SlideShare uma empresa Scribd logo

OWASP Québec - octobre 2016 - présentation sur les mots de passe

Patrick Leclerc
Patrick Leclerc

Présentation sur l'usage non sécuritaire des mots de passe, donnée gratuitement lors d'une rencontre du chapitre OWASP Ville de Québec

Internet
1 de 34
Baixar para ler offline
« Cybercrime: Nos données personnelles sont à risque, entre autres parce que nos mots de passe sont toujours inadéquats » Patrick Leclerc
Biographie Patrick Leclerc • Conseiller en sécurité des actifs informationnels à La Capitale  Architecte et spécialiste en sécurité applicative patrick.leclerc@owasp.org • Président du Chapitre OWASP Ville de Québec
Les pires mots de passe de 2015… À peine mieux sont ceux-ci… Bonjour1! Soleil01! Québec16! Passw0rd GoCanadiens! Remparts16! St4rw4rs! F4c3b00k Selon l’étude de SplashData: https://www.teamsid.com/worst-passwords-2015/
Ordre du jour Concepts Revue de presse Risques et impacts Analyse des mots de passe Solutions Bonne pratiques
Authentification
• Ne jamais les stocker « en clair »… d’aucune façon! • On les chiffre (hashing) pour les sécuriser… Mot de passe: "Pommes01" SHA256: e6dbdf4b4dd6b90742ca55084812d8ca159dc82b169071e4c18a1a52bf8a18a1 • L’encryption est un processus réversible • Le « hashing » est irréversible, donc plus sécuritaire – Cependant, il faut bien choisir sa fonction de « hashing »… Stockage des mots de passe
Faux sentiments de sécurité… • Nos mots de passe sont sécuritaires • Nos mots de passe sont bien protégés • Personne ne parviendra à les deviner… après tout sur certains sites les pirates n’auront que quelques chances avant que le compte soit barré… En entreprise: • « Les mots de passe de nos clients sont en sécurité, seulement quelques personnes dûment autorisées peuvent les voir » • « Les mots de passe sont en sécurité, nous les avons "encryptés" » • « Pratiquement impossible de voler nos banques de mots de passe, notre infrastructure est solide »
La réalité… en quelques brèches 2012 2013 2014 2015 2016 http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ 6,5M @ ** 30k @ ** RP 65M @ ** 36M id ** CC RP 145M @ ** 37M @ id ** 360M @ id ** 117M @ ** 68M @ ** ? @ ** … @ = adresses de courriel ** = mots de passe Id = identités (nom, prénom) CC = cartes de crédit RP = renseignements personnels 500M @ ** id RP
Bilans et statistiques « L'utilisation des identifiants/mot de passe volés est la menace #1 cette année » « 63% des vols de données tirent parti de mots de passe faibles, volés, ainsi que les mots de passe par défaut » - Verizon DBIR 2016 Report http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/ http://www.slideshare.net/VerizonEnterpriseSolutions/evolution-of-the-verizon-data-breach-investigations-report-20082016
Pourquoi les réseaux sociaux? Pour en obtenir davantage sur un seul utilisateur… « …les pirates réutilisent d’anciens mots de passe obtenus d’un seul compte pour tenter de s’infiltrer dans d'autres comptes du même utilisateur » - Reuters …et pour atteindre également tous ses contacts… « Ces vols de données à grande échelle sont utilisées pour concevoir des fraudes ou des attaques d’hameçonnage en atteignant l'univers des contacts liés à chaque compte compromis, multipliant davantage les risques de fraudes financières ou de dommages à la réputation » - Reuters http://www.reuters.com/article/us-cyber-passwords-idUSKCN0XV1I6 http://www.itworldcanada.com/article/most-data-breaches-leverage-weak-default-or-stolen-passwords-report/382781#ixzz4FpKNZ64E
Risques/impacts personnels • Perte de confidentialité • Usurpation d’identité / Fraudes • Perte de données • Pertes financières • Atteinte à la réputation • Pertes de souvenirs…  Compromission par des mécanismes « J’ai oublié mon mot de passe »… Récit de Mat Honan http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/ Mat Honan Journaliste technologique - Wired
Facteurs aggravants: l’individu • Réutilisation des mêmes mots de passe… et sur d’autres sites! • Mots de passe trop faibles ou prévisibles • Q/R secrètes faibles • Vies exposées sur les réseaux sociaux • Usage de connexions non sécurisées • Victimes d’hameçonnage • …
Risques/impacts à l’organisation http://www.ponemon.org/local/upload/file/Consumer%20Study%20on%20Aftermath%20of%20a%20Breach%20FINAL%202.pdf • Perte de confidentialité • Bris d’intégrité • Fraudes • Lourdes pertes financières Selon une étude de Ponemon Institute Au Canada:  Coût moyen d’une brèche : 5,9 million / année  Coût moyen par enregistrement: 260 $
Risques/impacts à l’organisation « Le coût de la cybercriminalité comprend beaucoup plus que la valeur de l'information volée, il comprend aussi : les coûts de l'interruption des activités, les occasions perdues, les frais juridiques, les coûts des rapports, les dommages à la réputation de marque, et les efforts de rétablissement. » « Une étude a révélé que près de 29% des clients sont enclins à interrompre leur relation avec une entreprise après une violation de données. » https://www.linkedin.com/pulse/take-note-findings-speed-cyber-attack-joseph-ezenwa http://www.ponemon.org/local/upload/file/Consumer%20Study%20on%20Aftermath%20of%20a%20Breach%20FINAL%202.pdf
Facteurs aggravants: l’entreprise • Autoriser des mots de passe trop faibles • Stockage inadéquat des mots de passe • Contournements faciles (mots de passe oubliés) • Données de PROD copiées dans les environnements de DEV • Serveurs Web insuffisamment sécurisés • Applications vulnérables • Mauvaises pratiques de gestion ou d’utilisation des mots de passe • Mauvaise attribution des droits d’accès • Privilèges trop élevés • Infrastructures désuètes
Les pirates… • Astucieux, dessins criminels ingénieux • Plusieurs groupes organisés et financés • Accèdent aux données de brèches d’autres sites • Plusieurs outils très évolués pour craquer les mots de passes • La puissance de calcul disponible pour le craquage de mots de passe ne cesse d’augmenter
…et leurs type d’attaques • Attaques en ligne: « credential stuffing » – Le pirate utilise l’interface Web avec/sans scripts pour automatiser ses tentatives… • Attaques hors ligne: « password cracking » – Le pirate utilise une copie des données d’authentification obtenue à partir d’un piratage d’un site Web – Puisque, les mots de passe devraient être chiffrés, le pirate attaque une copie des données pour tenter de « casser » le chiffrement… – Le pirate dispose d’un nombre presque-illimité d’essais… https://www.owasp.org/index.php/Credential_stuffing
