Mots de passe MSN/Google/Yahoo à changer

Patrice Levesque <wayne (à)

ptaff.ca>

2009-10-06 15:51:30 EDT

D'après ceci, des milliers de mot de passe GMail/MSN/Yahoo ont été
postés sur internet.

http://crave.cnet.co.uk/software/0,39029471,49303832,00.htm

De l'article :

« "We recently became aware of an industry-wide phishing scheme
through which hackers gained user credentials for Web-based mail
accounts including Gmail accounts," a Google spokesperson told CNET
UK. »

À partir du moment où est entrée dans la culture l'idée de partager son
mot de passe de courriel à n'importe quel service tel Facebook/LinkedIn
(pour trouver ses amis), doit-on vraiment s'attendre à autre chose?

--
--====|====--
--------================|================--------
Patrice Levesque
http://ptaff.ca/
wayne (à)

ptaff.ca
--------================|================--------
--====|====--
--

Lien permanent

Pièces jointes

Signature PGP

Re: Mots de passe MSN/Google/Yahoo à changer

Miguel Tremblay <miguel.tremblay (à)

ptaff.ca>

2009-10-06 16:05:21 EDT

> À partir du moment où est entrée dans la culture l'idée de partager son
> mot de passe de courriel à n'importe quel service tel Facebook/LinkedIn
> (pour trouver ses amis), doit-on vraiment s'attendre à autre chose?

En fait, l'adresse courriel est devenu _la_ façon de s'identifier sur
internet. Certes les médium sociaux l'utilisent pour identifier "ses
amis", mais on peut penser aussi à paypal où le moyen de s'identifier est
également l'adresse électronique.

Ce moyen a l'avantage de donner de facto un moyen de rejoindre l'usager en
plus de l'identifier.

Ça illustre aussi la faillite de tous les autres moyens électroniques dit
sécuritaire pour s'identifier sur internet. Le courriel étant
l'application que tout le monde, de matante à nous-mêmes, utilise et
contrôle assez bien. Faut-il dès lors se surprendre que c'est le moyen
utilisé pour les attaques de phishing?

Miguel

Lien permanent

Re: Mots de passe MSN/Google/Yahoo à changer

Fadi Hobeila <fadi.hobeila (à)

gmail.com>

2009-10-06 16:30:13 EDT

> À partir du moment où est entrée dans la culture l'idée de partager son
>> mot de passe de courriel à n'importe quel service tel Facebook/LinkedIn
>> (pour trouver ses amis), doit-on vraiment s'attendre à autre chose?
>>
>>
> En fait, l'adresse courriel est devenu _la_ façon de s'identifier sur
> internet. Certes les médium sociaux l'utilisent pour identifier "ses amis",
> mais on peut penser aussi à paypal où le moyen de s'identifier est également
> l'adresse électronique.

Ceci rend la sécurité du mot de passe encore plus importante. Maintenant que
l'adresse courriel est utilisé comme identifiant à peu près partout, la
moitié de ton authentification sur le web est déjà connu. T'as intérêt à
avoir un mot de passe complexe!

Wayne a un point, les gens utilisent leur mot de passe de façon cavalière
comme si ça ne portait pas à conséquence. Il suffit d'un site avec une
sécurité moyenne pour "voler" l'identitée de milliers d'internautes.

Lien permanent

Re: Mots de passe MSN/Google/Yahoo à changer

Patrice Levesque <wayne (à)

ptaff.ca>

http://ptaff.ca/

2009-10-06 16:32:14 EDT

> En fait, l'adresse courriel est devenu _la_ façon de s'identifier sur
> internet. Certes les médium sociaux l'utilisent pour identifier "ses
> amis", mais on peut penser aussi à paypal où le moyen de s'identifier
> est également l'adresse électronique.

À ce que je sache votre adresse courriel ne me permet pas de puiser dans
votre compte Paypal.

L'identification des « amis » via login-par-procuration sur
GMail/Yahoo/MSN n'implique pas du tout que l'adresse courriel du compte
coïncide avec celle donnée à Facebook.

> Ça illustre aussi la faillite de tous les autres moyens électroniques
> dit sécuritaire pour s'identifier sur internet.

Quelle faillite? En quoi un nom d'utilisateur comme « petzilourson76 »
vaut moins que « petzilourson76 (à)

example.com »?

