Une gigantesque liste d’identifiants volés découverte sur le web

« Collection#1 », c’est le nom d’une énorme liste qui se balade depuis quelques jours sur le web et qui contient des milliards de données piratées de plus de 12’000 sites web différents. Certaines adresses neuchâteloises sont concernées, mais, pas de panique, les moyens de se protéger existent. Le point avec les experts du SIEN.

Imaginez une valise contenant un nombre astronomique d’adresses e-mail et de mots de passe volés mise en vente sur Internet… Ce scénario n’est pas le fruit de l’imagination débordante d’un réalisateur de séries télé : il s’est joué « pour de vrai » début janvier et est susceptible d’impacter des milliards d’utilisateurs à travers le monde.

Appelée « Collection#1 », la liste en question – qui rassemble les fuites de données de plus de 12’000 sources web différentes (émanent notamment de sites Internet qui ont été piratés) – a été découverte il y a quelques jours par un célèbre chasseur de failles australien, Troy Hunt, alors qu’elle était vendue sur un forum pour le prix déconcertant de… 45 dollars.

Les chiffres sont démesurés. Plus de 700 millions d’adresses e-mail uniques et plus de 1,1 milliard de paires distinctes d’identifiants/mots de passe (en clair) ont pu être extraites de cette collection.

Notons que les données rassemblées dans « Collection#1 » sont, pour la plupart, assez anciennes. Les mots de passe changés récemment ont donc moins de risque de figurer dans cette compilation.

Le SIEN a pris des mesures

Notre pays et notre canton sont bien sûr aussi concernés par cette gigantesque liste de données. En collaboration avec la Centrale suisse d’enregistrement et d’analyse pour la sûreté de l’information (MELANI), les experts en sécurité du SIEN ont ainsi extrait les données qui concernent les collaboratrices et les collaborateurs de l’Etat. Ces personnes seront très prochainement averties personnellement pour qu’elles puissent réagir rapidement et efficacement.

Les sites de l’Etat ne sont pas en cause

Il est également nécessaire de rappeler ici que ces données ne proviennent pas d’une fuite d’un site appartenant à l’Etat de Neuchâtel, mais qu’elles émanent de multiples vols sur divers forums de discussion ainsi que sur des sites privés, tels que LinkedIn, Adobe ou Spotify.

Comment se protéger ?

Si votre adresse fait partie des identifiants qui ont été volés, les mesures à prendre

dépendent principalement des pratiques utilisées dans la gestion des mots de passe :

Si le même mot de passe est utilisé pour plusieurs comptes associés à cette adresse email, il est nécessaire de le modifier pour chacun des comptes, et de ne plus jamais utiliser le mot de passe compromis. Afin de réduire les risques en cas de nouvelle fuite de données, il est important de choisir un mot de passe fort et unique pour chaque compte, en s’aidant d’un gestionnaire de mots de passe pour s’en souvenir au besoin.
Lorsqu’elle est possible, une très bonne mesure de prévention consiste en l’utilisation d’une authentification à deux facteurs (2FA), procédure d’identification qui ajoute un second élément au traditionnel mot de passe. Concrètement, il s’agit de détenir une deuxième information secrète, qui n’est accessible qu’à l’aide d’un élément physique possédé par l’utilisateur (comme un téléphone). En cas de compromission du mot de passe, la personne malintentionnée n’aura pas accès à ce deuxième facteur d’authentification.

Bonnes pratiques pour la gestion des mots de passe

Pour continuer cette lecture

En ce qui concerne nos adresses privées, notons qu’il est aussi possible de vérifier par soi-même – sur le site Have I Been Pwned qui se traduit littéralement par : « Est-ce que je me suis fait avoir » – si une adresse e-mail fait partie des identifiants qui ont été volés une fois (dépasse la liste de collection#1). Une marche à suivre en français peut se révéler utile, car le service n’est malheureusement proposé qu’en anglais : Have I Been Pwned (en anglais) Marche à suivre (renseignements en français).
Firefox Monitor (en français, mais moins complet).
Vérifier si un mot de passe est connu dans un vol de données : Pwned Passwords (en anglais uniquement).
En savoir plus:
- « Collection#1: découverte record de 773 millions de données piratées ».
- Mes données ont été divulguées sur Collection #1. Que dois-je faire ?

