Archives par mot-clé : mot de passe

Argent, Cyber-attaque, Cybersécurité, ID, Identité numérique, Leak, Mise à jour, Particuliers, Patch, Piratage, Social engineering

Des clients de Neiman Marcus piratés

Le détaillant de produits de luxe Neiman Marcus Group a informé certains de ses clients du piratage informatique de leur compte. Les pirates ont utilisé la méthode du dictionnaire de mots de passe.

Selon la compagnie Neiman Marcus Group, des cybercriminels ont utilisé une attaque automatisée pour tester diverses combinaisons de logins et mots de passe sur les sites de l’entreprise : Neiman Marcus, Last Call, Bergdorf Goodman, Horchow… Un brute force qui aurait débuté vers le 26 Décembre.

La société a déclaré que les pirates avaient réussi à accéder à environ 5 200 comptes. Neiman Marcus Group précise que ce vol n’est pas dû au piratage de son serveur. Il aurait pu rajouter que cela avait été possible en raison de la faiblesse de son outil de gestion des mots de passe [refuser les informations placées dans le formulaire d’inscription ; refuser mot de passe de moins de 10 signes ; refuser un mot de passe sans chiffres, majuscules et autres signes de ponctuation…).

Les internautes ciblés sont aussi fautifs. Il y a de forte chance que les informations utilisées par les pirates provenaient de bases de données déjà piratées. Les contenus (mails, logins, mots de passe) réutilisaient sur d’autres espaces web.

Ce n’est pas la première fois que les clients de Neiman Marcus sont ciblés par des cybercriminels. En Janvier 2014, la société révélait le vol d’au moins 1,1 million de cartes de paiement de ses clients à l’aide de lecteurs de cartes bancaires (POS) piégés par des logiciels malveillants. 350 000 cartes auront effectivement été exploitées par les malveillants.

Cybersécurité, Entreprise, Fuite de données, ID, Identité numérique, ios, Justice, loi, OS X, Particuliers, Smartphone, Vie privée

Mamie veut récupérer le mot de passe de l’iPad de son défunt mari

Un commentaire

Une grand mère souhaite pouvoir utiliser l’iPad de son défunt mari. Apple lui réclame une ordonnance du tribunal pour récupérer le mot de passe.

Je ne sais pas pour vous, mais l’affaire qui vise Peggy Bush, une grand mère canadienne de 72 ans et Apple me fait dire que la manipulation de l’opinion publique au sujet des mots de passe des téléphones et tablettes vient de débuter une nouvelle phase.

Je m’explique. La petite dame a perdu son mari. Décédé, monsieur est parti avec le mot de passe qui permet d’accéder à l’iPad familial. Bilan, la veuve a demandé à Apple le précieux sésame. Réponse de la firme américaine, la dame doit obtenir une ordonnance du tribunal pour récupérer le mot de passe de son défunt époux. « J’ai pu obtenir des pensions, des avantages du gouvernement fédéral. Mais d’Apple, je ne pouvais  pas obtenir un mot de passe ridicule. »

L’opinion public manipulé ? Imaginez le tollé. Apple, refuse d’aider une grande mère. Vite une loi pour faire plier les sociétés à fournir le mot de passe demandé par les familles. Pour finir l’histoire, Peggy ne voulait pas récupérer des photos sur la tablette… elle veut jouer aux jeux installés sur l’iPad.

Avouons aussi que ce problème sera de plus en plus récurant. Nous allons tous mourir laissant derrière nous mots de passe de sites web, forums, réseaux sociaux, smartphones… Comme j’ai déjà pu l’écrire sur le site zataz, il va falloir penser à se rapprocher de son notaire pour sauvegarder les précieux et les rendre disponibles aux proches parents.

Chiffrement, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

123456, le mot de passe number 1 des internautes en 2015

Les mots de passe 2015 : pas de doute la majorité des utilisateurs méritent de finir en slip à force de prendre à la légère leur précieux sésames.

Comme chaque année, la société SplashData a présenté son classement annuel des pires mots de passe. Dans le top 10, le manque d’inspiration s’exprime avec des classiques indétrônables comme « 123456 » (1er du classement) mais également les passions, « football » en tête (10ème place du classement). Nos mots de passe seraient-ils révélateurs d’un manque d’hygiène digitale généralisé ? Accorde-t-on si peu d’importance à notre intimité en ligne, pour si mal la protéger ?  A la lecture de de ce classement, il démontre que l’utilisateur pense que le piratage de ses données, via son mot de passe, n’arrive jamais. C’est bien connu, ce genre de chose n’arrive qu’aux autres.

