EureNet.com - Integration de vos projets Sécurité = Informatique & Internet


lundi 15 novembre 2010

Vers des contrôles plus efficaces

Avez-vous déjà déclenché une fausse alerte en téléchargeant un fichier sur un site Internet comme VirusTotal ? Il arrive que non pas un, mais plusieurs analyseurs détectent le fichier. Cela aboutit à une situation absurde : les utilisateurs se font tout de suite une mauvaise image des produits qui ne détectent pas ce fichier, parce qu'ils ne comprennent pas qu'il s'agit simplement d'un faux positif.
Malheureusement, ce type de problème affecte beaucoup de tests antivirus, en particulier des tests statiques à la demande, lors desquels des centaines de milliers d'échantillons peuvent être analysés.
En effet, la validation d'un si grand nombre d'échantillons demande tant de ressources que la plupart des testeurs contrôlent seulement une partie des fichiers qu'ils utilisent.
Dépendant en large part des bons résultats de leurs tests, les sociétés d'antivirus ont mis en place un système de détection multianalyseur. Les fournisseurs d'antivirus, y compris Kaspersky Lab, scannent les fichiers suspects en utilisant les analyseurs des uns et des autres depuis de longues années : il est évidemment utile de connaître les résultats trouvés par les autres fournisseurs d'antivirus.
Un magazine informatique allemand a réalisé une expérience dans ce sens et en a publié les résultats lors d'une conférence sur la sécurité en octobre dernier. Les responsables del'expérience ont créé un fichier propre, puis nous ont demandé d'y ajouter une fausse détection avant de le télécharger sur VirusTotal. Quelques mois plus tard, ce fichier était détecté par plus de 20 analyseurs sur VirusTotal. ? l'issue de cette présentation, les représentants de plusieurs fournisseurs d'antivirus reconnaissaient qu'il fallait faire quelque chose. Mais la détection multianalyseur n'est que le symptôme, et non la cause : la source du problème réside dans la méthodologie de test elle-même.
C'est en partie dans le but d'améliorer les méthodologies d'essai qu'un certain nombre de sociétés d'antivirus (dont Kaspersky Lab), de chercheurs et de testeurs indépendants ont fondé l'AMTSO (Anti-Malware Testing Standards Organization, organisme de normalisation des tests anti-programmes malveillants), il y a deux ans de cela. Nous avons décidé d'illustrer ce problème lors de notre récente tournée de presse à Moscou, où nous avons accueilli des journalistes venus du monde entier. L'objectif était, bien sûr, de faire ressortir les effets néfastes des tests statiques à la demande bon marché.
Nous avons procédé comme le magazine informatique allemand l'avait fait l'année dernière, mais avec un plus grand nombre d'échantillons. Nous avons créé 20 fichiers propres et ajouté une fausse détection à 10 d'entre eux. Les jours suivants, nous avons téléchargé à nouveau l'ensemble des 20 fichiers sur VirusTotal pour voir ce qui se passerait.
Dix jours plus tard, pas moins de 14 autres sociétés d'antivirus détectaient tous nos fichiers modifiés (mais pas malveillants) ; dans certains cas, la fausse détection était probablement le résultat d'une heuristique agressive, mais l'utilisation d'analyses multiples a manifestement influencé certains résultats. Nous avons transmis tous les échantillons utilisés aux journalistes afin qu'ils puissent juger par eux-mêmes.
Maintenant, que faire ? La bonne nouvelle, c'est qu'au cours de ces derniers mois, certains testeurs ont déjà commencé à étudier de nouvelles méthodologies de test. Plutôt que d'effectuer des analyses statiques à la demande, ils s'efforcent de tester toute la chaîne d'éléments de détection : module anti-spam, protection dans le nuage, détection à partir de la signature, émulation, analyse en temps réel basée sur le comportement, etc. En fin de compte, ce sont bien sûr les magazines qui décident ou non d'appliquer ce type de test et d'abandonner les approches désuètes.
Si nous renonçons aux tests statiques à la demande et à leurs innombrables échantillons invalidés, la copie de classements en sera considérablement réduite, les résultats des tests seront plus proches de la réalité (même si les taux de détection de 99,x % disparaissent) et cela bénéficiera à tout le monde : à la presse, aux utilisateurs et à nous aussi, bien sûr.