Mots de passe • Les humains sont prévisibles… • Qui peut retenir ce mot de passe? %u8#W6s!w_23h2f • Qui utilise des mots de passe différents à chaque fois?
Longueur et complexité • Mots de passe “forts” – Minimum de 8 caractères – Lettres (majuscules et minuscules) 26 X 2 = 52 – Chiffres 10 – Caractères spéciaux: _,.#!$%@ ≈10 – Possibilités: • Pour chaque caractère: 52 +10 + 10 = 72 • Pour 8 caractères: 728 = 722 204 136 308 736 Nous sommes en sécurité, n’est-ce pas?
Artillerie lourde à bon marché… Pas si certain… • 8 cartes vidéos en parallèle • 7000$ à construire (en 2012) • 350 milliards d’essais/sec !!! • En moyenne, mot de passe de  8 caractères: 17 minutes  11 caractères: 12 ans http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours Donc, avec 11 caractères nous sommes en sécurité?
… et techniques avancées Pas si certain… • Il existe plusieurs outils et techniques pour réaliser plus efficacement le « craquage » des mots de passe… A = 4, / B= 8 E=3 O= 0, () i= 1, ! Techniques d’attaques pour craquer les mots de passe: – Dictionnaire – Hybride – Force brute – Tables arc-en-ciel (Rainbow tables)
Topologies des mots de passe Notation: ‘ M ’ pour chaque lettre majuscule ‘ m ’ pour chaque lettre minuscule ‘ c ’ pour chaque chiffre ‘ s ’ pour chaque caractère spécial Ex.: Pommes01 => Mmmmmmcc Ex.: Bonjour01! => Mmmmmmmccs
Topologies les plus populaires Topologies Exemples Proportion Mmmmmmcc Banane01 12,7 % Mmmmmmmcc Oranges12 12,7 % Mmmmcccc Kiwi2016 10,6 % Mmmmmmmmcc Noisette99 7,3 % Mmmmmcccc Poire2015 5,0 % 5 plus utilisées –> 48 % des utilisateurs 100 plus utilisées –> 85 % des utilisateurs Selon les données publiées d’études de KoreLogic, une firme spécialisée dans le craquage des mots de passe : https://www.youtube.com/watch?v=zUM7i8fsf0g
Optimisation d’une attaque… On fait quoi maintenant? DEV / Techno • 4 types de caractères (M, m, c, s) • 11 caractères: 411 = 4 194 304 topologies possibles (7308 topologies retrouvées) • Attaquer seulement 7 308 de 4 194 304 = 0,17 % des topologies • Et pour les 100 topologies les plus populaires (0,0024 % des topologies possibles) Attaque sur les topologies de 11 caractères: • En attaquant que les 100 topologies les plus populaires – 85 % des mots de passe craqués en >> 5 heures << • En attaquant que les 7308 topologies les plus populaires – 99 % des mots de passe craqués en >> 15 jours << • Au lieu de 12 ans… Selon les données publiées d’études de KoreLogic, une firme spécialisée dans le craquage des mots de passe : https://www.youtube.com/watch?v=zUM7i8fsf0g
Récapitulons… Un mot de passe doit être: 1. Suffisamment LONG  préférablement 10 caractères alphanumériques et + 2. D’une TOPOLOGIE IMPOPULAIRE  donc réellement complexe
Longs et réellement complexes • Utilisez une phrase passe! Ex.: “J’ai 1 chien qui s’appelle Fido!!" (33 caractères) • Ou 4 mots aléatoires: Ex.: “jambon bureau nuage caramel" (27 caractères) Vous pouvez y introduire des fautes: Ex.: “janbon burRAU nuage karamel" (27 caractères)
Seconds facteurs d’authentification Activer les fonctions multi-facteurs lorsque disponibles: • NIP envoyé par SMS • Jeton physique: clef de type « RSA SecurID » • Jeton virtuel généré par une application mobile
Gestionnaires de mots de passe • 1 seul mot de passe à retenir  mais un LONG et COMPLEXE (13 caractères et +) • Génération aléatoire de mots de passe pour chaque site  Plus besoin d’inventer des mots de passe!  Mots de passe réellement complexes!  Fini la réutilisation! • Permet de stocker vos réponses aux questions secrètes  Profitez-en pour répondre n’importe quoi! Mais attention!  Ne jamais perdre le mot de passe…ou la voute!  Ayez la discipline d’y inscrire systématiquement tous les changements de mots de passe… PCMag The Best Password Managers of 2016 : http://www.pcmag.com/article2/0,2817,2407168,00.asp PCMag The Best Free Password Managers of 2016 : http://www.pcmag.com/article2/0,2817,2475964,00.asp
Bonnes pratiques « utilisateur » • Choisir des mots de passe sécuritaires  Longueur + topologie non populaire (complexité) • Ne réutilisez jamais vos mêmes mots de passe d’un site à l’autre • Ne divulguez jamais vos mots de passe, sous aucune condition • Assurez-vous d’être sur le bon site avant de saisir votre mot de passe • Conservation: – Ne jamais les conserver dans les courriels – Le stockage dans un fichier non protégé n’est pas sûr – Pas sur des « post-it » sous votre clavier! • Supprimez vos anciens comptes d'utilisateurs, ou envisagez changer vos mots de passe • Assurez-vous de configurer les paramètres de vie privée les plus sûres disponibles sur chaque plateforme de médias sociaux
Bonnes pratiques « entreprise » • Vérifier la robustesse des mots de passe choisis par les utilisateurs  Ex.: Interdire les 100 topologies les plus communes • Forcer le changement des mots de passe après une certaine période (pas trop souvent) ou lorsqu’on soupçonne une compromission • Ne pas permettre la réutilisation d’anciens mots de passe • Offrir des mécanismes de récupération et de changements de mots de passe sécuritaires (lisez le récit de Mat Honan…) • Chiffrer correctement (hash + salt) tous les des mots de passe • Pas de mots de passe « en clair » • Pas de mots de passe dans les journaux • Ne jamais emprunter le mot de passe d’un autre utilisateur • Ne pas partager les mots de passe • …
Mot de la fin Ne réutilisez pas vos mots de passe sur d’autres sites!
Questions? |V|3Rc1!
R3f3r3nc35
Liens intéressants • Capsule vidéo: Les mots de passe sécurisés : – https://www.youtube.com/watch?v=4po3RnlREYc • Récit de Mat Honan: – https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/ • “Your Password Complexity Requirements are Worthless” KoreLogic : – https://www.youtube.com/watch?v=zUM7i8fsf0g • Verizon Data Breach Investigations Report : – http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/ • Evolution of the Verizon Data Breach Investigations Report (2008-2016) : – http://www.slideshare.net/VerizonEnterpriseSolutions/evolution-of-the- verizon-data-breach-investigations-report-20082016