D’après IFOP et Kaspersky Lab, et pour illustrer le paradoxe qui existe entre volonté de protéger son intimité et difficultés à accepter les contraintes qui s’y rattachent, un sondage a été effectué auprès d’internautes français vis-à-vis de leurs mots de passe et de leurs sous-vêtements. En moyenne, 32% des Français reconnaissent avoir déjà partagé leurs sous-vêtements avec un proche, ou être prêts à le faire. Ils sont en revanche 51% à avouer avoir déjà communiqué leurs mots de passe. 76% des Français sont plus angoissés à l’idée de savoir que certaines de leurs informations ou comptes personnels en ligne sont accessibles sans mot de passe plutôt que de devoir sortir de chez eux sans sous-vêtements.

Nous avons tendance à considérer les mots de passe comme une protection inutile, une norme contraignante imposée par le secteur du numérique pour nous offrir l’illusion de la confidentialité. En réalité, certains cybercriminels sont prêts à investir beaucoup de temps et d’argent afin de récupérer les mots de passe qui protègent nos informations les plus confidentielles. « L’étude que nous avons réalisée avec l’IFOP est intéressante car elle illustre bien la relation complexe et contradictoire que nous entretenons avec les mots de passe et les informations qu’ils protègent. Parfois réellement privés, parfois sans intérêt, ces informations ont une valeur relative et nous préférons accepter le risque théorique de les voir exposés plutôt que de s’imposer des contraintes liées à leur protection. Pourtant la sécurité tient parfois à quelques règles simples : un mot de passe ne se partage pas, ne se montre pas et se change régulièrement, tout comme les sous-vêtements« , souligne Tanguy de Coatpont, Directeur Général de Kaspersky Lab France et Afrique du Nord.

Argent, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Paiement en ligne, Particuliers, Vie privée

Attention à la sécurité des sites pendant les soldes !

Un commentaire

Les soldes d’hiver démarrent demain, avec leur cortège de bonnes affaires. Les achats sur Internet sont dans ce domaine de plus en plus en vogue. Mais si les soldes offrent de belles opportunités, elles peuvent aussi mettre les utilisateurs à la merci des pirates si la sécurité des sites marchands n’est pas assez forte. Afin d’y voir plus clair et de guider les internautes sur les sites les mieux sécurisés, Dashlane publie son 3ème Baromètre de Sécurité.

Le spécialiste de la gestion des mots de passe et de l’identité en ligne, ont analysé la manière dont les sites d’e-commerce gèrent la sécurité des mots de passe. Les sites sont évalués via une liste de critères (longueur minimale du mot de passe, obligation d’utiliser un mot de passe alphanumérique, nombre de tentatives de connexion successives possibles…). Une note est alors associée à chaque critère et le total permet d’attribuer au site un score de sécurité compris entre -100 et 100.

On ne le répétera jamais assez. Pour les consommateurs, il est indispensable d’utiliser des mots de passe forts, composés d’au moins 8 caractères, générés aléatoirement et incluant des chiffres et des lettres. Les mots de passe doivent être différents pour chaque site. Ce sont les conditions pour dissuader les pirates. Les sites d’e-commerce ont pour responsabilité d’encourager leurs clients à suivre ces bonnes pratiques.

Un constat alarmant
Sur les 25 sites analysés, 52% ont encore un score négatif et n’imposent pas à leurs visiteurs l’usage d’un mot de passe alphanumérique (mélangeant chiffres et lettres), 52% autorisent au moins 10 tentatives de connexion successives, et 36% acceptent des mots de passe faibles comme « motdepasse », « azerty », « 123456 », qui sont aujourd’hui les plus utilisés et donc les plus facile à pirater.

On est toujours surpris de retrouver des leaders de l’e-commerce français tels que Amazon France, Rueducommerce ou Aramis Auto parmi les plus mauvais élèves. Il est aussi assez stupéfiant de constater qu’une grande marque comme Castorama envoie encore à l’utilisateur son mot de passe en clair par email lors de la création de son compte. Un pirate qui accèderait à sa boîte email pourrait ainsi se connecter à son compte en quelques secondes.

Néanmoins, tous les sites n’ont pas les mêmes pratiques. Les premiers de la classe sont des grandes marques de référence, comme Apple (qui conserve le score maximum de 100!), Auchan, Alloresto, Carrefour ou Price Minister.

