Assiste.com
Attaque des mots de passe par authentification frauduleuse
Attaque par authentification frauduleuse : un cybercriminel monte une structure aux apparences respectables afin d'obtenir une certification par une autorité.
cr 10.11.2009 r+ 05.11.2022 r- 27.04.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
|
Sécurité des mots de passe |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Le protocole HTTPS permet de chiffrer (crypter) les communications entre un « client » (l’internaute depuis son appareil) et un « serveur » (l'appareil sur lequel est hébergé le service consulté) dans une « relation client/serveur ». Le chiffrement à un bout puis le déchiffrement à l'autre bout se font en utilisant des « clés » (des codes) qui peuvent être symétriques (la même clé de chaque côté) ou asymétriques (des clés différentes de chaque côté).
Lorsque le service exige que l'internaute s'identifie, avec le couple « identifiant / mot de passe », le service (le site Web) doit être certifié par une autorité de certification.
Des sociétés commerciales fleurissent en tant qu'organismes de certification qui authentifient (certifient) que les clés et leur mise en oeuvre sont bien l'objet d'un fournisseur d'un service Web. Ces certifications sont facturées aux fournisseurs de services Web et, comme il n'y a pas grand-chose à faire sauf facturer annuellement les fournisseurs de services Web, ces sociétés de certifications sont parfois douteuses.
Pour assurer que ces sociétés de certifications d'authenticité sont « authentiquement » des sociétés de certifications, il existe, au-dessus d'elles, des organismes certificateurs, enregistrés et certifiés auprès d'autorités publiques et/ou d'autorités de gouvernance de l'Internet, qui vérifient et certifient que ces sociétés de certifications « de base » sont authentiques et certifiées et ont donc le droit de délivrer des certificats électroniques d'authentification.
Le problème fondamental des certificats est qu'ils sont émis par de simples sociétés commerciales qui s'autoproclament « Autorité de certification » et se gargarisent de « Politiques de certification », etc. afin d'être elles-mêmes certifiées. Il y a tant d'argent à se faire si facilement. Rien n'empêche un cybercriminel en col blanc de monter une structure aux apparences respectables et d'obtenir une certification de certifieur. Il pourra sévir un certain temps.
D'autre part, des certificats frauduleux peuvent être forgés.
Le cas le plus médiatisé d'authentification frauduleuse est celui dit du « Virus Stuxnet », découvert en juin 2010, qui a permis de prendre le contrôle des process industriels commandant les centrifugeuses du programme nucléaire iranien et de les détruire, ralentissant de deux ans, selon les observateurs, la progression de ce programme nucléaire. Pourtant, l'ensemble du dispositif informatique de cette usine n'était même pas connecté à l'Internet.
Le « Virus Flame », découvert en mai 2012, ciblant essentiellement le vol de documents sur le programme nucléaire iranien, utilisait aussi des certificats d'authentification frauduleux. Microsoft a publié le 3 juin 2012 et mis à jour le 13 juin 2012 ses procédures de certifications digitales.
| Aidez Assiste – autorisez quelques publicités et cliquez-les |
Le protocole HTTPS permet de chiffrer (crypter) les communications entre un « client » (l’internaute depuis son appareil) et un « serveur » (l'appareil sur lequel est hébergé le service consulté) dans une « relation client/serveur ». Le chiffrement à un bout puis le déchiffrement à l'autre bout se font en utilisant des « clés » (des codes) qui peuvent être symétriques (la même clé de chaque côté) ou asymétriques (des clés différentes de chaque côté).
Lorsque le service exige que l'internaute s'identifie, avec le couple « identifiant / mot de passe », le service (le site Web) doit être certifié par une autorité de certification.
Des sociétés commerciales fleurissent en tant qu'organismes de certification qui authentifient (certifient) que les clés et leur mise en oeuvre sont bien l'objet d'un fournisseur d'un service Web. Ces certifications sont facturées aux fournisseurs de services Web et, comme il n'y a pas grand-chose à faire sauf facturer annuellement les fournisseurs de services Web, ces sociétés de certifications sont parfois douteuses.
Pour assurer que ces sociétés de certifications d'authenticité sont « authentiquement » des sociétés de certifications, il existe, au-dessus d'elles, des organismes certificateurs, enregistrés et certifiés auprès d'autorités publiques et/ou d'autorités de gouvernance de l'Internet, qui vérifient et certifient que ces sociétés de certifications « de base » sont authentiques et certifiées et ont donc le droit de délivrer des certificats électroniques d'authentification.
Le problème fondamental des certificats est qu'ils sont émis par de simples sociétés commerciales qui s'autoproclament « Autorité de certification » et se gargarisent de « Politiques de certification », etc. afin d'être elles-mêmes certifiées. Il y a tant d'argent à se faire si facilement. Rien n'empêche un cybercriminel en col blanc de monter une structure aux apparences respectables et d'obtenir une certification de certifieur. Il pourra sévir un certain temps.
D'autre part, des certificats frauduleux peuvent être forgés.
Le cas le plus médiatisé d'authentification frauduleuse est celui dit du « Virus Stuxnet », découvert en juin 2010, qui a permis de prendre le contrôle des process industriels commandant les centrifugeuses du programme nucléaire iranien et de les détruire, ralentissant de deux ans, selon les observateurs, la progression de ce programme nucléaire. Pourtant, l'ensemble du dispositif informatique de cette usine n'était même pas connecté à l'Internet.
Le « Virus Flame », découvert en mai 2012, ciblant essentiellement le vol de documents sur le programme nucléaire iranien, utilisait aussi des certificats d'authentification frauduleux. Microsoft a publié le 3 juin 2012 et mis à jour le 13 juin 2012 ses procédures de certifications digitales.
- Authentification faible d'un mot de passe
- Authentification forte d'un mot de passe
- Choisir un mot de passe
- Comment créer un mot de passe
- Comment créer un mot de passe compliqué simplement
- Création de mots de passe
- Évaluation d’un mot de passe
- Générateur de mots de passe
- Générateur de mots de passe aléatoires
- Générateur de mots de passe complexes
- Générateur de mots de passe forts
- Générateur de mots de passe incassables
- Générateur de mots de passe uniques
- Générateur gratuit de mots de passe
- Générer un mot de passe
- Générer un mot de passe compliqué
- Générer un mot de passe solide
- Générer un mot de passe solide simplement
- Gérer vos mots de passe
- Les conseils d'Assiste.com pour un bon mot de passe
- Mot de passe complexe
- Mot de passe faible
- Mot de passe fiable
- Mot de passe fort
- Password Check
- Quel est le niveau de force de mon mot de passe
- Quel est le niveau de sécurité de mon mot de passe
- Quel est le niveau de solidité de mon mot de passe
- Qu'est-ce qu'un mot de passe sécurisé
- Sécurisez vos mots de passe
- Test d’un mot de passe
- Test de solidité d’un mot de passe
- Testeur gratuit de mots de passe
- Vérification de la force d'un mot de passe
- Vérification de la solidité d'un mot de passe
- Vérification d'un mot de passe
