Mguiraud’s Blog

Le blog de Mehdi Guiraud

L’attaque Twitter: les 10 leçons à retenir à l’ère du 2.0

Une attaque informatique a compromis la confidentialité de donnée sensible de l’entreprise Twitter a eu lieu au mois de Mai dernier, et Korben a eu l’exclusivité de l’annonce : Hacker Croll, le hacker ayant fait cela, explique ainsi sa motivation :

Ce que je voudrais dire c’est que les plus grands font des conneries plus grandes qu’eux sans pour autant s’en apercevoir et j’espère que mon intervention leur fera prendre conscience que nul n’est à l’abri sur le net. Si j’ai fait cela c’est dans le but de sensibiliser ces personnes qui pensent être plus en sécurité que de simples internautes novices. Et la sécurité ça commence par des trucs simples comme les questions secrètes dont beaucoup ignorent réellement leur utilité ou l’impacte que ça peut avoir sur leur vie privée si un pirate parvenait à les contourner.

Bilan des courses ? voici un exemple des informations qu’il a pu collecter :

  • la liste de tous les employés
  • leurs préférences alimentaires
  • des numéros de cartes bleues
  • des contrats confidentiels avec Nokia, Samsung, Dell, AOL, Microsoft et j’en passe
  • des contacts emails de personnalités du web et du showbizz
  • des numéros de téléphone
  • des comptes rendus de réunion (très instructifs)
  • des modèles de documents internes
  • des emplois du temps
  • des CV de candidats aux postes dispo
  • des grilles de salaire …

Et c’est pas du chiqué .. hein voilà par exemple une saisie d’écran des enregistrement DNS de Twitter.com dans le mail d’Evan Williams:

Vous avez plus d’exemples sur le site de Korben.info que j’ai déjà beaucoup trop honteusement pillé.

Bref ça déconne pas … et c’est grave, et il faut prendre la chose au sérieux.

Maintenant, on fait quoi … On devient parano ? Oui ! Mais ça tient combien de temps ? Et pour les developpeurs de site internet, n’y a t’il pas de leçons à retenir de tout cela ? Je me propose humblement de proposer quelques leçons à retenir pour les develloppeurs ET les utilisateurs. Le develloppeur est aussi un utilisateur de services Web et évidemment  c’est cela qui fait sa compétence tout autant que ses faiblesses. Ces rêgles sont un peu douleureuses mais vraiment encore :  une fois que les informations sont révélés c’est trop tard.

5 points à retenir pour l’utilisateur :

  1. Ne pas avoir le même mot de passe pour tout les comptes.  Une variante dans une lettre ou plusieurs lettres c’est déjà pas mal. Lorsque vous créer votre mot de passe, les informations ne doivent pas avoir de lien avec des inforamtions contenu sur vos comptes Facebook/myspace/Hi5/LinkedIn/viadeo.. chacun de ses services peut être un point d’entrée, peut être une faille. Pour le Hacker le temps est le seul frein. Si ça prend 15 jours c’est pas la même que si ça prend 6 mois.
  2. Hotmail.com ou tou ces sites qui crée des comptes emails et les effacent au bout d’un certains temps sont un danger. Il suffit au pirate de Recreer exactement le même compte, et lorsque le hacker fait une récupération de mot de passe sur un compte secondaire.. eh bien c’est parce que le pirate a pu creer exactement le même , qu’il accédera du coup au mot de passe et là via votre boite mail il aura accés à toute sorte d’information…
  3. Mefiez vous comme la peste des questions secrêtes : comme le dit Techcrunch : The service is essentially telling the attacker: “we understand that guessing passwords is hard, so let us help you narrow it down from potentially millions of combinations to around a dozen, or even better, if you know how to Google, just one” c’est à dire “Le système de question secrête consiste essentiellement à dire au pirate, on comprend que se souvenir d’un mot de passe c’est super difficile donc on va vous aidez à passer de 12 millions de difficultés à prés d’une douzaine et même moins en faisant une recherche sur google” .  ça donne quoi concrêtement … que quand on vous oblige à répondre un truc à ces questions. il vaut mieux répondre totalement à coté .. du type : Quel est votre personnage préférés ( typiquement le genre d’info que l’on peut retrouver sur Facebook ou myspace) , vous répondez:  azesdcxtgbhn … un retrouvable et ça fait “3h” sur votre clavier qui correspond par exemple au nombre de h dans le nom du village de votre première colonie de vancances.. enfin bref .. ça veut dire une réponse sans rapport avec la question et surtout dont la réponse n’est pas trouvable sur vos comptes de réseaux sociaux.
  4. Changez votre mot de passe mail régulièrement.  Il est la porte d’entrée du Hacker. Un mot de passe  corrompu et toute les informations sont accessibles.  C’est souvent plus simple qu’il n’y paraît. parce qu’on laisse involontairement sur twitter , facebook, en commentaire des informations qui peuvent aider à retrouver vos mots de passes.
  5. Soyez paranoïaque , ne mélangez pas vie privé et vie professionnelle dans vos comptes emails, dans vos comptes de réseaux sociaux… Deux carnet d’adresses différents par exemple. Deux univers différents. Perso j’ai plusieurs comptes sur Facebook. Les collègues de bureau amis sur votre compte facebook ou twitter ou flickr peut être une manière de vous contourner et d’aller vers d’autres personnes moins soucieuses de confidentalité . Ne répondez pas au questions par téléphone sans être certain que l’utilisateur a interêt à avoir cette information. Vos logiciels doivent être à jour

