Archives par mot-clé : mot de passe

Pourquoi Microsoft veut en finir avec le mot de passe ?

Aujourd’hui, on peut le dire avec simplicité que les mots de passe ne facilitent pas vraiment la vie aux utilisateurs.

Si de façon pratique ils sont important voire nécessaire dans certains aspects, on ne peut pas nier qu’ils sont peu fiables aujourd’hui.

Cet article va aussi vous intéresser : Un mot de passe compromis serait la porte d’entrée de pirates informatiques dans le réseau de Colonial Pipeline

Dans la stratégie de Microsoft à long terme, tout sera mis en œuvre pour s’en passer définitivement. Du moins c’est ce qu’ils espèrent.

Au sein de Microsoft, le géant américain des technologies, la politique des mots de passe est très strict. En effet chaque 71 jour, tous les mots de passe doivent être changés sans exception. Et cela est une politique initiée par Bret Arsenault, le responsable de sécurité informatique de la société de Redmond. C’est un employé de la société américaine depuis maintenant 31 ans.

« C’est la première fois que j’ai été applaudi en tant que responsable de la sécurité et dirigeant », affirme ce dernier. « Nous avons dit que nous désactivions la rotation des mots de passe au sein de Microsoft. ».

Du haut de son poste, Bret Arsenault à de lourdes responsabilités. Il doit veiller à la fois à la sécurité informatique des réseaux informatiques internes de la société en même temps des produits fournis par le géant de Redmond. Il faut d’ailleurs à rappeler que le réseau interne de Microsoft est utilisé par près de 160 000 employés. Si on doit ajouter à ce nombre les fournisseurs, cela monte à près de 240 000 comptes à gérer tous les jours de l’année. Face à tout ce travail à abattre, l’objectif majeur de ce spécialiste est de supprimer les mots de passe pour le remplacer par d’autres méthodes d’identification multifactorielles.

Cette lutte pour l’amélioration de sa sécurité prend un tournant décisif en janvier 2019 chez Microsoft. Avec le processus de l’expiration d’un mot de passe en sur une durée de 1 ans. De plus plusieurs autres changements ont dû intervenir et les recommandations envers ses clients et c’est partenaires vise à revoir leurs méthodes d’identification.

Pour Bret Arsenault, il faudrait procéder à l’élimination des mots de passe et cela sans tarder.

« Si j’élimine les mots de passe et que j’utilise la biométrie, c’est beaucoup plus rapide, et l’expérience est meilleure »

« Parce que personne n’aime les mots de passe. Vous les détestez, les utilisateurs les détestent, les services informatiques les détestent. Les seules personnes qui aiment les mots de passe sont les criminels – ils les adorent », note le RSSI.

« Je me souviens que nous avions pour devise de généraliser l’AMF ; rétrospectivement, c’était le bon objectif de sécurité, mais la mauvaise approche. Il faut se concentrer sur le résultat pour l’utilisateur et passer à « nous voulons éliminer les mots de passe ». Mais les mots que vous utilisez sont importants. Il s’est avéré que ce simple changement de langage a changé la culture et la vision. Plus important encore, cela a changé notre conception et ce que nous avons construit, comme Windows Hello pour les entreprises », note ce dernier.

« 99,9 % de nos utilisateurs ne saisissent pas de mots de passe dans leur environnement » déclare ce dernier.

Sur les ordinateurs fournis sous Windows 10, l’expérience de la sécurité sans mot de passe passant par la biométrie est gérée par Windows Hello. Pour les applications de Microsoft tournant sous Android et iOS, les accès sont le plus souvent par Microsoft authentificator.  Un système qui géré du mieux possible les connexions à ses applications de Microsoft Office. Car il peut exploiter les données biométriques qui sont déjà disponibles sur les mobiles Android ou les smartphones sur iOS.

« Aujourd’hui, 99,9 % de nos utilisateurs ne saisissent pas de mots de passe dans leur environnement. Cela dit – le progrès l’emporte sur la perfection – il existe encore des applications anciennes qui demanderont toujours [un mot de passe] », souligne ce dernier.

