Cyberattaques : Mots de passe toujours épargnés ? Démos ludiques et explications !
HTML-код
- Опубликовано: 13 мар 2024
- Liens :
Publication France travail : www.francetravail.fr/candidat...
Liens Wikipedia utiles :
fr.wikipedia.org/wiki/Fonctio...
fr.wikipedia.org/wiki/Salage_...)
DANS TOUS LES CAS, ÇA MANGE PAS DE PAIN DE CHANGER LE MOT DE PASSE
00:00 Introduction
01:10 Testons une vulgarisation avec exemples ludiques
01:56 Exemple 1 : Comment fonctionne une connexion à un site web
02:39 Exemple 1 : Contenu de la base de données
04:16 Exemple 1 : Comment l'application vérifie le mot de passe
07:12 Exemple 2 : Fonctionnement avec un mot de passe "chiffré"
09:34 Exemple 2 : Comment l'application vérifie le mot de passe "chiffré"
10:34 Si la base a fuité un hash du mot de passe ne suffit pas
12:34 Pour "chiffrer" un mot de passe sûrement, on utilise un sel
15:04 Le mot de passe n'est donc jamais en clair ?
16:00 Si le site est en HTTP, ça passe en clair sur le réseau
17:42 En HTTPS, on ne peut rien espionner sur le réseau
18:30 Résumé : Mot de passe, connexion et sécurité
19:33 Méthodes utilisées couramment pour exfiltrer des données
22:00 Pourquoi toute la base n'est pas chiffrée ?
24:13 Outro
--------
Effectuer un don : www.linuxtricks.fr/pages/fair...
Infos utiles comme d'hab :
Quelle distribution j'utilise ?
Fedora Linux avec GNOME
Quel est mon navigateur Internet : Vivaldi
Où me retrouver ? Tout est dans le bandeau de la page d'accueil de la chaine
Mon site web : www.linuxtricks.fr
Ma config PC Fixe :
Carte mère X470 GAMING PRO
AMD Ryzen 5 2600X
16Gb RAM DDR4
AMD Radeon RX 560 (pilote libre amdgpu)
SSD 860 EVO 500GB + SSD 860 QVO 2To
Micro BIRD UM1
PC de TESTS :
Toshiba Satellite C660
Intel Core i3 2330M
6Gb RAM DDR3
NVidia GeForce 315M
SSD Kingston A400 120GB - Наука
Incroyable Adrien. Merci pour cette belle démo. Je me suis toujours demandé comment étaient stockés nos mots de passe dans les bases de données sans creuser plus que ça et tu as répondu à toutes mes questions. Je travaille dans mon job avec des bases de données dans des logiciels dit "de sécurité" et ce qui permet les accès n'est pas chiffré ou même haché. Il suffit de faire un export et tout le monde a accès pour peu qu'ils sachent se débrouiller un peu dans le domaine. Je vois régulièrement des systèmes avec un petit serveur web qui permet de gérer des interfaces avec des petites bases de données d'accès qui ne sont pas en https de base (il faut l'activer manuellement). Heureusement, les sites publics sont plutôt bien protégés mais quand ça concerne du "local accessible via internet" ce n'est plus du tout sécurisé comme ça devrait l'être et on peut voir que nos données sont accessibles facilement.
Adrien ou le champion de la vulgarisation. Bravo pour cette video claire et compréhensible pour les non-initiés
Merci pour le retour :)
Merci Adrien ! Franchement passionnant ! J'adore ce format de vidéo!
Salut Adrien, belle démo, compréhensible pour un néophyte ou quelqu'un qui n'a jamais fais de programmation. CA permet de suivre et comprendre les bases 👍
Un grand merci !
Très bon travail Adrien
Un grand merci !
Super avec les démos en prime
Merci Adrien , encore une explication très intéressante
Très compréhensible, j'aime ce format.
Super, merci du retour !
Merci pour ces explications détaillées.
Avec plaisir
Merci Adrien! Très bien expliqué.
Super interessant, tu as super bien vulgarisé je trouve, en tout cas j'ai tout compris en tant qu'amateur
Oh merci beaucoup du retour!
merci pour le gros travail pour nous rendre sa très simple merci
Très bien expliqué comme toujours, ce que j'apprécie beaucoup c'est la variété des sujets abordés.
Un grand merci !
