Sécurité, mot de passe et Twitter

4 septembre 2012 10 h 16 min 32 commentaires Views: 394

Partagez cet article

  • TwitterTwitter
  • FacebookFacebook

Auteur(e)

Tags:

Hier, j’ai eu l’air con à deux reprises. D’abord, j’ai repris à ma façon une nouvelle qui chauffait la Webosphère, le truc sur Bruce Willis qui, semble-t-il ce matin, aurait été un canular. Ensuite, je me suis fait hacker mon compte Twitter comme un débutant. Inutile de vous confier que je me suis couché pas vraiment fier de moi. Vivement que l’on me coiffe du bonnet d’âne !

Oublions Willis et Apple, concentrons-nous ce matin sur Twitter. Comment ai-je été hacké ? Un correspondant régulier, un drôle de moineau, m’a envoyé un de ses messages étranges comme il aime souvent le faire. En allant voir, je me suis aperçu que ça ne menait nulle part et j’ai cru qu’il s’était fourvoyé dans l’URL qu’il m’indiquait (comme cela arrive à l’occasion). Et je suis parti pour la ville. Ce que je ne savais pas, c’est qu’en «allant voir», je remettais mon nom d’utilisateur et mon mot de passe à un robot collecteur, un outil à la solde d’une bande de malfaisants. Dès lors, mes «abonnés» ont commencé à recevoir un message constituant une tentative d’hameçonnage.


À mon retour chez moi, trois heures plus tard, des tonnes de gens m’avaient écrit pour me demander pourquoi je leur avais envoyé un message en anglais, un truc idiot dont vous avez copie ci-haut. Alors là, j’ai dû ramer. Il m’a fallu avertir les gens de la supercherie et m’excuser.

Mais surtout, il m’a fallu revoir ma sécurité.

Non pas que je nageais dans l’irresponsabilité. Mes connexions Twitter se passaient en HTTPS comme il est désormais de rigueur dans ce réseau social, autrement dit, ma messagerie en 140 caractères et moins était chiffrée convenablement (vérifiable sous «Paramètres»). De plus, je n’avais que des applications connues et utilisées par moi qui agissaient avec mon compte (vérifiable sous «Paramètres»).

Quant à mon mot de passe, il était généralement considéré raisonnable. Misère !

Je l’ai vivement changé pour une combinaison réputée «inviolable». Il s’agit de … hé hé, avez-vous cru un instant que je vous la donnerais ? Je vais plutôt vous dire comment je l’ai pondu.


J’aurais pu me servir d’un outil comme celui de PCTool pour y arriver. Plusieurs le font et ils ne s’en portent que mieux. Le problème, c’est que ces mots de passe sont difficiles à mémoriser et ils finissent souvent par être copiés sur un autocollant ou sur un Post-it, ce qui peut s’avérer farfelu. J’ai préféré être imaginatif et choisir quelque chose d’indéchiffrable tout en étant mnémotechnique p. ex. le4SeptGvotepourlesMeilleurs.

J’ai ainsi opté pour une combinaison que j’ai rendue adaptable à toutes les situations requérant un mot de passe. Imaginez que vous ayez quatre frères, une maman et deux pères, dont au moins un de … reconstitué, mais que vous décidiez de mentir aux malfaiteurs en déclarant que vous avez trois sœurs, un papa et une maman. Imaginons que vous choisissiez de le faire en utilisant un des accents régionaux du Québec. Enfin, imaginons que vous vouliez compliquer les choses en remplaçant quelques lettres « o » par des zéros. Auquel cas, vous pourriez avoir un mot de passe ressemblant à G3soeurs1p0paet1m0man. Vous me suivez ?

Maintenant, pour adapter cette collection de lettres minuscules et majuscules ainsi que de chiffres à toutes vos situations, il vous suffirait de lui ajouter un préfixe (ou un suffixe – ou une combinaison des deux). Voici quelques exemples :

Pour Twitter : TWR-G3soeurs1p0paet1m0man
Pour Facebook : Bouc-G3soeurs1p0paet1m0man
Pour Windows : WIN7- G3soeurs1p0paet1m0man
Pour le WiFi : 100fils-G3soeurs1p0paet1m0man
Pour WordPress : WP- G3soeurs1p0paet1m0man
Etc.

