Les leaks d’identifiants et d’informations personnelles sont monnaie courante depuis quelques années maintenant ( haveibeenpwnd.com le met bien en lumière). Aujourd’hui, une nouvelle face de ce problème se montre, les demandes de rançons à ce propos : en effet, une vague de SCAM qui ont pour objectif d’obtenir des rançons en donnant pour preuve votre mot de passe fait fureur cet été.
Ces scam ressemblent à cela :
I do know XXXXX is your pass. Lets get directly to point. No one has compensated me to investigate about you. You don't know me and you are most likely wondering why you are getting this email? Let me tell you, I placed a malware on the X streaming (pornography) web-site and there's more, you visited this web site to experience fun (you know what I mean). When you were viewing videos, your browser initiated functioning as a Remote control Desktop with a keylogger which provided me with accessibility to your screen and also cam. after that, my software obtained every one of your contacts from your Messenger, Facebook, as well as email . After that I created a video. 1st part displays the video you were watching (you've got a nice taste hahah), and 2nd part displays the view of your web camera, and it is you. You will have a pair of solutions. Shall we check out each one of these solutions in details: Very first solution is to disregard this email message. As a consequence, I will send out your actual video to just about all of your personal contacts and just consider concerning the disgrace you will definitely get. And definitely if you are in a relationship, precisely how it is going to affect? Other choice will be to pay me $7000. I will describe it as a donation. In such a case, I most certainly will straight away erase your videotape. You could go forward your daily life like this never occurred and you will not ever hear back again from me. You'll make the payment by Bitcoin (if you do not know this, search "how to buy bitcoin" in Google search engine). BTC Address: XXXXXXXX [case-sensitive so copy & paste it] Should you are wondering about going to the cop, surely, this email can not be traced back to me. I have dealt with my steps. I am not attempting to charge a fee so much, I only want to be rewarded. You have one day to make the payment. I have a special pixel in this e-mail, and now I know that you have read through this message. If I do not receive the BitCoins, I will definately send out your video recording to all of your contacts including family members, colleagues, etc. Nonetheless, if I receive the payment, I'll destroy the video immediately. If you want to have proof, reply Yes! & I definitely will send out your video recording to your 10 friends. This is a non:negotiable offer, and so please don't waste my personal time & yours by replying to this mail.
Il peut sembler futile de le dire mais ne payez en aucun cas cette rançon ! Profitez-en plutôt pour adopter une hygiène en termes d’accès aux différentes plateformes.
Voici les différents éléments que j’utilise personnellement et que je recommande à tous le monde :
Gestionnaire de mot de passe
L’utilisation d’un gestionnaire de mot de passe devient essentielle au jour d’aujourd’hui : il permet d’utiliser des mots de passe uniques pour chaque service (et d’éviter que le type d’email plus haut ait un réel impact). Sa fonctionnalité est de stocker de manière centralisée l’ensemble de vos identifiants d’accès de manière sécurisé et verrouillé derrière un mot de passe unique.
J’ai utilisé pendant des années Keepass, la référence en termes de password manager. Aujourd’hui, il se fait surpasser au niveau de ses fonctionnalités mais est toujours un choix pragmatique qui assure les fonctionnalités de base.
J’utilise actuellement Enpass qui permet d’assurer les fonctions de base et qui ajoute un bon nombre de fonctionnalités intéressantes comme la gestion intégrée du TOTP (Mots de passe à usage unique), le stockage des informations de carte de crédit, ainsi qu’une application mobile (payante à partir de 20 éléments – frais uniques de $9.99 ) intégrant l’identification par empreinte digitale (pour autant que le téléphone dispose d’un lecteur d’empreinte). Ceci permet un accès très rapide aux identifiants sur le téléphone sans avoir à saisir le « master password ». Dernier élément qui a été l’élément décisif de mon choix : la synchronisation entre vos périphériques se fait via des services externes (et peut être sur un webdav autohosté). Ce point est très important, car il permet d’éviter qu’un service soit la cible d’attaque pour compromettre des mots de passe : si quelqu’un veut obtenir un grand nombre de mots de passes, quoi de plus tentant que d’attaquer un service de gestion de mots de passes en ligne ?
Des services de gestion de mots de passe en ligne comme 1password (pour ne citer que lui) ont, malgré le dernier point ci-dessus, l’avantage d’être beaucoup plus simple a mettre en place. Ce point les rend plus accessibles à tout un chacun, mais ajoute également des frais récurrents pour ce service.
Utilisation de mots de passe forts et aléatoires
Les recommandations en termes de complexité de mots de passe ont beaucoup changé ces derniers temps : en effet, il a pu être constaté qu’une politique de sécurité trop forte abaisse la sécurité effective de ces mots de passe. Ce que je recommande pour les mots de passe, dans le cadre de l’utilisation d’un gestionnaire de mots de passe :
Mot de passe « maître » du gestionnaire de mots de passe :
Minimum 12 caractères
Présence minimum d’une lettre minuscule, une majuscule, d’un chiffre et d’un caractère non alpha-numérique
Dois être généré automatiquement
Si ces règles ne vous permettent pas de vous en souvenir, il est plus judicieux d’utiliser une suite de mots séparés par des – par exemple) plutôt que d’utiliser des combinaisons qui vous sont propres (date de naissance, etc). Un exemple de mots de passe peut être « snake-creon-pith-snuff-lasso » qui est beaucoup plus facile a retenir que « BV9.=U5xG=X3 » vous en conviendrez.
Mots de passe stockés par le gestionnaire :
Minimum 20 caractères, complexité maximale (pourquoi s’en priver ? 🙂 )
Utilisation des mots de passe à usage unique
Nombre de services permettent aujourd’hui d’utiliser des mots de passe à usage unique (Google authenticator pour le plus connu), le standard de facto en la matière est le TOTP : il permet de générer des mots de passe se basant sur une clé échangée au moment de la mise en place et sur le temps. Il génère un mot de passe différent toutes les 30 secondes valide sur une période courte. Ce mot de passe étant temporaire, sa confidentialité est beaucoup moins sensible.
Surveillance des leaks concernant mes identifiants
Afin de garder un oeil vigilant sur mes mots de passe, j’utilise le système de notification de haveibeenpwnd. Ceci permet de changer les mots de passe de manière préventive sur les services compromis ainsi que d’être informé de données « sensibles » qui ont été divulguées. En effet, certaines données pouvant paraître anodines comme l’adresse, le numéro de téléphone ou la date de naissance peuvent en réalité s’avérer sensibles : Rappelez vous de la dernière fois que vous avez contacté votre banque/opérateur téléphonique, ne vous ont-ils pas demandé votre date de naissance afin de vous identifier ?