Très belle explication. Merci pour votre travail
Merci bien
Ce qui me sidère c'est le fait que l'état nous rappelle sans cesse de pousser la sécurité au max, mais que sur leurs propres site ils n'appliquent pas leurs règles, pour exemple, le site de la CAF qui se fait pirater, et qui demande de mettre à jour nos mots de passe, mais qui après piratage, n'autorise TOUJOURS PAS DE CARACTÈRES SPECIAUX dans ces mots de passe ! Aberrant !!!
C'est un site qui distribue de l'argent. Je pense que le site des amendes sera nettement plus soigné lol
Bonjour merci pour cette belle vidéoprojecteur très clair.
Merci à toi 😊
Bravo Adrien, beau travail de vulgarisation.
Merci :)
vidéo très intéressante merci.
Merci à toi 😊
Génial cette vidéo !
Pour chiffrer les données des utilisateurs et faire des opérations dessus (sans avoir besoin de les déchiffrer), il existe les techniques de chiffrement homomorphe (cryptographie homomorphe).
Merci pour la précision ! Là, ça se complique pour vulgariser cela. Mais on pourra en parler dans une prochaine vidéo, ça me donne une idée
Très belle démo, merci
Merci !
Merci Adrien pour ces explications. Quel travail fournit afin de rendre cette video passionnante !!! A bientot
Très interessant !
Une vidéo d'Adrien pour les 30 ans de la sortie officielle du noyau Linux, c'est beau
les 30 ans de Linux c'était en 2021, et c'est fin aout si on considère le message de Linus sur la mailing list ou mi-septembre pour la première release du noyau...
@@Agesilas2C'est pour ça que je parle de la sortie officielle, 1.0.0
Hello, ça fait vraiment plaisir de te voir pratiquer de la sécurité informatique en particulier le web !
Je vois que la partie défensive t’intéresse davantage, de ce fait je t’invite à nous faire une suite à cette vidéo ;)
Je te conseil de regarder l’exemple photoblog pour pratiquer un peu
Hello, je note. Je souhaite me focaliser sur Linux et le libre ici.
C'est toujorus délicat de parler de sécurité, il faut trouver le bon compromis entre vulgarisation, précision, et trouver des exemples parlants !
très bien expliqué merci, du coup un truc optimal c'est qu’il y'ai une rotation dans ce qui précéde le mdp pour changer les hash
Oui il faut ajouter des éléments dans le mot de passe, et surtout pouvoir être capable de reproduire le résultat haché pour pouvoir le vérifier
Merci Adrien, Super boulot
Merci 😊
Très bien expliqué 👍 et très intéressant. Si tu en as d'autres sous le coude... 😊
Merci beaucoup 🙂
Merci beaucoup Adrien pour ce vidéo ❤
Avec plaisir 🙂
Tu as répondu à toutes les questions que je me posais, merci.
C'est le but! Cool que ça t'ait plu
Super ! Merci Adrien. J'utilise KeePass sans aucun lien avec mon navigateur et avec des mdp à rallonges depuis quelques années déjà, suite aux recommandations de l'ANSSI...
Ça c'est top !
Merci
Avec plaisir
merci👍
De rien
Merci.
Avec plaisir
encore merci pour cette vidéo très instructive. Aurais-tu la possibilité de mettre à disposition le code html, php... et la base de données que tu as utilisé pour mieux comprendre en refaisant par la pratique. Merci
Bonjour,
C'est prévu, je voudrais écrire un article sur Linuxtricks.fr au passage, pour réexpliquer les éléments présentés dans la vidéo
Attention au md5. Il est malheureusement plus très costaud du fait du risque important de collision. (Deux phrases différentes peuvent donner le même hash)
Oui, j'ai dit que c'était discutable, c'est juste pour illustrer "facilement" une astuce où le texte lisible devient "illisible" :=)
@@AdrienLinuxtricks oui oui je comprends. C'était juste pour apporter une précision. 🙂 La vidéo était top.
C'est pour cela qu'il est conseillé d'avoir un login et mot de passe différent par site car un mot de passe acquis en clair sera testé sur un autre site surtout s'il y a une correspondance par login ou email.
Oui, c'est encore plus sûr !
Salut Adrien et bonjour a Dijon.... sais tu pourquoi on ne sépare pas le processus de connexion stocké sur des bases, les infos sensibles et le reste ? (Nom, situation, etc..)
pour pleins de raisons, en particulier des raisons de pognon (faudrait 3 machines au lieu d'1 ?) et d'architecture ; ce sont tes frontaux web qui vont taper sur les slave db.
