Qu'est-ce qu'Apple irait faire dans cette galère ? Décryptage
Après six mois d'utilisation, le bilan concernant Siri est très mitigé !
Que faire lorsqu'on porte une robe de soirée sans poches pour ne pas devoir garder son iPhone à la main ? Comment porter une tenue d'été seyante sans risquer de perdre son iPhone ou d'avoir les poches surchargées ? Voilà la réponse : le holster façon FBI ! Gardez votre iPhone sur vous sans encombrer vos poches. 19,99 $ chez ThinkGeek.
Le week-end dernier, plusieurs mouvements suspects ont été repérés sur l'App Store : de nombreux comptes ont été « hackés », et utilisés pour acheter 42 applications chères mais inutiles d'un développeur vietnamien. Le service client iTunes Store a répondu à Engagdet, mais on ne peut pas dire que la réponse clarifie les choses.
« Le développeur Thuat Nguyen et ses applications ont été bannis de l'App Store pour violation de l'accord de licence développeurs, dont la mise en place d'un mécanisme d'achat frauduleux » : la firme de Cupertino reconnaît donc que sa mécanique bien huilée à été victime d'une fraude. C'est on ne peut plus simple : il suffit à un hacker de récupérer des adresses mails associées à des comptes iTunes (par exemple via du fishing ou de l'achat de bases de données), et d'essayer des mots de passe très simples, comme « password », « 1234567 », etc.
Il a alors accès au compte utilisateur, auquel est le plus souvent lié une carte bancaire, et il n'a plus qu'à acheter les applications qu'il souhaite. Apple rappelle qu'en temps normal, « les développeurs ne recoivent aucune information confidentielle du client lorsque leur application est téléchargée ». Le problème n'a semble-t-il touché que des utilisateurs américains et anglais : Apple conseille à ceux qui ont été victimes de ce développeur de changer leur mot de passe (l'occasion de vous rappeler d'un mot de passe est un mot de passe "fort", mélangeant chiffres et lettres en casses différentes, voire caractères spéciaux), et de consulter leur banque pour faire jouer l'assurance de leur carte bancaire.
[MàJ] Seuls 400 comptes iTunes auraient été détournés (sur 150 millions), selon Clayton Morris (présentateur sur Fox News) qui a reçu l'information d'Apple. La firme de Cupertino lui a aussi assuré qu'elle demanderait désormais un peu plus souvent le code de vérification de la carte bancaire.
Sur le même sujet :
- Activité suspecte sur l'App Store
- App Store "hacké" : Apple supprime les applications incriminées
Vous devez être connecté pour réagir.
Si ce n'est pas le cas, inscrivez-vous.
Vos réactions
non sérieux y'en a qui utilise des trucs comme 1234567 comme mot de passe?
j'ai envie de dire ils méritent de se faire pirater
Donc si je comprend bien, on à le droit de voler les moins futés et selon toi, ils le méritent??
Tu me donne la nausée.
Pareil, utiliser "password" pour un truc relié à sa carte bancaire c'est très con.
je vais vous parler d'expérience professionnelle :
les mots de passe 1234, password, , etc sont TRES TRES courants.
Si on laisse les gens faire, on se retrouve avec ce genre de mot de passe TRES souvent.
Les gens sont TRES négligents avec des comptes de site genre gmail ou lemonde.fr ou le-blog-de-mon-cousin-sur-skype.fr.
Parce qu'ils n'y font rien d'important
erreur. Tôt ou tard on y dit quelque chose de pertinent. Le jour où le compte est hacké, un escroc va s'en servir pour pirater un compte _important_ (bancaire, boite de mail professionnelle, etc).
-
les mot de passes basés sur des infos personnelles :
On a eu un chien nommé SuperMedor. on va mettre comme mot de passe Sup3rmed0r.
impossible à trouver, qui saurait qu'on a eu un tel chien ? erreur.
Le principe c'est de vous faire avouer vos détails personnels. Ce genre d'information (nom de son animal préféré, lieu de naissance, livre favori...) est typique des sites qui vous demandent des infos personnelles pour vérification. Il suffit de faire un tel faux site et de vous y inviter.
Il suffit de vous encourager à participer à des questionnaires bidons "dis moi les noms de tes animaux de compagnie, je te dirais qui tu es".