Recomendados

Cours DEA Satisfaction et Optimisation sous Contraintes
Cours DEA Satisfaction et Optimisation sous ContraintesCours DEA Satisfaction et Optimisation sous Contraintes
Cours DEA Satisfaction et Optimisation sous Contraintes
anonymousmega02
 
[Question Paper] Linux Administration (75:25 Pattern) [November / 2014]
[Question Paper] Linux Administration (75:25 Pattern) [November / 2014][Question Paper] Linux Administration (75:25 Pattern) [November / 2014]
[Question Paper] Linux Administration (75:25 Pattern) [November / 2014]
Mumbai B.Sc.IT Study
 
Cvim half precision floating point
Cvim half precision floating pointCvim half precision floating point
Cvim half precision floating point
tomoaki0705
 
Time complexity of union find
Time complexity of union findTime complexity of union find
Time complexity of union find
Wei (Terence) Li
 
OTB: logiciel libre de traitement d'images satellites
OTB: logiciel libre de traitement d'images satellitesOTB: logiciel libre de traitement d'images satellites
OTB: logiciel libre de traitement d'images satellites
otb
 
cours de complexité algorithmique
cours de complexité algorithmiquecours de complexité algorithmique
cours de complexité algorithmique
Atef MASMOUDI
 
Data mining - Associativité
Data mining - AssociativitéData mining - Associativité
Data mining - Associativité
Mohamed Heny SELMI
 
AMD Chiplet Architecture for High-Performance Server and Desktop Products
AMD Chiplet Architecture for High-Performance Server and Desktop ProductsAMD Chiplet Architecture for High-Performance Server and Desktop Products
AMD Chiplet Architecture for High-Performance Server and Desktop Products
AMD
 

Recomendados

Cours DEA Satisfaction et Optimisation sous Contraintes
Cours DEA Satisfaction et Optimisation sous ContraintesCours DEA Satisfaction et Optimisation sous Contraintes
Cours DEA Satisfaction et Optimisation sous Contraintes
anonymousmega02
 
