S3 Ep139 : Les règles de mot de passe sont-elles comme courir sous la pluie ?

Pas de lecteur audio ci-dessous ? Écouter directement sur Soundcloud.

DOUG.  Patch Tuesday, contre la cybercriminalité et amusement avec les mots de passe.

Tout cela, et plus encore, sur le podcast Naked Security.

[MODÈME MUSICAL]

Bienvenue sur le podcast, tout le monde.

Je suis Doug Aamoth ; c'est Paul Ducklin.

Paul, comment vas-tu aujourd'hui ?

---

CANARD.  Doug, je ne devrais pas dire ça... mais parce que je sais ce qui s'en vient Cette semaine dans l'histoire de la technologie, parce que vous m'avez donné un aperçu, je suis très excité !

---

DOUG.  Bon, eh bien, allons-y!

Cette semaine, le 15 juin, en 1949, Jay Forrester, qui était professeur au Massachusetts Institute of Technology, ou MIT, a écrit…

---

CANARD.  [MOCK DRAMA] Ne dis pas ça comme si tu venais de Boston et que tu en étais content, Doug ? [RIRE]

---

DOUG.  Hé, c'est un beau campus; J'y suis allé plusieurs fois.

---

CANARD.  C'est aussi une sorte d'école d'ingénieurs réputée, n'est-ce pas ? [DES RIRES]

---

DOUG.  Tout à fait!

Jay Forrester a écrit une proposition de «mémoire centrale» dans son cahier et installera plus tard une mémoire centrale magnétique sur l'ordinateur Whirlwind du MIT.

Cette invention a rendu les ordinateurs plus fiables et plus rapides.

La mémoire centrale est restée le choix populaire pour le stockage informatique jusqu'au développement des semi-conducteurs dans les années 1970.

---

CANARD.  C'est une idée incroyablement simple une fois que vous savez comment cela fonctionne.

De minuscules petits noyaux magnétiques en ferrite, comme vous en auriez au centre d'un transformateur… comme des rondelles super-miniatures.

Ils étaient magnétisés, dans le sens des aiguilles d'une montre ou dans le sens inverse des aiguilles d'une montre, pour signifier zéro ou un.

C'était littéralement un stockage magnétique.

Et il avait la caractéristique géniale, Douglas, que parce que la ferrite forme essentiellement un aimant permanent…

… vous pouvez le remagnétiser, mais lorsque vous coupez l'alimentation, il reste magnétisé.

Il était donc non volatile !

En cas de panne de courant, vous pouvez essentiellement redémarrer l'ordinateur et continuer là où vous vous étiez arrêté.

Incroyable!

---

DOUG.  Exceptionnel, oui… c'est vraiment cool.

---

CANARD.  Apparemment, le plan initial du MIT était de facturer une redevance de 0.02 USD par bit sur l'idée.

Pouvez-vous imaginer à quel point cela coûterait, disons, une mémoire iPhone de 64 gigaoctets ?

Ce serait dans les milliards de dollars ! [DES RIRES]

---

DOUG.  Unreal.

Eh bien, une histoire intéressante, mais ramenons-la à nos jours.

Il n'y a pas si longtemps… Microsoft Patch Tuesday.

Pas de zero-days, mais quand même plein de correctifs, Paul:

Patch Tuesday corrige 4 bogues RCE critiques et un tas de trous Office

---

CANARD.  Eh bien, pas de zéro jour ce mois-ci si vous ignorez ce trou d'exécution de code à distance Edge dont nous avons parlé la semaine dernière.

---

DOUG.  Hummmmm.

---

CANARD.  Techniquement, cela ne fait pas partie du Patch Tuesday…

… mais il y avait au total 26 bogues d'exécution de code à distance [RCE] et 17 bogues d'élévation de privilèges [EoP].

C'est là que les escrocs sont déjà présents, mais ils ne peuvent pas encore faire grand-chose, alors ils utilisent ensuite le bogue EoP pour obtenir des super pouvoirs sur votre réseau et faire des choses beaucoup plus ignobles.

Quatre de ces bogues d'exécution de code à distance ont été surnommés "critiques" par Microsoft, ce qui signifie que si vous faites partie de ces personnes qui aiment toujours faire leurs correctifs dans un ordre spécifique, ce sont ceux que nous vous suggérons de commencer.