À regarder de près, le combat semble être rude et l’objectif une gageure. En effet, seulement 18 % des clients du géant de Redmond, activer L’authentification à multiples facteurs. Un chiffre qui est de manière absurde très bas. Surtout lorsqu’on sait que l’activation de l’AMF est gratuite pour l’ensemble des clients Microsoft, particulièrement dans un contexte où une attaque au rançongiciel peut coûter des millions de dollars à cause d’un seul compte qui est mal protégé.

Si d’une manière certaine, l’utilisation de l’authentification multifactorielle ne stoppe pas définitivement les cyberattaques, celle-ci peut quand même les ralentir et rendre difficile leur tâche beaucoup plus que cela n’est aujourd’hui. Elle permettra aussi de combler certaines faiblesses qui sont inhérentes même à l’utilisation des méthodes de connexion habituelles, dont un simple hameçonnage peut les rendre totalement vulnérable. Les mots de passe sont inconvenants. L’attaque informatique subie par SolarWinds et les conséquences à l’échelle mondiale explique comment il faudrait s’en méfier.

« Tout le monde a des applications anciennes qui ne peuvent pas prendre en charge l’authentification moderne, comme la biométrie, et je pense donc que ce que beaucoup de gens devraient et doivent faire, c’est adopter une approche basée sur le risque : il faut d’abord mettre en place l’AMF pour les groupes à haut risque/de valeur comme les administrateurs, les RH, le groupe juridique et ainsi de suite, puis passer à tous les utilisateurs. Il peut s’agir d’un projet de plusieurs années, selon la rapidité avec laquelle vous voulez faire quelque chose », Explique Bret Arsenault.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’authentification à double facteurs sous-évaluée dans 3 pays européens

La sécurité informatique exige aujourd’hui une très bonne hygiène en matière de gestion des accès et de la sécurité des données.

Qui parle d’accès parle de de mot de passe mais aussitôt moyens permettant de pouvoir authentifier l’identité d’une personne. La pratique et plusieurs études ont pu démontrer que près de 54 % des employés réutilisent le même mot de passe sur plusieurs comptes qu’ils soient professionnels ou même personnels. Les études ont aussi démontré que les responsables d’entreprise ont de mauvaises pratiques parlons de mot de passe. En effet, 41 % d’entre eux ont la mauvaise manie de noter leur mot de passe sur des supports papiers ou numériques pour s’en rappeler.

Cet article va aussi vous intéresser : Comment contourner l’authentification à deux facteurs (2FA) ?

Récemment la société spécialisée dans la production des clés de sécurité pour l’authentification matérielle a publié récemment le résultat d’une enquête portant sur certains comportements et la capacité d’adaptation des utilisateurs de services numériques que ce soit dans la serre professionnelle ou la sphère personnel. L’étude a aussi porté sur la formation des personnels pour amortir les besoins en collaboration à distance à cause de la pandémie à coronavirus. Dans ce cadre, c’est près de 3006 personnes composées de chefs d’entreprises, de cadres supérieurs et d’employés qui ont été interrogés durant l’étude. L’enquête a été réalisée en France, au Royaume-Uni et en Allemagne. Elle a débuté le 19 février 2021 a pris fin le 3 mars 2021. Les employés interrogés dans le cadre de l’enquête ont été à un moment ou un autre contraint de travailler depuis leur domicile sur des appareils personnels et sur des appareils professionnels à la fois.

Selon cette étude, il a été remarqué au niveau de l’utilisation des appareils professionnels, que les employés avaient tendance à s’en servir pour des besoins personnels. L’étude a aussi analyser :

– La manière de mémoriser et de partager les mots de passe ;

– L’adoption de l’authentification à double facteur

– Le déploiement des mesures annexe 2 sécurité informatique.

C’est une chose n’est pas de nouvelles dans ce résultat, c’est le fait que les employés ont de mauvaises pratiques en matière de sécurité informatique. Mais pas seulement les employés les cadres supérieurs et les chefs d’entreprise ont été considéré comme les plus mauvais élèves de la bande.

Par ailleurs, il a été mis en évidence que les entreprises avaient tendance à négliger ce qu’ils pourraient être considérés comme les meilleures pratiques en matière de sécurité informatique, à appliquer dans les activités extérieures aux bureaux.

