Créer et utiliser un disque de réinitialisation du mot de passe

Afin de prévenir de la perte de mot de passe et pour ne pas être bloqué sur la page d’identification de Windows.
Windows 7, 8.1 ou 10 donne la possibilité de créer un disque de réinitialisation du mot de passe perdu ou oublié.
A partir de ce disque vous pouvez re-définir un mot de passe depuis la page d’identification de Windows.
Ce disque ne fonctionne que sur les comptes locaux et pas sur les comptes Microsoft où le mot de passe peut-être réinitialisé en ligne.
Cet article explique comment créer et utiliser un disque de réinitialisation du mot de passe pour Windows 7, 8.1 ou Windows 10.

Table des matières [masquer]

• 1 Créer un disque de réinitialisation du mot de passe
• 2 Utiliser un disque de réinitialisation du mot de passe
• 3 Liens autour de la perte de mot de passe sur Windows

Créer un disque de réinitialisation du mot de passe

Voici les instructions pour créer le disque de réinitialisation de mot de passe.
Vous devez posséder une clé USB qui sera dédiée à cela mais la création ne supprime pas le contenu de celle-ci.
Une fois créé, cette clé USB permettra de réinitialiser le mot de passe de votre compte local à tout moment.
Sur Windows 10 et Windows 7, faites une recherche Cortana ou par le menu Démarrer pour lancer la création du disque de réinitialisation de mot passe.


L’assistant mot de passe oublié s’ouvre afin de vous guider dans la création de la clé de récupération du mot de passe.
Cliquez sur Suivant pour passer à l’étape suivante

Vous devez ensuite indiquer le lecteur de votre clé USB mais ce dernier est normalement détecté et proposé.
Puis vous devez indiquer le mot de passe actuel de l’utilisateur Windows.

Enfin la création s’effectue qui est très rapide.
On arrive à la fin de l’assitant du mot de passe oublié où vous pouvez cliquer sur le bouton Terminé.
A partir de là, votre clé USB pour réinitialiser le mot de passe perdu est prête à l’emploi.

Utiliser un disque de réinitialisation du mot de passe

Le disque de récupération de mot de passe est à utiliser sur la page d’identification.
Après avoir saisi un mot de passe erroné sous le champs mot de passe, un bouton Réinitialiser le mot de passe apparaît.
Cliquez dessus.
L’assistant pour réinitialiser le mot de passe s’ouvre alors.
Insérez la clé USB qui a été utilisé comme disque de récupération puis cliquez sur le bouton Suivant.

La lettre de lecteur USB est demandée mais là aussi, celle-ci est normalement détectée et proposée.
Corrigez au besoin.Vous devez ensuite définir un nouveau mot de passe qu’il faut saisir deux fois de suite.
Dans le dernier champs, vous pouvez indiquer un indicateur pour vous aider à retrouver le mot de passe, si vous l’oubliez.

Enfin l’assistant pour réinitialiser le mot de passe Windows est terminé.
Le mot de passe a été redéfini grâce au disque pour réinitialiser le mot de passe oublié ou perdu.
Vous pouvez à nouveau vous identifier et ouvrir la session utilisateur grâce à ce dernier.

Liens autour de la perte de mot de passe sur Windows

Les liens et tutoriels autour de la perte de mot de passe sur Windows afin de réinitialiser un mot de passe perdu ou oublié.

• Réinitialiser le mot de passe perdu ou oublié sur Windows 10
• Retrouver le mot de passe Windows perdu ou oublié depuis un Live CD

REF.:

Réinitialiser un mot de passe perdu de Windows avec Linux Ubuntu (chntpw)

Vous avez perdu le mot de passe d’un utilisateur Windows ou vous n’avez plus accès administrateur, cet article est pour vous.
Linux Ubuntu possède un utilitaire chntpw qui permet d’accéder aux gestionnaire des comptes de sécurité (SAM) afin de réinitialiser le mot de passe.
Bien entendu, cet utilitaire est à utiliser avec les comptes Windows locaux. Pour la perte de mot de passe des comptes Microsoft, vous pouvez le réinitialiser en ligne.
Plus d’informations : FAQ – Compte Microsoft de Windows 10
Toutefois, chntpw permet aussi de passer un utilisateur administrateur, cela est idéal lorsque vous n’avez plus de compte administrateur sur votre Windows.
Voici comment réinitialiser un mot de passe perdu de Windows avec Linux Ubuntu (chntpw).

Table des matières [masquer]

• 1 Comment réinitialiser un mot de passe perdu de Windows avec Linux Ubuntu (chntpw)
  • 1.1 Préparer le Live CD Ubuntu
  • 1.2 Installer chntpw
  • 1.3 utiliser chntpw
  • 1.4 Réinitialiser le mot de passe Windows avec chntpw
  • 1.5 chntpw en vidéo
• 2 Liens autour des comptes utilisateurs Windows

Comment réinitialiser un mot de passe perdu de Windows avec Linux Ubuntu (chntpw)

Préparer le Live CD Ubuntu

Pour ceux qui doivent utiliser le Live CD Ubuntu, vous devez préparer votre clé USB ou DVD qui sera utilisé pour démarrer l’ordinateur dessus.
Téléchargez le fichier ISO Ubuntu depuis ce lien : https://ubuntu-fr.org/telechargement
Pour cela, il existe des outils graphiques afin de créer le Live CD Ubuntu, deux outils permettent cela :

• Usb-creator : C’est l’outil par défaut dans Ubuntu. Fonctionne correctement avec tous les dérivés de Debian (et Ubuntu)
• Unetbootin : compatible avec de nombreuses distributions. Attention: crée un menu de boot non-standard.