Source: Intranet.ne.ch

5 février 2019 par OISO | Catégorie: Actualités | Commentaires fermés sur Une gigantesque liste d’identifiants volés découverte sur le web

Politique de gestion des mots de passe

Une politique de gestion des mots de passe est nécessaire afin d’assurer un niveau de sécurité d’accès minimum aux données informatiques de l’administration cantonale.

Règles de validité des mots de passe

Taille du mot de passe, au minimum 10 caractères.
La durée de validité d’un mot de passe est de six mois. Après cette période, un changement de mot de passe est obligatoire
Les mots de passe ne peuvent être réutilisés. Il faut donc choisir un mot de passe différent lors de chaque changement.
Le mot de passe ne doit pas contenir le nom du compte ou une partie de celui-ci.

Il ne peut pas reprendre le nom de l’utilisateur ou d’autres données qui lui sont liées, voire des mots du langage courant. Il doit être composé de caractères appartenant à au moins trois des quatre catégories suivantes :

Lettres minuscules (a, b, c, d, …)
Lettres majuscules (A, B, C, D, …)
Chiffres (1, 2, 3, 4, 5, 6, 7, 8, 9, 0)
Caractère spéciaux ( # %/@&)

Aide à la création de mots de passe

Un mot de passe construit aléatoirement est très difficile à mémoriser. Il est plus simple de mémoriser une phrase de départ et une “recette de cuisine” facile. En voici quelques illustrations :

Collez ensemble quelques mots qui forment une phrase courante (p.ex. “Jai 1 chat Blanc”)
Une phrase, remplacez les i par des 1 et une majuscule au milieu ( p.ex “Auvern1er C’est beau!” )
Une phrase, remplacez les e par des trois ( p ex ” Stone 3t Chardenne# ” )
Changez l’orthographe des mots (p. ex. “Je su1s nul en ortografe”)
Utilisez les premières lettres ou une partie de chaque mot d’une expression, d’une chanson ou d’un proverbe (p.ex : “1Tvmq2Tl” = “Un tiens vaut mieux que deux tu l’auras”).
Placez une majuscule après chaque chiffre ou alternez majuscules et minuscules.

Attention : les exemples ci-dessus ne doivent pas être utilisés pour de vrais mots de passe.

Exemple à ne pas suivre:

Commencer par la lettre majuscule : p.ex “Lemardi” , tout le monde commence par la majuscule, les hackers le savent aussi !
Terminer par des chiffres : p.ex “Montana92” , tout le monde termine par les chiffres, les hackers le savent aussi !
Utiliser un nom, un prénom un mot courant sans transformer l’orthographe ( i= 1 , e=3 ou s =$), les hackers utilisent des dictionnaire de mot de passe de plusieurs dizaine de millions d’entrée, TOUS les prénoms et leur combinaisons avec deux chiffres sont présents dans ces dictionnaires. P.ex ( Pauline76, Michelle45, etc…) un meilleur mot de passe serait par exemple ” 76paul1nE76″ ou “MaM1chelle45”

Attention : les exemples ci-dessus ne doivent pas être utilisés pour de vrais mots de passe.

Utilisation d’un coffre-fort de mots de passe

Pour les mots de passes que vous n’utilisez pas chaque semaine, le mieux est d’utiliser un mot de passe aléatoire et de l’enregistrer dans un coffre-fort de Mots de passe.

Source: Intranet.ne.ch

5 février 2019 par OISO | Catégorie: Actualités | Commentaires fermés sur Politique de gestion des mots de passe