[Question Paper] Linux Administration (75:25 Pattern) [November / 2014]
[Question Paper] Linux Administration (75:25 Pattern) [November / 2014][Question Paper] Linux Administration (75:25 Pattern) [November / 2014]
[Question Paper] Linux Administration (75:25 Pattern) [November / 2014]
Mumbai B.Sc.IT Study
 
Cvim half precision floating point
Cvim half precision floating pointCvim half precision floating point
Cvim half precision floating point
tomoaki0705
 
Time complexity of union find
Time complexity of union findTime complexity of union find
Time complexity of union find
Wei (Terence) Li
 
OTB: logiciel libre de traitement d'images satellites
OTB: logiciel libre de traitement d'images satellitesOTB: logiciel libre de traitement d'images satellites
OTB: logiciel libre de traitement d'images satellites
otb
 
cours de complexité algorithmique
cours de complexité algorithmiquecours de complexité algorithmique
cours de complexité algorithmique
Atef MASMOUDI
 
Data mining - Associativité
Data mining - AssociativitéData mining - Associativité
Data mining - Associativité
Mohamed Heny SELMI
 
AMD Chiplet Architecture for High-Performance Server and Desktop Products
AMD Chiplet Architecture for High-Performance Server and Desktop ProductsAMD Chiplet Architecture for High-Performance Server and Desktop Products
AMD Chiplet Architecture for High-Performance Server and Desktop Products
AMD
 
Ciudad 292
Ciudad 292Ciudad 292
Ciudad 292
Adrian Silberman
 
Scd strasbourg u2-u3 exposition première guerre mondiale
Scd strasbourg u2-u3 exposition première guerre mondialeScd strasbourg u2-u3 exposition première guerre mondiale
Scd strasbourg u2-u3 exposition première guerre mondiale
Marie-Christine Krencker
 
Libreria ronald jimenez
Libreria ronald jimenezLibreria ronald jimenez
Libreria ronald jimenez
UTPL
 
Le petit guide survie
Le petit guide survieLe petit guide survie
Le petit guide survie
Elodie Jaeger
 
Nourriture
NourritureNourriture
Nourriture
Khasratulla Sam
 
RSLN #9 - Cloud Computing : qu'est-ce que cela va changer ?
RSLN #9 - Cloud Computing : qu'est-ce que cela va changer ?RSLN #9 - Cloud Computing : qu'est-ce que cela va changer ?
RSLN #9 - Cloud Computing : qu'est-ce que cela va changer ?
Arthur Jauffret
 
Informativo CUT nacional_72
Informativo CUT nacional_72Informativo CUT nacional_72
Informativo CUT nacional_72
Juan Carlos Pachon
 
Joelle chelala
Joelle chelalaJoelle chelala
Joelle chelala
joelleghosnchelala
 
Proceso de descolonización
Proceso de descolonizaciónProceso de descolonización
Proceso de descolonización
Colegio Academia Iquique
 
Retos de RRHH
Retos de RRHHRetos de RRHH
Retos de RRHH
Hermes Ruiz
 
Bellas fotos y una carta
Bellas fotos y una cartaBellas fotos y una carta
Bellas fotos y una carta
Plof
 
DrupalCamp2013 - "libérez drupal"
DrupalCamp2013 - "libérez drupal"DrupalCamp2013 - "libérez drupal"
DrupalCamp2013 - "libérez drupal"
Laurent Chardin
 
Travaux rue St-Denis St. roadwork, city presentation, June 2015
Travaux rue St-Denis St. roadwork, city presentation, June 2015Travaux rue St-Denis St. roadwork, city presentation, June 2015
Travaux rue St-Denis St. roadwork, city presentation, June 2015
Andy Riga
 
Hoquei1
Hoquei1Hoquei1
Hoquei1
Maria Font Rosselló
 
De nouvelles règles, donc une nouvelle stratégie: expériences internationales...
De nouvelles règles, donc une nouvelle stratégie: expériences internationales...De nouvelles règles, donc une nouvelle stratégie: expériences internationales...
De nouvelles règles, donc une nouvelle stratégie: expériences internationales...
Paianet - Connecting Healthcare
 
Computación inspirada en la biología
Computación inspirada en la biologíaComputación inspirada en la biología
Computación inspirada en la biología
Fabián Silva Pavez
 
Ventajas Y Desventajas De Las Tics
Ventajas Y Desventajas De Las TicsVentajas Y Desventajas De Las Tics
Ventajas Y Desventajas De Las Tics
mateo
 
marketing 2.0 - changement de paradigme
marketing 2.0 - changement de paradigme marketing 2.0 - changement de paradigme
marketing 2.0 - changement de paradigme
ununi.TV - Crowd University for modern life
 
Rencontres des médiateurs 2013 - Restitution de synthèse
Rencontres des médiateurs 2013 - Restitution de synthèseRencontres des médiateurs 2013 - Restitution de synthèse
Rencontres des médiateurs 2013 - Restitution de synthèse
Mission Val de Loire
 
2011 04-01 leccionprimarios
2011 04-01 leccionprimarios2011 04-01 leccionprimarios
2011 04-01 leccionprimarios
Misión Peruana del Norte
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
Net4All
 