D’autres outils sur la page pour créer des clés USB bootables sur l’article : Comment créer une clé USB bootable 
Le principe est assez simple, vous lancez l’utilitaire et indiquer la distribution que vous souhaitez utiliser, ici Ubuntu.
Vous indiquez ensuite la destination, par exemple une clé USB et l’outil se charge de préparer le support.
Il ne reste plus qu’à démarrer votre ordinateur sur ce support, plus d’informations : Comment démarrer l’ordinateur sur clé USB

Installer chntpw

Si le clavier est en qwerty dans le terminal, saisissez la commande : setxkmap fr
Vous pouvez aussi aller dans les paramètres pour changer la configuration du clavier.

Il faut dans un premier temps activer les dépôts universe.
Pour cela, ouvrez un terminal puis passez ces deux commandes en validant par entrée :

sudo add-apt-repository universe
sudo apt-get update

et enfin pour installer chntpw, saisissez la commande :

sudo apt-get install chntpw

utiliser chntpw

Avant de se lancer, repérer dans quel dossier votre partition C de Windows a été montée.
Vous pouvez ouvrir l’explorateur de fichiers pour cela.
Le chemin est en général :

/media/ubuntu/XXXXXXX

où XXX est un identifiant de la partition.

Après avoir accédé au disque dur, vous pouvez aussi utiliser la commande mount afin de localiser le point de montage du disque dur.

Nous rappelons que Linux est sensible à la case, donc vérifiez bien le nom des dossiers ou utilisateur.
Si les noms comportent des majuscules, il faudra bien ressaisir les noms avec.

Ensuite, depuis un terminal, on ouvre se place dans le dossier le dossier config de Windows/system32 avec la commande cd

cd /media/ubuntu/XXXXXX/Windows/System32/config

Une fois dedans, on peut utiliser la commande chntpw pour lister les utilisateurs :

sudo chntpwd -l SAM

et enfin pour travailler sur un utilisateur en particulier :

sudo chntpw -u  SAM

Des informations sur l’utilisateur s’affichent avec des X pour indiquer si l’attribut est actif, notamment
On peut savoir, si l’utilisateur Windows est un utilisateur standard (Normal Account).
ou encore si le compte est désactivé (Disabled).

Vous arrivez à un menu avec des chiffres pour choisir l’option à effectuer.

1. Clear (Blank) user password : le mot de passe devient null et donc vous n’aurez plus à en saisir. Si vous avez perdu le mot de passe, il faut utiliser cette option afin de pouvoir vous identifier sur le compte et changer le mot de passe par la suite.
2. Unlock and enable user account : à utiliser quand le compte est verrouillé
3. Promote user : passe l’utilisateur dans le groupe administrateur
4. Add user to a group : permet d’ajouter un utilisateur dans un groupe
5. Remove a user from a group : retire un utilisateur d’un groupe
6. q – Quit editing user : quitte le menu et permet d’enregistrer les modifications

Réinitialiser le mot de passe Windows avec chntpw

En clair donc, vous aurez probablement besoin d’utiliser l’option 1 dans le cas où le mot de passe de l’utilisateur est perdu.
L’option 3 pour passer un utilisateur administrateur, si vous avez perdu l’accès administrateur.
Par exemple, ci-dessous, on saisit 1 et entrée et chntpw nous indique que l’opération a réussi.

L’option 3 passe l’utilisateur administrateur, il faut confirmer avec la touche y pour yes.
Le message Promotion Done indique que l’opération s’est bien déroulée.

Enfin, on quit avec la touche q et surtout on écrit les modifications dans le SAM à la fin.

Il ne reste plus qu’à redémarrer Windows.
L’utilisateur n’aura plus de mot de passe et vous pourrez vous identifier avec sans problème.
Vous pouvez changer le mot de passe de cet utilisateur par la suite : Comment changer le mot de passe utilisateur Windows
Pour la perte de compte administrateur, vous pouvez aussi vous rendre sur ce lien : Windows retrouver son compte administrateur

chntpw en vidéo

Ce même tutoriel en vidéo avec toutes les explications pour réinitialiser le mot de passe perdu ou oublié de Windows.

Liens autour des comptes utilisateurs Windows

Voici tous les tutoriels autour des utilisateurs Windows : paramétrage et configuration, gestion des utilisateurs etc.