Source:

vendredi 12 novembre 2010

La sécurité perce le nuage de cendres

Malgré la paralysie de l'espace aérien européen suite à l'éruption du volcan islandais, le salon Infosecurity Europe 2010 a attiré une foule immense de visiteurs. Les principaux thèmes abordés cette année étaient la perte de données, la sécurité dans le nuage informatique et le Web 2.0. Beaucoup de stands d'exposition ont été très appréciés, mais ce qui semble avoir attiré autant de monde, c'est surtout les divers ateliers et présentations couvrant tous les domaines, depuis les dernières technologies du secteur jusqu'à la stratégie commerciale.

L'issue de ce match-là ne faisait aucun doute : Infosecurity Europe : 1 ; nuage de cendres : 0. Malgré les perturbations dans l'espace aérien européen, la plus grande manifestation britannique consacrée à la sécurité, qui fête cette année son 15e anniversaire, a attiré un nombre record d'exposants et de visiteurs. Près de 12 500 enthousiastes sont venus profiter des offres présentées par les 324 exposants. Beaucoup de visiteurs ont répondu à l'appel des nombreux intervenants célèbres et respectés, venus prononcer un discours d'introduction ou animer des ateliers, et des sociétés qui ont choisi ce salon pour présenter leurs actualités marquantes. Parmi elles, Symantec a annoncé l'achat de la société de chiffrement PGP et GuardianEdge pour la modique somme de 370 millions de dollars américains. Deux conférences en particulier ont retenu l'attention du public : celle du groupe Pricewaterhouse Coopers (PwC), consacrée aux résultats de son étude sur la perte des données, et celle où David Smith, commissaire adjoint à l'ICO (Information Commissioner's Office, l'équivalent britannique de la Cnil), a déclaré que des pénalités plus lourdes seraient appliquées en cas de perte de données des clients.

DEUX EVENEMENTS EN UN : EXPOSITION ET CONFERENCES

Comme à leur habitude, les organisateurs d'Infosecurity 2010 ont proposé deux événements en un. Le hall d'exposition central servait de lieu de rendez-vous aux sociétés exposantes ; des box y avaient été installés pour permettre aux visiteurs et aux représentants des entreprises de s'entretenir à l'écart de la cohue et du bruit, un agencement très apprécié des exposants comme des visiteurs. Nina Malchus, directrice de l'édition chez SecuMedia et habituée de ce salon a donné son impression sur le hall d'exposition : « le hall est un endroit très animé et fait une forte impression sur le visiteur. Il y a énormément à voir, à étudier et à tester, mais si l'on a toute la journée devant soi, on peut arriver à faire le tour de tous les stands. » David Tomlinson, directeur general de Data Encryption Systems a également été impressionné. « Nous avons reçu la visite d'un grand nombre de visiteurs qui souhaitaient réellement travailler avec nous.

Ce salon est l'endroit idéal pour rencontrer de nouveaux clients. » Les analystes ont d'ailleurs confirmé ce sentiment.« En tant qu'analyste, je pense qu'Infosecurity Europe est l'événement le plus important de l'année », a déclaré Nigel Stanley, responsable de la sécurité informatique chez Bloor Research. « C'est là que l'on rencontre les fabricants et que l'on se tient informé des dernières tendances du secteur. Pour moi, ce n'est vraiment pas une perte de temps. » Si le salon attire autant de visiteurs et de fabricants, c'est à la fois grâce au professionnalisme de Claire Sellick, responsable événementiel pour Infosecurity Europe, et à cause de la forte aggravation des menaces dans le domaine de la sécurité informatique. Après plusieurs années de calme relatif, les entreprises britanniques doivent aujourd'hui faire face à une déferlante de cyber-attaques, dont l'impact est estimé à plus de 10 milliards de livres sterling par an. « Cela montre à quel point de la gestion de la sécurité informatique est importante », conclut Sellick.

