Accueil Archive pour Sécurité Page 18

Sécurité

Comment stocker un mot de passe ?

Posté le de Aucun commentaire ↓

Salut à tous, aujourd’hui on va continuer le cycle d’article sur les mots de passes, et plus particulièrement : comment stocker un mot de passe. Pour info, je me pompe sans honte sur cet article de sophos, qui est au top sur le sujet.

Comment on faisait ? ou plutôt comment ne pas stocker un mot de passe.

En clair !

La plus ancienne méthode de stockage consistait à stocker les mots de passe… en clair ! Elle pose quelques petits problèmes, assez évidents : en cas d’attaque réussie, en cas de réutilisation du mots de passe, etc. Cette méthode là, on ne la rencontre plus trop chez les professionnels. Mais parfois, on tombe encore sur un utilisateur qui garde un joli fichier Excel avec tout ses mots de passe dedans.

R1- Ne pas stocker les mots de passe en clair, donc.

Chiffré ?

Puisqu’on ne peut pas les stocker en clair, on va les chiffrer, non ? bein non plus, déjà cela signifie que les administrateurs accèdent encore au clair de vos mots de passe. En fait, en chiffrant votre base de mot de passe vous ne faites que transférer la sécurité sur le secret de la … Lire la suite

MISC N°103 – KeePass et YubiKey, A vos Kiosques ! Prêt ! Partez!

Posté le de 4 commentaires ↓
MISC n°103 KeePass et YubiKey

Salut à tous ! Je sais, ça fait un mois que j’ai rien écrit sur le blog… Mais c’est pour la bonne cause : je viens d’être publié dans le MISC N°103 sur KeePass et YubiKey page 66 (en kiosque depuis le 26 avril 2019) ! Je vous tease le titre :

KeePass multiplateforme en authentification forte avec une YubiKey

Ça vous rappelle un truc ? C’est un peu le fils spirituel de l’article KeePass2 et la synchronisation SSH/SFTP entre Windows, Linux et Android que j’avais posté début 2018 sur le blog. Mais en beaucoup, beaucoup, plus complet cette fois. J’y ajoute l’authentification double facteur, des dessins (pour ceux qui ne savent pas lire) et une vraie analyse de sécurité de la solution présentée à la fin.

« Fabriqué au cœur de l’ile de France, entre l’A86 et le périph’. Cet article, moulé au clavier avec amour, a été affiné au moins 6 semaines de manière ancestrale dans nos caves du boulot. »

Et merci aux collègues !

« OSEF : C’est pâques, on veut des chocolats »

Pour les lecteurs du blog, et juste pour vous, je vous ai planqué un easter egg dans l’article. C’est discret et … Lire la suite

Est-ce que mon mot de passe a été piraté?

Posté le de Aucun commentaire ↓
Est-ce que mon mot de passe a été piraté ? BitWarden Report

Salut à tous, je continue ma série sur les mots de passe aujourd’hui et plus particulièrement la réponse à la question « Est-ce que mon mot de passe a été piraté ? ». Vous connaissez have i been pwned? ? Ce service compile les données issues des principales fuites d’informations de ces dernières années et vous permet de savoir, en saisissants votre adresse mail, si cette dernière a fait partie des fuites… et se savoir ce qui a fuité surtout ! Ce qui vous permet de savoir si le mot de passe associé à ces fuites a été compromis.

Et bien le site à récemment étendu son offre avec le service have my password have been pwned? Pour savoir si votre mot de passe a été piraté. Et qui vous propose donc la même chose que havebeenpwned mais pour les mot de passe.

« Bein ouais, mais si je donne mon mot de passe à une site pour qu’ils le vérifient, ils vont connaitre mon mot de passe du coup ?

PS: t’es con ou quoi ? »
— un internaute pas trop con.

Et c’est là que c’est beau, l’auteur du service détaille dans ce post (super lecture que … Lire la suite

Le Pentest physique, C’est quoi ?

Posté le de 4 commentaires ↓
PenTest Physique et casser un p12

Salut à tous, aujourd’hui je vous propose une vidéo (à la fin de l’article) sur le PenTest Physique. Il s’agit d’une intervention faite au wild west hacking fest 2017. Dans les trucs à retenir :

  • L’états d’esprit d’un pentest en informatique et d’un pentest physique sont exactement les mêmes.
  • Personne ne crochète des serrures, si un attaquant doit en arriver là c’est plutôt un bon signe.
  • Les clé standards : c’est le mal.
  • Ne faite pas de câlins à un inconnu, même s’il est sympa… et encore plus si vous avez votre carte d’accès sur vous…
  • Personne ne se méfie du gars qui répare les ascenseurs, en particulier s’il a un badge et un paperboard.
  • On peut troller les hotlines des d’urgence des ascenseurs (mais ne le faites pas, c’est comme les services de secours, hein).
  • Comme en informatique, tous les outils qui vont bien existent.
  • Ne laissez pas trainez vos clés sur une voiturette de golf…

Bref, tout ça pour vous (re)dire que s’il est utile de se toucher la nouille toute la journée sur d’éventuelles zero-day et de patcher vos serveurs à tout bout de champs. Si votre salle machine a une issue de secours avec une porte … Lire la suite