Bonjour,

Déjà , je ne savais pas du tout où poser ma question, donc ce sera ici. N'hésitez pas à la déplacer si un autre salon vous semble plus adapté.

Je suis tombé sur un post de quelqu'un sur le forum dont la signature est :

"Jeu du carré rouge modifié, quel niveau atteindrez-vous ? http://squared.22web.org"

En cliquant par curiosité pour savoir ce qu'était ce jeu, je suis tombé sur un site chelou qui nous demande de faire un compte pour jouer à son jeu. Personnellement je n'ai pas eu confiance, et me suis posé une question :

En partant du principe qu'on ne peut faire confiance à personne, et que bon nombres de sites sont développés avec les pieds, et que donc il arrive souvent d'avoir des comptes dont les mdp ne sont pas chiffrés, comment peut on faire pour s'assurer qu'un site chiffre notre mot de passe ?

J'ai depuis un certain temps le réflexe d'avoir un mot de passe différent par site/appli, mais la logique de mes mots de passe est finalement pas si folle à condition d'avoir sous les yeux un échantillon de mes mots de passe. Je précise qu'ils sont très difficiles à bruteforce (majuscule, minuscule, chiffres, caractères spéciaux, pas de mot du dico, etc), mais ils peuvent suivre un certain pattern quand même.

De plus, je sais aussi que bon nombre de personnes ont tout le temps le même mdp voir le même login.

J'ai donc pensé que ce site pouvait ne servir qu'à une seule chose : se faire une bdd de login/mdp, pour ensuite les tester sur divers sites/jeux/forum/applications, voir simplement pour les revendre.

Merci !

Salut 

Ce que tu peux faire c’est d’utiliser un compte mail bidon, tu t’inscris avec un pseudo bidon et un mot de passe bidon. 

Si dans le mail d’activation tu reçois en clair ton mot de passe, on sait jamais si t’es devenu trop con en quelques secondes, c’est pas bon signe, le mot de passe est en clair. 

Sinon, tu cliques sur « j’ai perdu mon mot de passe » et si on te le renvoie en clair, c’est pas bon non plus. 

Alors effectivement, ce sont des pistes.

Mais imaginons que je sois une personne malsaine avec une volonté de faire chier le monde, que mon but soit de développer un site dont l'unique motivation serait de chopper des user/mdp dans ma bdd, pour ensuite me servir personnellement de ces user/mdp (vol de compte, vente de compte, vente d'info, etc). Dans ce cas la, je ferais un site dont l'objectif principal serait d'être bien référencé, et lors de la création d'un compte sur mon site, je ne chiffre pas le mdp. Il serait hors de question de donner l'impression aux utilisateurs que mon site n'est pas protégé. Jamais je ne renverrai le mdp en clair en cliquant sur "j'ai oublié mon mdp", donc tes méthodes sont adaptés aux sites mal conçus, mais pas aux sites bien conçus pour le vol de login/mdp. Honnêtement, je suis persuadé que ce genre de sites existent.

Mon objectif dans ce topic, est de savoir s'il existe des outils, des méthodes, pour savoir si un site chiffre ou non un mdp de manière certaine, pas de faire des tests vite fait pour savoir si un site est mal foutu au point de renvoyer un mdp en clair.

Genre imaginons qu'OpenClassRoom fasse ce genre de chose, ils pourraient assez facilement accéder à des comptes m’appartenant sur divers sites. Pas les sites importants ou avec authentification car je suis pas non plus débile, mais pas mal de sites tout de même.

Salut,

> Honnêtement, je suis persuadé que ce genre de sites existent.

Tu ne reçois pas de spam style "Compte Paypal bloqué" ou autre ? Les liens contenus dans ces mails te renvoient vers un site qui ressemble à Paypal mais sert juste à récupérer tes identifiants.

Par contre pour le lien de ton premier message, j'imagine que c'est pas le but, un pauvre lien dans une signature OC ça doit pas attirer grand monde.

>Mon objectif dans ce topic, est de savoir s'il existe des outils, des méthodes, pour savoir si un site chiffre ou non un mdp de manière certaine

J'imagine qu'il n'y a pas de moyen absolu à part avoir un accès direct aux données du site ou faire confiance à un audit de sécurité réalisé sur le site (et je sais pas trop si ça se trouve ou si ça reste en interne de l'entreprise).

Mais sinon pour te protéger je te conseille d'utiliser un gestionnaire de mots de passe avec un mot de passe unique pour chaque site. Et pour générer des mots de passe forts (pour la master key ou des trucs que tu ne veux pas mettre dans le gestionnaire) il me semble que la méthode diceware est bien vue.