La bonne nouvelle concernant les quatre correctifs critiques est que trois d'entre eux concernent le même composant Windows.

Pour autant que je sache, il s'agissait d'un tas de bogues connexes, vraisemblablement trouvés lors d'une sorte de révision du code de ce composant.

Qui concerne le service de messagerie Windows, si vous l'utilisez sur votre réseau.

---

DOUG.  Et nous avons tous été collectivement remerciés pour notre patience face à la débâcle de SketchUp, dont j'ignorais jusqu'à présent l'existence.

---

CANARD.  Comme vous, Doug, je n'ai jamais utilisé ce programme appelé SketchUp, qui, je crois, est un programme graphique 3D tiers.

Qui savait que ce serait vraiment génial de pouvoir déposer des images SketchUp 3D dans vos documents Word, Excel, PowerPoint ?

Comme vous pouvez l'imaginer, avec un tout nouveau format de fichier à analyser, interpréter, traiter, rendre dans Office…

… Microsoft a introduit un bogue qui a été corrigé en tant que CVE-2023-33146.

Mais l'histoire cachée derrière l'histoire, si vous voulez, c'est que le 01er juin 2023, Microsoft a annoncé que :

La possibilité d'insérer des graphiques SketchUp a été temporairement désactivée dans Word, Excel, PowerPoint et Outlook pour Windows et Mac.

Nous apprécions votre patience pendant que nous nous efforçons d'assurer la sécurité et la fonctionnalité de cette fonctionnalité.

Je suis heureux que Microsoft apprécie ma patience, mais j'aurais peut-être souhaité que Microsoft lui-même ait été un peu plus patient avant d'introduire cette fonctionnalité dans Office en premier lieu.

J'aurais aimé qu'ils l'aient mis là * après * qu'il était sécurisé, plutôt que de le mettre pour voir s'il était sécurisé et découvrir, comme vous le dites (surprise ! surprise !), que ce n'était pas le cas.

---

DOUG.  Formidable.

Restons sur le sujet de la patience.

J'ai dit que nous « garderions un œil là-dessus », et j'espérais que nous n'aurions pas besoin de garder un œil là-dessus.

Mais nous devons lire un peu, comme vous l'avez fait dans le titre.

Plus d'atténuations MOVEit : nouveaux correctifs publiés pour une protection accrue, Paul.

Plus d'atténuations MOVEit : nouveaux correctifs publiés pour une protection accrue

---

CANARD.  C'est encore ce bon vieux problème MOVEit : le Bogue d'injection SQL.

Cela signifie que si vous utilisez le programme MOVEit Transfer et que vous ne l'avez pas corrigé, les escrocs qui peuvent accéder au frontal Web peuvent inciter votre serveur à faire de mauvaises choses…

…jusqu'à et y compris l'intégration d'un webshell qui leur permettra de se promener plus tard et de faire ce qu'ils veulent.

Comme vous le savez, un CVE a été publié et Progress Software, les créateurs de MOVEit, a publié un correctif pour faire face à l'exploit connu dans la nature.

Ils ont maintenant un autre correctif pour traiter des bogues similaires que, pour autant qu'ils sachent, les escrocs n'ont pas encore trouvés (mais s'ils cherchaient suffisamment, ils pourraient le faire).

Et, aussi étrange que cela puisse paraître, lorsque vous découvrez qu'une partie particulière de votre logiciel a un bogue d'un type particulier, vous ne devriez pas être surpris si, lorsque vous creusez plus profondément…

… vous constatez que le programmeur (ou l'équipe de programmation qui y travaillait au moment où le bogue que vous connaissez déjà a été introduit) a commis des erreurs similaires à peu près au même moment.

Alors bravo dans ce cas, je dirais, à Progress Software pour avoir essayé de gérer cela de manière proactive.

Progress Software vient de dire, "Tous les clients Move It doivent appliquer le nouveau patch publié le 09 juin 2023.

---

DOUG.  OK, je suppose que nous allons… garder un œil là-dessus !

Paul, aidez-moi ici.

Je suis en 2023, je lis dans un Titre de sécurité nu quelque chose à propos de "Mt. Gox.

Qu'est-ce qui m'arrive?

Histoire revisitée : le DOJ des États-Unis lève les scellés sur les accusations de cybercriminalité de Mt. Gox

---

CANARD.  Mont Gox !

