Catégorie : Veille

Les MDP : Vos clés contre les Cyber Attaques

Astuce pour gérer vos mots de passe en toute sécurité

Un compte = Un mot de passe

De nombreuses démarches de notre vie quotidienne, notamment à l’approche de l’été (banque, réservation de vacances, administration, messagerie…) passent via internet et par la création de comptes sur différents sites. Afin d’éviter des piratages multiples, tous vos comptes doivent être verrouillés avec un mot de passe unique.

Un mot de passe en béton

Un bon mot de passe dont être long et complexe. Afin que sa sécurité soit optimale, il doit contenir au moins 16 caractères et 4 types spéciaux : minuscules, majuscules, chiffres et caractères spéciaux. Ils peuvent également prendre la forme d’une phrase afin de faciliter sa mémorisation. N’oubliez pas, votre mot de passe ne doit jamais être communiqué de vive voix.

Impersonnel mais personnel

Votre mot de passe, ne doit rien divulger de votre vie personnelle ! Votre identité ne doit pas transparaître : nom de votre chien, film préféré, date de naissance…

Il en est de même pour les réponses aux questions de sécurité : ne mettez jamais de bonnes réponses, comme par exemple le véritable nom de jeune fille de votre mère. Préférez un mot de passe chiffré aléatoire et surtout soyez créatifs.

Des solutions pour les retenir

  • Générez un mot de passe solide grâce à la CNIL et son générateur de mots de passe : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide
  • Utiliser un gestionnaire de mots de passe ou un trousseau d’accès chiffré. Nous vous recommandons Keepass accessible depuis: https://keepass.info (sécurité évaluée par l’ANSSI).

Le noter c’est l’abandonner

Que cela soit sur un post-it, sur un carnet, sur un fichier texte, sur votre smartphone ou votre messagerie, gardez en tête que ces différents outils ne sont pas conçus pour sécuriser le stockage de vos mots de passe. Si vous êtes en panne d’inspiration ou si vous ne souhaitez pas faire appel à vos méninges : Optez pour un gestionnaire de mdp.

Un c’est bien, deux c’est mieux !

Lorsque cela est possible, choisissez la double authentification et activez les notifications : De cette manière, lors d’une tentative de piratage, le site lié à votre compte vous préviendra par sms/e-mail.

Renouvellement périodique

Selon la nature des données et la compléxité du mot de passe demandé, il est recommandé de renouveller votre mot de passe selon une périodicité pertinente et raisonnable.

Pour votre organisation, cela peut être effectué de manière automatique ou bien nécessiter l’intervention d’un administrateur.

Stocker les mots de passe dans les navigateurs = mauvaise idée ?

Il est très facile aujourd’hui de sauvegarder les nombreux mots de passe que nous avons tous, et nous le faisons simplement dans les navigateurs Web. C’est sans compter l’existence du logiciel malveillant de vol d’information Redline Stealer. Ce trojan, apparu pour la première fois sur le dark web russe en mars 2020, collecte les identifiants de compte enregistrés ciblant particulièrement des navigateurs Web po- pulaires tels que Chrome, Edge et Firefox.

Un utilisateur pirate aurait mis en ligne un article promotionnel expliquant les différentes fonctionnalités incluses dans Redline Stealer et vendant l’outil de piratage pour 150 à 200 dollars sur des forums de cybercriminalité et pouvant être déployé sans nécessiter beaucoup de connaissances ou d’efforts. Tout utilisateur peut être victime de cette attaque et se retrouver sans son mot de passe, donnant aux attaquants l’accès à des informations sensibles et privées.

Une propagation rapide et indolore

Sa propagation est simple et arrive par e-mail, dans les publicités diffusées par Google, voire même dans les applications de retouche d’images.
Même si vous avez déjà un logiciel anti-malware installé sur l’ordinateur infecté, il n’arrivera pas à détecter, ni à supprimer RedLine Stealer.

Dans n’importe quel navigateur basé sur Chromium, les mots de passe sont stockés dans une base de données SQLite, où les données sont enregistrées, Redline Stealer se concentre sur ce fichier et vole les informations qui y sont présentes. Ce malware est également capable de voler des cookies, des données de remplissage automatique et des cartes de crédit.

Bien que les bases de données de mots de passe des navigateurs soient cryptées, comme celles utili- sées par les navigateurs basés sur Chromium, les logiciels malveillants peuvent décrypter la base de données de manière programmée tant qu’ils sont connectés en tant que même utilisateur. Comme RedLine s’exécute sous le nom de l’utilisateur qui a été infecté, il pourra extraire les mots de passe de son profil de navigateur.

« Google Chrome crypte le mot de passe à l’aide de la fonction CryptProtectData, intégrée à Windows. Maintenant, bien que cette fonction puisse être très sécurisée en utilisant un algorithme triple-DES et en créant des clés spécifiques à l’utilisateur pour crypter les données, celles-ci peuvent toujours être décryptées tant que vous êtes connecté au même compte que l’utilisateur qui les a cryptées ».

Même lorsque les utilisateurs refusent de stocker leurs informations d’identification sur le navigateur, le système de gestion des mots de passe ajoute une entrée pour indiquer que le site Web en question est « sur liste noire ».
Après avoir collecté les informations d’identification volées, les acteurs de la menace les utilisent dans d’autres attaques ou tentent de les monnayer en les vendant sur les marchés du Dark Web.

