topblog Ivoire blogs

08/12/2009

Internet : les mots de passe à éviter

Microsoft a publié une liste des termes qu'il ne faut surtout pas utiliser afin d'éviter des attaques automatisées. "password" est le mot de passe le plus usité par les pirates.

Déterminer les mots de passe sur Internet les plus efficaces pour éviter toute casse. Le centre de sécurité de Microsoft, le Malware Protection Center, vient de publier une étude sur la qualité des mots de passe et identifiants (nom d'utilisateur). Pour y parvenir, ce site dédié aux virus et autres programmes malicieux a compilé les statistiques des attaques automatisées contre un serveur FTP factice, créé spécialement.

L'éditeur de logiciels s'est concentré sur les attaques automatisées "par dictionnaires". Une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé d'accès à un service, qui consiste à tester une série de mots de passe potentiels, tirés de dictionnaires et de manière automatisée, les uns à la suite des autres.

internet.jpgIl ressort de cette étude, basée sur plus de 400.000 combinaisons, que le mot de passe type comporte en moyenne 8 caractères, et qu'il excède rarement 10 caractères. Mais, si les attaques par dictionnaires se font en moyenne sur la base de 6 caractères pour les identifiants et de 8 pour les mots de passe, le login le plus long testé par un pirate comptait 15 caractères. Et le mot de passe le plus complexe comportait 29 caractères !

"password", le mot de passe le plus utilisé par les pirates

Les mots de passe et identifiants les plus souvent utilisés dans ces attaques sont bien entendus des mots très communs. Dans la plupart des cas, ce sont d'ailleurs des termes paramétrés par défaut, et qui n'ont jamais été changés par les utilisateurs. Ainsi, sans grande surprise, le premier mot de passe à éviter (ou à changer d'urgence) est "password"... Suivent "123456", "#!comment:" et "changeme". Étonnamment, "Fuckyou" devance "abc123". Suivis des prénoms anglo-saxons, tels que "peter", "andrew" ou "matthew". En outre, Microsoft déconseille "Michael" comme mot de passe, très utilisé depuis le décès du "Roi de la Pop" Michael Jackson.

Concernant les identifiants les utilisés dans les attaques automatisées, "Administrator" et "Administrateur" arrivent très largement en tête. Ces deux termes ont en effet été saisis par les scripts dans, respectivement, 136.971 et 107.670 des cas ! "Admin" arrive en troisième position. Viennent ensuite, une nouvelle fois, des prénoms usuels anglo-saxons avec, dans l'ordre, "andrew", "dave", "steve", "paul" et "adam". Seuls "tsinternetuser" et "tsinternetusers" viennent s'intercaler dans cette hiérarchie, aux septième et huitième places.

Des mots de passe d'au moins 10 caractère

Pour minimiser tout risque, l'Agence nationale de la sécurité des systèmes d'information (Ansi) conseille d'utiliser au minimum des mots de passe comportant au minimum 10 caractères, et d'être constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres (au moins trois de ces quatre catégories). Il est ainsi largement préférable, selon l'Ansi, d'utiliser comme mot de passe "p@$$ew0rld" plutôt que "password", ou "@dmInIstrat0r" plutôt qu'"Administrator".

JULIEN POMPEY, Les Echos

09:08 Publié dans Science | Lien permanent | Commentaires (2) | Tags : internet, mot de passe

21/06/2009

Regrettable

Ecobank a fait un exposé mercredi dernier au siège de la Brvm. Lorsque j’ai surpris les préparatifs de cette réunion, j’ai approché M Adonis, le directeur de EIC pour lui dire que je souhaitais faire partie des agents de presse invités. Il m’a répondu que sa collaboratrice allait me contacter. 2 jours avant je l’ai rencontré et signalé que j’avais encore rien reçu, il m’a donné la même réponse.

Finalement, ils ont fait la présentation et à ce jour je n’ai encore rien vu dans la presse. J’ai donc appelé un de ses collaborateurs pour les faire comprendre que si j’avais été invité pour www.okibat.com l’article serait déjà en ligne. Je ne sais pas ce qu’ils ont dit, mais ce genre d’infos dans les rédactions, n’est pas toujours prioritaire, surtout quand ça a l’air publicitaire. Il faut encourager le journaliste et parfois son boss aussi.

Depuis, on ne sait pas ce qui s’est dit. Je sais qu’il ne doit rien avoir d’hyperdeterminant, mais c’est la curiosité, comme ça concerne une société cotée.

Puisse nos décideurs comprendre le potentiel d’internet.

01:38 Publié dans Quotidien | Lien permanent | Commentaires (1) | Tags : ecobank, internet, adonis, eic

05/01/2009

Les voleurs aussi m’ont fait leurs vœux de nouvel an

pickpocket.jpg
Un client débarque d’Abobo à Koumassi pour acheter les moneybookers. J’ouvre le solde de ma carte de credit pour voir si j’en avais suffisamment pour le servir. Je découvre que j’ai fait une transaction le 1e janvier 2009, alors que je me suis pas connecté ce jour là. J’apprends que j’ai fait un virement à www.billing-aid.com. Je vais voir ce que c’est, je découvre un site en anglais qui semble diffuser des trucs pornos. C'est-à-dire que ce voleur n’a même pas utilisé cet argent pour faire quelque chose de bien.

La banque Atlantique dit qu’elle ne peut rien faire si ce n’est bloqué la carte. Ce qui veut dire que je l’ai perdu comme ça, puisque tout versement sur cette carte équivaut à faire un don au voleur. Moi qui l’utilisais pour mes ventes de moneybookers et achat en ligne