"Magic The Gathering Online Exchange", Doug, comme c'était…

---

DOUG.  [RIRES] Bien sûr !

---

CANARD.  …où vous pourriez échanger des cartes Magic The Gathering.

Ce domaine a été vendu, et ceux qui ont la mémoire longue sauront qu'il est devenu l'échange Bitcoin le plus populaire et de loin le plus important de la planète.

Il était dirigé par un expatrié français, Mark Karpelès, hors du Japon.

Tout se passait à merveille, apparemment, jusqu'à ce qu'il implose dans une bouffée de poussière de crypto-monnaie en 2014, lorsqu'ils ont réalisé que, grosso modo, tous leurs Bitcoins avaient disparu.

---

DOUG.  [RIRES] Je ne devrais pas rire !

---

CANARD.  647,000 XNUMX d'entre eux, ou quelque chose comme ça.

Et même à l'époque, ils valaient déjà environ 800 $ la pop, donc c'était un demi-milliard de dollars de « bouffée ».

Curieusement, à l'époque, beaucoup de doigts pointaient vers l'équipe de Mt. Gox elle-même, en disant: "Oh, ce doit être un travail interne."

Et en fait, le jour du Nouvel An, je pense que c'était, en 2015, un journal japonais appelé Yomiuri Shimbun a en fait publié un article disant : « Nous avons examiné cela, et 1 % des pertes peuvent s'expliquer par l'excuse qu'ils 'ai trouvé; pour le reste, nous allons dire publiquement que c'était un travail interne.

Maintenant, cet article qu'ils ont publié, qui a causé beaucoup de drame parce que c'est une accusation assez dramatique, donne maintenant une erreur 404 [page HTTP non trouvée] lorsque vous le visitez aujourd'hui.

---

DOUG.  Très intéressant!

---

CANARD.  Donc je pense qu'ils ne le supportent plus.

Et, en effet, le ministère de la Justice [DOJ] aux États-Unis a enfin, toutes ces années plus tard, accusé deux ressortissants russes d'avoir essentiellement volé tous les Bitcoins.

Il semble donc que Mark Karpelès ait obtenu au moins une disculpation partielle, grâce au ministère américain de la Justice, car ils ont très certainement mis ces deux types russes dans le cadre de ce crime il y a toutes ces années.

---

DOUG.  C'est une lecture fascinante.

Alors vérifiez-le sur Naked Security.

Tout ce que vous avez à faire est de rechercher, vous l'avez deviné, "Mt. Gox".

Restons sur le sujet de la cybercriminalité, car l'un des principaux auteurs du malware bancaire Gozi a a atterri en prison après dix longues années, Paul :

Le "chef informatique" du malware bancaire de Gozi finalement emprisonné après plus de 10 ans

---

CANARD.  Oui… c'était un peu comme attendre le bus.

Deux histoires étonnantes « wow, c'est arrivé il y a dix ans, mais nous finirons par l'avoir » sont arrivées en même temps. [RIRE]

Et celui-ci, j'ai pensé qu'il était important de l'écrire à nouveau, juste pour dire : « C'est le ministère de la Justice ; ils ne l'ont pas oublié.

En fait. Il a été arrêté en Colombie.

Je crois qu'il a rendu visite, et il était à l'aéroport de Bogotá, et je suppose que les agents des frontières ont pensé : « Oh, ce nom est sur une liste de surveillance » !

Et donc, apparemment, les responsables colombiens ont pensé : « Contactons le service diplomatique américain ».

Ils ont dit : "Hé, nous tenons ici un type du nom de (je ne mentionnerai pas son nom ; c'est dans l'article). . Êtes-vous toujours intéressé, par hasard ?

Et, quelle surprise, Doug, les États-Unis étaient vraiment très intéressés.

Il a donc été extradé, a fait face au tribunal, a plaidé coupable et il a maintenant été condamné.

Il n'obtiendra que trois ans de prison, ce qui peut sembler une peine légère, et il devra rendre plus de 3,000,000 XNUMX XNUMX $.

Je ne sais pas ce qui se passe s'il ne le fait pas, mais je suppose que c'est juste un rappel qu'en courant et en se cachant de la criminalité liée aux logiciels malveillants…

… eh bien, s'il y a des accusations contre vous et que les États-Unis vous recherchent, ils ne se contentent pas de dire : « Ah, ça fait dix ans, autant laisser tomber.