Seulement, une très grande minorité a affirmé avoir déployé l’authentification à multiples facteurs depuis le début de la pandémie et l’explosion du télétravail. Parmi elles, la majorité utilise encore des mode moins fiable d’authentification à double facteur

« L’étude montre que de nombreuses organisations sont encore en train de trouver leurs marques dans ces nouveaux environnements de travail, essentiellement virtuels, et si cette flexibilité peut offrir de nouvelles opportunités aux entreprises et aux employés, elles ne doivent pas ignorer les risques croissants de cybersécurité qui en découlent. Les acteurs de la menace trouvent des moyens nouveaux et innovants de compromettre les défenses des entreprises, ce qui nécessite des solutions de sécurité modernes comme la YubiKey. Une étude réalisée par Google souligne en effet les avantages notables et le retour sur investissement de l’authentification matérielle YubiKey ainsi que sur le travail de normalisation que nous avons mené. », détaille Stina Ehrensvärd, PDG et fondatrice de Yubico.

On peut retenir comme principales conclusions de l’analyse de yubikey :

– 54 % des employés utilisent les mêmes mots de passe pour plusieurs comptes qu’ils soient professionnels ou personnels ;

– 22 % des professionnels interrogés ont avoué qu’ils notent souvent leur mot de passe sur des supports physiques ou numériques. Ils composent à 41 % de chef d’entreprise et 32 % de cadres supérieurs.

– 42 % des personnes qui ont été interrogées ont avoué qu’ils utilisent de façon quotidienne leur appareils professionnels pour des visages personnelles ou domestiques dans le cadre du télétravail ; 29 % de 7 personnes ont tendance à utiliser leurs appareils professionnels pour réaliser des transactions bancaires ou des achats en ligne.

– 7 % d’entre eux ont reconnu qu’ils s’en servaient pour accéder à des services streaming illégaux.

On a aussi observé que plus d’employés et grade et plus il est plus susceptible de poser des actes contraires à la bonne hygiène de sécurité informatique.

– 44 % des chefs d’entreprise ont reconnu qu’ils exécutent souvent des activités personnelles sur leurs ordinateurs destinés au boulot et cela, de façon quotidienne depuis qu’ils travaillent à domicile. Cela est de même pour 39 % de cadres supérieurs.

– 23 % des chefs d’entreprises et 15 % de cadres supérieurs visite des sites internet de streaming ou de visionnage illicites avec leur ordinateur ou leurs appareils professionnels.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un mot de passe compromis serait la porte d’entrée de pirates informatiques dans le réseau de Colonial Pipeline

Suite à l’attaque qui a été subi par ces systèmes informatiques, le géant américain Colonial Pipeline a mis sur le coup une entreprise de cybersécurité chargé de mener l’enquête.

Selon les résultats fournis par cette entreprise, l’attaque aurait réussi à l’aide de mots de passe compromis. Une cyberattaque qui qui a causé la fermeture de la société de distribution de carburant à travers les États-Unis.

Cet article va aussi vous intéresser : Les autorités américaines réussissent à saisir la rançon versée aux pirates informatiques par Colonial Pipeline

Selon la société de cybersécurité embauchée par la société américaine, le mot de passe corrompu sur est lié à l’utilisation d’un compte de réseau virtuel privé qui était utilisé auparavant. Un compte qui n’est plus actif aujourd’hui. L’informations a été confirmé par le vice-président de la division criminalistique de FireEye, Mandiant.

Le premier problème concerne le compte qui lui n’était pas protégé par une couche de sécurité tel que l’authentification à multiples facteurs. En clair, les conclusions émises par le spécialiste de Mandiant, chargé de l’enquête tout s’est joué par un mot de passe. Durant l’interview ces derniers déclarent : « les pirates informatiques liés au groupe de cybercriminels opérateurs du ransomware DarkSide ont utilisé un seul mot de passe compromis sur un réseau privé virtuel (VPN), accédant aux serveurs de Colonial le 29 avril par le biais d’un compte qui n’était plus utilisé, mais qui pouvait encore accéder aux réseaux de la société. ».