--
--====|====--
--------================|================--------
Patrice Levesque
http://ptaff.ca/
wayne (à)

ptaff.ca
--------================|================--------
--====|====--
--

Lien permanent

Pièces jointes

Signature PGP

Re: Mots de passe MSN/Google/Yahoo à changer

Miguel Tremblay <miguel.tremblay (à)

ptaff.ca>

2009-10-06 16:41:47 EDT

>> Ça illustre aussi la faillite de tous les autres moyens électroniques
>> dit sécuritaire pour s'identifier sur internet.
>
> Quelle faillite? En quoi un nom d'utilisateur comme « petzilourson76 »
> vaut moins que « petzilourson76example.com »?

De façon générale, les gens ont une ou deux adresses courriels. On ne
l'oublie pas. Contrairement aux noms d'usagers dont nous avons tous en
grande quantité. Et lorsque l'on oublie notre combinaison
nom_usager/mot_de_passe, qu'est-ce qu'on donne pour la ravoir? Son adresse
courriel!

Miguel

Lien permanent

Re: Mots de passe MSN/Google/Yahoo à changer

Stefan Michalowski <mitch (à)

ptaff.ca>

2009-10-06 20:50:12 EDT

Miguel Tremblay wrote:

> De façon générale, les gens ont une ou deux adresses courriels. On ne
> l'oublie pas. Contrairement aux noms d'usagers dont nous avons tous
> en grande quantité. Et lorsque l'on oublie notre combinaison
> nom_usager/mot_de_passe, qu'est-ce qu'on donne pour la ravoir? Son
> adresse courriel!

Il faut bien avoir un moyen de t'identifier. Le problème que Wayne
mentionne n'est pas l'utilisation des emails pour le login, mais le fait
que les gens donnent leur mot de passe à des services tierce (Facebook
et autre).

De toute façon, la majorité des gens utilisent le même mot de passe
partout, donc c'est juste une question de partir un site avec login pour
avoir les mots de passe des gens...

Mais quelle est la solution à ce problème? Des clefs RSA? Est-ce que
l'identification unique (à la OpenID) permettrait de réduire ce problème?

Ciao,

--
+-------------------------------------------------------+
| |
| Stefan Michalowski, M. Sc. |
| ------------------ |
| Email: mitch (à)

ptaff.ca |
| GPG Key: http://screamerone.zapto.org/k.asc |
| ---------------------------------- |
| "Provider of Open Paradigm Shifts" |
| |
+-------------------------------------------------------+

Lien permanent

Re: Mots de passe MSN/Google/Yahoo : solutions?

Patrice Levesque <wayne (à)

ptaff.ca>

http://ptaff.ca/

2009-10-07 01:46:52 EDT

> Mais quelle est la solution à ce problème? Des clefs RSA? Est-ce que
> l'identification unique (à la OpenID) permettrait de réduire ce
> problème?

Clefs RSA : oui, mais rêvons pas :)

OpenID : le protocole pourrait supporter ça en effet, puisque le mot de
passe n'est pas divulgué aux services qui l'utilisent. Cela dit, j'ai
regardé rapidement les specs d'OpenID et je n'ai malheureusement pas vu
de mécanisme par lequel on peut « prêter son identité ». J'en ai
informé la communauté :
http://ideas.openid.net/pages/252-ideas/suggestions/342152-allow-data-exchange-
between-relying-parties

Autre idée, il pourrait exister un API chez les GMail/MSN/Yahoo de ce
monde, qui permettent à un tiers comme Facebook de demander un paire
nom_d'utilisateur/mot_de_passe valide 5 minutes disons pour accéder à un
compte d'usager. L'utilisateur recevrait un courriel au parfum de
« Facebook.com wants to access your account » et accepterait ou non la
demande. Même idée que pour OpenID, mais texture plus cahoteuse.

--
--====|====--
--------================|================--------
Patrice Levesque
http://ptaff.ca/
wayne (à)

ptaff.ca
--------================|================--------
--====|====--
--

Lien permanent

Pièces jointes

Signature PGP

Re: Mots de passe MSN/Google/Yahoo : solutions?

Stefan Michalowski <mitch (à)

ptaff.ca>

2009-10-07 10:42:23 EDT

Patrice Levesque wrote:

> Clefs RSA : oui, mais rêvons pas :)

Si les banques adoptaient OpenID, est-ce qu'on pourrait penser que
OpenID inclue la possibilité d'utiliser une clef RSA? Ou sinon, il y a
l'option de recevoir un code par SMS ou par pagette, qui offre une
fonctionnalité similaire et se base sur une chose que presque tous ont.

