TravailleursDuWeb se BLACK OUT contre HADOPI
«
»

Web & Sécurité: deux micro-frayeurs… warning!

Publié le 21 October 2008, par Babozor dans la catégorie Administration serveur, Développement, Gestion de projet

securite.jpg
[Mon ancien chat Gizmo qui veillait activement sur le routeur ADSL et le switch...]

Deux frayeurs à quelques mois d’intervalles… et un reminder: faites gaffe à vos mots de passe, on sais jamais ce qu’il peut vous arriver.

1. Tentatives de connexion SSH: mot de passe trivial
Il y a de cela quelques mois, quand j’étais encore dans une autre entreprise (pas chez Busineo)… petite frayeur du matin après analyse d’un fonctionnement bizarre du serveur de développement, je m’aperçois que quelqu’un en roumanie essayais pleins de login/mot de passe pour accéder en SSH sur le serveur et en a trouvé un (un log/mot de passe trivial, du genre paul/paul) avait essayé de se granter les droits root, heureusement sans succès.
Pas de dégâts (et débranchage de la prise éthernet dès que j’ai compris ce qu’il se passait), mais un petit coup de flip.
Conclusion: ne pas créer de mots de passe triviaux, toujours des mots de passes chiants à retenir mais plus ou moins safe.

2. Connexion compte gmail à distance (et c’est pas moi…)
Il y a environ deux semaines, je me suis aperçu que certains emails envoyés n’arrivaient jamais, pas même dans ma boîte SPAM de mon compte gmail. Intrigué je fouine un peu et utilise le très bon utilitaire qui permet de voir les dernières connexions… avec ô surprise, une connexion en IMAP depuis la pologne.
Grrr… changement de mon mot de passe Google dans la demi-seconde.
Apparemment j’ai dû utiliser le même mot de passe pour un service web auquel j’ai souscrit et pour mon compte gmail (pratique pour s’en souvenir, mais dangereux), donc depuis je fais ultra attention…
Je ne sais pas quelle quantité de données ils ont réussi à récupérer, mais maintenant je suis plus ou moins à l’abri (et puis rien de vraiment confidentiel dans mes emails, donc…)

Conclusion
Faire gaffe à ses mots de passe, en particulier votre email (mon centre névralgique de mon boulot et de toutes mes activités en ligne)… y’a pleins de vilains qui rôdent.



Cet article a été posté le Tuesday 21 October 2008 à 8:05 am et a été classé dans la catégorie Administration serveur, Développement, Gestion de projet.

8 Responses to “Web & Sécurité: deux micro-frayeurs… warning!”

  1. Mu Says:
    le 21 October 2008 à 08h59

    Le mieux c’est d’avoir des mots de passe compliqués pour chacun des sites sur lesquels on s’inscrit mais vu la quantité de MDP à retenir sur le web (plus nos digicode, nos PIN portable, nos code Carte bleue, nos MDP boulot etc) c’est impossible!! C’est pour ça que perso j’ai plus ou moins un MDP pour les sites webs (en fait parfois le MDP n’est pas assez safe selon le site donc je rajoute 2 chiffres) et un compliqué pour mes mails.

  2. bitox Says:
    le 21 October 2008 à 09h34

    “et utilise le très bon utilitaire qui permet de voir les dernières connexions… ”
    quel est-il? :-)

  3. bitox Says:
    le 21 October 2008 à 09h37

    ah ok pardon, en bas de la page “This account is open in 1 other location” :-!
    sorry!

  4. Jérémy Says:
    le 21 October 2008 à 13h52

    Perso j’utilise un mot de passe différent pour chaque site.
    Ce mot de passe contient une racine commune et plusieurs lettres que je peut retrouver sur le site.
    Par exemple, sur ce site, ca serait un truc du genre abc123tdw sur gmail, ca sera abc123gom. Ainsi, si j’oublit un mot de passe, j’essai les quelques combinaison différentes que je peux faire avec le nom ou l’url certe quelqu’un qui regarde mon mot de passe et essai de comprendre la logique en deduira forcement celle des autres sites, mais faut vraiment qu’il s’acharne sur mon cas precis. Un bot automatique ne pourrait pas faire la relation.

  5. Godefroy (Skreo) Says:
    le 21 October 2008 à 20h50

    Et oui, je ne sais pas trop comment, mais il y a 2 semaines je me suis fait voler mon compte Gmail sur lequel redirigeaient toutes mes adresse… J’étais bien dans la me*rde….
    Le mot de passe était quasi-impossible à deviner, mais j’ai du l’utiliser sur un ou deux service et c’est un mot présent dans n’importe quel dictionnaire.
    Mais bon, un brute force sur Gmail, c’est possible ?

    Pour la petite histoire, je n’ai pas pu récupérer mon compte, malgré 3 ou 4 e-mails échangés avec l’assistance de Google qui ne vient savoir…

  6. Xena la discrète Says:
    le 22 October 2008 à 08h05

    “Impossible à deviner” contredit “présent dans un dictionnaire”

  7. Nilo Says:
    le 22 October 2008 à 08h51

    En ce qui me concerne j’utilise 1Password (sur Mac) qui me permet de générer des mots de passe et surtout de les stocker pour ne pas avoir à m’en souvenir, vraiment très utile.
    Sur Windows j’utilisais Roboform qui fonctionnait de la même façon.

  8. Thibaut Says:
    le 22 October 2008 à 21h03

    Bon a falloir penser à changer mes mots de passe…

Laissez un commentaire