Stormweaker a écrit:

Tu ne reçois pas de spam style "Compte Paypal bloqué" ou autre ? Les liens contenus dans ces mails te renvoient vers un site qui ressemble à Paypal mais sert juste à récupérer tes identifiants.

Par contre pour le lien de ton premier message, j'imagine que c'est pas le but, un pauvre lien dans une signature OC ça doit pas attirer grand monde.

Mais sinon pour te protéger je te conseille d'utiliser un gestionnaire de mots de passe avec un mot de passe unique pour chaque site. Et pour générer des mots de passe forts (pour la master key ou des trucs que tu ne veux pas mettre dans le gestionnaire) il me semble que la méthode diceware est bien vue.

Oui effectivement le phishingexiste. C'est un bel exemple. Disons que le phishing sert surtout à chopper des id/mdp spécifique à un site, je pensais plutôt un site lambda pour se faire une base. Mais dans le fond c'est pareil oui.

Pour le lien en signature, j'avoue que c'est sans doute un site tout ce qu'il y a de plus lambda, mais ça m'y a quand même fait penser.

Pour la génération de mdp, le soucis c'est que je ne peux pas me servir d'un outils à la keepass ou autre. C'est sympa dans le principe, mais si je dois me connecter à un compte sur un autre pc, sur un smartphone ou autre, c'est la merde.

j'ai une technique simple pour générer mes mots de passe pour le coup, et c'est assez secure. Le soucis, c'est qu'ils peuvent se ressembler d'un site à un autre. 

La méthode Diceware est bien jolie, mais vu les contraintes imposées par moment pour les mots de passe sur les sites, c'set pas viable (majuscules, char spéciaux, chiffres, pas moins de n chars et pas plus de m chars, tout ce genre de contraintes qui dépendent des sites).

> je pensais plutôt un site lambda pour se faire une base

Je ne sais pas si ça se fait vu le nombre de fuites qu'il y a.

> mais si je dois me connecter à un compte sur un autre pc, sur un smartphone ou autre, c'est la merde

J'ai mis le fichier KeePass 2 sur Dropbox et pour le téléphone j'utilise Keepass2Android donc tous mes appareils ont accès à mes mots de passe. J'ai pas encore eu le problème de devoir absolument me connecter à un appareil qui ne m'appartienne pas.

> mais vu les contraintes imposées

En effet je n'y avais pas pensé, je ne sais pas si diceware propose des solutions à ça.

Tiffado a écrit:

Mais imaginons que je sois une personne malsaine avec une volonté de faire chier le monde, que mon but soit de développer un site dont l'unique motivation serait de chopper des user/mdp dans ma bdd, [...] Honnêtement, je suis persuadé que ce genre de sites existent.

Je t'avoue que j'ai pensé à cette hypothèse, mais, je ne savais pas comment l'énoncer proprement.

Concernant OC, le site serait hébergé par AWS, donc, il y a obligatoirement une porte dérobée pour le gouvernement US je crois. J'ai pas l'article, mais, on en a parlé énormément dans la presse spécialisé et les forumeurs de divers sites ont été plusieurs à le dire, les entreprises numériques américaines doivent laisser un accès au gouvernement. Donc, si c'est vrai, Donald Trump connaît ton mot de passe, il pourrait le tweeter. Quand Stormweaker parle de stockage chez DB, il est probable que ses données soient connues aux USA. Et logiquement, un pirate informatique va plutôt s'attaquer aux grosses sociétés pour atteindre un maximum de personnes. Même si paradoxalement, les GAFAM sont mieux sécurisés que des petits sites, pourtant, dans les journaux on ne parle que des attaques sur FB, Google ou Amazon, ... ça fait vendre parce que si chevalvapeur.net ou marcetsandra.fr se font pirater, honnêtement tout le monde s'en tape.

Quand tu parles de te connecter depuis un autre périphérique, honnêtement, tu te sers souvent des smartphones et ordis de tes amis, et membres de famille ? Si c'est le cas, tu crées un compte personnel que tu utiliseras, seul l'administrateur pourra modifier ton compte, je ne pense pas qu'il pourra récupérer ton mot de passe pour accéder à ton compte.

Sinon, même si ça fait débat, tu gardes un petit bloc-notes avec tes mots de passe sur toi.

Enfin, si tu veux minimiser les risques, il vaut mieux éviter les sites très très peu populaires. Aussi, comme l'adresse mail est un excellent élément pour être tracé, tu peux selon ton serveur mail te créer des alias.