Une fois cette étape franchie, vous avez intérêt à vérifier le résultat de votre trouvaille avec un outil spécialisé et, à cette enseigne, il y en a plusieurs (vous pouvez même vous en bidouiller un). Si je reviens au mot de passe qui m’a valu d’être hacké hier, un jeu de 9 majuscules, minuscules et chiffres … qui convenait à ma mémoire, il était évalué à 63 % par le site Password Meter et il était qualifié de «raisonnable» par Sensepost et par Rumkin, ce qui ne m’angoissait pas réellement. Il ne faut quand même pas virer parano ! (Texte – an anglais – intéressant ici)

Or, a posteriori, vérifications faites sur le site spécialisé de Microsoft, mon beau mot de passe a été considéré comme «faible».

Mais sachez que celui qui est en vigueur depuis hier, un mot de passe que j’ai immédiatement mémorisé tellement il m’est apparu facile à moi en raison de mon vécu particulier, a reçu la mention «Best» (y a pas mieux) dudit site de Microsoft .

Ici, il ne faut pas se prendre pour Barak Obama, Hu Jintao, Vladimir Poutine ou Jacques Duchesneau. On n’est que nous. Normalement, nos ordis ne disposent pas de secrets militaro-industriels. Les chances qu’une équipe d’espions, dont des psychologues, s’attaquent à notre mot de passe et le triturent pendant des mois sont nulles. On aura plutôt à faire à des robots et, normalement, face à une résistance estimée importante au bout d’une minute ou deux, ils auront décroché et seront passés au gogo suivant. En gros !

J’espère que mon déboire d’hier a pu vous être utile. C’est connu, le seul avantage à la connerie, la sienne ou celle d’autrui, est de pouvoir en tirer des leçons.

Merci de votre miséricorde à mon endroit !

P.S. – Si vous êtes Québécois, allez voter !

Auteur(e) Nelson Dumais

Voué à un avenir brillant dès sa naissance, Nelson s’est néanmoins pris les pieds dans un ordinateur répandu partout dans un motel désaffecté et ne s’en est pas vraiment remis. C’était à Rimouski en 1981 et le monstre de 64 Ko, une sorte de tombeau en mélamine blanche, cahotait en CP/M, souffrait en anglais et tombait régulièrement mort. Avec l’acharnement d’un anthropologue fou, Nelson recherche depuis lors un ordinateur qui fonctionnera sans défaillance, sans souffrir ni faire souffrir, et cela dans une langue intelligible. Si jamais il trouve, il vous en fera part. C’est juré !

32 commentaires

  • Claude LaFrenière

    Bonjour Nelson Dumais :)

    Vu le message, il était assez évident que cela ne venait pas réellement de vous…

    L’extension WOT de Firefox (en fait Waterfox: le même mais 64 bits) a bien bloqué le site contrefait auquel l’hyperlien menait.

    Pour ajouter à votre collection de sites pour vérifier la robustesse des MdP:

    http://www.yetanotherpasswordmeter.com/

    Suggestion de bidule pour MdP: Password Maker: Ff extension, sur le site ou localement en copiant le site sur le DD…

    http://passwordmaker.org/

    Il suffit d’un bon MdP dans le genre mentionné dans votre billet et les autres sont générés automatiquement selon plusieurs critères.

    Le point remarquable de Password Maker est que par défaut les mdP ne sont stockés nulle part…

    http://passwordmaker.org/F.A.Q.#Where_is_my_master_password_stored.3F

    Bonne journée (même si [comme moi :-/] vous allez perdre vos élections!: ;-)

    Cotez ce commentaire: Thumb up 0 Thumb down 0

  • C’est exactement le schème que j’utilise mais en anglais. Va savoir pourquoi, le schéma pour mes mots de passe me sont venus dans la langue de Shakespeare. Je lis trop les internets en anglais, je pense.
    J’aime bien l’idée du préfixe par contre.
    À date, j’utilise une reformulation de mon mot de passe pour mes différents abonnements mais c’est pas toujours évident de se rappeler quel formulation est utilisée avec quel compte. Un préfixe (ou suffixe) pourrait permettre de mieux “cataloguer” les mots de passe.
    Merci pour l’idée.

    PS
    Aujourd’hui, JE VOTE!!!