L'autre avantage que je vois d'OpenID est que si le mot de passe/login
est compromis, on a juste une place à le faire changer, pas besoin de se
promener à travers tous les sites pour corriger les problèmes. De plus,
les comptes qu'on a oubliés (vieux compte de banque, ou un compte orkut)
ne restent pas vulnérable...

Par contre, selon Schneier ça ne règle pas le problème car les phisher
et aure vont seulment changer de stratégie:
a) man-in-the-middle attack
b) trojan qui profite de l'usager pour se logguer dans son compte

http://www.schneier.com/blog/archives/2009/09/hacking_two-fac.html

Ciao,

--
+-------------------------------------------------------+
| |
| Stefan Michalowski, M. Sc. |
| ------------------ |
| Email: mitch (à)

ptaff.ca |
| GPG Key: http://screamerone.zapto.org/k.asc |
| ---------------------------------- |
| "Provider of Open Paradigm Shifts" |
| |
+-------------------------------------------------------+

Lien permanent

Re: Mots de passe MSN/Google/Yahoo : solutions?

Patrice Levesque <wayne (à)

ptaff.ca>

http://ptaff.ca/

2009-10-08 09:30:17 EDT

> Par contre, selon Schneier ça ne règle pas le problème car les phisher
> et aure vont seulment changer de stratégie:

Schneier utilise le « Perfect solution fallacy ». Bien sûr que ça ne
règle pas tous les problèmes, mais ça en élimine beaucoup. Est-ce qu'on
peut améliorer la situation en attendant que la solution parfaite
soit connue?

Je pense qu'une carte de guichet avec un NIP est plus sécuritaire qu'une
carte sans NIP, même s'il est possible de voler un NIP avec une caméra
cachée dans une banque.

--
--====|====--
--------================|================--------
Patrice Levesque
http://ptaff.ca/
wayne (à)

ptaff.ca
--------================|================--------
--====|====--
--

Lien permanent

Pièces jointes

Signature PGP

Re: Mots de passe MSN/Google/Yahoo : solutions?

Stefan Michalowski <mitch (à)

ptaff.ca>

2009-10-08 10:08:36 EDT

Patrice Levesque wrote:

> Je pense qu'une carte de guichet avec un NIP est plus sécuritaire qu'une
> carte sans NIP, même s'il est possible de voler un NIP avec une caméra
> cachée dans une banque.

Oui, si tu accèpte ce système. Mais le problème est que le système est
invalide, on ne devrait pas authentifier l'usager, mais plutôt
autentifier et valider la transaction.

Ciao,

--
+-------------------------------------------------------+
| |
| Stefan Michalowski, M. Sc. |
| ------------------ |
| Email: mitch (à)

ptaff.ca |
| GPG Key: http://screamerone.zapto.org/k.asc |
| ---------------------------------- |
| "Provider of Open Paradigm Shifts" |
| |
+-------------------------------------------------------+

Lien permanent

Re: Mots de passe MSN/Google/Yahoo : solutions?

Patrice Levesque <wayne (à)

ptaff.ca>

http://ptaff.ca/

2009-10-08 10:43:13 EDT

> Mais le problème est que le système est invalide, on ne devrait pas
> authentifier l'usager, mais plutôt autentifier et valider la
> transaction.

Et comment on fait ça?

1) Quels moyens on peut prendre pour authentifier une transaction
qu'on ne peut prendre pour authentifier un individu?

2) Comme à peu près n'importe quelle opération effectuée sur un site
web peut être considérée comme une transaction (effacer un courriel,
changer son avatar, poster sur Facebook), où trace-t-on la ligne
entre transaction à autoriser ou non? On peut facilement se
retrouver pris avec une situation comme sous Vista où les gens se
plaignent constamment des fenêtres « Are You Sure » et enlèvent la
mesure de protection parce que ça rend l'expérience plus désagréable
qu'autre chose.

--
--====|====--
--------================|================--------
Patrice Levesque
http://ptaff.ca/
wayne (à)

ptaff.ca
--------================|================--------
--====|====--
--

Lien permanent

Pièces jointes

Signature PGP

Re: Mots de passe MSN/Google/Yahoo : solutions?

Fadi Hobeila <fadi.hobeila (à)

gmail.com>

2009-10-14 11:38:02 EDT

Ars Technica publie un
article<http://arstechnica.com/business/news/2009/10/30-years-of-failure-the-
user-namepassword-combination.ars>sur
l'échec de l'authentification selon la combinaison
*nom d'utilisateur-mot de passe*.

Lien permanent