• Fonctionnement utilisateurs et sessions Windows
• Comment Ajouter, modifier ou supprimer le mot de passe d’un utilisateur sur Windows 7, 8 ou Windows 10
• netplwiz : ajouter un utilisateur Windows facilement
• Le compte Invite de Windows
• Partage réseau et groupe résidentiel
• Les autorisations et la gestion de fichiers et partages sous Windows avec le système de fichiers NTFS
• Profils utilisateurs dans Windows

REF.:

Sécurité Internet: un guide de l'utilisateur avancé pour rester en sécurité en ligne mot de passe

REF.: Jon Porter
Il existe de nombreuses mesures simples que vous pouvez prendre pour protéger votre vie privée en ligne. Passez quelques minutes maintenant à vous mettre en place, et vous ne vous inquiéterez plus jamais.Vous aurez souvent entendu parler de l'importance de protéger votre vie privée et votre sécurité en ligne. Vous ne laisseriez pas votre numéro d'identification personnel, alors pourquoi joueriez-vous vite avec vos mots de passe en ligne alors qu'ils peuvent donner accès aux mêmes comptes bancaires?Heureusement, être un peu plus en sécurité en ligne n'est pas aussi compliqué que cela puisse paraître au premier abord. La plupart des étapes que nous avons décrites ci-dessous prennent quelques minutes pour se terminer, après quoi vous pouvez continuer votre vie comme d'habitude.Après avoir dressé la liste des étapes recommandées, nous nous sommes entretenus avec l'expert en cybersécurité Ed Williams, qui dirige les SpiderLabs à Trustwave EMEA. Ed a passé la meilleure partie de la décennie à faire des tests de pénétration et de consultation pour diverses organisations gouvernementales et privées.Sans plus tarder, voici les mesures les plus efficaces que vous pouvez prendre pour rester en sécurité en ligne.1) Utilisez un gestionnaire de mots de passeClassement d'efficacité d'Ed Williams - 5/5De toutes les étapes que vous pouvez prendre dans notre liste, un gestionnaire de mot de passe est le plus efficace. Lors du test de vulnérabilités, les mots de passe faibles sont la première chose que Williams et son équipe attaquent, car beaucoup de gens utilisent soit des mots de passe faciles à deviner, soit des mots de passe utilisés sur plusieurs comptes en ligne.«Moi, par exemple, j'utilise de 20 à 30 mots de passe par jour et je suis sûr que la plupart des gens sont les mêmes, alors avoir quelque chose qui gère tout cela et s'assurer que ces mots de passe sont partagés est vraiment important. .Un gestionnaire de mot de passe est important parce que l'utilisation du même mot de passe pour chaque site Web est incroyablement peu sûre. Les chances qu'Amazon soit piraté et que le mot de passe de votre compte soit volé est assez faible. Mais si vous utilisez le même mot de passe pour un site beaucoup plus petit et moins sécurisé, un pirate pourrait facilement accéder à votre compte Amazon de cette façon.Un gestionnaire de mots de passe résout ce problème en facilitant la création d'un mot de passe unique et sécurisé pour chaque site. Il s'en souvient alors pour vous et vous permet d'y accéder à partir de n'importe quel appareil dont vous avez besoin.Vous avez quelques options si vous voulez commencer à utiliser un gestionnaire de mot de passe. LastPass est le gestionnaire avec lequel nous avons le plus d'expérience, mais consultez notre guide complet ci-dessous pour tous nos meilleurs choix.Connexe: Meilleur gestionnaire de mot de passeUne fois que vous avez défini votre gestionnaire de mots de passe, vous devez importer tous vos mots de passe, parcourir votre liste et générer des mots de passe uniques pour tous les comptes qui utilisent exactement les mêmes informations de connexion.Cela prend un peu de temps, mais une fois que tout est configuré, votre gestionnaire de mot de passe vous aidera à créer un nouveau mot de passe que vous n'avez pas utilisé ailleurs.Enregistrez-vous pour recevoir le bulletin d'informationsRecevez des nouvelles, des concours et des offres spéciales directement dans votre boîte de réceptionVotre adresse email:Montre plusLe dernier point est de s'assurer que votre «mot de passe principal» - que vous utilisez pour déverrouiller votre gestionnaire de mot de passe - est aussi sécurisé que possible. Nous recommandons la méthode Diceware pour générer un mot de passe à la fois fort et raisonnablement facile à retenir.Pour l'amour de Dieu, s'il vous plaît ne réutilisez pas votre mot de passe tout.2) Activer l'authentification à deux facteursClassement d'efficacité d'Ed Williams - 5/5Avec un mot de passe fort et unique, l'authentification à deux facteurs (2FA) est un must si vous voulez rester en sécurité.«Si vos mots de passe sont compromis pour une raison ou une autre, que ce soit un site compromis ou que vous ayez glissé, ce deuxième facteur d'authentification rend l'accès à votre compte beaucoup plus difficile», explique Williams.Vous savez quand vous essayez de vous connecter à un service et qu'il vous envoie un SMS avec un code que vous devez entrer? C'est une authentification à deux facteurs, qui empêche quiconque d'accéder à votre compte, même s'il a trouvé votre mot de passe.Cela dit, si vous utilisez toujours des SMS pour obtenir vos codes, vous vous exposez à une vulnérabilité assez sérieuse.Google Authenticator est une excellente application gratuite pour tous vos besoins d'authentification à deux facteursComme l'explique Williams, «vous ne devriez pas utiliser l'authentification à deux facteurs avec SMS parce que SMS n'est pas un protocole sécurisé.» Cela rend potentiellement votre code vulnérable aux snoopers.Au lieu de cela, il est préférable d'utiliser une application d'authentification dédiée, et il y a beaucoup d'options disponibles. Williams recommande Google Authenticator pour sa simplicité, mais nous aimons aussi Duo car certains sites supporteront les notifications push, ce qui réduit considérablement le temps de connexion.Pour vous familiariser avec ces applications, il vous suffit d'utiliser l'application pour scanner un code QR sur le site Web sur lequel vous souhaitez activer 2FA, et de rechercher les détails d'authentification à deux facteurs du site Web à l'aide de Google.
 