    Cotez ce commentaire: Thumb up 7 Thumb down 0

  • Merci Monsieur Nelson,

    Le malheur des uns fait le bonheur des autres.

    Bien sûr ! Je me pensais tout à fait en sécurité avec la qualité de mes mots de passe i.e. Combinaison de majuscules, lettres, chiffres et même quelques #%#$^@& …

    Vérification faite suite à cet article, j’ai eu droit à un réveil brutal et mon “Moi je suis bon” en a pris tout un coup.

    Cotez ce commentaire: Thumb up 6 Thumb down 0

  • C’est con que ce soit un hoax cette histoire avec Brousse Réglisse, moi je trouvais ça cool comme poursuite… J’aurais bien aimé voir la suite.

    B.D.

    Cotez ce commentaire: Thumb up 6 Thumb down 0

  • J’ai également reçu se message privée de ta part, mais je n’en ai pas fait de cas, je savais que je ne devais probablement pas cliquez dessus, car j’ai déjà eu exactement le même d’un autre abonné.

    Cotez ce commentaire: Thumb up 4 Thumb down 0

  • Oh le beau bonnet d’Âne…hihi

    Elle était trop facile ;)

    Bonne chronique par ailleurs, n’ayant pas de secret d’état et ne cliquant jamais sur des liens suspects, mon mot de passe est bon mais sûrement pas inviolable.

    Je vais donc m’y mettre de ce pas.

    Et après, ON vote :)

    Cotez ce commentaire: Thumb up 5 Thumb down 0

  • À RDI ce matin, la journaliste au pupitre en a fait mention de la nouvelle comme vous hier. Elle ne semblait pas être au courant que c’était un canular.

    Cotez ce commentaire: Thumb up 4 Thumb down 0

    • Ce qui veut dire qu’elle n’as pas vérifié la nouvelle.

      Que Nelson se fasse prendre ca me fait juste sourire. Ce n’est pas moi qui lui lancerai la première pierre.

      Hier, j’ai fait référence à la liaison entre Bruce et Willis et j’ai cru pendant des années que le toothing existait vraiment.

      Mais ca donne une idée des standards de qualité à RDI, qui se présente comme la référence en matière d’information. Pitoyable.

      Cotez ce commentaire: Thumb up 0 Thumb down 0

  • @ Nelson

    Vous avez été chanceux dans votre malchance.

    Heureusement pour vous, le hacker n’avait pas encore eu le temps de changer le mot de passe ce qui vous a permis de reprendre le contrôle de votre compte et de le sécuriser à nouveau.

    La plupart des victimes n’ont pas cette chance.

    Bonne journée!

    Cotez ce commentaire: Thumb up 11 Thumb down 0

  • Et on peut savoir qui c’est ce misérable mal nommé “drôle de moineau” qui t’a mené vers ce piège ? Ce n’étais pas innocent à ce que j’en comprends…

    Cotez ce commentaire: Thumb up 4 Thumb down 0

    • Le drôle de moineau ne l’a jamais su. Il avait été hacké lui-même et j’ai réagi à “son” message que le robot malfaisant m’avait envoyé.

      Cotez ce commentaire: Thumb up 8 Thumb down 0

  • Vous un bonnet d’âne! Celui qui n’a jamais péché prenne la première bière!

    Blagues à part, ne vous en faites pas Monsieur Dumais, ce sont des choses qui arrivent. Vous vous en être par ailleurs sorti avec brio en nous enseignant des trucs pour créer de meilleurs mots de passe. Personnellement, mes mots de passe sont la première lettre des mots d’une chanson. On obtient ainsi une suite aléatoire de caractères qui sont faciles à retenir. Je substitue également des caractères afin de compliquer le tout.

    Cotez ce commentaire: Thumb up 7 Thumb down 0

  • Excellent truc, Nelson!

    J’ai aussi le mien pour mémoriser les réponses aux fameuses questions d’identification lorsqu’on s’inscrit à un site.

    Vous trouvez un premier mot et un mot clé sans rapport avec les questions. “zut” et “baobab” dans ces exemples, juste pour vous donner une idée :wink:

    Question: Marque de votre première voiture?

    Réponse: zut auto baobab

    Question: Nom de fille de votre mère?

    Réponse: zut mère baobab

    Vous voyez le genre… Inventez votre propre séquence de mots.