Un exemple de la popularité de RedLine auprès des pirates est l’essor de la place de marché “2easy” sur le dark web, où la moitié des données vendues ont été volées à l’aide de ce malware.
Un autre cas récent de la propagation de RedLine est une campagne de spam de formulaires de contact sur un site Web qui utilise des fichiers Excel XLL qui téléchargent et installent le malware de vol de mot de passe.

Article Pourquoi stocker vos mots de passe dans les navigateurs est une si mauvaise idée

On a l’impression que RedLine est partout en ce moment, et la principale raison en est son efficacité à exploiter une faille de sécurité largement répandue que les navigateurs Web modernes refusent de combler.
Les escroqueries ont ligne ont grimpé en flèche lors du premier confinement en mars 2020 en France et continuent d’affluer partout dans le monde, les cybercriminels étant toujours plus créatifs lorsqu’ils s’attaquent aux particuliers comme aux entreprises. (* D’après une récente étude depuis la fin février 2020, un pic de 667% du nombre de ces attaques a été observé.)

Les bons gestes pour éviter le piratage de vos mots de passe.

Il est en effet tentant et pratique d’utiliser votre navigateur Web pour stocker vos identifiants de connexion, ou autres informations importantes et sen- sibles mais cette pratique est risquée, même sans infection par des logiciels malveillants.

En agissant ainsi, un acteur local ou distant ayant accès à votre machine pourrait voler tous vos mots de passe en quelques minutes.
Au lieu de cela, il serait préférable d’utiliser un gestionnaire de mots de passe dédié qui stocke tout dans un coffre-fort crypté et demande le mot de passe principal pour le déverrouiller.

De plus, pour les sites Web sensibles, tels que votre banque en ligne ou les pages d’accès internet de votre entreprise, vous devriez configurer des règles spécifiques qui nécessitent une saisie manuelle des informations d’identification.

Enfin, activez l’authentification à multi facteurs lorsqu’elle est disponible, car cette étape supplémen- taire peut vous protéger contre les incidents de prise de contrôle de compte, même si vos informations d’identification ont été compromises.

La démarche FinOps

Aujourd’hui, le Cloud prend de plus en plus de place au sein des entreprises. C’est un modèle qui offre optimisation et flexibilité tant sur le plan de la productivité de la structure que sur celui des équipes. Mais les ressources fluctuantes du Cloud peuvent très vite avoir un coût supérieur aux attentes des utilisateurs.

La démarche FinOps a été créée pour répondre aux problématiques que le Cloud peut introduire. S’il s’agit d’une solution efficace et recommandée sur bien des aspects, il est essentiel de savoir la maîtriser.

Chez Abbana, nos experts sont formés aux évolutions du Cloud et aux différents moyens l’encadrant. FinOps apparaît comme la nouvelle solution adéquate et cohérente avec l’utilisation du Cloud dans les organisations.

En quoi consiste l’approche FinOps ?

Tout d’abord, FinOps est la contraction de « Finance » et « Opération ». Ces termes révèlent la volonté de cette solution à encadrer les coûts que peut entraîner le Cloud computing. Nous parlons alors de monitoring et d’optimisation et venons inclure une dimension financière dans le Cloud.

Le but d’une telle approche est de trouver le bon compromis entre budget et innovation. À l’image de la stratégie DevOps, la démarche FinOps instaure une assimilation des performances et innovations IT par les métiers.

Cette stratégie permet de réaliser des économies sur divers aspects, mais devient bien plus qu’un outil en faisant partie intégrale de la culture d’entreprise.

Optimisation financière du Cloud

Il est recommandé de construire une structure de gouvernance en créant un centre d’excellence Cloud. Pour cela, il faut implanter une approche FinOps au sein dudit CCOE, ou Cloud Center Of Excellence. Pour son bon fonctionnement, il est primordial d’intégrer la culture FinOps au sein des différentes équipes.

La démarche FinOps va permettre un suivi de la consommation et déterminer les objectifs d’optimisation de coût. Elle prendra en compte le budget informatique prévisionnel et il faudra ensuite en faire son reporting pour restructurer l’utilisation du Cloud computing de l’entreprise.

Plusieurs leviers sont à actionner pour bénéficier des cette optimisation financière. Il faut déterminer les œuvres non ouvrées pour arrêter l’automatisation des ressources lors de ces périodes. Pourquoi ? Tout simplement parce que le Cloud computing se base sur la facturation à l’heure, il n’est donc pas nécessaire d’utiliser des ressources alors que l’entreprise est en hors production (notamment les soirs et les week-ends). Il est tout à fait possible d’automatiser les arrêts et les relances sans nécessiter une intervention humaine.

C’est également l’occasion de procéder à la suppression de ressources non utilisées et de redimensionner les ressources selon l’usage pour une cohérence entre ressources et besoins réels des applications.

L’outillage FinOps

Nous pouvons classer cet outillage en trois catégories avec leurs nombreuses spécificités :

  • Des services gratuits garantis par des Cloud providers : optimisez vos coûts sur le Cloud d’Amazon (AWS) ou même sur celui de Microsoft (Azure).
  • Des outils BI de traitement de données et de reporting : collectez et exploiter des données pour optimiser le processus de décsisions.
  • Des solutions tierces multi-cloud : à l’aide de différents fournisseurs pour des Clouds publics ou privés.

Ce que vous apporte Abbana avec sa stratégie FinOps

Atteindre une stratégie FinOps optimale peut être très délicat pour une entreprise, c’est une démarche qui demande de la maturité. Abbana propose d’accompagner et de conseiller grâce à son expérience avec cette démarche. En effet, nous accompagnons dans la mise en place d’une stratégie d’optimisation et de réduction des coûts liés aux infrastructures publiques.