Quand on change de code, on prévient !(1)
Quand on change de code, on prévient !(1)Quand on change de code, on prévient !(1)
Quand on change de code, on prévient !(1)
Guillaume Renaudin
 

Mais conteúdo relacionado

Destaque

Ciudad 292
Ciudad 292Ciudad 292
Ciudad 292
Adrian Silberman
 
Le petit guide survie
Le petit guide survieLe petit guide survie
Le petit guide survie
Elodie Jaeger
 
RSLN #9 - Cloud Computing : qu'est-ce que cela va changer ?
RSLN #9 - Cloud Computing : qu'est-ce que cela va changer ?RSLN #9 - Cloud Computing : qu'est-ce que cela va changer ?
RSLN #9 - Cloud Computing : qu'est-ce que cela va changer ?
Arthur Jauffret
 
Bellas fotos y una carta
Bellas fotos y una cartaBellas fotos y una carta
Bellas fotos y una carta
Plof
 
Computación inspirada en la biología
Computación inspirada en la biologíaComputación inspirada en la biología
Computación inspirada en la biología
Fabián Silva Pavez
 
Ventajas Y Desventajas De Las Tics
Ventajas Y Desventajas De Las TicsVentajas Y Desventajas De Las Tics
Ventajas Y Desventajas De Las Tics
mateo
 
Rencontres des médiateurs 2013 - Restitution de synthèse
Rencontres des médiateurs 2013 - Restitution de synthèseRencontres des médiateurs 2013 - Restitution de synthèse
Rencontres des médiateurs 2013 - Restitution de synthèse
Mission Val de Loire
 

Destaque (20)

Ciudad 292
Ciudad 292Ciudad 292
Ciudad 292
 
Scd strasbourg u2-u3 exposition première guerre mondiale
Scd strasbourg u2-u3 exposition première guerre mondialeScd strasbourg u2-u3 exposition première guerre mondiale
Scd strasbourg u2-u3 exposition première guerre mondiale
 
Libreria ronald jimenez
Libreria ronald jimenezLibreria ronald jimenez
Libreria ronald jimenez
 
Le petit guide survie
Le petit guide survieLe petit guide survie
Le petit guide survie
 
Nourriture
NourritureNourriture
Nourriture
 
RSLN #9 - Cloud Computing : qu'est-ce que cela va changer ?
RSLN #9 - Cloud Computing : qu'est-ce que cela va changer ?RSLN #9 - Cloud Computing : qu'est-ce que cela va changer ?
RSLN #9 - Cloud Computing : qu'est-ce que cela va changer ?
 
Informativo CUT nacional_72
Informativo CUT nacional_72Informativo CUT nacional_72
Informativo CUT nacional_72
 
Joelle chelala
Joelle chelalaJoelle chelala
Joelle chelala
 
Proceso de descolonización
Proceso de descolonizaciónProceso de descolonización
Proceso de descolonización
 
Retos de RRHH
Retos de RRHHRetos de RRHH
Retos de RRHH
 
Bellas fotos y una carta
Bellas fotos y una cartaBellas fotos y una carta
Bellas fotos y una carta
 
DrupalCamp2013 - "libérez drupal"
DrupalCamp2013 - "libérez drupal"DrupalCamp2013 - "libérez drupal"
DrupalCamp2013 - "libérez drupal"
 
Travaux rue St-Denis St. roadwork, city presentation, June 2015
Travaux rue St-Denis St. roadwork, city presentation, June 2015Travaux rue St-Denis St. roadwork, city presentation, June 2015
Travaux rue St-Denis St. roadwork, city presentation, June 2015
 
Hoquei1
Hoquei1Hoquei1
Hoquei1
 
De nouvelles règles, donc une nouvelle stratégie: expériences internationales...
De nouvelles règles, donc une nouvelle stratégie: expériences internationales...De nouvelles règles, donc une nouvelle stratégie: expériences internationales...
De nouvelles règles, donc une nouvelle stratégie: expériences internationales...
 
Computación inspirada en la biología
Computación inspirada en la biologíaComputación inspirada en la biología
Computación inspirada en la biología
 
Ventajas Y Desventajas De Las Tics
Ventajas Y Desventajas De Las TicsVentajas Y Desventajas De Las Tics
Ventajas Y Desventajas De Las Tics
 
marketing 2.0 - changement de paradigme
marketing 2.0 - changement de paradigme marketing 2.0 - changement de paradigme
marketing 2.0 - changement de paradigme
 
Rencontres des médiateurs 2013 - Restitution de synthèse
Rencontres des médiateurs 2013 - Restitution de synthèseRencontres des médiateurs 2013 - Restitution de synthèse
Rencontres des médiateurs 2013 - Restitution de synthèse
 
2011 04-01 leccionprimarios
2011 04-01 leccionprimarios2011 04-01 leccionprimarios
2011 04-01 leccionprimarios
 

Semelhante a OWASP Québec - octobre 2016 - présentation sur les mots de passe

Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
Groupe EEIE
 
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Jean-Philippe Simonnet
 

Semelhante a OWASP Québec - octobre 2016 - présentation sur les mots de passe (20)

Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 
Quand on change de code, on prévient !(1)
Quand on change de code, on prévient !(1)Quand on change de code, on prévient !(1)
Quand on change de code, on prévient !(1)
 
L’hygiène informatique des réseaux sociaux : bilan catastrophique
L’hygiène informatique des réseaux sociaux : bilan catastrophiqueL’hygiène informatique des réseaux sociaux : bilan catastrophique
L’hygiène informatique des réseaux sociaux : bilan catastrophique
 
Drupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptesDrupal, les hackers, la sécurité & les (très) grands comptes
Drupal, les hackers, la sécurité & les (très) grands comptes
 
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud LaprévoteLe chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévote
 
Webinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best PracticesWebinar EEIE #05 - Cybersécurité : Best Practices
Webinar EEIE #05 - Cybersécurité : Best Practices
 
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud LaprévoteLe chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévote
 
L'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passeL'authentification forte ou vers la mort du mot de passe
L'authentification forte ou vers la mort du mot de passe
 
2019 04 25_lybero_chiffrement_5
2019 04 25_lybero_chiffrement_52019 04 25_lybero_chiffrement_5
2019 04 25_lybero_chiffrement_5
 
L’utilisateur et son rôle primordial dans la protection active des systèmes d...
L’utilisateur et son rôle primordial dans la protection active des systèmes d...L’utilisateur et son rôle primordial dans la protection active des systèmes d...
L’utilisateur et son rôle primordial dans la protection active des systèmes d...
 
Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risque
 
Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !Mots de passe : Protégez-les, gérez-les, oubliez-les !
Mots de passe : Protégez-les, gérez-les, oubliez-les !
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité
 
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
 
Présentation "Bonnes pratiques de sécurité sur le web"
Présentation "Bonnes pratiques de sécurité sur le web"Présentation "Bonnes pratiques de sécurité sur le web"
Présentation "Bonnes pratiques de sécurité sur le web"
 
La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
 
Sites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleSites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugle
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestion
 