    Pas d’informations précises qui se promènent sur le Web!

    Cotez ce commentaire: Thumb up 3 Thumb down 0

  • Le compte Twitter FFB Canada (Foundation Fighting Blindness) avait également été hacké la semaine dernière. J’avais eu un message privé avec un message bizarre et j’avais cliqué. Ça menait vers une page FB contenant un script de redirection qui redirigeait vers une page de connexion FB contrefaite. Quand j’ai vu la page de login, j’ai regardé l’URL et j’ai fermé l’onglet direct. J’ai ensuite vérifié mes apps FB et changé mon mot de passe.

    Quant à mes mots de passe, j’utilisais déjà des chiffres de substitution dans mes mots de passe qui étaient constitués d’expressions.

    Pour en revenir au canular, @AnonyOps est également tombé dans le panneau, je leur ai twitté le lien.

    Cotez ce commentaire: Thumb up 3 Thumb down 0

  • Super astucieux, super intelligent, super bon… sauf que:
    Allez-vous vous souvenir que dans deux cas…(WIN7 et WP) il y a un espace après le tiret ?
    Bonne journée quand même

    Cotez ce commentaire: Thumb up 4 Thumb down 0

  • Compte Twitter
    Afin de réagir rapidement en cas de tentatives de prise de contrôle de son compte Twitter, il est possible d’y associer son numéro de téléphone mobile afin de recevoir un SMS lors de demande de changement de mot de passe. C’est très pratique dans le cas où l’ordinateur serait volé, car le voleur aurait plus facilement accès au compte de messagerie pour confirmer le changement de mot de passe.

    Gestion des mots de passes
    Afin de sécuriser les accès de ma multitude de comptes sur Internet et serveurs, j’utilise un utilitaire gratos avec le code source ouvert, KeePassX, qui fonctionne sous Windows, OS X et Linux. L’avantage est d’avoir à retenir un seul mot de passe pour protéger le registre.

    Je conserve une copie du registre sur une clé USB avec une version de l’utilitaire pour chaque SE. J’utilise ainsi des mots de passe de la longueur maximale pour chaque site, ce qui dans le cas de 30 caractères ressemble à ceci: ReJLSDcy7=5_B]{24~#z-8Tp]?4qM:

    Élections
    Mon devoir de citoyen est fait: j’ai voté, ce qui me permet, comme le dit Stéphane Laporte, de chialer!

    Cotez ce commentaire: Thumb up 4 Thumb down 0

  • Bonjour,

    Moi, je mets un/des espaces dans mon mot de passe, ce qui semble derouter les robots. Pour l’article (en Anglais):

    http://www.baekdal.com/insights/password-security-usability

    Cotez ce commentaire: Thumb up 3 Thumb down 0

  • Je me suis fait hacker mon compte GMail deux fois ainsi que mon FaceBook, LinkedIn et MSN, jamais mes comptes ont été par faiblesses du mot de passe choisie. À chaque fois, ça a été par un Key-Logger installer sur une machine où je me suis connecter à un de mes comptes ou en cliquant où je n’aurrais pas dû.

    Bref, le “strong” ou autre de mes mot de passe m’inquiètent pas trop.

    Personnellement, j’utilise aussi le truc de Fafouine pour les questions d’identification mais chacun de mes comptes à mon numéro de cellulaire relié, qui permet de recevoir par SMS un nouveau mot de passe.

    Si vous avez un Hacker particulièrement pernicieux qui a changé, mot de passe, question d’identification et votre numéro de cellulaire, ne vous génez pas appeller directement chez Facebook, Google ou autre. Personnellement j’ai eu un service hors pair de la part de Google pour un service gratuit.

    Rémi

    Cotez ce commentaire: Thumb up 6 Thumb down 0

  • @Nelson

    Je n’ai pas trop saisi si vous avez fourni votre mot de passe en clair au hacker?

    Si vous vous êtes authentifié dans un site bidon, la qualité de votre mot de passe n’as rien a voir. Il a recu le mot de passe en clair. Même si transmis par https, il est en clair. Ce n’est qu’un champ dans un form.

    Le lien «raccourci» a cause de la limite de 140 caractères devient une belle excuse pour faire une redirection sauvage.

    Votre seul chance de survie est de vérifier l’url dans la barre d’adresse avant d’entrer votre mot de passe.

