Cybersécurité - Innovations digitales et numériques

Pour ceux qui se demandent pourquoi Windows 8 figure en tête de liste même si Microsoft vente cette mouture comme plus sûre que ses prédecesseurs, Secunia explique que ce fait est en grande partie imputable à l’intégration d’Adobe Flash Player dans son navigateur web Internet Explorer. Internet Explorer 10, le navigateur par défaut dans Windows 8, est livré avec un support intégré de Flash Player. N’étant pas directement responsable du code Flash, Microsoft se doit de collaborer avec Adobe pour une mise à jour optimale.

Source : Rapport Secunia (au format PDF)

Reprenant un argument déjà utilisé par Adobe, Cupid Media suggère que de nombreux password appartiennent en réalité à des utilisateurs inactifs. Et la société précise qu’elle a depuis renforcé sa sécurité (hashage et salage de la base de données, obligation faite aux utilisateurs de choisir des mots de passe non triviaux).

Remarquons que ColdFusion fait partie des logiciels dont le code source a été dérobé par des hackers sur les propres serveurs d’Adobe. L’éditeur avait reconnu le 3 octobre avoir découvert des accès illégaux aux codes sources de certaines de ses applications, dont l’éditeur de site Web. Adobe n’avait toutefois pas précisé à quand remontaient ces intrusions et combien de temps elles avaient duré.

L'initiative de Facebook pourrait très bien ne pas être isolée face aux vols de données clients d'Adobe. Selon le journaliste Brian Krebs, certains sites comme Diapers.com et Soap.com, tous deux exploités par Amazon, ont envoyé des messages à leurs clients pour les informer que leurs mots de passe avaient été réinitialisés, car ils correspondaient à ceux d'une liste publiée sur Internet.

La faille en question est de type 0-day : elle est activement exploitée de façon malveillante. « Au moins deux exploits » en ont tiré parti, selon les experts en sécurité de Kaspersky Lab, qui se sont procuré plusieurs échantillon à la mi-avril. Déclenchée par l’ouverture, côté utilisateur, d’une page Web malicieuse, la vulnérabilité peut donner lieu à une exécution de code à distance ; en d’autres termes, une prise de contrôle de la machine ciblée, avec le niveau de privilèges de la session en cours.

Si les Français pataugent avec la gestion de leurs mots de passe, ce n‘est pas parce qu’ils n’ont pas l’habitude de les utiliser : pour 84 % des Français, entrer un mot de passe sur Internet est un geste quotidien. Parmi cette large majorité de la population, un tiers effectue ce geste plus de 5 fois par jour.

Il existe de nombreuses techniques pour choisir un bon mot de passe. Outre les générateurs gratuits, vous pouvez par exemple coupler un film ou un album de référence accompagné de l’année de sa sortie, ce qui vous fait utiliser des minuscules et majuscules, des caractères spéciaux et des chiffres.

Exemple : TurkishStarWars(1982) (oui, bon, chacun ses goûts !)

Si vous tenez à garder le même mot de passe pour vos comptes, vous pouvez ajouter quelques lettres pour « personnaliser » le mot de passe de chaque service, par exemple : fac-TurkishStarWars(1982) pour Facebook, out-TurkishStarWars(1982) pour votre messagerie Outlook, etc.

La fuite des codes source d’Adobe pourrait aboutir à la découverte de nouvelles failles zero day exploitées par des organisations criminelles afin de pénétrer les systèmes des clients de l’éditeur ou dérober de l’information. Pour l’instant, aucun nouvelle attaque exploitant le code dérobé n’a été signalé.