Une semaine d’actualités : La réutilisation des mots de passe ne serait pas si dangereuse ?

18 Juil 2014

Hérésie !

Appelez moi sceptique, mais un groupe de chercheurs de Microsoft et Carleton University (Canada) affirme dans une étude que la réutilisation de mot de passe n’est pas un péché mortel mais plutôt une stratégie nécessaire pour gérer un grand nombre de comptes en ligne. Au premier abord, leurs conclusions semblent aller à l’encontre de la sagesse conventionnelle. Néanmoins, ce que ces chercheurs soutiennent vraiment, c’est un système de mots de passe à différents niveaux dans lequel vous partagez vos mots de passe, mais gardez les plus forts pour les comptes les plus sensibles et utilisez les mots de passe les plus faibles pour les comptes les moins importants.

Il est certain qu’avoir un mot de passe unique pour chaque compte en ligne est l’option la plus sécurisée qu’il existe. Cependant, créer des mots de passe différents pour chaque compte est un tâche ennuyeuse et difficile.

Les outils de gestion des mots de passe, affirment les chercheurs, ne sont pas non plus parfait. La raison pour cela, comme vous l’imaginez certainement, est que de tels outils n’offrent qu’un seul point d’accès qui pourrait donner aux pirates accès à tous les identifiants d’un utilisateurs.

Je mentirais si je vous disais que j’utilisais un mot de passe unique pour chacun de mes comptes. Néanmoins, je recommande définitivement l’utilisation d’un mot de passe unique et fort pour tous les comptes associés à vos informations bancaires ou particulièrement sensibles. Pour ce qui est outils de gestion des mots de passe, ils offrent définitivement une meilleure protection que nous ne pourrions le faire nous-mêmes.

Cette décision représente une sérieuse barrière pour les pirates et autres criminels essayant d’espionner les transmissions.

Project Zero

Google a réuni une équipe de pirates chargés de réparer les vulnérabilités de certains logiciels tiers et autres éléments sur Internet qui affectent leurs clients et en fin de compte leur business. Quand l’équipe trouve des bugs, elle le reporte aux vendeurs concernés, aide ces vendeurs à régler le problème et elle publiera ses conclusions. L’équipe est appelée Project Zero.

« Nous ne mettons pas de limites à ce projet et nous travaillerons afin d’améliorer la sécurité de tous les logiciels dont dépendent de nombreuses personnes en payant une attention particulière aux techniques, cibles et motivations des pirates, » a écrit Chris Evens, ingénieur en sécurité Chrome et responsable de Project Zero. « Nous utiliserons des approches standard telles que la localisation et la signalisation d’un grand nombre de vulnérabilités. De plus, nous effectuerons de nouvelles recherches sur les atténuations, l’exploitation et les différents programmes, et sur tout ce que nos chercheurs jugeront digne d’être étudié. »

Apple et le chiffrement

Apple a mis en place un chiffrement très robuste cette semaine quand ils ont discrètement commencé à chiffrer tous les e-mails entrant et sortant des serveurs des domaines iCloud.com, mac.com et me.com. Cette décision représente une sérieuse barrière pour les pirates et autres criminels essayant d’espionner les transmissions.

Comme Dennis Fisher, éditeur à Threatpost, le souligne, ce n’est pas rien :

« La décision d’Apple d’utiliser le chiffrement TLS sur ces domaines de messagerie est un changement majeur, car il est réalisé au niveau du serveur et ne demande rien aux utilisateurs afin qu’ils renforcent leur sécurité. Le chiffrement des e-mails au sein des ordinateurs est un processus relativement compliqué et il est seulement effectif individuellement. Avoir un fournisseur de la taille d’Apple qui met en place un système de chiffrement à grande échelle peut vraiment faire la différence contre les pirates qui ont les moyens. Utiliser des e-mails chiffrés individuellement est une bonne manière de se défendre contre certaines formes de surveillance ou d’attaque, mais pour les fournisseurs importants comme Yahoo, Google ou Apple, utiliser le chiffrement pour les communications avec d’autres fournisseurs peut aider à protéger de nombreux utilisateurs. »

Corrections

En parlant d’outils de gestion des mots de passe, LastPass, un célèbre gestionnaire de mots de passe, a corrigé un certain nombre de vulnérabilités. Un pirate doué aurait pu exploité les bugs pour générer  son propre mot de passe unique afin d’accéder au compte de sa victime.

Google change ses avertissements contre les sites de malwares et d’hameçonnage. Au lieu d’un avertissement blanc sur un fond d’écran rouge, toute la page sera rouge, avec un « X » proéminant en haut de la page. Aussi bien les avertissements de sites d’hameçonnage, que ceux de malwares indiquent aux utilisateurs que le site qu’ils s’apprêtent à visiter pourrait tenter d’installer des programmes dangereux sur leur ordinateur ou les inciter à divulguer des informations personnelles.

Cisco a corrigé une vulnérabilité dans son produit de portail Wi-Fi alors que Google a publié une mise à jour de Chrome sur Android, réglant ainsi un problème de « spoofing » de certaines URL.