OWASP Québec - octobre 2016 - présentation sur les mots de passe

  • 1. « Cybercrime: Nos données personnelles sont à risque, entre autres parce que nos mots de passe sont toujours inadéquats » Patrick Leclerc
  • 2. Biographie Patrick Leclerc • Conseiller en sécurité des actifs informationnels à La Capitale  Architecte et spécialiste en sécurité applicative patrick.leclerc@owasp.org • Président du Chapitre OWASP Ville de Québec
  • 3. Les pires mots de passe de 2015… À peine mieux sont ceux-ci… Bonjour1! Soleil01! Québec16! Passw0rd GoCanadiens! Remparts16! St4rw4rs! F4c3b00k Selon l’étude de SplashData: https://www.teamsid.com/worst-passwords-2015/
  • 4. Ordre du jour Concepts Revue de presse Risques et impacts Analyse des mots de passe Solutions Bonne pratiques
  • 6. • Ne jamais les stocker « en clair »… d’aucune façon! • On les chiffre (hashing) pour les sécuriser… Mot de passe: "Pommes01" SHA256: e6dbdf4b4dd6b90742ca55084812d8ca159dc82b169071e4c18a1a52bf8a18a1 • L’encryption est un processus réversible • Le « hashing » est irréversible, donc plus sécuritaire – Cependant, il faut bien choisir sa fonction de « hashing »… Stockage des mots de passe
  • 7. Faux sentiments de sécurité… • Nos mots de passe sont sécuritaires • Nos mots de passe sont bien protégés • Personne ne parviendra à les deviner… après tout sur certains sites les pirates n’auront que quelques chances avant que le compte soit barré… En entreprise: • « Les mots de passe de nos clients sont en sécurité, seulement quelques personnes dûment autorisées peuvent les voir » • « Les mots de passe sont en sécurité, nous les avons "encryptés" » • « Pratiquement impossible de voler nos banques de mots de passe, notre infrastructure est solide »
  • 8. La réalité… en quelques brèches 2012 2013 2014 2015 2016 http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ 6,5M @ ** 30k @ ** RP 65M @ ** 36M id ** CC RP 145M @ ** 37M @ id ** 360M @ id ** 117M @ ** 68M @ ** ? @ ** … @ = adresses de courriel ** = mots de passe Id = identités (nom, prénom) CC = cartes de crédit RP = renseignements personnels 500M @ ** id RP
  • 9. Bilans et statistiques « L'utilisation des identifiants/mot de passe volés est la menace #1 cette année » « 63% des vols de données tirent parti de mots de passe faibles, volés, ainsi que les mots de passe par défaut » - Verizon DBIR 2016 Report http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/ http://www.slideshare.net/VerizonEnterpriseSolutions/evolution-of-the-verizon-data-breach-investigations-report-20082016
  • 10. Pourquoi les réseaux sociaux? Pour en obtenir davantage sur un seul utilisateur… « …les pirates réutilisent d’anciens mots de passe obtenus d’un seul compte pour tenter de s’infiltrer dans d'autres comptes du même utilisateur » - Reuters …et pour atteindre également tous ses contacts… « Ces vols de données à grande échelle sont utilisées pour concevoir des fraudes ou des attaques d’hameçonnage en atteignant l'univers des contacts liés à chaque compte compromis, multipliant davantage les risques de fraudes financières ou de dommages à la réputation » - Reuters http://www.reuters.com/article/us-cyber-passwords-idUSKCN0XV1I6 http://www.itworldcanada.com/article/most-data-breaches-leverage-weak-default-or-stolen-passwords-report/382781#ixzz4FpKNZ64E
  • 11. Risques/impacts personnels • Perte de confidentialité • Usurpation d’identité / Fraudes • Perte de données • Pertes financières • Atteinte à la réputation • Pertes de souvenirs…  Compromission par des mécanismes « J’ai oublié mon mot de passe »… Récit de Mat Honan http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/ Mat Honan Journaliste technologique - Wired
  • 12. Facteurs aggravants: l’individu • Réutilisation des mêmes mots de passe… et sur d’autres sites! • Mots de passe trop faibles ou prévisibles • Q/R secrètes faibles • Vies exposées sur les réseaux sociaux • Usage de connexions non sécurisées • Victimes d’hameçonnage • …
  • 13. Risques/impacts à l’organisation http://www.ponemon.org/local/upload/file/Consumer%20Study%20on%20Aftermath%20of%20a%20Breach%20FINAL%202.pdf • Perte de confidentialité • Bris d’intégrité • Fraudes • Lourdes pertes financières Selon une étude de Ponemon Institute Au Canada:  Coût moyen d’une brèche : 5,9 million / année  Coût moyen par enregistrement: 260 $
  • 14. Risques/impacts à l’organisation « Le coût de la cybercriminalité comprend beaucoup plus que la valeur de l'information volée, il comprend aussi : les coûts de l'interruption des activités, les occasions perdues, les frais juridiques, les coûts des rapports, les dommages à la réputation de marque, et les efforts de rétablissement. » « Une étude a révélé que près de 29% des clients sont enclins à interrompre leur relation avec une entreprise après une violation de données. » https://www.linkedin.com/pulse/take-note-findings-speed-cyber-attack-joseph-ezenwa http://www.ponemon.org/local/upload/file/Consumer%20Study%20on%20Aftermath%20of%20a%20Breach%20FINAL%202.pdf
  • 15. Facteurs aggravants: l’entreprise • Autoriser des mots de passe trop faibles • Stockage inadéquat des mots de passe • Contournements faciles (mots de passe oubliés) • Données de PROD copiées dans les environnements de DEV • Serveurs Web insuffisamment sécurisés • Applications vulnérables • Mauvaises pratiques de gestion ou d’utilisation des mots de passe • Mauvaise attribution des droits d’accès • Privilèges trop élevés • Infrastructures désuètes
  • 16. Les pirates… • Astucieux, dessins criminels ingénieux • Plusieurs groupes organisés et financés • Accèdent aux données de brèches d’autres sites • Plusieurs outils très évolués pour craquer les mots de passes • La puissance de calcul disponible pour le craquage de mots de passe ne cesse d’augmenter
  • 17. …et leurs type d’attaques • Attaques en ligne: « credential stuffing » – Le pirate utilise l’interface Web avec/sans scripts pour automatiser ses tentatives… • Attaques hors ligne: « password cracking » – Le pirate utilise une copie des données d’authentification obtenue à partir d’un piratage d’un site Web – Puisque, les mots de passe devraient être chiffrés, le pirate attaque une copie des données pour tenter de « casser » le chiffrement… – Le pirate dispose d’un nombre presque-illimité d’essais… https://www.owasp.org/index.php/Credential_stuffing
