Archives de catégorie : Sécurité

Attaque ciblé des utilisateurs de Gmail et Google Apps

En ce moment, une attaque (piratage) de grande envergure est menée contre les utilisateurs de Gmail et donc des Google Apps.

Ci dessous le principe de l'attaque :

  • un message d'une personne connue
  • un titre et un contenu de mail possiblement issu de la personne connue
  • une pièce jointe en accord avec le mail

Sauf... que ça n'est pas une pièce jointe, mais une image.
Un clic sur cette image vous emmène vers vers une page qui ressemble trait pour trait à la page de connexion Google. La tentation est grande de rentrer son identifiant / mot de passe pour accéder à la pièce jointe qui semble venir d'une personne connue.

Les pirates récupèrent immédiatement l'identifiant / mot de passe, et envoient un mail aux personnes de votre carnet d'adresse en regardant les messages qui vous aviez échangés avant (d'où un sujet, contenu et pièce jointe très crédibles).

​Comment s'en prémunir ?

​1/ Vérifiez toujours l'adresse url du site sur lequel vous vous connectez. Celle des pirates ressemble  à ça :

​​Alors que la vraie ressemble à ça (avec le cadenas vert) :

2/ N'hésitez pas à activer la connexion en deux étapes (mot de passe + possession d'un appareil). Lorsque vous vous connectez, il vous sera demandé un mot de passe, puis ensuite un code que vous générerez sur votre smartphone (ou reçu par sms). Oui, c'est plus contraignant, mais aujourd'hui les mots de passes ne sont plus considérés comme suffisants d'un niveau sécurité.

Un lien à connaitre : Vérification de la sécurité liée à mon compte Google Apps : https://myaccount.google.com/secureaccount. Vous y trouverez en fin de page l'activation de la connexion en 2 étapes (au passage, beaucoup de sites le proposent maintenant : c'est un bon réflexe à avoir !).
Si vous n'avez pas confiance en mon lien (il faut se méfier des liens, parait-il... 😉 ) :

  • Connectez vous sur Gmail
  • Cliquez sur votre avatar en haut à droite
  • Cliquez sur « Mon Compte »
  • Enfin : « Connexion et Sécurité » et « Vérification des paramètres de sécurité »

Hack Academy

Je viens de découvrir un site développé par le Cigref qui tente d'expliquer simplement (et avec humour) 4 techniques de piratages : Hack Academy.

Ça n'apportera rien aux gros barbus, mais je trouve ça relativement clair pour les plus novices...

Le teaser sur Viméo :

hack-academy

Et le site ou toutes les vidéos sont consultables (et mises dans le contexte) : http://www.hack-academy.fr

Mon petit VPS : sécuriser Owncloud par un accès en HTTPS

Un accès sur Owncloud avec une connexion http est plutôt risquée (interception des données possibles), il est donc préférable d'y accéder en HTTPS.

Quel choix ai-je ?

  • Créer une connexion chiffrée avec un certificat privé, mais il y aura des alertes (facilement compréhensibles pour les pas trop néophytes, mais déstabilisantes pour les non initiés) et des importations à faire manuellement sur les tablettes ou smartphones...
  • Acheter un certificat auprès d'une autorité reconnue... on commence en gros à 50€ HT / an.
  • Attendre que Let's Encrypt avance sur son projet... Et j'attends !
  • Profiter de l'offre de StartSSL qui propose un certificat gratuit pour son domaine.

Je précise que la qualité de la « sureté » de la connexion n'est pas dépendante du fait d'acheter cher ou non le certificat... La preuve ?

2015-09-11_14-33-54

 2015-09-11_14-37-38

Mais on ne protège pas le même type de contenu...

Lire la suite de l'article « Mon petit VPS : sécuriser Owncloud par un accès en HTTPS »

Mon petit VPS : bloquer les tentatives d’intrusion avec Fail2ban

Fail2Ban permet d'analyser les logs (journaux d'événements) et de repérer les tentatives d'intrusion.

Dans ce cas, il va créer une règle sur le pare feu pour temporairement bannir l'adresse IP qui tente de pénétrer...

Installation

Le logiciel est dans les dépots, alors pas très compliqué :

apt install fail2ban

Lire la suite de l'article « Mon petit VPS : bloquer les tentatives d’intrusion avec Fail2ban »

Mon petit VPS : sécuriser l’accès root

Root est un utilisateur qui a tous les droits sur le serveur... il faut donc le sécuriser au max !

Changer le mot de passe root

Il me semble impératif de changer le mot de passe root donné par OVH et qui est plutôt petit... (petit rappel pour les mots de passes).

passwd

Puis entre le nouveau de mot de passe (rien ne s'écrit, c'est normal) et le confirmer.

Empêcher root de se connecter

Si je tente de rentrer dans un système, je vais utiliser les comptes par défaut... sous linux, le super administrateur s’appelle root... On va faire en sorte qu'un seul autre utilisateur puisse se connecter, et empêcher root de se connecter.

Lire la suite de l'article « Mon petit VPS : sécuriser l’accès root »

Faut-il stocker mes mots de passe dans mon navigateur ?

C'est très confortable, mais est-ce sécure ?

Je dirais tout simplement : ça dépend de votre navigateur !

Si vous êtes malin, vous devriez avoir une quantité non négligeable de mots de passe plutôt incompréhensibles (sinon, vous avez tout faut... j'y reviendrais dans un autre article), et vous ne pouvez pas tous les retenir. Personnellement, j'utilise keepass pour les retenir à ma place, mais là n'est pas le propos.

Considérez la chose suivante : si une personne peut physiquement avoir accès à votre ordinateur, il faut quelques secondes pour récupérer tous les mots de passes stockés dans les navigateurs. Notez que quand je parle de collecter les mots de passe en ayant accès à l'ordinateur, je suppose une clé USB qui collecte les mots de passe de tous les utilisateurs, même si l'utilisateur n'est pas connecté...

C'est évidement plus dur à distance si vous êtes la seule personne capable d'accéder au micro, mais pas impossible.

Le but est donc de compliquer cette opération.

Lire la suite de l'article « Faut-il stocker mes mots de passe dans mon navigateur ? »