Si vous vous êtes déjà connecté avec 2FA une fois, la plupart des sites vous permettront d'enregistrer votre navigateur pendant un certain temps, ce qui signifie que vous n'aurez pas à chercher constamment votre téléphone juste pour obtenir sur Twitter.

3) Obtenez votre navigateur mis en place pour security

Ed classement de l'efficacité de Williams - 3-5 / 5

Le navigateur est votre passerelle vers l'Internet, il est donc logique de le rendre aussi sécurisé que possible. Il existe des navigateurs sécurisés spécialisés là-bas comme Tor ou Avast Secure Browser, mais quand nous avons demandé à Williams à propos de ces derniers, il pensait que la plupart des utilisateurs seraient mieux servis en mettant en ligne leur navigateur favori avec des extensions soigneusement sélectionnées. Vous devrez peut-être obtenir une extension qui fait tout, ou choisir une extension distincte pour chaque tâche. Un couple de ces paramètres peut être géré avec le navigateur lui-même, sans avoir besoin de logiciel tiers.

 Le plus important est de bloquer automatiquement les logiciels tiers comme Flash et Javascript (une décision que Williams classe 5 / 5 pour l'efficacité). De nouvelles vulnérabilités de sécurité sont constamment découvertes dans ce genre de logiciel, et même si elles sont souvent corrigées, vous pouvez toujours vous trouver exposé. Williams avertit même que ces plugins peuvent être compromis dans la mesure où ils permettent à quelqu'un de prendre le contrôle de votre ordinateur portable .
Ceci est un paramètre que vous pouvez changer depuis Chrome ou Firefox, et vous devriez toujours avoir votre navigateur configuré pour bloquer les plugins par défaut. Certaines applications Web utiles en dépendent, mais dans ces cas, il est toujours préférable de les activer individuellement une fois que vous savez qu'ils utilisent le plugin pour un usage utile. 

La suite est un adblocker (que Williams donne 4.5 / 5) ) pour à peu près la même raison. Les publicités sont souvent la source de codes malveillants sur les sites Web, ce qui fait d'un adblocker un outil utile pour rester en ligne. Cela dit, une grande partie du Web repose uniquement sur la publicité pour générer des revenus, et le blocage de chaque annonce détruirait Internet. nous le savons. Heureusement, des extensions comme Adblock vous permettent de laisser passer des publicités jugées non-intrusives. Nous recommandons d'activer cette option.

 Le troisième changement de navigateur le plus important à faire est de le forcer à utiliser HTTPS plutôt que HTTP dans la mesure du possible (noté 4/5). HTTPS est un protocole beaucoup plus sécurisé pour naviguer sur le Web, mais de nombreux sites ne l'utilisent pas par défaut. Bien qu'il soit impossible de forcer chaque site à utiliser HTTPS, avec la bonne extension, vous pouvez vous assurer qu'il est toujours utilisé quand il y a une possibilité de le faire. Les deux dernières étapes que vous pouvez suivre sont plus optionnelles que nécessaires. vous pouvez toujours les trouver utiles. 
La première consiste à obscurcir les données de localisation (notées 3/5 par Ed). Lorsque vous vous déplacez sur Internet, il y a relativement peu de raisons légitimes pour qu'un site Web sache d'où vous y accédez (par exemple, Google Maps doit savoir où vous êtes pour fournir des instructions), il est donc préférable de laisser cela Par défaut, certaines extensions vous permettront de masquer plus d'informations à votre sujet, par exemple en masquant le type et la version du navigateur que vous utilisez. Oui, cela vous permet de vous anonymiser davantage en ligne, mais le bénéfice est minime à ce stade. C'est une longue liste de choses à accomplir, mais en fonction de ce que vous optez pour, vous pouvez les couvrir avec juste Nous avons d'abord aimé l'extension DuckDuckGo car elle inclut une grande partie de ce dont nous avons parlé plus haut, ainsi que quelques fonctionnalités supplémentaires comme le blocage des trackers publicitaires ("Vous pouvez simplement l'activer et ne pas trop y penser, "Dit Williams. Cela fonctionne bien, mais nous avons été frustrés par la façon dont il nous a forcés à utiliser le moteur de recherche de DuckDuckGo par défaut. Par conséquent, pour la majorité des options ci-dessus, nous vous conseillons de modifier vos paramètres Chrome ou Firefox. adblocker tiers comme Adblock sur le dernier navigateur. L'extension HTTPS Everywhere est une bonne option sur Chrome si vous voulez forcer les sites à supporter le protocole crypté dans la mesure du possible. 