Il y a eu un tel "concours" sur Twitter, y a des mois. Qui consistait à interroger les gens comme par hasard avec les questions typiques que les sites utilisent pour vérifier si vous êtes qui vous dites être quand on demande une récupération de mot de passe oublié...
Le but était évidemment d'accumuler de la part des gens les réponses pour ensuite tester cela sur tous les services importants connus sur Terre. (et un robot va très vite).
Les gens utilisent très souvent des mots de passe basés sur le nom de leur parents, enfants, animaux, lieux de naissance, etC. des infos qu'on adore partager...
-
En long et en large : XHLZZ-BURP-Et97‡@235écpe^! est le meilleur mot de passe du monde. Utilisez des logiciels pour mémoriser ce genre de mot de passe (1password, le trousseau de mac, etc) et mémorisez le mot de passe "maitre" du trousseau. (celui qui crypte de la mort tout)
Méfiez vous du phishing. Ne basez rien sur votre vie personnelle parce que vous êtes constamment invité à la partager.
Méfiez vous des services rigolos. Par exemple twitter. On se dit que se faire pirater son compte twitter c'est pas grave. Cela peut le devenir si via tout ce que vous et vos amis y disent, un pirate peut deviner ce que vous avez utilisé comme mot de passe pour votre banque, ou votre compte drupal ou autre.
Un autre truc de pirate : obtenir votre compte de facebook, vite se faire passer pour vous auprès de vos contacts et leur faire dire des trucs intéressants (d'où vous venez, nom de jeune fille, etc) et foncer tester ça sur tous les sites marchands et bancaires de la planète.
C'est bien de dire qu'un password léger est "con", encore faut-il ne pas avoir à le taper toutes les 30 minutes.
Sur iPhone, iPod c'est le cas, c'est ça qui est très "con" de la part d'Apple.
Et oui, informaticien c'est un métier, n'être pas "con" un autre, du coup l'utilisateur choisi un mot de passe facile à taper et à se rappeler...donc facile à trouver par un hacher.
Please Apple, merci de mémoriser le mot de passe, avec saisie d'une clé à 3 chiffres
(non mémorisée) pour valider les achats au cas où on viendrait à perdre/se faire voler l'iPhone.
Le trousseau de mot de passe de l'iphone pourrait être configuré un peu plus comme celui de os X.
Et se servir d'une passephrase pour crypter le trousseau (optionnelle, pour les gens sans Peur). Passephrase mémorisée pendant un temps court, ou si l'utilisateur verrouille de lui même l'iphone.
-
une clé à 3 chiffres serait brisée trop vite par n'importe qui qui démonte votre iphone et le jailbreak.
Excellents conseils oomu. Ce hack de l'AppStore utilise une faille universelle : le manque de jugeote de ses abonnés.
il n'est pas évident d'avoir de la "jugeote" dans un monde informatique en pleine mutation constante où on encourage les gens à participer vite, urgemment vite, tout de suite, viiiiiite, "quoi t'es pas sur facebook ?rholallala!"
Il faut laisser aux utilisateurs le temps de digérer tout ça.
-
La surmultiplication des sites nous invitants à nous authentifier (créer un NOUVEAU compte) pour dire "burp" en commentaire d'un article (la fin de l'anonymat) est problématique :
au 2525eme mot de passe, les gens mettent "1234". Malheur quand on a dit un mot de trop là où il fallait pas.
-
Ce n'est pas si facile. les gens ne sont pas si coupables de se faire avoir.
Le principe de l'escroc ou du pirate c'est d'avoir l'esprit si tordu qu'il voit comment pervertir un système. On va dire que c'est son métier, il passe son temps à y réfléchir quand d'autres passent leurs temps à aider les gens, faire leur plomberie, la compta, être maitre d'école ou des études astro-physiques super importantes...
ha ben vi.
-
Il est donc important à l'industrie informatique d'admettre que l'Explosion de Mots de Passe c'est inhumain et qu'il faut fournir des aides et alternatives.
Le principe de trousseau ou de logiciel comme 1password sont déjà de grandes aides.
-
Oauth de twitter et autres, est une intéressante solution technique.
-
L'iphone a des bases, à apple d'améliorer l'usage. Il est en effet pénible de retaper sans cesse le mot de passe itunes. Or ce mot de passe est critique (il permet de payer).
