like to see publishers exercise better control over third parties on their sites,” Narayanan says. “These problems arise partly because website operators have been lax in allowing third-party scripts on their sites without understanding the implications.”

#Vie_privée #Mots_de_passe #Ad_brokers #Publicité

Avec l’état d’urgence, les #perquisitions_informatiques sont « systématiques », Me Guez Guez : - Next INpact via @fil
▻http://www.nextinpact.com/news/97473-interview-me-guez-guez-avec-etat-durgence-perquisitions-informatiq

Cet avocat du barreau de Nice nous apporte son retour d’expérience au regard des premiers dossiers. Tous ont subi une perquisition informatique, une nouvelle possibilité ouverte par la loi votée la semaine dernière.(...)

Dans les cas qui m’ont été remontés, les perquisitions informatiques ont été systématiques. La police copie toutes les #données présentes sur des supports informatiques, que ce soit des PC fixes, portables, serveurs NAS, etc.. Tout est dupliqué, sans exception. Les téléphones portables sont pareillement analysés via des appareils branchés dessus et leur numéro de série est relevé.

(...) il y a des cas symptomatiques de l’hystérie des services. J’ai eu un cas en région PACA où il y a eu deux #perquisitions menées deux nuits de suite. Une première par la police, une seconde par les forces du RAID. C’est assez illustrant de l’état de coordination des services.

Le plus choquant est que l’on procède à nombre de perquisitions alors qu’à l’issue - ce sont des chiffres du gouvernement qui nous le disent - la #police ressort souvent les mains vides, si ce n’est en ayant collecté l’ensemble de la vie privée d’une personne. Aujourd’hui nombreux sont ceux à être équipés et connectés. Leur historique Internet, leurs documents textes, leurs photos, leur comptabilité, sans compter les #mots_de_passe … Tout est glané. C’est attentatoire aux #droits et #libertés surtout lorsqu’il n’y a rien qui est reproché à l’encontre du perquisitionné !

On assiste souvent à la violation des règles les plus élémentaires. Normalement, il doit être remis à la personne perquisitionnée la décision du préfet autorisant la perquisition, or cela n’est pas toujours fait. C’est pourtant le support juridique de la fouille de l’appartement. Si on ne permet pas à l’intéressé de connaître les motifs de cette décision, comment peut-il se défendre à propos de celle-ci ?

Dans une telle hypothèse, il faut partir dans un cadre plus long en demandant d’abord à la préfecture les motifs de la perquisition, attendre deux mois la décision implicite de rejet, puis à ce terme, saisir le #tribunal_administratif pour réclamer une injonction de communiquer cette information essentielle. Ceci fait, on peut alors entrer dans un débat de fond pour contester les raisons invoquées. Selon moi, on viole la loi en faisant le pari qu’il n’y aura pas de #contestation compte tenu du découragement des gens.

Reste à souhaiter que des procédures qui aurait passées les étapes des juridictions françaises allant en cour européenne pour voir si les dérogations à la convention seront avalisées, ou non.

#état-d'urgence

Empêcher la récupération des #Mots_de_passe des #Clés_de_cryptage sur Windows
▻http://www.dsfc.net/infrastructure/securite/empecher-recuperation-mots-passe-cles-de-cryptage-windows

http://p8.storage.canalblog.com/80/37/1170371/97135665_o.jpg

L’une des premières choses à faire en matière de sécurité sur les systèmes Windows est de désactiver le mode hibernation et d’empêcher l’écriture d’un #Crash_Memory_Dump !Autres lectures sur le thèmeSon : diminuer la latence sous WindowsDésactiver le protocole LLMNR sous Windows 7/2008Des applications plus stables sous Windows 7 ou Windows 2008

#Sécurité #Bitlocker #Clés_privées #Formateur_Sécurité_informatique #Formateur_Sécurité_Windows #hiberfil.sys #Memory_Dump #PGP #Sécurité_informatique #Sécurité_Windows #Symantec_Encryption_Desktop #TrueCrypt #Veille_hybride