Archives du mot-clé ingénierie sociale

Comment j’ai récupéré tous les mots de passe d’un autre avec Google Chrome

Avant tout, ce n'était pas volontaire.
  1. Se connecter à la machine d'une personne
  2. Sans créer une nouvel utilisateur, demander à synchroniser Chrome sur cette machine avec mon compte à moi.
  3. Attendre un peu, puis couper la synchronisation.
Et voilà. Sans le vouloir, j'ai récupéré tous les mots de passe de la personne (puisqu'elle les avait enregistré. Grâce à l'autocomplétion, je n'ai même pas à faire quoi que ce soit. Je me connectes directement sur son compte Free. Je ne blâme pas Google. Accès physique, session ouverte, mono-session. Mais c'est malheureusement un cas très courant et je ne vois guère que de la biométrie transparente pour éviter ça.  

flattr this!

Deux préceptes de sécurité informatique

Initialement publié le 08 mars 2007

Toute technique fonctionnant côté client ne pénalise que les utilisateurs honnêtes.


Un système d’authentification peut se ranger dans l’une de ces trois catégories :

  • Ce que je suis ;
  • Ce que je sais ;
  • Ce que je possède.

Une bonne sécurité nécessite au moins deux de ces trois valeurs, car chacune est vulnérable :

  • Je ne peux changer ce que je suis ;
  • On peut apprendre ce que je sais ;
  • On peut me voler ce que j’ai.

Une fois que ce que l’on est est découvert, on est coincé, car on ne peut le changer. Vu ainsi, la biométrie, ce n’est pas super. D’autant plus que c’est très facile de récupérer des informations biométriques (regardez n’importe quel policier des années 50 où l’espion invite sa victime à prendre un verre et récupère ensuite ses empreintes). Gartner semble d’accord.

Un mot de passe, ça se découvre. Il y a des tas de manière, du bon sens (1234, regarder sous le clavier, le nom du chien ou du fils) à la force brute en passant par l’ingénierie sociale (baratiner la personne pour obtenir un mot de passe).

Enfin, ce que l’on possède peut se voler. Pour citer, en clin d’œil, Lao Tseu : Qui accumule les richesses a beaucoup à perdre.


Ces deux préceptes sont des fondamentaux, mais même parmi les professionnels de la sécurité, ce n’est que rarement à l’esprit. Pourtant, comme tout fondamentaux, ce sont les pièces les plus importantes, car elles servent de grille de lecture.

Ceci est d’ailleurs vrai pour tous les domaines de la connaissance : ce ne sont pas les connaissances hyper-spécialisées qui importent le plus, mais au contraire les plus fondamentales. Une connaissance fondamentale vous permet d’aborder 60 % des problèmes, alors qu’une spécialisée ne fonctionne que pour 5 % des problèmes.

Évidemment, je ne suis pas objectif, je suis un généraliste :-)

Ajouts par les lecteurs :

  • Cela dit, le maillon faible d’un système de sécurité informatique est l’humain.
  • L’ingénierie sociale est bien plus dangereuse que les trous de sécurité.

Notez qu’il s’agit de deux manières de dire la même chose.

flattr this!