Cependant, on ne sait toujours pas comment les pirates informatiques ont réussi à mettre la main sur le mot de passe corrompu. On retient tout de même le danger que constitue les pirates opportunistes. Il n’est pas moins, du manque d’hygiène de la part du personnel d’une entreprise surtout une entreprise aussi importante que Colonial Pipeline.

À titre de rappel, précisons l’attaque informatique subie par le géant américain a été révélé le 7 mai 2021 après qu’un employé a vu apparaître sur l’écran d’un ordinateur de la salle de contrôle une demande de rançon par les pirates informatiques. L’attaque est attribuée à propos de cybercriminels derrière le programme informatique du nom de DarkSide. Ce groupe de pirates informatiques serait est d’origine russe. En plus de déployer eux-mêmes leur rançongiciel, ces derniers ont tendance à le mettre à la disposition d’autres groupes de pirates informatiques, on échange de recevoir une partie des rançons qu’ils obtiendront.

Pour ce qu’il en est du mode opératoire de DarkSide, c’est presque classique dans le domaine. En effet, à l’instar de plusieurs autres groupes, il cible généralement des entreprises ou des organisations ayant des polices d’assurance contre des attaques informatiques et bien sûr qu’ils détiennent dans des données suffisamment sensibles pour les contraindre à payer la rançon sous forme de chantage. Le Président Directeur Général de Colonial Pipeline a reconnu avoir payé une rançon de 4,4 millions de dollars aux Cybercriminels.

Selon le spécialiste en sécurité informatique chargé de l’enquête, le mot de passe corrompu qui servit aux pirates informatiques à réussir leur coup était disponible sur le forum du dark web, ce qui signifie qu’un employé de colonial pipeline a utilisé ou continue d’utiliser les mêmes mots de passe sur plusieurs comptes.

L’un des aspects les plus délicats et qui fâche dans cette histoire, c’est le fait que le compte concerné ne pas protéger par aucun code ou aucune couche supplémentaire de sécurité. En d’autres termes, pas de d’authentification multiples.

« Ils n’ont pas mis en œuvre l’authentification multifacteur sur leurs VPN. Il s’agit de l’un des vecteurs d’attaque les plus courants. Les VPN à eux seuls ne suffisent pas », a déclaré le spécialiste.

« Nous avons effectué une recherche assez exhaustive de l’environnement pour essayer de déterminer comment ils ont obtenu ces informations d’identification », souligne Carmakal. « Nous ne voyons aucune preuve d’hameçonnage pour l’employé dont les informations d’identification ont été utilisées. Nous n’avons pas vu d’autres preuves de l’activité de l’attaquant avant le 29 avril ». Ajoute ce dernier.

En outre, l’enquête a montré que rien ne prouvait manifestement que les pirates informatiques ont réussi à avoir accès à des infrastructures qui était de Colonial Pipeline.

De son côté, les premiers responsables du géant américain a interpellé le gouvernement sur la nécessité de s’attaquer aux pirates informatiques qui se cache derrière les frontières de la Russie. « En fin de compte, le gouvernement doit se concentrer sur les acteurs eux-mêmes. En tant qu’entreprise privée, nous n’avons pas la capacité politique de fermer les pays hôtes qui abritent ces mauvais acteurs ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Comment pirater un mot de passe WiFi ?

Voici quelques méthodes utilisées par les pirates pour pirater un mot de passe WiFi.

PASS WIFI est le logiciel capable de pirater n’importe quel mot de passe WiFi pour n’importe quel appareil. Il scanne et décrypte la clé (wep ou wpa) et vous montre à l’écran le mot de passe.

Cette vidéo vous montre comment pirater un mot de passe WiFi grâce à PASS WIFI:

Démonstration du piratage de mots de passe WiFi

Vous pouvez télécharger PASS WIFI ici:

Télécharger
La deuxième méthode consiste à essayer d’entrer dans les serveurs à l’aide de mots de passe. Un logiciel va essayer, jusqu’à trouver la bonne combinaison de « nom d’utilisateur / mot de passe ». Pour obtenir ses différents mots de passe, il existe plusieurs possibilités :

attaque par force brute : c’est celle qui me vient à l’esprit, mais elle est utilisée en dernier recours car elle prend beaucoup de temps. En effet, cette méthode consiste à tester toutes les possibilités de mots de passe un par un en les créant avec tous les personnages.
attaque à l’aide d’une liste ou d’un dictionnaire : cette méthode est largement utilisée et fonctionne dans plus de 50 % des cas, car les utilisateurs choisissent souvent des mots ou prénoms existants.
attaque hybride : De nombreux utilisateurs renforcent leurs mots de passe en ajoutant, par exemple, la date de naissance d’un enfant. L’attaque hybride, utilisera les mots de la liste en ajoutant des nombres tels que: paris1998.