  • 18. Mots de passe • Les humains sont prévisibles… • Qui peut retenir ce mot de passe? %u8#W6s!w_23h2f • Qui utilise des mots de passe différents à chaque fois?
  • 19. Longueur et complexité • Mots de passe “forts” – Minimum de 8 caractères – Lettres (majuscules et minuscules) 26 X 2 = 52 – Chiffres 10 – Caractères spéciaux: _,.#!$%@ ≈10 – Possibilités: • Pour chaque caractère: 52 +10 + 10 = 72 • Pour 8 caractères: 728 = 722 204 136 308 736 Nous sommes en sécurité, n’est-ce pas?
  • 20. Artillerie lourde à bon marché… Pas si certain… • 8 cartes vidéos en parallèle • 7000$ à construire (en 2012) • 350 milliards d’essais/sec !!! • En moyenne, mot de passe de  8 caractères: 17 minutes  11 caractères: 12 ans http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours Donc, avec 11 caractères nous sommes en sécurité?
  • 21. … et techniques avancées Pas si certain… • Il existe plusieurs outils et techniques pour réaliser plus efficacement le « craquage » des mots de passe… A = 4, / B= 8 E=3 O= 0, () i= 1, ! Techniques d’attaques pour craquer les mots de passe: – Dictionnaire – Hybride – Force brute – Tables arc-en-ciel (Rainbow tables)
  • 22. Topologies des mots de passe Notation: ‘ M ’ pour chaque lettre majuscule ‘ m ’ pour chaque lettre minuscule ‘ c ’ pour chaque chiffre ‘ s ’ pour chaque caractère spécial Ex.: Pommes01 => Mmmmmmcc Ex.: Bonjour01! => Mmmmmmmccs
  • 23. Topologies les plus populaires Topologies Exemples Proportion Mmmmmmcc Banane01 12,7 % Mmmmmmmcc Oranges12 12,7 % Mmmmcccc Kiwi2016 10,6 % Mmmmmmmmcc Noisette99 7,3 % Mmmmmcccc Poire2015 5,0 % 5 plus utilisées –> 48 % des utilisateurs 100 plus utilisées –> 85 % des utilisateurs Selon les données publiées d’études de KoreLogic, une firme spécialisée dans le craquage des mots de passe : https://www.youtube.com/watch?v=zUM7i8fsf0g
  • 24. Optimisation d’une attaque… On fait quoi maintenant? DEV / Techno • 4 types de caractères (M, m, c, s) • 11 caractères: 411 = 4 194 304 topologies possibles (7308 topologies retrouvées) • Attaquer seulement 7 308 de 4 194 304 = 0,17 % des topologies • Et pour les 100 topologies les plus populaires (0,0024 % des topologies possibles) Attaque sur les topologies de 11 caractères: • En attaquant que les 100 topologies les plus populaires – 85 % des mots de passe craqués en >> 5 heures << • En attaquant que les 7308 topologies les plus populaires – 99 % des mots de passe craqués en >> 15 jours << • Au lieu de 12 ans… Selon les données publiées d’études de KoreLogic, une firme spécialisée dans le craquage des mots de passe : https://www.youtube.com/watch?v=zUM7i8fsf0g
  • 25. Récapitulons… Un mot de passe doit être: 1. Suffisamment LONG  préférablement 10 caractères alphanumériques et + 2. D’une TOPOLOGIE IMPOPULAIRE  donc réellement complexe
  • 26. Longs et réellement complexes • Utilisez une phrase passe! Ex.: “J’ai 1 chien qui s’appelle Fido!!" (33 caractères) • Ou 4 mots aléatoires: Ex.: “jambon bureau nuage caramel" (27 caractères) Vous pouvez y introduire des fautes: Ex.: “janbon burRAU nuage karamel" (27 caractères)
  • 27. Seconds facteurs d’authentification Activer les fonctions multi-facteurs lorsque disponibles: • NIP envoyé par SMS • Jeton physique: clef de type « RSA SecurID » • Jeton virtuel généré par une application mobile
  • 28. Gestionnaires de mots de passe • 1 seul mot de passe à retenir  mais un LONG et COMPLEXE (13 caractères et +) • Génération aléatoire de mots de passe pour chaque site  Plus besoin d’inventer des mots de passe!  Mots de passe réellement complexes!  Fini la réutilisation! • Permet de stocker vos réponses aux questions secrètes  Profitez-en pour répondre n’importe quoi! Mais attention!  Ne jamais perdre le mot de passe…ou la voute!  Ayez la discipline d’y inscrire systématiquement tous les changements de mots de passe… PCMag The Best Password Managers of 2016 : http://www.pcmag.com/article2/0,2817,2407168,00.asp PCMag The Best Free Password Managers of 2016 : http://www.pcmag.com/article2/0,2817,2475964,00.asp
  • 29. Bonnes pratiques « utilisateur » • Choisir des mots de passe sécuritaires  Longueur + topologie non populaire (complexité) • Ne réutilisez jamais vos mêmes mots de passe d’un site à l’autre • Ne divulguez jamais vos mots de passe, sous aucune condition • Assurez-vous d’être sur le bon site avant de saisir votre mot de passe • Conservation: – Ne jamais les conserver dans les courriels – Le stockage dans un fichier non protégé n’est pas sûr – Pas sur des « post-it » sous votre clavier! • Supprimez vos anciens comptes d'utilisateurs, ou envisagez changer vos mots de passe • Assurez-vous de configurer les paramètres de vie privée les plus sûres disponibles sur chaque plateforme de médias sociaux
  • 30. Bonnes pratiques « entreprise » • Vérifier la robustesse des mots de passe choisis par les utilisateurs  Ex.: Interdire les 100 topologies les plus communes • Forcer le changement des mots de passe après une certaine période (pas trop souvent) ou lorsqu’on soupçonne une compromission • Ne pas permettre la réutilisation d’anciens mots de passe • Offrir des mécanismes de récupération et de changements de mots de passe sécuritaires (lisez le récit de Mat Honan…) • Chiffrer correctement (hash + salt) tous les des mots de passe • Pas de mots de passe « en clair » • Pas de mots de passe dans les journaux • Ne jamais emprunter le mot de passe d’un autre utilisateur • Ne pas partager les mots de passe • …
  • 31. Mot de la fin Ne réutilisez pas vos mots de passe sur d’autres sites!
  • 34. Liens intéressants • Capsule vidéo: Les mots de passe sécurisés : – https://www.youtube.com/watch?v=4po3RnlREYc • Récit de Mat Honan: – https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/ • “Your Password Complexity Requirements are Worthless” KoreLogic : – https://www.youtube.com/watch?v=zUM7i8fsf0g • Verizon Data Breach Investigations Report : – http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/ • Evolution of the Verizon Data Breach Investigations Report (2008-2016) : – http://www.slideshare.net/VerizonEnterpriseSolutions/evolution-of-the- verizon-data-breach-investigations-report-20082016