Si pour certains, la protection des données des consommateurs est une priorité qui ne se discute pas, certains sites semblent privilégier la facilité, l’assurance que les contraintes de sécurité imposées ne nuiront pas à la « transformation » du prospect en client…

La prise de conscience est en cours
Même si la liste des sites analysés et la méthode ont légèrement évolués depuis le précédent Baromètre de Sécurité Dashlane, la comparaison entre les baromètres 2014 et 2015 est toutefois riche d’enseignements. On remarque ainsi que certains sites ont pris conscience de la nécessité de renforcer la protection des données de leurs utilisateurs. Alloresto, Vente Privée, Cdiscount et Show Room Privé exigent maintenant des mots de passe de 8 caractères minimum, avec lettres et chiffres obligatoires, alors qu’ils acceptaient auparavant des mots de passe faibles. Brandalley ou Oscaro ont aussi cessé d’adresser aux utilisateurs leur mot de passe en clair par email et c’est une très bonne nouvelle !

Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Mise à jour

Oublier son mot de passe peut coûter 1 million d’euros par an

2 commentaires

Un exemple intéressant sur le problème de gestion des mots de passe. L’entreprise Allemande Volkswagen indique que les mots de passe perdus par ses employés lui coutent plusieurs centaines de milliers d’euros.

Oublier son mot de passe a un coût. Le constructeur automobile Allemand Volkswagen vient d’expliquer qu’oublier son mot de passe, et donc en changer, lui couterait 1 million d’euro par an. Un courriel a été envoyé aux 70 000 employés officiant à la maison mère basée, à Wolfsbourg (Allemagne), en leur demandant de faire attention.

Il faut dire aussi qu’après le scandale des moteurs trafiqués, VW tente de contrer la moindre perte d’argent qui viendrait rogner ses bénéfices. Pour permettre aux informaticiens de la marque de travailler à autre chose qu’à la modification d’un mot de passe, la direction indique que le personnel doit utiliser l’application interne permettant cette réinitialisation automatisée. Bref, il n’y a pas de petites économies.

Android, Chiffrement, cryptage, Cybersécurité, ios, Justice, Sécurité, Smartphone, Windows phone

Révéler son mot de passe de téléphone aux autorités n’est pas une obligation

Justice : un tribunal américain indique que les autorités ne peuvent pas contraindre des suspects à révéler le mot de passe de leur téléphone.

Un juge de Pennsylvanie a indiqué, la semaine dernière, que des personnes accusés par les autorités d’un délit, peuvent invoquer leur droit et faire appel au Cinquième amendement pour ne pas fournir les informations permettant de se connecter à leur matériel informatique protégé par un mot de passe. Forcer des suspects à renoncer à leurs mots de passe de téléphone cellulaire est une violation du droit constitutionnel contre l’auto-incrimination, indique le juge fédéral Mark Kearney.

Un jugement intéressant au moment ou le FBI fait un important lobbying auprès du législateur pour contrôler le plus possible l’utilisation du chiffrement par les utilisateurs de matériel téléphonique et informatique. James Comey, le patron du Federal Bureau of Investigation, proposant même aux entreprises de réfléchir avec l’agence à des solutions plus souple pour les agents fédéraux, lors de leurs enquêtes. Bref, une porte cachée dans le matériel et système de chiffrement.

Il faut savoir qu’en France, la loi oblige les individus entendus par les force de l’ordre à fournir les mots de passe de leur ordinateur, de leur téléphone portable (ainsi que leurs clés de chiffrement). En cas de refus, en cas de peine, le juge peut doubler la sentence. (The Hill)

BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Fuite de données, Mise à jour, Patch

CLOUD : la gestion des mots de passe devient une priorité pour les PME

Les petites et moyennes entreprises transfèrent de plus en plus souvent leurs outils de travail dans le Cloud. De plus, la frontière entre l’usage personnel et l’usage professionnel de la technologie est de plus en plus floue à mesure que les employés choisissent d’utiliser leurs applications préférées au bureau.

Malgré les économies et les gains de productivité liés au passage des outils de travail dans le Cloud, la réalité reste un cauchemar logistique pour les responsables quoi doivent désormais gérer toute un arsenal d’identifiants et de mots de passe associés à ces applications. Ajouter à cela les choix de mots de passe faibles d’une bonne partie de la population, et vous obtenez un trou béant dans la sécurité qui séduirait même le plus novice des hackers.