@@Agesilas2 merci pour ton retour. Au sujet des finances je m'en doutais bien sûr au vue des tarifs d'oracle par exemple je peux le comprendre. Mais selon moi la sécurité des données sensible ne devrait pas être limité a un tarif.....
@@ozymanfreehistoriquement la sécu c'est le dernier à être arrivé dans l'entreprise et on ne compte plus les dirigeants qui ne voyaient pas l'intérêt de mettre du pognon dedans et qui ont compris l'enjeu suite à un piratage de leur infra.
aussi ça n'est pas une meilleure idée de faire passer la sécurité avant tout, un bon responsable sécu c'est tout sauf un cybernazi qui oblige les users à changer leurs mdp toutes les semaines, c'est avant tout un gars qui comprend la nécéssité de concilier sa partie (la sécu) et la réalité de l'entreprise c'est à dire les couts.
pour la petite histoire, j'avais moi même la main pendant des années sur le serv de l'ANPE (j'y ai rien fait de particulier, c'était juste pour le challenge et le fun, comme beaucoup de jeunes hackers à l'époque)
faut bien comprendre un truc : les services étatiques et y compris une asso comme l'agence emploi-truc ne font pas eux mêmes leur site web, ils font un appel d'offre, et celui qui remporte la timballe leur fourgue un site web et/ou un hébergement pour 20 fois le prix du marché, c'est juste que les gars (les dev en l'occurrence) sont des quiches, d'autant que les attaques n'ont pas changé depuis +20 ans, c'est toujours exactement les mêmes recettes...
C'est quand même préoccupant ces attaques à répétition, y a pas longtemps c'était la CAF je crois. Les systèmes de l'État sont ils très mal sécurisés ou bien c'est les hackers qui sont très forts ? En tout cas c'est pas rassurant car c'est nos données.
Les institutions qui sont attaqués ( hôpitaux, service de l'état, etc... ) sont très mal en point depuis des années.
Manque de moyens, de personnels, désorganisation, etc... il ne faut donc pas s'étonner de voir toutes ces failles.
Pour avoir travaillé dans l'un d'eux, oui il y a des failles. Certains systèmes étaient sacrément vétustes.
Merci pour cette vidéo. Par contre 20 ans de données, cela signifie qu'ils s'en foute de la RGPD ?
A ma connaissance, 20 ans c'est en effet beaucoup.
Il y a peut être certaines données qui doivent être conservées plus longtemps.
Dans le médical par exemple certaines données doivent être conservées longtemps.
C'est peut être le cas dans le cadre des relevés de carrière, à voir.
@@AdrienLinuxtricksoui il y a des exceptions. Dernièrement on a entendu parler de l'église, des registres de baptême et de personnes qui souhaitaient retirer leur nom du registre. Finalement, l'église a eu gain de cause à cause du fait que la donnée serait essentielle au bon fonctionnement de l'entité (l'église a justifié cela par le fait que le baptême ne peut être donné qu'une seule fois dans la vie)
Bonjour,
Je viens d'apprendre que vous étiez "mis au coin" par cette plateforme. Je crois qu'une pétition sur internet peut vous permettre d'accéder à des humains pour qu'ils puissent statuer réellement sur votre cas… ils ont déjà désavouer leurs robots, mais il faut se faire entendre. L'autre solution, courber l'échine : après la pluie, le beau temps.
Merci Adrien pour toutes ces informations.
Marrant, je ne suis pas étonné du tout par le piratage de France Travail lol
😃
Sacré toto, il ne doit plus être tout jeune 😜
haha
Je ne suis pas d'accord sur un point. Avec l'outil hashcat, je peux décrypté un mot de passe haché et l'avoir en clair 🤓
kek
Oui alors ça dépend de l'algo, de la complexité du truc. N'importe quel algo est cassable, le tout est de savoir en combien de temps. Si il te faut 10^48 année pour le faire, bon courage.
@@ayresskj3792non mais c'est pas l'algo, l'algo repose sur une bijection, c'est juste pas fait pour être inversé. par contre avec son hashcat il me fait bien marrer...
@@Agesilas2 il n'y a pas qu'un seul algo de hash hein.
@@ayresskj3792et à aucun moment tu ne casses l'algo. jamais.
First 🤔:)
:D