Le Cobriste 128 a écrit:

Concernant OC, le site serait hébergé par AWS, donc, il y a obligatoirement une porte dérobée pour le gouvernement US je crois. J'ai pas l'article, mais, on en a parlé énormément dans la presse spécialisé et les forumeurs de divers sites ont été plusieurs à le dire, les entreprises numériques américaines doivent laisser un accès au gouvernement. Donc, si c'est vrai, Donald Trump connaît ton mot de passe, il pourrait le tweeter. 

Si les mots de passe sont chiffrés, alors non il ne connait pas mon mdp. Un fonctionnement correct demande qu'un mot de passe soit chiffré de manière à ce que le déchiffrage ne soit pas possible. Je suis pas un expert dans le domaine, loin de la, mais c'est du bon sens.

Oui ca m'arrive de me connecter à des sites sur lesquels je vais chez moi, sur mon smartphone, et sur le pc du boulot par exemple.

Sinon, je sais que l'idée de base est d'apprendre à sécuriser son mot de passe pour éviter toute embrouille, mais bon, ma question n'est pas celle ci

Pour ta question, je pense comme Stormweaker, c'est difficile voire impossible de savoir si le site chiffre vraiment le contenu à risque de sa base de données.

Alors, c'est ton bon sens, parce que tu es conscient que c'est pas ton ordinateur qui chiffre ton mot de passe, mais, avec la clé fournie par OC.

OC, grâce au https, a une paire de clés publique, privée. Quand tu as voulu t'inscrire, OC te file sa clé publique via le https avec une clé symétrique pour la communication entre ton ordi et le serveur, tu t'inscris. Quand ton navigateur chiffre la "boîte" pseudo/mdp, c'est avec une clé symétrique connue d'OC. Donc, tout site web connaît ton mot de passe.

Pour éviter cela, il faudrait que ce soit le client qui gère le chiffrement. Mais, c'est déjà compliqué parce qu'on est pas tous au fait de la cryptographie, et ça l'est encore plus avec le sel et le hash des mots de passes. Il est très probable que lorsque tu te connectes à gmail depuis un nouveau périphérique, Google t'envoie un mail parce que, sans doute, le sel d'un périphérique est différent du sel d'un autre périphérique, et la correspondance du hash du mot de passe salé ne correspond plus.

Pour conclure mon message, et pour résumer. Faut faire confiance,et surtout, comme certains disent, ne pas tout poster sur internet.

Petite aparté, il y a une dizaine d'années, j'avais lu un article d'un blogueur qui avait réussi via FB à avoir un maximum de données sur une personne qu'il ne connaissait pas. À l'époque, il suffisait d'être ami avec un ami de cette personne pour avoir un maximum de données de son profil. Il a fait une demande à tout le monde et on lui a répondu favorablement. Les pirates peuvent faire plus que ça, mais, parfois, ça leur suffit pour savoir ce que possèdent les gens, et quand ils partent en vacances. Entre connards on s'entend bien entre les pirates infos et les cambrioleurs par exemple.

-
Edité par Le Cobriste 128 13 décembre 2019 à 15:24:30

ll me semblait que certains systèmes de chiffrement ne pouvait pas être déchiffré, et que pour savoir si ton mot de passe était bon, il fallait chiffrer ton mot de passe et voir s'il match avec le mot de passe chiffré en bdd.

Oui, tu as raison, c'est le hash d'un objet. Un objet a toujours le même hash, mais reconnaître l'objet depuis le hash est "impossible". Ce n'est pas un système de chiffrement parce qu'un objet chiffré doit être relativement facile à déchiffrer quand on a la clé pour.

Je pense que Google, lorsqu'on se connecte à Gmail depuis un autre appareil, fait un hash du mot de passe, et sale le mot de passe et fait un autre hash de cet objet. Quand il cherche la première correspondance, c'est ok, le hash, du mot de passe, stocké est le même que le mot de passe tapé, mais, le hash, du mot de passe salé selon les anciens appareils associés au compte, ne correspond pas et on reçoit un mail pour dire qu'il y a un risque de vol de compte.

Donc, OC doit fournir un sel aléatoire pour chaque nouveau compte je pense. Le sel permet d'éviter de récupérer le mot de passe via un dictionnaire d'associations mot <> hash du mot.

Pour revenir à l'essentiel du sujet, il est vrai qu'il faudrait que les sites web montrent clairement le fonctionnement du stockage du doublet pseudo/mot de passe.