Et la criminalité de ce gars était de diriger ce qu'on appelle dans le jargon des "hôtes à l'épreuve des balles", Doug.

C'est essentiellement là que vous êtes une sorte de FAI, mais contrairement à un FAI ordinaire, vous faites tout votre possible pour être une cible mouvante pour les forces de l'ordre, les listes de blocage et les avis de retrait des FAI ordinaires.

Donc, vous fournissez des services, mais vous les gardez, si vous le souhaitez, en déplacement et en déplacement sur Internet, de sorte que les escrocs vous paient des frais, et ils savent que les domaines que vous hébergez pour eux continueront tout simplement travailler, même si les forces de l'ordre sont après vous.

---

DOUG.  D'accord, encore une bonne nouvelle.

Paul, alors que nous terminons nos histoires du jour, vous avez été aux prises avec une question très difficile, nuancée, mais question importante sur les mots de passe.

À savoir, devrions-nous les changer constamment en rotation, peut-être une fois par mois ?

Ou verrouillez-les vraiment complexes pour commencer, puis laissez-les tranquilles ?

Réflexions sur les changements de mot de passe programmés (ne les appelez pas rotations !)

---

CANARD.  Bien que cela ressemble à une sorte de vieille histoire, et en fait c'est une histoire que nous avons déjà visitée plusieurs fois, la raison pour laquelle je l'ai écrite est qu'un lecteur m'a contacté pour me poser des questions à ce sujet.

Il a dit: «Je ne veux pas entrer dans la chauve-souris pour 2FA; Je ne veux pas entrer dans la chauve-souris pour les gestionnaires de mots de passe. Ce sont des questions distinctes. Je veux juste savoir comment régler, si vous voulez, la guerre de territoire entre deux factions au sein de mon entreprise, où certaines personnes disent que nous devons faire des mots de passe correctement, et d'autres disent simplement : "Ce bateau a navigué, c'est trop dur, nous allons simplement forcer les gens à les changer et ce sera assez bien ».

Alors j'ai pensé que ça valait vraiment la peine d'écrire à ce sujet.

À en juger par le nombre de commentaires sur Naked Security et sur les réseaux sociaux, de nombreuses équipes informatiques sont encore aux prises avec cela.

Si vous obligez simplement les gens à changer leur mot de passe tous les 30 ou 60 jours, est-ce vraiment important s'ils en choisissent un qui est éminemment craquable si leur hachage est volé ?

Tant qu'ils ne choisissent pas password or secret ou l'un des Top Ten Cats' Names dans le monde, peut-être que ce serait bien si nous les forcions à le changer pour un autre mot de passe pas très bon avant que les escrocs ne puissent le déchiffrer ?

Peut-être que c'est juste assez bon ?

Mais j'ai trois raisons pour lesquelles vous ne pouvez pas corriger une mauvaise habitude en suivant simplement une autre mauvaise habitude.

---

DOUG.  Le premier sorti de la porte : Changer régulièrement de mots de passe n'est pas une alternative au choix et à l'utilisation de mots de passe forts, Paul.

---

CANARD.  Non!

Vous pouvez choisir de faire les deux (et je vous donnerai deux raisons dans une minute pour lesquelles je pense que forcer les gens à les changer régulièrement pose une autre série de problèmes).

Mais la simple observation est que changer régulièrement un mauvais mot de passe n'en fait pas un meilleur mot de passe.

Si vous voulez un meilleur mot de passe, choisissez un meilleur mot de passe pour commencer !

---

DOUG.  Et tu dis: Forcer les gens à changer régulièrement leurs mots de passe peut les endormir dans de mauvaises habitudes.

---

CANARD.  À en juger par les commentaires, c'est exactement le problème que rencontrent de nombreuses équipes informatiques.

Si vous dites aux gens : "Hé, vous devez changer votre mot de passe tous les 30 jours, et vous feriez mieux d'en choisir un bon", tout ce qu'ils feront, c'est...

… ils en choisiront un bon.

Ils passeront une semaine à le mémoriser pour le reste de leur vie.

Et puis chaque mois ils ajouteront -01, -02, Et ainsi de suite.