-
Le cryptage hardware de l'iphone 3gs et 4 est une très bonne chose. Mais il faut mobile me pour l'exploiter complètement (provoquer une destruction des données dés qu'on remarque qu'on a perdu l'appareil).
-
On améliorera la sécurité quand on améliorera les usages des machines et internet. Les gens seront naturellement plus capables d'être prudents quand ça sera moins lourdingue.
à répéter en boucle le mantra suivant partout à tout le monde :
Mon opérateur / fai / admin système / banquier / éditeur de jeux vidéo en ligne / web social / macgeneration ne me demandera jamais par courrier de lui envoyer mon identifiant. Jamais. Tout courrier disant le contraire est un faux.
vous allez me dire "pffff , je le sais", et régulièrement j'ai quelqu'un qui se fait avoir, qui a cru que cette fois ça avait l'air si officiel.
Pour juger de l'ampleur du désastre voici un article assez récent révélant un top 20 des mots de passe les plus utilisés... Basé sur 32.000.000 de comptes : http://www.journaldunet.com/solutions/securite/mots-de-passe-populaires....
Et sinon, pour rire, le top 500 des pires mots de passe, peut-être y trouverez vous le vôtre? http://landofthefreeish.com/security/top-500-worst-passwords-2008/
@ makidoko :
Comment peut-on établir un tel classement alors qu'à priori un mot de passe est secret ?
Entre une attaque bruteforce (même restreinte à quelques mots de passe) et une collection d'abrutis qui avaient des mots de passe d'enfants de douze ans, il y a un monde quand même. Cette attaque n'est pas le fait d'un anonyme qui a juste essayé des milliers de fois des mots de passe bateaux sur des adresses mail au pif.
Il existe un moyen assez simple de faire un mot de passe fort, c'est de se baser sur une phrase que l'on connait par coeur.
Par exemple :
"Maître corbeau, sur un arbre perché, tenait dans son bec un fromage"
On prend la première lettre de chaque mot :
MCSUAPTDSBUF
On remplace certaines des lettres par des caractères spéciaux (a par @, u par ù, c par ç...)
celà donne :
MçSù@PTDSBùF
et on rajoute des chiffres avant, après ou les 2, par exemple une date de naissance (dans l'exemple, la personne est née un 23 octobre), mais tant qu'à faire plutôt un nombre qui n'a rien avoir avec des infos qui peuvent figurer sur nos profils :
23MçSù@PTDSBùF10
Ce sont des gens du ministère de la défense chargés de la sécurité informatique qui m'ont donné cette astuce lors d'une réunion d'information, donc je vous en fait profiter...
Ah, et changer le mot de passe régulièrement c'est pas mal aussi...
Merci pour tous ces conseils à ne surtout pas prendre à la légère
Très intéressant sujet , merci pour les analyses !
Sinon, si je vous suis bien :
MCSUAPTDSBUF
MçSù@PTDSBùF
et bien sur :
23MçSù@PTDSBùF10
vont avoir un sacré succès chez les hackers
:=)
Ben après tu peux prendre un passage de la bible, une citation, la recette de l'omelette au pastis, l'essentiel c'est d'avoir une phrase que l'on connait par cœur.
Je me souviens d'un ancien boulot où le mot de passe administrateur était a un moment LGDM124
LGDM ça voulait dire " La Gôle Du Matin"… (pas certain de l'orthographe de Gôle, désolé)
"En long et en large : XHLZZ-BURP-Et97‡@235écpe^! est le meilleur mot de passe du monde."
Le problème, Oomu, est que l'utilisateur lambda (moi, toi, les autres...) est conduit à multiplier les mots de passe pour toutes sortes de services et de sites. Pas franchement SS0... Dès lors comment faire ? multiplier les mots de passe "forts", au risque de s'y perdre et de perdre du temps à chaque connexion ? ou utiliser des moyens mnémothechniques "basiques" pour se connecter facilement ? Pas simple à trancher. D'autant (et c'est parfois flagrant dans le monde de l'entreprise) qu'un excès de sécuritarisme peut être passablement anti-productif (on en vient à courcircuiter les consignes de sécurité pour pouvoir bosser).
J'ai répondu plus haut.
Il vous faut utiliser des services de trousseau. Et oui la situation n'est pas idéale. C'est un problème que toute l'industrie doit admettre.