4) Utilisez un classement sécurisé DNS
Ed Williams - 4 / 5
Vous n'avez peut-être jamais entendu parler de DNS auparavant. C'est l'une de ces parties incroyablement désagréables du fonctionnement du Web, et c'est essentiellement responsable de transformer les mots www.trustedreviews.com dans l'adresse IP spécifique qui permettra à votre navigateur d'afficher le contenu de notre site.Par défaut, vous êtes »Il y a eu un certain nombre de problèmes et un certain nombre de vulnérabilités autour du DNS au cours des 25 dernières années», explique Williams, «le problème est que le service DNS par défaut de votre FAI est très mauvais. raison principale pour cela est que tout est juste un texte clair, de sorte que les fournisseurs de services Internet sont grands organisations sont très rapidement capables de déterminer ce que vous regardez et ce que vous faites en ligne. »Heureusement, votre DNS est la chose la plus facile à résoudre au sujet de votre configuration Internet, et vous obtiendrez même un petit boost de vitesse le service.Cloudfire 1.1.1.1 DNS est une petite mais efficace mesure que vous pouvez prendre pour protéger votre vie privée en ligne.
Le service DNS qui fait des vagues récemment avec son engagement à la sécurité et la confidentialité est le service de CloudFire. L'adresse DNS principale que vous voulez utiliser ici est 1.1.1.1, tandis que la seconde est 1.0.0.1. Le propre service DNS de Google (8.8.8.8 / 8.8.4.4) cryptera également votre trafic, mais CloudFire s'est également engagé à purger ses journaux tous les jours afin de limiter la quantité de données qu'il détient au fil du temps. Le moyen le plus efficace de changer votre DNS les paramètres sont d'entrer dans les paramètres de votre routeur et de modifier les paramètres là. Vous pouvez vous connecter à votre routeur en entrant l'adresse IP généralement imprimée sur un autocollant sur le routeur et en accédant aux options avancées. Après ce point, tout appareil connecté à votre réseau domestique accédera à Internet via ce DNS sécurisé. Vous pouvez également modifier vos paramètres DNS appareil par appareil, ce qui est utile si vous avez un téléphone ou un ordinateur portable connecté à différents hotspots Wi-Fi tout au long de la journée. La modification de ces paramètres DNS varie en fonction de votre système d'exploitation. Il est donc préférable de rechercher vous-même ces informations.Sur toutes les options de cette liste, la modification de vos paramètres DNS prend le moins de temps possible. 

 Activer le classement de l'efficacité de votre antivirus
Ed Williams - 4 / 5
Utiliser une forme de logiciel antivirus est essentiel au moment où vous connectez votre ordinateur à Internet, mais Williams est moins convaincu que vous avez besoin d'installer des logiciels tiers en plus de ce qui est déjà construit dans votre système d'exploitation. »Il y a eu beaucoup de problèmes et beaucoup de vulnérabilités associés aux logiciels antivirus parce qu'ils créent une interface supplémentaire. Le logiciel antivirus devra fonctionner avec de gros privilèges sur votre machine, car il doit tout voir ", prévient Williams. "Personnellement, je m'en tiens à ce qui est intégré." Cependant, juste parce que votre système d'exploitation a un antivirus intégré, cela ne signifie pas que vous pouvez l'allumer et l'oublier.Il recommande de vérifier qu'il est configuré pour scanner tout votre ordinateur téléchargements à partir d'Internet, pour éviter que du code malveillant ne pénètre sur votre appareil. En outre, assurez-vous d'agir sur les notifications que votre système vous envoie.Comme Williams le dit, "Antivirus n'est pas une solution miracle, mais c'est mieux que rien de nos jours." 

6) Utilisez un VPN si Vous êtes sérieux
 Classement de l'efficacité d'Ed Williams - 2-3 / 5
VPN ont explosé en popularité ces dernières années, et avec raison. La technologie agit essentiellement comme un tunnel crypté, prenant votre trafic et le livrant partout dans le monde que vous avez spécifié. Si quelqu'un fouille sur votre trafic, il sera capable de voir que vous vous connectez à un VPN, mais Cependant, même si Williams reconnaît que les VPN sont très performants, il pense qu'ils sont moins utiles pour le consommateur moyen. "Je sais que les VPN sont très bons, mais sont-ils raisonnables pour la plupart des utilisateurs? Je dirais probablement qu'ils ne le sont pas ", prévient-il," si vous mettez tout le reste en place comme un gestionnaire de mots de passe et une authentification à deux facteurs, alors je dirais qu'un VPN est moins important. " À moins que vous n'utilisiez un VPN pour accéder à du contenu d'un autre pays, vous n'avez probablement pas besoin de vous en soucier pour protéger votre vie privée et votre sécurité en ligne.