Donc, si les escrocs craquent ou compromettent l'un des mots de passe, et qu'ils voient un schéma comme celui-là, ils peuvent à peu près déterminer quel est votre mot de passe aujourd'hui s'ils connaissent votre mot de passe d'il y a six mois.

C'est donc là que forcer le changement quand ce n'est pas nécessaire peut amener les gens à prendre des raccourcis de cybersécurité que vous ne voulez pas qu'ils fassent.

---

DOUG.  Et celui-ci est intéressant.

Nous en avons déjà parlé, mais c'est une chose à laquelle certaines personnes n'ont peut-être pas pensé : La planification des changements de mot de passe peut retarder les interventions d'urgence.

Que veux-tu dire par là?

---

CANARD.  Le fait est que si vous avez un calendrier formalisé et fixe pour les changements de mot de passe afin que tout le monde sache que lorsque le dernier jour de ce mois arrivera, ils seront de toute façon obligés de changer leur mot de passe…

… et puis ils pensent : « Vous savez quoi ? Nous sommes le 12 du mois et je suis allé sur un site Web dont je ne suis pas sûr qu'il pourrait s'agir d'un site de phishing. Eh bien, je vais changer mon mot de passe dans deux semaines de toute façon, donc je n'irai pas le changer maintenant.

Ainsi, en changeant vos mots de passe *régulièrement*, vous pouvez vous retrouver dans l'habitude où parfois, quand c'est vraiment, vraiment important, vous ne changez pas votre mot de passe *souvent* assez.

Si et quand vous pensez qu'il y a une bonne raison de changer votre mot de passe, FAITES-LE MAINTENANT !

---

DOUG.  J'aime ça!

Très bien, écoutons l'un de nos lecteurs sur le mot de passe.

Le lecteur de Naked Security, Philip, écrit en partie :

Changer souvent vos mots de passe pour ne pas être compromis, c'est comme penser que si vous courez assez vite, vous pouvez esquiver toutes les gouttes de pluie.

OK, vous esquiverez les gouttes de pluie qui tombent derrière vous, mais il y en aura autant là où vous irez.

Et, contraints de changer régulièrement leurs mots de passe, un très grand nombre de personnes se contenteront d'ajouter un numéro qu'ils pourront incrémenter à volonté.

Comme tu l'as dit Paul !

---

CANARD.  Votre ami et le mien, Chester [Wisniewski] a dit, il y a quelques années quand nous parlions de mythes sur les mots de passe, "Tout ce qu'ils ont à faire [RIRES], pour savoir quel est le numéro à la fin, c'est d'aller sur votre page LinkedIn. « J'ai commencé dans cette entreprise en août 2017 »… comptez le nombre de mois écoulés depuis.

C'est le nombre dont vous avez besoin à la fin.

Sophos Techknow – Démystifier les mots de passe

---

DOUG.  Exactement! [RIRE]

---

CANARD.  Et le problème vient du fait que lorsque vous essayez de programmer ou d'algorithmer… est-ce un mot ?

(Cela ne devrait probablement pas l'être, mais je l'utiliserai quand même.)

Lorsque vous essayez de prendre l'idée d'aléatoire, d'entropie et d'imprévisibilité, et de l'enfermer dans un algorithme super strict, comme l'algorithme qui décrit comment les caractères et les chiffres sont disposés sur les étiquettes des véhicules, par exemple…

…alors vous vous retrouvez avec *moins* d'aléatoire, pas *plus*, et vous devez en être conscient.

Ainsi, forcer les gens à faire tout ce qui les fait tomber dans un schéma revient, comme Chester l'a dit à l'époque, simplement à leur donner l'habitude d'une mauvaise habitude.

Et j'adore cette façon de le dire.

---

DOUG.  D'accord, merci beaucoup de nous l'avoir envoyé, Philip.

Et si vous avez une histoire intéressante, un commentaire ou une question que vous aimeriez soumettre, nous serions ravis de le lire sur le podcast.

Vous pouvez envoyer un e-mail à tips@sophos.com, commenter l'un de nos articles ou nous contacter sur les réseaux sociaux : @nakedsecurity.

C'est notre émission d'aujourd'hui.

Merci beaucoup pour votre écoute.

Pour Paul Ducklin, je suis Doug Aamoth, vous rappelant, jusqu'à la prochaine fois, de…

---

TOUS LES DEUX.  Restez en sécurité!

[MODÈME MUSICAL]