Je laisse les derniers mots pour cette partie là à Hacker Croll :

[..]Dans mon quotidien, il m’arrive d’aider des gens à se prémunir contre les dangers de l’internet. Je leur apprend les règles de base.. Par exemple : Faire attention où on clique, les fichiers que l’on télécharge et ce que l’on tape au clavier. S’assurer que l’ordinateur est équipé d’une protection efficace contre les virus, attaques extérieures, spam, phishing… Mettre à jour le système d’exploitation, les logiciels fréquemment utilisés… Penser à utiliser des mots de passe sans aucune similitude entre eux. Penser à les changer régulièrement… Ne jamais stocker d’informations confidentielles sur l’ordinateur

Il n’y a pas à proprement parler de guide de bonne pratiques pour les formulaire de création d’utilisateur. C’est à chaque chef de projet/developpeur de faire comme il peut. les developpements de réseaux sociaux est tel que l’on est pourtant amené à avoir de plus ou moins bonnes pratiques. Dans ce domaine comme dans d’autres il faut savoir sortir des sentiers battus pour améliorer la sécurité… Ce site donne une idée des prises de conscience necessaire.

5 “bonnes pratique” pour le développeur

  1. Recréer un mot de passe plutôt que de le renvoyer. Le hacker se trouve obliger de chercher trés vite le vrai mot de passe .. Sinon l’utilisateur sera averti à sa prochaine connexion que son mot de passe n’est plus valable.
  2. Eduquer l’utilisateur,  l’avertir sur la sensibilité de l’information qu’il confit est une manière de dire qu’il a de la valeur aux yeux de l’entreprise/ du site internet / de l’association.
  3. Un username/login est unique et à jamais attribué à une seule et unique personne. Si le compte doit être attribué à une autre personne alors l’ancien propriétaire doit en être averti ( avec accusé de réception de la communication). Le comportement de Hotmail.com est pour moi incompréhensible. A moins qu’ils n’aient plus de place pour les comptes dormants ? Quelqu’un peut leur envoyer une clef USB supplémentaire ? ;)
  4. Si votre application necessite un degré sérieux de sécurité, rappelez le à l’utilisateur et faites lui changer son mot de passe régulièrement. Remettez également à zéro régulièrement le cookie du user, de sorte qu’il est obligé de rentrer son mot de passe régulièrement. Toute les 20 connexions par exemple.
  5. Utilisez régulièrement les tests de complexité de mots de passes. cela “éduque à de meilleur pratique” de la part de l’utilisateur. Comme les develloppeurs les users aiment être un peu pris en main.

Toute vos remarques sont les bienvenus. Je n’ai pas la pretention de tout connaitre du social ingineering. et comme la plupart d’entre nous, j’apprends avec les “mauvaises” ou les bonnes expériences des autres.

juillet 20, 2009 Publié par | Tutoriel | , , , | Laisser un commentaire

   

Suivre

Get every new post delivered to your Inbox.