La possibilité de travailler à tout moment, n’importe où et sur n’importe quel appareil est devenu le mantra des employés d’aujourd’hui, et cela pousse les entreprises à adopter le Cloud. Selon une étude récente menée par Enterprise Strategy Group et LogMeIn, près de 3 quarts des employés qualifiés – ceux qui gèrent les informations – affirment que la mobilité est cruciale ou importante pour être productif dans leur travail, avec 70% d’entre eux travaillant ailleurs que dans un bureau plusieurs jours par semaine. Pourtant, 60% des PME n’ont pas mise en place de politique de sécurité pour répondre à la hausse de l’utilisation des applications Cloud sur le lieu de travail.

La saga des mots de passe
Si la gestion des mots de passe n’est pas un nouveau défi pour les PME, c’est un problème qui devient très complexe étant donné qu’en moyenne les utilisateurs possèdent des mots de passe pour plus de 25 applications qu’ils utilisent au travail. Et les enjeux pour les PME sont plus importants que jamais, étant donné que presque 80% des applications Cloud et des services contiennent des données sensibles, régulées ou confidentielles. Il suffit d’un seul piratage pour paralyser une entreprise, le Gartner estime que seulement 6% des entreprises sortent indemne d’un piratage de données alors que 43% mettant la clé sous la porte.

Même s’il semblerait que conserver un mot de passe unique fort soit contre-productif, il existe quelques moyens pour que les PME rendent plus simple le choix de mots de passe de leurs employés et qu’ils arrêtent leurs mauvaises habitudes.

1. Eviter les groupes populaires. Il est choquant de devoir encore le répéter, mais les PME ne devraient jamais, sous aucun prétexte, utiliser des mots de passe faciles à deviner pour protéger des informations sensibles. Les mots de passe les plus utilisés en 2014 étaient « mot de passe » et « 123456 ». Les mots de passe devraient être une combinaison de lettres en capitale et en minuscule, de nombres et de symboles.

2. Conserver vos mots de passe dans un coffre-fort. Si vous pouvez vous souvenir des identifiants et des mots de passe de toutes les applications que vous utilisez, soit vous avez une très bonne mémoire photographique, soit vous utilisez les mêmes pour toutes vos applications. Puisque chaque application devrait avoir un mot de passe unique, un gestionnaire de mot de passe sûr vous aidera à les gérer et vous encouragera à utiliser des mots de passe forts que vous n’aurez pas à retenir.

3. Déployer une solution de gestion des accès. Non seulement cela aidera vos employés à mieux gérer leurs mots de passe, mais cette solution sera également être utiles aux entreprises. Les PME pourront gérer l’accès pour que les employés qui rejoignent l’entreprise puissent obtenir un accès rapide – ou le retirer sans problèmes à ceux qui partent – et permettre le partage des comptes sans partager les mots de passe.

4. Utiliser l’authentification à deux facteurs. En ajoutant un niveau de sécurité via une authentification à deux facteurs, il sera plus difficile pour un hacker de compromettre un mot de passe, en particulier quand surtout pour les utilisateurs qui changent de navigateurs et de localisation.

Quand il s’agit de sécuriser les données de l’entreprise dans le Cloud, il n’y a pas de solution miracle. Cependant, les humains seront toujours le maillon le plus faible de la chaîne, donc, encourager une meilleure gestion des mots de passe – autant au niveau des employés qu’à celui du département informatique est un bon début pour réduire les risques. Il est temps de faire de la gestion des mots de passe une priorité pour garder les données de votre entreprise et de vos clients en sécurité. (Par Alain Logbo, Directeur Commercial Entreprises EMEA de LogMeIn)

backdoor, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Selon les services de renseignement britannique, un mot de passe long n’est pas efficace

Alors que le GCHQ explique depuis des années qu’un mot de passe doit être difficile et long, aujourd’hui changement de ton pour ce service de renseignement britannique. Il est conseillé aux entreprises de faire court et simple.

Quelle mouche a donc piqué le GCHQ. Le Government Communications Headquarters vient de diffuser une document, baptisé « Password Guidance – Simplifying Your Approach » qui explique qu’un bon mot de passe est un sésame court et simplifié.

Fini le mot de passe compliqué, rempli de lettres, majuscules, signes de ponctuations, chiffres. Le document indique que les mots de passe longs et complexes ne sont pas réellement une sécurité pour les comptes en ligne. Un mot de passe simplifié faciliterait la vie des responsables informatiques. Trop complexe, les utilisateurs feraient moins attention à leur sécurité car il se sentirait protégé.

Le GCHQ, via son service d’information, le CESG  (The informations Security arm) et l’ANSSI locale (Centre for Protection of National Infrastructure) propose des solutions aux administrateurs, comme le contrôle des erreurs pouvant être orchestrées par un Brute Force (un outil qui égraine toutes les possibilités d’un mot de passe, ndr) ou encore le hashage d’un mot de passe pour le rendre illisible en cas d’une fuite de données via une injection SQL par exemple.