    J’ai recu un email bidon de ma banque récemment. En placant ma souris au dessus du lien, j’ai vu la vraie adresse, savamment maquillée.

    Donc, avant de vous authentifier:
    1) pointer votre fureteur vers un domaine connu de vous.
    2) si vous suivez un lien, verifiez attentivement l’url.
    3) s’il est compliqué, fermez l’onglet.

    Cotez ce commentaire: Thumb up 7 Thumb down 0

    • “Le lien «raccourci» a cause de la limite de 140 caractères devient une belle excuse pour faire une redirection sauvage.”

      On peut aussi prendre le temps de copier/coller un lien raccourci sur http://www.longurl.org et voir ce que ça donne.

      “http://t.co/VTVvCpH0″ mène à “http://www.nelsondumais.com/2012/09/04/securite-mot-de-passe-et-twitter/”

      Je ne sais pas si mon commentaire ira en modération… on verra!

      Cotez ce commentaire: Thumb up 4 Thumb down 0

      • Je veux juste dire qu’on devient habitué de cliquer sur un raccourci et que les phishers exploitent cette habitude.

        Il faut être méfiant et faire comme vous, exposer le vrai lien et le lire. Vous et moi, on va comprendre mais c’est pas parce qu’on twitte qu’on comprend le concept de domaine.

        http://www.nelsondumais.com.zz/home, etc

        Cotez ce commentaire: Thumb up 4 Thumb down 0

      • À mon avis la réduction des URI (tinyurl et compagnie) est un pure abomination. Sous Firefox une extension permet d’afficher en tout temps l’URI originale et non la version réduite. Il suffit de consulter ce document (pdf) pour se rendre compte qu’une simple addresse peut contenir bien plus qu’il n’y parait, d’où l’importance de pouvoir la visualiser à tout moment.

        Cotez ce commentaire: Thumb up 1 Thumb down 0

  • Le temps ne fait rien à l’affaire…

    Écoute mon ti-Nel, même le Monde s’est fait avoir et, comme toi, a eu un peu l’air fou. J’ai lu un article allant dans le même sens que le tien, et tantôt, un correctif ;
    http://bigbrowser.blog.lemonde.fr/2012/09/03/round-2-bruce-willis-vs-apple/

    Médite l’impartial message…

    Alex

    Cotez ce commentaire: Thumb up 4 Thumb down 0

  • Merci Nelson pour cette astuce sur la sécurité des mots de passe, excellent !
    Aujourd’hui j’ai fait mon devoir de citoyen et j’en profite pour encourager tous les lecteurs de cette chronique (future ‘’magazine’’ dans 3 dodo) à cliquer avec fidélité sur les petites pubs, ce geste ayant pour but de couvrir les frais de Nelson. Ne lâchons pas !

    Cotez ce commentaire: Thumb up 5 Thumb down 0

    • Pas de cliquage, pas de magazine durable :sad:

      Allez-y! Que la clique clique!!!

      Cotez ce commentaire: Thumb up 9 Thumb down 0

  • sans vouloir retourner le fer dans la plaie…meme si on a un mot de passe inviolable,il faut se tenir loin des liens bizarres,l’experience est la meilleure ecole.
    meme si c’est du cinema il y a le film “Gone in sixty seconds” inviolable n’est pas dans leur vocabulaire!!

    Cotez ce commentaire: Thumb up 4 Thumb down 0

    • Améliorer son mot de passe quand on vient de se faire phisher, c’est comme se casser une jambe et mettre un platre sur le bras.

      Cotez ce commentaire: Thumb up 5 Thumb down 0

  • J’ai vérifié mes mots de passe, ils sont tous « Best ». C’est l’avantage d’être handicapé ! J’utilise un clavier à l’écran, appelé WiVik, qui me permet de créer des abréviations. Chaque abréviation correspond à un mot de passe très long. Mon mot de passe Gmail contient 28 caractères, mais je n’ai qu’à taper mdpg et WiVik se charge du reste. Je garde quand même une liste de tous mes mots de passe, au cas où…

    Cotez ce commentaire: Thumb up 2 Thumb down 0

  • Bravo pour le site, je vais donc avoir le plaisir de continuer à vous lire ainsi que vos collaborateurs.

    Cotez ce commentaire: Thumb up 1 Thumb down 0