LA PERTE DE DONNEES, POINT DE MIRE DU DISCOURS D'OUVERTURE

Dans son discours d'ouverture, David Smith, commissaire adjoint à l'Information Commissioner's Office, a dressé le constat suivant : « En un peu plus de deux ans, 960 déclarations de perte de données ont été enregistrées, soit une moyenne de 30 par mois », a-t-il indiqué. D'après les informations qui lui ont été communiquées, le NHS (National Health Service, service de santé national du Royaume-Uni) était responsable d'environ 30 pour cent des données perdues. Selon David Smith, « il est très probable que dans un très proche avenir, le signalement des pertes de données aux autorités deviendra une obligation légale au Royaume-Uni ». Même des recherches menées par Pricewaterhouse Coopers ne laissent rien présager de très optimiste. L'année dernière, le nombre de grandes entreprises victimes d'un incident de sécurité ou d'une perte de données atteignait le pourcentage inquiétant de 92 %. D'après cette étude, « A Survey of Information Security Breaches » (Etude sur les infractions à la sécurité informatique), les cyber-délinquants s'organisent en fonction des domaines d'activité et le secteur a par conséquent besoin de moyens de protection appropriés. Pourtant, de nombreuses entreprises restent tristement vulnérables ou sont mal préparées à combattre les menaces qui pèsent sur elles. Pour de nombreux visiteurs d'Infosecurity 2010, les ateliers proposés représentaient l'élément le plus intéressant du salon. Les organisateurs avaient structuré l'événement en trois parties : les discours d'introduction, la stratégie commerciale et la technologie. Les présentations sur la stratégie commerciale ont reçu des éloges unanimes. Leur durée, limitée à 45 minutes, convenait parfaitement aux visiteurs qui souhaitaient recueillir autant d'informations que possible dans un court laps de temps. Le public a énormément apprécié de voir que les sessions n'avaient pas été sacrifiées sur l'autel du marketing et des ventes. L'intervention de Ian Mann sur l'ingénierie sociale a été particulièrement applaudie. L'auteur de Hacking the Human a cité plusieurs anecdotes amusantes afin d'expliquer en quoi l'animal humain assis devant un écran représente la plus grosse menace pour la sécurité de la plupart des entreprises.

EUGENE kASPERSkY ENTRE AU PANTHEON DE L 'INFORMATIQUE

Le discours « Cyber Warfare - War Stories from the Front Lines » (Cyber-guerre : récits d'un intervenant du front) a également été chaleureusement applaudi. ? en juger par les longues files d'attente qui se formaient devant l'entrée, il était évident qu'un événement spécial allait avoir lieu. La présentation suivante, assurée par Marc Kirby et Sean Hanna, a probablement constitué le moment le plus amusant et le plus intéressant du salon Infosecurity Europe 2010. Eugene Kaspersky, PDG de Kaspersky Labs, a également pris la parole pour partager sa vision de l'avenir des technologies de l'information. Selon lui, le smartphone aura le monopole, et tout le monde en aura un. Kaspersky, entré au panthéon de l'informatique au cours d'Infosecurity 2010, a déclaré avec énergie que le monde assisterait à un formidable développement des équipements et des logiciels pour smartphones. « Je pense que les smartphones auront bientôt assez de puissance et de mémoire pour accueillir nos données personnelles, mais aussi des films, des photos et d'autres types de documents », a-t-il déclaré, avant de poursuivre : « Nous n'aurons plus l'usage des ordinateurs. Pour quoi faire ? Tout ce dont nous avons besoin c'est un clavier, un écran et une connexion réseau. » Une telle révolution se traduirait par une forte hausse du nombre d'attaques contre les appareils mobiles. Ceux-ci sont toutefois beaucoup plus faciles à protéger grâce à l'infrastructure centralisée du fournisseur. Comme en témoigne le nombre toujours croissant de visiteurs et d'exposants, Infosecurity Europe va dans la bonne direction. Selon Claire Sellick, cet événement doit son succès grandissant à une prise de conscience dans les entreprises : elles réalisent que la sécurité informatique est aujourd'hui une condition essentielle à la mise en place de nouveaux produits et services rentables. Les événements comme celui-ci, qui permettent rencontres et échanges entre les fournisseurs et les clients, sont sans aucun doute l'avenir du secteur informatique. Sellick a annoncé que 82 pour cent des stands disponibles pour Infosecurity Europe 2011 avaient déjà été réservés.