Réflexions finales: 
Messagerie cryptée
De loin, nous avons principalement discuté des mesures que vous pouvez prendre pour naviguer sur Internet en toute sécurité, mais bien sûr une grande partie de ce que nous utilisons pour Internet est la messagerie, qui n'est pas nécessairement cryptée par défaut. La bonne nouvelle est qu'un nombre croissant d'applications de messagerie cryptent vos conversations. Le plus important d'entre eux est WhatsApp, qui offre un cryptage de bout en bout pour ses messages depuis 2016. Cela signifie que personne, pas même WhatsApp, ne peut voir ce que vous envoyez à vos amis. L'iMessage d'Apple est également crypté de la même manière.Si vous voulez une application de messagerie encore plus sécurisée, vous pouvez envisager d'utiliser Signal, qui non seulement crypte vos messages, mais supprime également vos métadonnées chaque fois qu'il le peut, offrant une couche supplémentaire d'intimité. Tout le monde utiliserait Signal, mais en réalité, vous aurez probablement besoin de faire des compromis afin d'être sur la même plate-forme que vos contacts. Dans ces cas, nous pensons que WhatsApp est un compromis acceptable. Essayez d'éviter d'utiliser des SMS pour envoyer des informations sensibles, car elles sont entièrement non cryptées. vous avez été prévenu.



REF.:

Double authentification : pourquoi il faut s’y mettre et comment

Le mot de passe est une technique archaïque qu’il faudrait supprimer, car bien trop vulnérable. En attendant d’avoir une nouvelle technologie à disposition, la meilleure solution est d’activer un second facteur d’authentification.

Si vous passez la moitié de votre vie sur Internet, certains vous l’auront peut-être déjà dit, mais il faut A-B-S-O-L-U-M-E-N-T passer à la double authentification, cette technique qui consiste à valider un mot de passe par exemple par l’envoi d’un code par SMS ou par une clé de sécurité. Pourquoi ? Parce que de nos jours, un mot de passe n’est plus suffisant pour sécuriser l’accès à un service en ligne.
Les pirates ont des dizaines de techniques à leur disposition pour pénétrer dans vos comptes personnels. Ils peuvent vous envoyer des faux emails pour vous inciter à saisir vos identifiants dans de faux formulaires. Ils peuvent aussi tenter de les intercepter quand vous êtes connectés au travers d’un hotspot Wi-Fi public mal sécurisé. Ou alors, ils vont peut-être vous envoyer un cheval de Troie planqué dans une application Android.

Fuites de données à gogo

Les pirates peuvent aussi voler votre mot de passe directement dans les serveurs mal protégés de votre fournisseur de service. Les utilisateurs de Yahoo le savent bien. L’année dernière, le portail a révélé qu’il s’est fait subtiliser l’ensemble des 3 milliards de comptes qu’il gérait en 2013. Et il suffit de consulter le site haveibeenpwned.com pour constater que le vol d’identifiants est devenu une pratique courante. Le site référence presque 5 milliards d’identifiants volés sur 277 sites, celui de Yahoo n’étant pas compris. Ça donne le vertige.

Cette faiblesse intrinsèque du mot de passe est bien connue. Les industriels vont peut-être réussir un jour à remplacer cette méthode d’authentification archaïque. La technologie FIDO2, qui a récemment obtenu la consécration du W3C, est un candidat crédible. Mais son adoption risque de prendre encore du temps. En attendant, la seule solution pour ne pas se retrouver dans les griffes des pirates, c’est la double authentification. En effet, même si votre mot de passe tombe entre leurs mains, il ne leur servira à rien car il n’est pas suffisant pour se connecter.
Certains vous diront probablement que la double authentification est compliquée et pas très pratique. C’est vrai, car utiliser un second facteur ralentit nécessairement le processus de connexion. Mais ce que l’on perd en confort, on le gagne largement en sécurité. Par ailleurs, vous n’êtes pas obligé d’avoir la double authentification du sol au plafond. Vous pouvez vous contenter de la mettre en œuvre pour les services les plus critiques.

La messagerie, le cloud et les réseaux sociaux en priorité

Les premiers comptes à protéger sont les comptes email qui sont généralement utilisés en dernier recours pour réinitialiser les mots de passe sur vos autres services. Un pirate qui arrive à compromettre un compte email peut, du coup, accéder à d’autres ressources.  Parmi les comptes qu’il faut également protéger en priorité figurent les comptes de réseaux sociaux et les comptes cloud, pour éviter respectivement l’usurpation d’identité et la fuite de données. Enfin, il serait également bien d’activer la double authentification pour les services bancaires en ligne, quand cela est possible.
Mais alors comment faire ? Cela dépend du fournisseur, car c’est à lui de rendre son service interopérable avec les différentes solutions du marché. Un bon conseil : si votre fournisseur de messagerie ne propose pas ce type d’option, allez voir ailleurs. Les grandes marques du web, de leur côté, proposent toutes une ou plusieurs méthodes de double authentification. L’une des plus simples à mettre en œuvre est celle du code à usage unique. A chaque connexion, l’utilisateur rentre son mot de passe et reçoit ensuite, par un autre moyen, un code qui fonctionnera qu’une seule fois.
Pour les services Google, il faut utiliser l’application mobile Google Authenticator. Pour les services Microsoft, c’est – vous avez deviné ? – Microsoft Authenticator. Ces applis doivent au préalable être associées au compte, par le scan d’un QR code par exemple. Elles génèrent ensuite à intervalles réguliers des codes à utiliser. Ce système est appelé « TOTP », pour « time-based one time password ».