Android, BYOD, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, ios, Sécurité, Smartphone, Vie privée, Windows phone

BYOD : selon une enquête, seuls 11 % des utilisateurs protègent l’accès à leur mobile

Selon une enquête réalisée par Kaspersky Lab avec B2B International, environ la moitié des utilisateurs de smartphones et de tablettes interrogés se servent de leur appareil mobile pour le travail. Cependant, seul 1 sur 10 se préoccupe sérieusement de protéger ses informations professionnelles contre les cybercriminels.

Les résultats révèlent que beaucoup d’employés de grandes ou moyennes entreprises utilisent leurs appareils mobiles personnels au travail : 36 % des participants à l’enquête y conservent des fichiers professionnels, et 34 % des e-mails professionnels.

Parfois, des informations plus confidentielles peuvent elles aussi se trouver sur les mobiles des utilisateurs : 18% y stockent les mots de passe donnant accès à leurs comptes de messagerie professionnelle, dont 11 % concernent des accès réseaux ou des VPN. Or ce type d’informations représente une cible parfaite pour les cybercriminels à la recherche de secrets d’entreprise.

« L’orientation du marché IT vers la mobilité et le cloud offre des possibilités d’attaques supplémentaires aux hackers et augmentent les risques des entreprises de voir leurs innovations dévoilées, copiées. Par conséquent, la protection méthodique et systématique des données et de leurs transmissions constituent désormais un challenge de premier plan pour les entreprises. Un challenge qui engage leur compétitivité sur le marché, et donc leur santé économique » commente à DataSecurityBreach.fr Tanguy de Coatpont, Directeur Général de Kaspersky Lab France et Afrique du Nord.

En dépit de ces risques, le modèle BYOD offre de nombreux avantages aux entreprises. Cependant, il nécessite une infrastructure informatique et une politique de sécurité adaptées pour un niveau de sécurité optimum.

Exemples de règles à suivre dans cette démarche

·           Le processus d’intégration du BYOD doit être traité en détails et inclure un audit de l’infrastructure, une phase de conception et un déploiement pilote.

·           Choisir une solution unique et complète pour assurer la sécurité de l’ensemble du réseau de l’entreprise, intégrant la protection des appareils mobiles afin d’éviter d’éventuels problèmes de compatibilité, rendant la tâche plus pénible pour les services informatiques.

·           Centraliser la gestion des appareils mobiles sur le réseau de l’entreprise et gérer les autorisations, installations et les mises à jour des applications mobiles via des portails dédiés à l’entreprise.

·           Mettre l’accent sur la formation et la sensibilisation des employés à la sécurité informatique. L’apprentissage des règles de sécurité informatique basiques tels que le choix de mots de passe, les attitudes à respecter lorsqu’on trouve une clé USB ou sur les réseaux sociaux, ou encore l’importance du chiffrement, doivent désormais être considérées comme indispensable au même titre qu’une formation métier, comme l’explique cette tribune.

·           Plus important encore, anticiper la crise et créer des scénarios types pour bloquer l’accès des appareils personnels au réseau de l’entreprise et la suppression des données confidentielles en cas de perte ou de vol de terminaux.

D’autres conseils ici et .

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données

Des passwords du contrôle ferroviaire de la gare de Londres à la TV

Un documentaire de la BBC révèle dans ses images les mots de passe utilisés dans le centre de contrôle ferroviaire de la gare de Londres Waterloo. ZATAZ se demande s’il faut rire des images ou pleurer de la faiblesse des mots de passe ?

Dans le documentaire « Nick and Margaret: The Trouble with Our Trains » de cette fin avril, la BBC propose de visiter les petits secrets des transports ferroviaires du Royaume de sa Gracieuse Majesté. Vers la 43ème minute du reportage, le Centre de contrôle intégré du Wessex. Une zone sensible de la SNCF britannique située au-dessus de la plateforme de la gare de Londres Waterloo. Une « base » ouverte 24 heures sur 24 qui permet de contrôler les trains et les embranchements ferroviaires. ZATAZ.COM montre que des mots de passe sont collés sur les écrans. Au moins 3 sont parfaitement visibles à l’écran ! Des « Password » très faibles ne comportant que des lettres et quelques chiffres. Comme l’indique zataz, les leçons de TV5, de la Coupe du Monde de Football 2014 ; de TF1 et de beaucoup d’autres ne semblent pas encore bien intégrées par les utilisateurs !