RE

Source :

mardi 9 novembre 2010

Rootkits, le défi

Ce n'est certainement pas un hasard si le mot « rootkit » revient de plus en plus souvent dans les discussions sur les épidémies massives, les botnets ou les autres menaces particulièrement sérieuses pour la sécurité informatique. De fait, ces logiciels malveillants sont actuellement considérés comme particulièrement dangereux pour les utilisateurs de PC et comptent pour une large part dans les difficultés rencontrées par les éditeurs d'antivirus dans leur lutte contre les auteurs de malware.
Nous avons demandé à Vyacheslav Rusakov, spécialiste des logiciels au sein du groupe de recherche contre les programmes malveillants les plus complexes chez Kaspersky Lab, de nous indiquer comment les éditeurs d'antivirus traitent ce type de programme malveillant et quelles sont les perspectives immédiates.

SV : Depuis un an ou deux, on entend de plus en plus parler des menaces qui pèsent sur nos activités numériques du fait de programmes malveillants comme les rootkits. Le problème est-il vraiment si grave ? Quelles les sont les difficultés rencontrées par ceux qui luttent contre ces menaces ?
V : Les programmes malveillants complexes ont toujours existé parallèlement à des formes plus simples. La majorité des programmes malveillants ne sont pas très compliqués du point de vue technologique, et en cela les root-kits n'ont rien d'original. En fait, il existe juste une poignée de rootkits vraiment complexes.Les types les plus courants se composent de pilotes élémentaires en mode noyau qui masquent ou limitent l'accès aux fichiers système et aux branches du registre, et qui occultent les activités frauduleuses du programme malveillant. C'est ce comportement qui rend difficiles la détection et l'élimination du code malveillant du rootkit par certains produits antivirus. Mais pour la plupart des antivirus un peu plus performants, ces rootkits sont très faciles à détecter, à analyser et à éliminer.
La situation se complique nettement si l'on a à faire à des rootkits plus complexes. Heureusement, pour le moment il n'en existe pas beaucoup, essentiellement parce que leur création présente de grandes difficultés techniques. Mais ce sont ces rootkits qui sont intégrés aux programmes utilisés par les cyber-délinquants pour créer des réseaux de zombies à grande échelle, et malheureusement, ils se diffusent très rapidement. Les pirates prennent très au sérieux la création de root-kits, ce qui complique très vite la tâche des analystes antivirus, dès la réalisation de l'analyse statique du programme malveillant. Pour corser le tout, les auteurs de root-kits ont recours à l'obscurcissement et au polymorphisme pour mieux cacher le caractère criminel du code exécutable. Lorsqu'un root-kit est spécialement conçu pour infecter les fichiers système, les choses deviennent extrêmement compliquées, car il faut identifier le mode de fonctionnement de l'infection par le virus avant d'élaborer un algorithme capable de le neutraliser.
Après l'analyse statique, l'analyste doit réaliser une analyse dynamique dans une zone de test spéciale.
Les résultats de cette analyse doivent confirmer et compléter les informations fournies par l'analyse statique. Ces informations seront ensuite utilisées pour effectuer une détection en mémoire et désactiver le rootkit actif. Parfois, la détection d'un rootkit est à l'origine du développement d'un ensemble de technologies entièrement nouveau et original permettant de détecter et de traiter les programmes malveillants

