pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Firefox vous préviendra des problèmes de sécurité dans Flash

Vendredi 11 septembre 2009

Le plugin Flash est un petit programme qui permet d'afficher des animations de bonne qualité dans les navigateurs. C'est aussi une source intarissable de problèmes de sécurité.

Comme les utilisateurs ne savent pas le mettre à jour (pour éviter ces problèmes de sécurité), et que Microsoft n'en a rien à battre (WindowsUpdate ne met à jour que les logiciels Microsoft), on se retrouve avec des internautes infectés simplement en affichant une page web. C'est assez lamentable.

La fondation Mozilla a décidé de réagir: Firefox vous affichera désormais un gros message d'avertissement si vous utilisez une version dangereuse de Flash. Ce n'est pas l'idéal, mais c'est déjà bien, vraiment bien. Cela montre que Mozilla a à cœur la sécurité de ses utilisateurs.


Quand Microsoft va-t-il se bouger le cul ? Ou Adobe, d'ailleurs, puisque ce sont eux les auteurs du logiciel. On en revient toujours au problème des mises à jour sous Windows.

Côté Linux, ce n'est pas vraiment un problème: Le système d'exploitation s'est chargé lui-même de me mettre à jour le plugin Flash. Oui je sais, je suis gros troll velu.


Mise à jour 18 septembre 2009: D'après les premières statistiques, c'est 10 millions de versions dangereuses de Flash qui auraient été mises à jour grâce à Firefox. Pas mal !

Choisir de bons mots de passe

Vendredi 11 septembre 2009

La sécurité sur les sites web est toujours problématique. L'un des plus gros soucis est l'utilisation des mots de passe. C'est souvent le maillon faible:

  • Le mot de passe est souvent trop court, trop simple à deviner (batman, 1234, charles67...).
  • Beaucoup de personnes utilisent le même mot de passe pour tous les sites.
  • La "question secrète" pour récupérer son mot de passe est trop souvent mal choisie, et la réponse trop facile à deviner (cf. l'affaire avec le nom du chien de Paris Hilton).

Ma première recommandation serait de choisir - quand c'est possible - une question secrète qui n'a absolument aucun sens, avec une réponse du même genre. C'est à dire pas quelque chose qu'on pourrait savoir de vous (nom de l'animal de compagnie, nom de jeune fille de votre mère, etc.)

Ensuite, le choix du mot de passe. Là il y a une astuce qui permet d'avoir un mot de passe long, difficile à deviner et différent pour chaque site. Voici le truc:

Etape 1 : Choisir un bon invariant

Tout d'abord, choisissez et mémorisez une phrase, par exemple «Ma Grand Mère Mange Les Pissenlits Par La Racine.». Si la phrase est assez originale, vous la retiendrez facilement.

Prenez ensuite la première lettre de chaque mot, et ajoutez quelques chiffres et symboles: mgmmlpplr568**. Voilà déjà un bon mot de passe.

Etape 2 : Combiner avec le nom de domaine du site

Ensuite, il faut le rendre unique pour chaque site: Utilisez des lettres du nom de domaine et ajoutez-les à ce mot de passe. Par exemple:

  • korben.info → kni → knimgmmlpplr568**
  • commentcamarche.net → cen → cenmgmmlpplr568**
  • zdnet.com → ztc → ztcmgmmlpplr568**

Ce n'est qu'un exemple ! Libre à vous de choisir comment combiner le nom de domaine au mot de passe. L'important est de mémoriser la manière dont vous les combinez.

Résultat

Et vous voilà avec un excellent mot de passe:

  • Il ne correspond pas à un mot du dictionnaire (donc cela élimine les attaques par dictionnaire et par RainbowTables)
  • Il est long (ce qui rend les attaques par force brute infaisables)
  • Il est différent pour chaque site (ce qui réduit les risques de piratages inter-sites)
  • Il est facile à retrouver: Vous n'avez pas besoin de mémoriser le mot de passe de chaque site car vous êtes capable de le retrouver.

Enfin, un mot d'avertissement: Ne laissez jamais un logiciel mémoriser vos mots de passe. Ni votre navigateur (Firefox) ni un autre logiciel (KeePass, etc.). Ces logiciels stockent les mots de passe sur disque dur, et il est donc toujours plus ou moins possible de vous les voler.

En plus, en laissant ces logiciels entrer le mot de passe à votre place, vous ne retiendrez pas vos mots de passe et vous risquez de ne plus pouvoir accéder aux sites web le jour où il y a un problème avec le logiciel.

Pour terminer, je vous recommande de configurer votre navigateur pour qu'il supprime automatiquement tous les cookies à la fermeture du logiciel. Cela évite de laisser sur disque des cookies de session qui permettraient d'accéder à vos comptes, même sans connaître le mot de passe. (Firefox a une option pour purger les cookies à la fermeture.)


PS: Comme me le fait remarquer un internaute (merci Nicolas), on peut très bien utiliser la phrase elle-même comme mot de passe. J'y mettrais juste un petit bémol: Cela implique de se souvenir exactement de la phrase, à la ponctuation, espaces, minuscules/majuscules et accents près. Ça peut donc être un peu délicat. Ratez une virgule, et vous ne pouvez plus vous connecter.

PS 2: Un autre internaute (Jérôme) me signale sa méthode: Prendre mot de passe-nom de domaine, et hasher le tout en MD5 (avec des outils en ligne comme celui ci ou celui là). Par exemple, on calcul le MD5 de "toto-sebsauvage.net" et on ne garde que les 10 premiers caractères de la MD5, ce qui donne quelquechose du genre "53e6fd11df". Pas mal non plus, comme idée !