Nest, la division domotique de Google a récemment averti certains utilisateurs au sujet d’une violation de données impliquant des identifiants. Félicitations et merci pour cette initiative !
Dans un avis de sécurité envoyé à un utilisateur et publié par l’Internet Society, Nest a demandé à l’utilisateur de modifier son mot de passe et d’activer la validation en deux étapes (2SV), également connue sous le nom d’authentification à deux ou plusieurs facteurs (MFA ou 2FA).
Que vous l’appeliez MFA, 2FA ou 2SV, il s’agit d’une procédure de sécurité de plus en plus courante qui vise à protéger vos comptes en ligne contre les cybercriminels, voleurs de mots de passe.
Alors, pourquoi félicitons-nous Nest ? Parce que la violation ne concernait pas celle de la base de données des mot de passe de Nest, ou bien d’un employé négligent.
En réalité, Nest a repéré le mot de passe car il apparaissait dans une liste d’identifiants piratés, signifiant deux choses : 1) les utilisateurs auxquels Nest a envoyé un email réutilisaient les mots de passe et 2) Nest a mis en place une surveillance externe proactive afin de les protéger contre leurs mauvaises habitudes en matière de mots de passe.
Comme l’a déclaré Jeff Wilbur, directeur d’Online Trust Alliance, jeudi dans un post de l’Internet Society, nous ne savons pas comment Nest a mis la main sur le mot de passe compromis. Peut-être que Nest a été alerté par l’expert en sécurité Troy Hunt et son service de mots de passe piratés (Pwned), récemment mis à jour (partie intégrante de son site “have i been pwned?”)?
Le service vous permet d’entrer un mot de passe pour savoir s’il existe une correspondance avec plus d’un demi-milliard de mots de passe qui ont été compromis lors de violations de données. Une version hashée de la liste complète de mots de passe peut également être téléchargée pour effectuer un traitement local ou par lots, a noté M. Wilbur.
Désolé de ressortir une millième fois notre conseil stipulant de ne pas “réutiliser les mots de passe“. Nous ne nous excusons pas, au contraire, car la réutilisation des mots de passe est vraiment une très très mauvaise idée.
Nous savons que les cybercriminels utilisent des identifiants piratés pour voir s’ils fonctionnent sur d’autres sites tiers, que ce soit Facebook, Netflix ou bien d’autres, y compris les sites de banque en ligne.
Voilà pourquoi Facebook et Netflix rôdent sur internet à la recherche de vos noms d’utilisateur/mots de passe, au cas où ils apparaîtraient dans des listes d’identifiants piratés.
Si ces services trouvent des identifiants de clients qui correspondent à des logins piratés, ils forcent alors les utilisateurs à modifier ces mots de passe réutilisés.
Les gens sont souvent très surpris qu’une telle mis en correspondance soit possible : plus précisément, comment des services comme Facebook en savent-ils assez sur nos mots de passe pour savoir que nous les réutilisons ?
La réponse réside dans la comparaison des mots de passe hachés plutôt qu’en clair. Comme l’a expliqué Chris Long, security engineer chez Facebook, dans un article sur le blog officiel en 2014, ce que Facebook recherche, ce sont des identifiants volées et publiés sur des sites publics. Une fois trouvés, ces identifiants volés sont ensuite traités par le même code que Facebook utilise pour vérifier les mots de passe des utilisateurs lorsqu’ils se connectent. Si les valeurs des hashs correspondent, bingo ! Vous avez trouvé un mot de passe réutilisé, sans avoir eu besoin d’accéder au mot de passe en clair.
Cette manière de faire est conforme aux recommandations du National Institute of Standards and Technology (NIST) dans ses Digital Identity Guidelines publiées il y a un an : les guidelines recommandent de comparer les mots de passe des utilisateurs aux listes de mots de passe piratés, afin d’encourager les internautes à créer des mots de passe uniques qui ne sont pas déjà connus des cybercriminels.
Beau travail, Nest! Wilbur a déclaré que l’Internet Society avait félicité Nest pour avoir mis en œuvre les meilleures pratiques sur la façon dont les entreprises, fournissant des comptes en ligne, devraient surveiller les mauvaises habitudes de leurs utilisateurs.
Comme l’a noté Wilbur plus tôt ce mois-ci, Twitter a également suggéré que tous les utilisateurs réinitialisent leurs mots de passe, car ils avaient commis une grave erreur de sécurité : en effet, ils avaient stocké des copies non chiffrées des mots de passe, à savoir en clair … dans des fichiers logs non hashés.
Les recommandations douces sont une option. Tout comme enfermer des utilisateurs dans un “placard” lorsque vous constatez qu’ils ont réutilisé les mots de passe/emails, comme Facebook, lorsque ce dernier a trouvé des identifiants identiques utilisés sur Adobe.
Vous voulez sortir du placard ? Passez à des identifiants uniques : un identifiant unique et puissant pour chaque site et chaque service !
Que vous soyez ou non un utilisateur de Nest, assurez-vous que votre famille, vos amis, vos collègues et n’importe qui d’autre auquel vous pourriez penser, choisissent des mots de passe forts, avec au moins 12 caractères, mélangeant lettres, chiffres et caractères spéciaux.
Voici comment faire !
Billet inspiré de Nest turns up the temperature on password reusers, sur Sophos nakedsecurity.