SV : Quelles méthodes détournées les cyber-délinquants emploient-ils pour tenter d'infecter un système ?
V : Parmi les dernières tendances, la plus notable consiste à infecter les pilotes en mode noyau et le MBR. Ces rootkits cachent soigneusement leur présence sur l'ordinateur de leur victime et sont extrêmement résistants. Kaspersky Lab a développé ses propres méthodes et procédures pour détecter et traiter les ordinateurs infectés par ce type de menace. Concernant les rootkits particulièrement dangereux que sont Bootkit et TDSS (TDL3), des technologies innovantes et extrêmement spécialisées ont été mises au point pour garantir la détection de tous les rootkits qui, dans l'avenir, auront des modes de fonctionnement similaires.

SV : On entend des rumeurs sur les risques de voir des infections du BIOS commencer à circuler. Qu'en pensez-vous ? Est-ce pos-sible ?
V : Malheureusement, ce sont plus que des rumeurs. Nous avons la preuve que ces technologies existent. Le BIOS de l'ordinateur est la base de lancement idéale pour les root-kits. Avec cette méthode d'infection, le rootkit peut s'activer avant même que le système d'exploitation ait pu se charger. En théorie, on pourrait tout à fait voir apparaître des root-kits de ce type. Mais ils sont très longs à créer à cause de la complexité de la technologie sous-jacente. Pour commencer, le BIOS doit être reprogrammé, ce qui est en soi une tâche difficile puisqu'elle nécessite un accès local au PC ; ensuite, il ne faut pas oublier que le BIOS est différent selon le fabricant et qu'il ne peut donc pas exister de méthode universelle d'infection. Je ne dis pas que ces difficultés sont insurmontables, mais à l'heure actuelle cette solution est très difficile à mettre en ?uvre. Il n'est pas vraiment possible de donner une réponse catégorique. L'avenir nous dira ce qu'il en est. Mais je peux vous assurer que si ce type de programme malveillant devait voir le jour, les laboratoires d'antivirus qui manquent de personnel qualifié seraient en grande difficulté.

SV : Que se passerait-il si du code malveillant parvenait à atteindre le firmware de différents composants ? Par exemple, des cartes réseau ou vidéo ?
V: Pour moi, le plus vraisemblable serait que les vulnérabilités des pilotes qui desservent ces composants soient exploitées. Mais si on regarde les choses depuis un autre angle, si le code malveillant est capable de prendre le contrôle avec ce type d'infection, il faut prendre le risque très au sérieux. N'oubliez pas que le principal objectif des cyber-délinquants, c'est de gagner de l'argent. Plus les méthodes utilisées sont simples, moins ils ont de frais. C'est la raison pour laquelle les technologies complexes ne prendront le pas que lorsque les méthodes moins sophistiquées seront devenues obsolètes et ne rapporteront plus. Jusque-là, seuls quelques chercheurs spécialisés continueront de s'atteler à la question.

SV : Est-il possible d'exploiter les vulnérabilités du processeur pour créer des rootkits pratiquement indétectables ? Les éditeurs d'antivirus seraient-ils capables de combattre de telles menaces ?
V : On peut faire des erreurs dans n'importe quel type de logiciel et le microcode du processeur ne fait pas exception. Mais je doute que, dans la pratique, il soit possible de les exploiter. En fait, d'un point de vue technologique, il est très difficile de tirer parti de vulnérabilités de ce type. Il faut tenir compte de toutes les difficultés à surmonter pour créer un outil d'exploitation qui soit universel. Dans tous les cas, je suis certain que si une telle menace devait émerger, les éditeurs d'antivirus sortiraient le grand jeu pour fournir à leurs utilisateurs un produit à jour capable de contrer cette menace.

RE

Source :

jeudi 4 novembre 2010

Bientôt la fin des mille et un mots de passe ?