Mac OS X intègre un utilitaire pour créer des mots de passes.
Un gros problème: Le racontage de vie sur les réseaux sociaux!
Sans connaitre une personne je peux facilement savoir le nom de sa petite amie, sa date de naissance, son lieu de naissance, ses goûts etc.... Bien plus qu'il n'en faut pour trouver un mot de passe...
Il y a quelques mois, j'ai été victime de la même manière pour 230€. Le mot de passe utilisé n'était pourtant pas "simple". J'ai raconté cette histoire sur http://www.cuk.ch/articles/4465
Bien entendu, quand j'ai contacté Apple et en particulier l'iTunestore par courrier au Luxembourg, je n'ai jamais reçu de réponse. Je reste intimement convaincu que le système est perfectible, mais ça Apple ne le dira jamais. 2 conseils:
1- ne quitter JAMAIS iTunes en laissant la session ouverte - fermez là
2- votre compte iTunes ne doit comporter AUCUN moyen de paiement.
Dernière information: l'iTunestore ne permet pas l'usage de la eCartebleue, pour de sombres raisons d'autorisations.
@oomu
il n'y a pas seulement l'utilisateur qui est con mais aussi l'admin réseau on peut forcer l'utilisateur à plus de sécurité
j'ai bossé dans des organismes où il y avait une complexité demandée, un mot de passe doit être changé tous les mois et ne peut être réutilisé avant la douzième fois
Ca peut paraître chiant mais franchement ça blinde déjà beaucoup (évidemment si dudule de la compta l'a pas écrit sur un post it sur l'ordinateur mais comme dirait le patron d'Oracle si l'on a un accès physique à votre machine [bon c'était serveur] ce n'est plus mon problème)
Il y a 4 "niveaux" de mots de passe.
Le niveau 0, c'est un mot de passe presque jetable, assez facile qu'on utilise pour les sites en test, les trucs où on sait qu'on viendra pas souvent. Ce pass doit être simple mais pas basé sur le perso.
Le niveau 1 peut se contenter de peu de lettres et chiffres, c'est pour les forums, les trucs pas importants mais sur lequel on revient souvent. Le password doit avoir au moins 6 caractères et toujours rien de personnel. Un seul et même mot de passe peut être utilisé pour tout ce qui correspond à ce niveau.
Le niveau 2, c'est pour les comptes mails, il faut impérativement 1 mot de passe différent par compte mails (!!!). Le password de votre compte mail principal doit être changé tous les 6 mois. Il doit avoir au moins 8 caractère, assurez vous surtout que l'accès à votre mail soit sécurisé (SSL minimum), et bannissez les connexions wifi ouvertes sans identification.
Enfin, le niveau 3, c'est le niveau assez ultime, surtout pour le bancaire et les infos hyper sensibles (j'en connais qui ont des infos super confidentielles hébergées sur des nuages ;). Ce pass là encore doit être changé tous les 6 mois, comporter au moins 12 caractères et rien de perso.
Plus un mot de passe est compliqué, plus il a de chance d'être noté quelque part :-) Mais résistez à ça !
La meilleure méthode, si on a pas de trousseau, est le système des phrases. Prenez 3 phrases pour chaque niveau évoqué, des phrases que vous connaissez bien ou qui provienne d'un livre de votre bibliothèque. Le but étant de pouvoir retrouver ces phrases si vous veniez à oublier un mot de passe.
Pour le 1er mot de passe, vous prenez toutes les 1ères lettres, pour le 2ème, toutes les 2eme lettre, recommencez du début du mot ou de la phrase si y a pas assez, etc.
Ca vous fait une bonne source pour vos mots de passe, tout en ayant la possibilité de les retrouver si vous avez des pertes de mémoire.
Quand un site vous propose une question secrète, vous mettez simplement le chiffre qui a servi au décalage, exemple 4 si le pass est formé des 4ème lettres dans vos phrases.
Dès que vous avez un doute sur une fuite possible d'infos, changez tout!
Il y a une phrase qui résume tout :
A quoi bon une porte blindée si vous laissez les fenêtres ouvertes :-)
Le moindre petit service, le moindre petit compte peut-être un passage dissimulé pour accéder à plus d'infos. Prenez seulement conscience de ça et vous aurez fait d'énormes progrès ;)
c'est pas la joie si le hacking commence sur l'app Store. :-/