Ces programmes sont souvent utilisés dans les entreprises pour tester les mots de passe des employés. Dans ce cas, le logiciel compare directement le résultat d’un mot de passe crypté, au mot de passe également crypté. Si le résultat est le même, alors nous pouvons envisager d’avoir trouvé le mot de passe. Ceux dont le mot de passe est trop faible ou trop facile à trouver devront le changer. Pour plus d’informations, voici quelques logiciels célèbres: « L0phtCrack », « John l’Éventreur », « THC Hydra », « Brutus » mais il y en a beaucoup d’autres.

Si vous avez lu les articles sur les services et les ports sur un serveur, vous comprendrez facilement que les échanges entre ordinateurs passent par ces ports. Mais les connexions passent aussi par ces ports.

Il ya beaucoup d’outils qui sont utilisés pour numériser les ports ouverts (ceux que le pare-feu permet). Ces ports sont ouverts aux services de travail et les pirates vont essayer de se connecter à travers l’un de ces ports si elle est laissée involontairement ou intentionnellement ouvert. Dès le premier scan, il est facile pour le pirate de savoir quel type d’OS est installé (Linux, Windows, Mac…) et sa version. À partir de ces informations, il peut essayer d’utiliser l’une des vulnérabilités de sécurité de l’OS concerné. (C’est pourquoi les ordinateurs doivent être à jour : pour corriger les failles de sécurité découvertes chaque semaine).

Une fois connecté, et s’il s’est connecté avec le super-utilisateur (root sous Linux, et administrateur sous Windows), il aura accès à l’ensemble de la machine (et à tous les serveurs du réseau, s’il s’est connecté avec l’administrateur de domaine).

Le pirate doit essayer de ne laisser aucune trace, et surtout de fournir une porte dérobée (porte dérobée), au cas où il veut revenir. Le pirate peut revenir par cette porte dérobée même si dans l’intervalle l’administrateur du réseau a fermé le port par lequel le pirate était entré la première fois.

Pour vérifier que vous ne pouvez pas être touché par ces attaques, faites-le comme des pirates et numérisez tous les ports ouverts, puis:
– taisez tous ceux qui sont inutiles,
– assurez-vous que ceux qui doivent être ouverts sont en sécurité.

Ingénierie sociale

L’ingénierie sociale est une méthode pour obtenir des informations sur l’entreprise que vous voulez attaquer, mais contrairement à d’autres méthodes, il attaque l’humain. L’avantage de cette méthode pour les pirates est qu’il ne nécessite pas nécessairement beaucoup de compétences informatiques. En effet, dans la sécurité informatique, le facteur humain est souvent oublié par les entreprises, ce n’est donc pas une violation par laquelle les pirates se précipitent.

L’ingénierie sociale est l’ensemble des actions qui seront mises en place pour obtenir des informations confidentielles ou pour entrer dans un système. Voici quelques exemples pour vous de mieux comprendre ce que c’est:

Un pirate peut essayer d’appeler le standard comme une autre personne dans l’entreprise (si possible une personne très âgée, pour impressionner la pauvre personne au standard) et essayer de récupérer des informations importantes.

– Il peut également essayer d’usurper l’identité de quelqu’un dans le département informatique et demander à un utilisateur pour la connexion et mot de passe.
– Il pourrait également essayer de prétendre être un fournisseur informatique qui a besoin d’accéder au réseau et a besoin de créer un compte utilisateur.
– Faites un peu de charme à la personne à la réception, et demandez quelques informations confidentielles, ou essayez de vous connecter à un réseau local.
– Mais le pirate veut envoyer un e-mail contenant une pièce jointe infectée pour créer une faille pour entrer dans le système.