Le gouvernement français a proposé une initiative visant à remplacer tous les mots de passe d'utilisateurs par un seul certificat numérique qui donnerait accès à tous les services Internet du pays.D'après les auteurs du projet,l'introduction d'un identifiant universel, ou « IdeNum », pourrait sonner le glas des mille et une combinaisons de chiffres, de lettres et de symboles que chacun s'efforce de mémoriser et qui sont censées sécuriser nos données lorsque nous naviguons sur Internet. Selon les statistiques fournies par Trusteer, 73 % des personnes interrogées ont avoué utiliser le mot de passe de leur banque pour accéder à d'autres services en ligne.
L'intégration d'un système d'IdeNum simplifierait le processus d'autorisation pour les utilisateurs des ressources (privées ou publiques) participant à ce programme, et les formulaires en ligne serait automatiquement remplis. L'identifiant universel pourrait être conservé sur un périphérique autonome, comme une carte mémoire, une carte à puce ou une carte SIM.
? ce jour, plus de 20 institutions nationales, dont l'Association française des banques, la Fédération française des compagnies d'assurance et la Poste, se sont déclarées prêtes à participer à cette étude. Un prototype du système d'authentification doit être présenté d'ici le milieu de l'année, suivi de l'introduction d'un système totalement opérationnel en 2011. La durée de vie d'un certificat numérique sera probablement limitée à entre trois et cinq ans.
Il ne fait aucun doute que la réalisation d'un projet aussi complexe demandera beaucoup de moyens et de ressources financières. En effet, le système d'authentification doit non seulement certifier l'identité des utilisateurs, mais aussi garantir la sécurité des données,problème de plus en plus important depuis l'apparition des chevaux de Troie bancaires.
Ces chevaux de Troie sont capables d'intercepter des transactions en temps réel et de modifier des informations sans qu'aucun participant ne s'en aperçoive. Protéger les certificats numériques contre le vol représente donc un sérieux défi. Cette « clé du paradis » deviendra sûrement le Graal des chasseurs du Net en quête de l'argent des internautes imprudents.

Source:

mercredi 3 novembre 2010

Expansion des dangers de l'Internet

D'après un sondage réalisé par Sophos, la quantité de spams et de messages nuisibles sur les réseaux sociaux a augmenté de 70 % au cours des 12 derniers mois.
? la fin de l'année, plus de 500 organisations avaient participé au sondage. Quelques 57 % des utilisateurs professionnels ont dit avoir reçu des spams alors qu'ils visitaient des sites de réseaux sociaux, 36 % ont signalé des programmes nuisibles et 30 % ont été victimes d'attaques d'hameçonnage.
Parmi les personnes interrogées, 72 % affirment être conscientes qu'une utilisation irresponsable des réseaux sociaux par les employés peut compromettre la sécurité d'une entreprise, 60 % des critiques étant dirigées vers Facebook. Il est évident que, de tous les sites de réseaux sociaux disponibles en Occident, c'est Facebook qui réunit le plus grand nombre de membres. D'après Sophos, la plupart des administrateurs de sites de réseaux sociaux se soucient bien plus d'étendre leurs parts de marché que de protéger leurs utilisateurs contre la cybercriminalité. Il semble donc paradoxal que la plupart des personnes interrogées (13 % de plus que l'année dernière) autorisent leurs employés à se rendre sur Facebook depuis leur lieu de travail sans qu'aucune restriction ne soit imposée.
Les experts soutiennent que même si LinkedIn (réseau social permettant à ses utilisateurs de rechercher des contacts professionnels intéressants) n'est pas considéré comme un danger direct pour les entreprises, les informations personnelles publiées sur ce serveur pourraient constituer une mine d'or pour les cyber-délinquants. En effet, étant essentiellement utilisé par des professionnels, LinkedIn pourrait facilement devenir une sorte de répertoire des ressources en personnel des entreprises et fournir de précieuses informations aux pirates.

