Actualités liées à la cybersécurité

 Dans un contexte de multiplication des compromissions de bases de mots de passe, la CNIL met à jour sa recommandation de 2017 pour tenir compte de l’évolution des connaissances et permettre aux organismes de garantir un niveau de sécurité minimal pour cette méthode d’authentification.

https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite

Quels sont les risques liés à une mauvaise gestion des mots de passe ?

Pour rappel, une mauvaise gestion des mots de passe fait courir des risques aux utilisateurs sur leurs données personnelles.

Quatre facteurs de risque sont à prendre en compte :

  1. la simplicité du mot de passe ;
  2. l’écoute sur le réseau afin de collecter les mots de passe transmis ;
  3. la conservation en clair du mot de passe ;
  4. la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).

Les principales recommandations de la CNIL

L’authentification par mot de passe : l’entropie d’abord

L’« entropie » peut être définie dans ce contexte comme la quantité de hasard. Pour un mot de passe ou une clé cryptographique, cela correspond à son degré d’imprédictibilité théorique, et donc à sa capacité de résistance à une attaque par force brute.

https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite

Pour vérifier la robustesse d’un mot de passe, en l’état actuel de l’art, il est nécessaire de se reposer sur la définition de critères de complexité et de longueur. Pour chaque système d’information, ou chaque traitement de données personnelles, une politique de mots de passe est définie.

Demain, la devinabilité

La notion de « devinabilité » est une nouvelle approche pour déterminer la robustesse d’un mot de passe. Elle consiste à évaluer, au moyen de traitements algorithmiques dédiés, la facilité pour un adversaire de retrouver un mot de passe donné. Il s’agit donc, non pas de vérifier le respect d’une politique de mots de passe fixant une complexité formelle minimale, mais d’évaluer dynamiquement la résistance du mot de passe choisi.

L’arrêt du renouvellement périodique des mots de passe

De plus en plus d’études démontrent que forcer l’utilisateur à changer son mot de passe à une fréquence régulière n’est pas une mesure réellement efficace.

Les stratégies utilisées par les utilisateurs pour s’adapter aux politiques d’expiration de mots de passe sont généralement prévisibles et abaissent le niveau de sécurité effectif. En effet, la majorité des participants utilise une version légèrement modifiée de leur mot de passe précédent, par exemple en ajoutant un chiffre à la fin. Les bénéfices en termes de sécurité sont ainsi mineurs et largement contrebalancés par l’expérience utilisateur négative.

La conservation des mots de passe

Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé. Il existe aujourd’hui des fonctions spécialisées qui permettent de répondre à ce besoin, comme scrypt ou Argon2, cités par l’ANSSI.

Télécharger la recommandation

En panne

Victimes d’un problème de sécurité, les accès IMAP et POP3 ne sont plus possibles sur la messagerie laposte.net depuis le 27/04/2022. Il faut passer par son interface web ou utiliser l’application mobile pour lire et envoyer des courriels. Un problème gênant tous les utilisateurs de clients mail (Outlook,…) et smartphones.

 Il y a près de deux semaines, ses concepteurs annonçaient un retour à la normale progressif, mais les jours passent et les utilisateurs attendent toujours.

Une solution existe

Une note sur le site d’aide du service donne la solution pour récupérer un accès complet à sa boite mail : il faut changer son mot de passe en passant par l’option « Vous avez oublié votre mot de passe » à cette adresse. Un lien sera transmis sur l’adresse mail de récupération associée au compte et ce lien permettra de changer le mot de passe. L’opération terminée, les accès POP3 et IMAP devraient être à nouveau fonctionnels.

D’après Tom’s Guide, la technique fonctionne bien, mais le site précise qu’il faut au préalable configurer la seconde adresse mail temporaire sur son compte. Vous pouvez le vérifier en vous connectant et en allant dans les paramètres du compte LaPoste.net, puis dans la rubrique « Mes informations ». Le site ajoute que changer son mot de passe directement via ces paramètres n’a aucun effet, il faut effectivement passer par la procédure de récupération de mot de passe suite à un oubli pour réactiver les protocoles POP3 et IMAP.

Autre précision importante, l’adresse de récupération ne doit pas être elle-même à La Poste. Si c’est votre cas, vous devrez contacter le service client du service pour vous débloquer.

Les recommandations d’APILOG

  • Changez le mot de passe de votre messagerie malgré tout, car l’absence de communication de la part de laposte.net peut cacher des problèmes de fuites de mots de passe, ne sait-on jamais.
  • Il est conseillé de renouveler chaque mot de passe assez régulièrement (surtout celui de votre messagerie), c’est stratégique
  • Jamais le même mot de passe pour tous vos sites, trouvez une astuce, une règle pour vous en souvenir
  • Préférez un mot de passe très long plutôt qu’un petit mot de passe compliqué
  • Utilisez un coffre-fort numérique pour stocker vos petits secrets

Les faits :

Après la faille Microsoft début décembre, c’est la faille de sécurité Log4Shell qui fait parler. C’est la Bundesamt für Sicherheit in der Informationstechnik (BSI) (l’équivalent de l’ANSSI en Allemagne) qui a dévoilé son existence le 10 décembre 2021.

Elle concerne la bibliothèque de journalisation Log4j développée par la fondation Apache. Une bibliothèque, aussi appelée librairie logicielle est un ensemble de fonctions et de classes qui ont déjà été codées dans un langage spécifique afin de développer des logiciels. Détournée, la bibliothèque Log4j peut faire fonctionner du code non autorisé sur un serveur.

Cette faille inquiète car la bibliothèque Log4j est très utilisée dans le monde, notamment par les grandes entreprises. Sont concernées par cette vulnérabilité : les versions 2.0 à 2.14.1. De plus, il s’agit d’une faille 0-day, c’est à dire qu’aucun correctif n’était disponible au moment de sa découverte.

Selon Jennifer Easterly, directrice de la CISA “C’est l’une des failles les plus sérieuses, voire la plus sérieuse, à laquelle j’ai été confrontée depuis le début de ma carrière” avec une menace de rang 10. (Source : France24)

Guillaume Poupard, directeur général de l’ANSSI : « j’ai peur qu’en creusant (…) on se rende compte de conséquences qui peuvent être relativement graves », a-t-il déclaré, ajoutant : « Ma crainte, c’est que la vulnérabilité ait été exploitée depuis beaucoup plus longtemps qu’on ne l’imagine. » Cette faille est effectivement exploitée activement

Lire la suite

Qu’est-ce qu’une attaque de scareware ?

Avez-vous déjà reçu une notification vous avertissant que votre ordinateur a été infecté par des virus ? C’est une technique de scareware (logiciel de peur) classique. Comme son nom l’indique, une attaque de scareware fait peur aux utilisateurs en leur faisant croire que leur ordinateur est infecté par un virus. Il les attire dans un piège consistant à télécharger des programmes supplémentaires pour supprimer les faux logiciels malveillants.

Lire la suite