Google Authenticator (à gauche) et Microsoft Authenticator (à droite) -

L’avantage, c’est que ces applications peuvent également être utilisées pour d’autres services en ligne. Ainsi, il est tout à fait possible d’utiliser Google Authenticator pour protéger son accès sur LastPass, Slack, Amazon Web Services, Facebook et ProtonMail, par exemple. D’autres applis le font aussi telles que Authy ou Duo Mobile.
Chez Apple, en revanche, pas besoin d’application, l’appareil mobile suffit (iPhone, iPad). A chaque tentative de connexion sur iCloud ou Apple ID, l’utilisateur reçoit directement par le système iOS un code à usage unique.
De son côté, Twitter s’appuie sur son application mobile pour envoyer à l’utilisateur un code de ce type. Et chez Facebook, plusieurs options de double authentification sont à disposition. Outre l’application de codes à usage unique, le réseau social propose de recevoir un code par SMS ou de connecter une clé de sécurité.
Ce dernier cas est un peu la méthode ultime de la double authentification. L’acteur le plus connu dans ce domaine est Yubico qui dispose de toute une gamme de clés de sécurité. Elles proposent plusieurs méthodes comme les codes à usage unique TOTP ou le standard U2F. Mais il y a aussi d’autres fournisseurs comme Neowave ou Key-ID. A vous de choisir.

REF.:

L’intelligence artificielle permet de mieux casser les mots de passe

Des chercheurs sont en train de mettre au point des outils basés sur des réseaux neuronaux pour deviner des mots de passe. Ils ne dépassent pas forcément les outils actuels des hackers, mais cela ne saurait tarder.

Casser des mots de passe fait partie des disciplines incontournables des hackers et autres pirates. Jusqu’à présent, cet art est essentiellement manié à l’aide d’outils automatisés tels que John The Ripper ou Hashcat. Ces derniers s’appuient sur des dictionnaires de mots et des règles d’altération (ajout de chiffres en fin de mot, remplacement majuscules-minuscules, écriture « leet », etc.) pour générer des mots de passe possibles et deviner le code secret qui se cache derrière une empreinte cryptographique. Mais bientôt, les attaquants pourront peut-être jouir de nouveaux logiciels, plus efficaces, grâce aux progrès de l’intelligence artificielle. Des recherches sont actuellement en cours dans ce domaine et les premiers résultats sont encourageants.
Quatre chercheurs issus de Stevens Institute of Technology et New York Institute of Technology viennent ainsi de mettre au point une méthode baptisée « PassGAN », basée sur un double réseau neuronal appelé « generative adversial network » (GAN). L’idée est de prendre une liste de mots de passe et d’utiliser le premier réseau neuronal pour générer de nouveaux mots de passe. Ceux-ci seront alors analysés par le second qui ne retiendra que ceux qu’il juge « bons » et qui seront alors retransmis au premier pour en générer d’autres. Et ainsi de suite. Ces itérations successives permettent de créer plein de nouveaux mots de passe dont la « qualité » est très proche de la liste de départ.

Générer des centaines de millions de mots de passe...

Les chercheurs ont expérimenté leur méthodes en prenant comme liste de départ 23 millions de mots de passe issus de la base de données du service en ligne RockYou, qui a fuité en 2010. Ils ont ensuite généré 528 millions de mots de passe avec leurs réseaux neuronaux. Ils ont également généré des mots de passe avec les outils usuels : 528 millions avec John The Ripper, 646 millions avec Hashcat version best64 et 441 millions avec Hashcat version gen2. Puis ils ont comparé tous ces nouveaux mots de passe avec la base LinkedIn, qui a fuité en 2016.
Résultat : les réseaux neuronaux ont permis de découvrir 11,5 % des mots de passe LinkedIn, contre 6,37 % pour John The Ripper, 14,5 % pour Hashcat gen2 et 22,9 % pour Hashcat best64. Certes, la méthode PassGAN n’arrive qu’en troisième position, mais en combinant les réseaux neuronaux avec Hashcat gen2, le taux monte à 27 %. « C’est remarquable, car cela montre que les deux réseaux neuronaux peuvent générer un grand nombre de mots de passe qui sont hors de portée des outils de génération usuels », soulignent les chercheurs.