Source:

mardi 2 novembre 2010

Les mots de passe vulnérables toujours très prisés

Plus un mot de passe est court et simple, plus il est sensible aux attaques élémentaires, qui utilisent des méthodes de force brute. Il compromet ainsi la sécurité des données utilisateur, alors que les pirates informatiques adoptent des techniques de déchiffrement de mots de passe de plus en plus sophistiquées. Pourtant, les utilisateurs continuent de choisir des mots de passe très vulnérables. L'Imperva Application Defense Center (centre de défense des applications d'Imperva) a analysé la résistance des mots de passe d'un grand nombre d'utilisateurs. Il a publié les résultats de cette étude dans son rapport « Consumer Password Worst Practices » (les pires habitudes de mot de passe des consommateurs).

Les principales conclusions du rapport sont les suivantes :

  • Environ 30 % des utilisateurs ont choisi des mots de passe vulnérables de longueur inférieure ou égale à six caractères.
  • Près de 60 % des utilisateurs ont choisi leur mot de passe dans un ensemble limité de caractères alphanumériques.
  • Près de 50 % des utilisateurs ont choisi des noms, des mots courants, des termes argotiques ou des mots de passe de structure facile à deviner, comme des suites de chiffres ou des touches de clavier adjacentes. Exemple : « 123456 », « 12345 », « 123456789 » ou encore « Motdepasse ».

Quelques recommandations à l'intention des utilisateurs :

  1. Choisissez un mot de passe fort pour les sites qui stockent les informations personnelles les plus importantes. Bruce Schneier est de bon conseil. Voici sa recommandation : « Prenez une phrase et transformez-la en un mot de passe. Par exemple, ??This little piggy went to market? (ce petit cochon est allé au marché) pourrait donner ??tlpWENT2m?. Ce mot de passe de neuf caractères ne figurera dans aucun dictionnaire. »
  2. Utilisez un mot de passe différent pour chaque site, même ceux dont la confidentialité n'est pas un problème. Pour vous aider à mémoriser les mots de passe, nous vous recommandons à nouveau de suivre le conseil de Bruce Schneier : « Si vous n'arrivez pas à vous souvenir de vos mots de passe, écrivez-les sur un bout de papier que vous glisserez dans votre portefeuille. Mais n'écrivez que la phrase, ou mieux encore, un indice qui vous aidera à vous souvenir de votre phrase ».
  3. Ne confiez jamais vos mots de passe importants (courrier électronique, opérations bancaires, informations médicales, etc.) à une tierce personne.

Quelques recommandations à l'intention des administrateurs :

  1. Appliquez une politique de mot de passe fort (si vous leur laissez le choix, les utilisateurs choisiront très probablement un mot de passe vulnérable).
  2. Vérifiez que les mots de passe ne sont pas transmis en texte clair. Utilisez toujours https pour les identifiants de connexion. Assurez-vous que les mots de passe ne sont pas stockés en texte clair. Chiffrez toujours les mots de passe avant de les stocker dans une base de données.
  3. Utilisez des mécanismes anti-force brute efficaces pour détecter et contrer les attaques contre les identifiants de connexion. Les attaques par force brute seront alors trop longues pour avoir un effet quelconque, même sur les mots de passe les plus courts.Vous devez, autant que possible, freiner les activités des pirates par force brute, grâce à des CAPTCHA par exemple, à des demandes de calcul, etc.
  4. Appliquez une politique de changement de mot de passe. Commencez à appliquer la politique soit à date prédéfinie, soit dès qu'un danger est suspecté.
  5. Autorisez et encouragez les phrases de passe, plutôt que les mots de passe. Quoique plus longues, les phrases peuvent être plus faciles à mémoriser. En outre, les caractères supplémentaires les rendent plus difficiles à déchiffrer

Source:


Générateur de mot de passe, http://www.eurnet.fr/passwd/passwd.html ou http://aspirine.org/easypwd.html

Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
EUR'NET R.C.S. CLERMONT FERRAND 414 642 058 / NAF 6203 Z - Mentions Légales
Tél : 0899 49 48 49 (3 € / appel + prix appel)

*