La liste des escroqueries possibles est très longue… Je vous laisse en imaginer quelques-uns.

En outre, il existe des boîtes à outils qui vous permettent d’utiliser ce système, jetez un oeil à « Boîte à outils d’ingénierie sociale », y compris l’outil « Set » qui permet à pratiquement n’importe qui de devenir un hacker! Ce type d’outil peut même récupérer (via de faux sites web tels que facebook faux) les informations d’identification des utilisateurs.

L’ingénierie sociale est un défaut souvent ignoré, seules les grandes entreprises tentent de former leurs employés à cette menace.

Pour vous protéger de ce genre d’attaque, vous devez essayer de comprendre tous les mécanismes des pirates, méfiez-vous, et surtout ne croyez pas tout ce qu’on nous dit.

Comment modifier votre mot de passe GMail ?

Vous souhaitez modifier votre mot de passe Google en raison d’un problème de sécurité, d’oubli ou d’une amélioration de la protection de votre compte ?

Améliorez la sécurité de votre compte Gmail, AdSense, YouTube ou Google Drive en changeant facilement votre mot de passe. Voici les étapes pour modifier votre mot de passe Google en quelques secondes.

Changez de mot de passe Google si vous oubliez

En utilisant différents mots de passe pour tous vos comptes, vous avez oublié votre compte Google. Ne vous inquiétez pas, car même si vous ne pouvez pas le trouver, vous pouvez simplement changer votre mot de passe Google en créant un nouveau, jamais utilisé auparavant. Il suffit de suivre ces quelques étapes:

– Connectez-vous à www.gmail.com et cliquez sur le lien bleu « Besoin d’aide? »

– Une nouvelle page s’affiche. Dans le menu, sélectionnez l’option que je ne connais pas mon mot de passe.

– Entrez votre adresse e-mail complète et cliquez sur le bouton Envoyer bleu.

– Google vous demande alors le dernier mot de passe dont vous vous souvenez. Si vous avez oublié vos derniers mots de passe, cliquez sur Je ne sais pas.

– Une nouvelle fenêtre s’ouvre, dans laquelle vous pouvez indiquer que vous avez toujours accès à votre e-mail de sauvegarde ou non. Cliquez sur Continuer si c’est le cas, ou validez votre identité si vous n’avez plus accès à cette boîte aux lettres.

– Répondez à la question de sécurité que vous avez saisie lors de la création de votre compte.

– Google vous envoie alors un message à l’adresse e-mail spécifiée.

– Ouvrez l’e-mail en question, puis cliquez sur le lien pour réinitialiser le mot de passe dans les 24 heures suivant la réception.

Vous pouvez également aimer: Comment changer votre mot de passe Yahoo?

Modifiez le mot de passe Google pour assurer votre sécurité

Avez-vous l’habitude de changer votre mot de passe régulièrement pour plus de sécurité ? Avez-vous remarqué une activité inhabituelle sur votre compte? Modifiez votre mot de passe Google directement à partir de l’interface de votre compte :

– Connectez-vous à votre compte Google Accounts.

– En haut à droite, cliquez sur votre photo de profil ou l’icône de caractère bleu et appuyez sur le bouton Compte.

– Allez à la section Sécurité et cliquez sur Modifier votre mot de passe.

– Tapez votre mot de passe actuel ou répondez à la question de sécurité que vous avez reçue lors de la création de votre compte.

– Entrez votre nouveau mot de passe deux fois et cliquez sur Enregistrer.

– Pour plus de sécurité, nous vous conseillons d’opter pour un mot de passe complexe avec des lettres majuscules et inférieures, des caractères spéciaux, des lettres et des chiffres.

Pirater un mot de passe GMail

PASS BREAKER est le logiciel fait pour pirater n’importe quel mot de passe GMail.

Fabriqué par des pirates, cette application est la seule capable de pirater le compte GMail.

Trouver un compte de mot de passe GMail

Comment est-ce possible ?

Ce logiciel déchiffrer hachage et crypté mot de passe Google. Cela signifie que cet outil puissant peut pirater un mot de passe GMail facilement, même si le mot de passe est compliquer.

Vous pouvez obtenir un accès instantané et commencer à pirater le mot de passe GMail dès maintenant!

Télécharger