... et inventer de nouvelles règles

A l’avenir, ils pensent d’ailleurs pouvoir faire beaucoup mieux que ces logiciels, car « contrairement aux outils basés sur les règles, PassGAN a été capable de générer des mots de passe sans aucune intervention de l’utilisateur, que ce soit une connaissance sur le domaine des mots de passe ou une analyse des fuites de bases de données », ajoutent les chercheurs. Interrogés par Sciencemag.org, ils pensent que leur système pourra même inventer des règles d’altération jusqu’alors inconnus, ce qui permettrait d’aller encore plus loin.
D’autres chercheurs sont également attirés par ce domaine. En 2016, sept chercheurs de l’université Carnegie Mellon ont également présenté une autre méthode de génération de mots de passe basé sur un seul réseau neuronal. Dans leur analyse, ils disent que leur système est systématiquement plus performant que les John The Ripper ou Hashcat. La guerre des réseaux neuronaux est donc lancée. En attendant, le meilleur conseil que l’on peut donner, c’est de rapidement migrer vers un gestionnaire de mots de passe pour se doter de codes secrets aléatoires. Face à tous ces algorithmes de plus en plus sophistiqués, c’est peut-être encore la meilleure défense.

REF.:

Ne reliez pas votre numéro de téléphone aux sites de médias sociaux

Comment faire un hack au compte de Facebook en utilisant les numéros de victime

Chacun se pose une question sur la façon de hacker le compte Facebook et les gens ordinaires demandent comment sécuriser le compte Facebook, entre le piratage et la sécurité, ils sont un long chemin à parcourir!En 2016, les méthodes de Hacking sont développées et de sécurité, et Hacking Facebook compte aujourd'hui l'une des principales questions sur Internet. C'est difficile à trouver, mais les chercheurs se sont révélés en prenant le contrôle de n'importe quel compte de FACEBOOK avec seulement le numéro de téléphone de la cible et certains hackingskills.Oui, votre compte Facebook peut être piraté, quel que soit le degré de sécurité de votre mot d'ordre ou la quantité de mesures de sécurité supplémentaires que vous avez prises. Sans blague!Même lorsque les utilisateurs ont choisi des mots de passe forts et pris des mesures de sécurité supplémentaires, leurs comptes Facebook FB -0,29% ne sont pas sécurisés contre les pirates informatiques. Les pirates ayant des compétences pour exploiter le réseau SS7 peuvent pirater votre compte Facebook. Tout ce dont ils ont besoin, c'est votre numéro de téléphone.Les chercheurs de Positive Technologies, qui ont récemment montré comment ils pouvaient détourner les comptes de WhatsApp et Telegram, ont maintenant donné la démonstration du piratage de Facebook en utilisant des astuces similaires, a rapporté Forbes.Qu'est-ce que SS7?Le système de signalisation n ° 7 (SS7) est un ensemble de protocoles de signalisation de téléphonie développés en 1975, qui sert à configurer et à détruire la plupart des appels téléphoniques publics de réseau téléphonique public (RTPC). Il effectue également la traduction de numéros, la portabilité des numéros locaux, la facturation prépayée, le service de messages courts (SMS) et d'autres services de marché de masse.Qu'est ce que SS7 fait normalement?SS7 est un ensemble de protocoles permettant aux réseaux téléphoniques d'échanger les informations nécessaires pour transmettre des appels et des messages texte entre eux et pour assurer une facturation correcte. Il permet également aux utilisateurs d'un réseau de se déplacer sur un autre, par exemple lorsqu'ils voyagent dans un pays étranger.SS7 est depuis longtemps connu pour être vulnérable, malgré le cryptage le plus avancé utilisé par les réseaux cellulaires. Les défauts de conception de SS7 ont été en circulation depuis 2014 lorsque l'équipe de chercheurs de German Security Research Labs a alerté le monde.Voici comment bloquer tout compte Facebook:L'attaquant doit d'abord cliquer sur le lien "Mot de passe oublié?" Sur la page d'accueil de Facebook.com. Maintenant, lorsqu'on lui demande un numéro de téléphone ou une adresse email lié au compte cible, le piratage doit fournir le numéro de téléphone légitime.L'attaquant dévie alors les SMS contenant un code d'accès unique (OTP) sur leur propre ordinateur ou téléphone et peut se connecter au compte Facebook de la cible.Vous pouvez regarder la démonstration vidéo qui montre le hack en action.Le problème affecte tous les utilisateurs de Facebook qui ont enregistré un numéro de téléphone avec Facebook et ont autorisé Facebook Texts.Outre Facebook, le travail des chercheurs montre que tout service, y compris Gmail et Twitter, qui utilise des SMS pour vérifier ses comptes d'utilisateurs a laissé des portes ouvertes aux pirates pour cibler ses clients.Bien que les opérateurs de réseau ne parviennent pas à réparer le trou quelque temps prochain, il y a peu d'utilisateurs de téléphones intelligents qui peuvent le faire.

    Ne reliez pas votre numéro de téléphone aux sites de médias sociaux, plutôt que de recevoir uniquement des courriels pour récupérer votre compte Facebook ou d'autres médias sociaux.
    Utilisez l'authentification à deux facteurs qui n'utilise pas de SMS pour recevoir des codes.
    Utilisez des applications de communication qui offrent un «cryptage de bout en bout»(comme signal) pour chiffrer vos données avant de quitter votre téléphone intelligent par rapport à la fonction d'appel standard de votre téléphone.

REF.: