Allez
pour rire, vous pouvez aller dans le code d'une page HTML pour
remplacer le type du champs "password" par "texte" et ainsi voir le mot
de passe remplit automatiquement.
Très pratique pour récuperer un mot de passe oublié.
Mot de passe Windows perdu ou oublié – Comment récupérer un accès à la machine ?
@Korben
—
Si vous avez oublié ou perdu le mot de passe d’un ordinateur sous Windows
10, sachez qu’il est possible d’en mettre un nouveau ou de vous faire
un compte Administrateur sans aucun problème. Et pas besoin de pirater
quoi que ce soit, il suffit d’avoir un accès physique à la machine et
une ISO de Windows 10 proposée par Microsoft.
Alors comme je le disais, il vous faudra une ISO de Windows 10 bootable, que vous graverez sur DVD / CD ou que vous mettrez sur clé USB.
Étape 2 : Premier boot
La seconde étape consiste à démarrer sur le DVD de Windows et quand vous voyez l’écran ci-dessous,
utilisez la combinaison de touches suivantes s’il n’y a pas Bitlocker sur la machine :
MAJ + F10
Cela aura pour effet d’ouvrir une invite de commande (un terminal quoi) en mode Administrateur.
Si le disque est chiffré avec Bitlocker, avancez un peu dans
l’install et choisissez l’option « Réparer ». Le programme vous
demandera alors votre clé de récupération Bitlocker et vous donnera
ensuite accès à un terminal.
Étape 3 : Les commandes
Une fois sur l’invite de commande, placez vous dans le dossier D:\windows\system32
d:
cd windows\system32
Puis faites une copie de sauvegarde de sethc.exe qui est le programme
permettant d’utiliser les « Sticky Keys » ou en français les touches
rémanentes.
copy sethc.exe ..
Ensuite, il faut écraser sethc.exe avec le programme cmd.exe (l’invite de commande).
copy cmd.exe sethc.exe
Étape 4 : Second boot
Ensuite, il faut rebooter mais ne pas démarrer sur le DVD. Laissez
votre ordinateur démarrer normalement, jusqu’à ce que vous vous
retrouviez sur l’écran de login.
Ensuite, maintenez la touche MAJ enfoncée et cliquez sur le bouton Redémarrer en bas à droite
Cela aura pour effet de vous envoyer sur un écran utilisé pour le dépannage de Windows.
Cliquez sur « Dépannage » puis sur « Options avancées » et enfin « Paramètres ».
Quand vous verrez cet écran, cliquez ensuite sur « Redémarrer ».
Étape 5 : Démarrage en mode sans échec
Nouveau reboot, et vous devriez tomber sur l’écran suivant :
Appuyez sur F4 pour choisir l’option 4 de redémarrage en mode sans
échec et vous devriez ensuite vous retrouver sur l’écran de login une
fois encore..
A cette étape, appuyez rapidement 5 fois de suite sur la touche
majuscule. En temps normal, cela lance l’utilitaire des touches
rémanentes mais dans notre cas, cela aura pour effet d’ouvrir une invite
de commande.
Étape 6 : Changer le mot de passe du compte
A partir de là, vous allez pouvoir entrer les commandes NET USER qui
vont bien pour manipuler les comptes utilisateurs de la machine.
Remplacez nouvelutilisateur / nomutilisateur par le login de votre utilisateur et motdepasse par le mot de passe de votre choix.
Pour changer le mot de passe d’un utilisateur existant :
NET USER nomdutilisateur motdepasse
Pour activer un compte Administrateur
NET USER Administrateur /ACTIVE:YES
Pour changer le mot de passe du compte Admin
NET USER Administrateur motdepasse
Pour créer un nouvel utilisateur
NET USER nouvelutilisateur motdepasse /add
Et pour mettre cet utilisateur dans le groupe Administrateur
NET LOCALGROUP Administrateurs nouvelutilisateur /add
Étape 7 : On remet tout en état
Ensuite, fermez le terminal, et loggez-vous avec votre nouveau mot de
passe ou votre nouveau compte. Vous verrez alors que vous êtes bien en
mode sans échec.
Avant de rebooter en mode normal, lancez à nouveau une invite de
commande, mais en mode Administrateur. Pour cela, recherchez cmd puis
faites un clic droit sur le résultat pour le lancer en mode Admin.
Nous allons remettre le programme sethc.exe en état pour éviter que
ce soit le terminal qui s’ouvre à nouveau lorsque vous appuierez 5 fois
de suite sur la touche majuscule. Pour cela, dans l’invite de commande,
entrez la commande de restauration suivante :
L’utilitaire sethc.exe propre aux touches rémanentes sera à nouveau fonctionnel.
Étape 8 – On reboot et c’est terminé
Et voilà, ensuite il suffit de redémarrer en mode normal et vous
aurez accès à nouveau à Windows avec votre nouveau mot de passe ou le
nouvel utilisateur que vous venez de créer ! Bravo à vous !
Pour ceux que ça intéresse, j’ai fait aussi une vidéo tuto qui reprend toutes les étapes de cet article.
Alors aujourd’hui, on va regarder comment hacker son propre ordinateur afin de faire sauter le mot de passe root d’une machine Linux.
On va donc apprendre à changer, comme un champion, le mot de passe de
n’importe quel compte, y compris le mot de passe root, d’une machine
sous Ubuntu.
Pratique si vous êtes bloqué à l’extérieur de votre ordinateur parce que vous avez oublié votre mot de passe.
Alors tout d’abord, au lancement de la machine, vous devriez voir un
menu qu’on appelle le menu GRUB. Il permet de choisir la méthode
utilisée pour booter. Parfois il se peut que GRUB soit masqué. Dans ce
cas, au moment du boot, appuyez sur la touche MAJ pour le voir
apparaitre.
Une fois sur le menu Grub, appuyez sur la touche ‘e‘.
Cela vous permettra d’éditer le script de bootloader utilisé par Grub.
Cherchez la ligne qui commence par linux et ajoutez à la fin de cette ligne
rw init=/bin/bash
Puis faites un CTRL X pour booter. Vous allez tomber sur un shell bash en root.
Entrez alors la commande en remplaçant USER par le nom de l’utilisateur dont vous voulez changer le mot de passe.
passwd USER
Et voilà ! Mot de passe changé !
Rebootez ensuite la machine et le tour est joué !
Pour ceux qui veulent voir la procédure en vidéo, la voici :
vol d'identité, vol de donné, DarkWeb, mot de passe, Hackers,
Des milliers de mots de passe d’élus et de fonctionnaires, dont
certains liés à Justin Trudeau et à des députés de l’Assemblée
nationale, ont été piratés et sont disponibles sur le dark web. Ces
fuites pourraient mettre des informations sensibles à risque.
Même des directeurs de la Sûreté du Québec et un sous-ministre
fédéral de la Justice ont été victimes du vol, a constaté notre Bureau
d’enquête au cours des dernières semaines.
Ces fuites ne signifient pas nécessairement que les systèmes
informatiques des gouvernements ont été directement
infiltrés.
Ils
pourraient cependant faciliter le travail de criminels qui voudraient
accéder à des réseaux gouvernementaux.
Informations volées
Le ministère de l’Éducation vient justement d’annoncer qu’un mot de
passe dérobé a servi à voler les informations de 360 000
enseignants.
Plusieurs pirates qui diffusent ces mots de passe déclarent qu’ils
proviennent de fuites déjà connues, comme celles qui ont frappé
LinkedIn, Dropbox et le site de rencontres coquines Ashley
Madison.
Dans ces cas-là, les victimes du vol de mots de passe ont utilisé
leur courriel professionnel pour se connecter à leurs comptes sur ces
sites.
Or, les internautes ont tendance à utiliser des mots de passe
similaires d’un site à l’autre, et mettent donc leur code d’accès
professionnel à risque.
« Ça facilite la vie des hackers,
explique Mathieu Jacques, fondateur du consultant en cybersécurité
Microfix. Quand on a 90 % d’un mot de passe, c’est facile d’utiliser un
robot pour l’avoir au complet ! »
S’ils réussissent, les pirates peuvent ensuite revendre
l’information à des spécialistes du vol d’identité, de l’espionnage ou
des cyberattaques.
Des experts s’inquiètent et croient que les organismes
gouvernementaux n’en font pas suffisamment pour avertir les victimes de
ces vols de mots de passe lorsqu’ils sont détectés sur
internet.
Tenus dans l’ignorance
La majorité des victimes qu’a contactées notre Bureau d’enquête ignoraient avoir été la cible de piratage.
« Je vais aller poser la question à savoir pourquoi, si un journaliste du Journal de Montréal
est capable de trouver ça, on [ne] m’a pas informé plus tôt », affirme
François Daigle, sous-ministre délégué de la Justice, dont un mot de
passe a fuité.
Plusieurs
organisations concernées sont réticentes à expliquer ce qui s’est
passé. Certaines assurent qu’elles étaient déjà au
courant.
Tous les organismes publics affectés disent s’être dotés de
politiques d’utilisation sécuritaire des courriels. Ils interdisent
l’utilisation de l’adresse professionnelle sur des sites tiers et
prévoient des changements réguliers de mots de passe. - Avec la collaboration d’Andrea Valeria
Notre démarche
Nous avons utilisé un moteur de recherche conçu pour détecter les
données piratées qui se trouvent sur le dark web. Ce logiciel ne révèle
que les quatre premiers caractères des mots de passe qu’il peut trouver.
Nous avons ensuite retrouvé certains mots de passe complets sur un
forum de voleurs d’identité. Éric Caire
Photo d'archives, Simon Clark
Ministre délégué à la Transformation numérique gouvernementale
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale. Ce qu’il avait à dire : Son attachée de presse
Nathalie Saint-Pierre indique que son patron ne se souvient pas d’avoir
utilisé ce mot de passe.
François Daigle
Sous-ministre délégué de la Justice
Ce que nous avons trouvé : Un mot de passe associé à son adresse gouvernementale. Ce qu’il avait à dire : « Merci de l’avoir porté à
mon attention. Je ne l’aurais jamais su autrement », souligne le
deuxième plus haut fonctionnaire au ministère de la Justice à Ottawa. La
fuite de son mot de passe semble liée à la brèche majeure ayant frappé
LinkedIn en 2016.
Une greffière du palais de justice de Montréal Ce que nous avons trouvé : Un mot de passe avec
lequel elle accédait jusqu’à l’été 2019 au système informatique du
ministère de la Justice. Ce qu’elle avait à dire : Le mot de passe servait
notamment à prendre ses courriels et démarrer l’enregistrement sonore
dans les salles de cour. « C’était le mot de passe pour accéder à tout
», soutient l’ancienne fonctionnaire, qui vient de quitter son emploi et
demande à conserver l’anonymat. Elle non plus n’avait pas été avisée de
la fuite.
Guy Ouellette
Photo d'archives, Simon Clark
Député indépendant
Ce que nous avons trouvé : Deux mots de passe associés à l’une de ses adresses de l’Assemblée nationale. Ce qu’il avait à dire : L’ancien
libéral a déjà utilisé l’un des deux codes d’accès pour consulter des
courriels reçus sur le réseau de l’Assemblée nationale. L’autre mot de
passe a vraisemblablement servi à se connecter sur le réseau LinkedIn.
Personne ne l’a avisé de la situation, même si la fuite semble dater de
plusieurs années. « Il va falloir vérifier s’ils font vraiment une
veille là-dessus, note-t-il. Je vais faire certaines vérifications en ce
qui me concerne. »
Justin Trudeau
Photo d'archives, AFP
Premier ministre du Canada
Ce que nous avons trouvé : Quatre mots de passe
associés à autant d’adresses courriel de la Chambre des communes. L’un
d’eux se trouve sur le web clandestin depuis au moins 2012 sous forme
non encryptée. Certaines données semblent liées aux brèches ayant touché
Dropbox, un site de partage de fichiers, et myheritage.com, spécialisé
dans les recherches généalogiques. Ce qu’il avait à dire : « Ce sont des adresses de
député, pas des adresses du bureau du premier ministre. Ceux qui les
utilisent, ce sont des employés dans la circonscription », dit Ann-Clara
Vaillancourt, attachée de presse au cabinet de
Trudeau.
Paul Crépeau
Directeur exécutif du Conseil de la magistrature ; Ancien procureur de la commission Charbonneau
Ce que nous avons trouvé : Un mot de passe associé à une ancienne adresse gouvernementale. Ce qu’il avait à dire : Il s’en servait pour
plusieurs comptes, jusqu’à notre appel. Le code est associé à son
ancienne adresse du Directeur des poursuites criminelles et pénales,
qu’il a quitté en 2012. Après notre discussion, M. Crépeau a communiqué
avec son ancien employeur. « Je leur ai dit : “Je sens que vous avez
peut-être un problème au niveau de la sécurité !” » ♦ Notre Bureau d’enquête a aussi trouvé des mots de passe
associés à deux autres procureurs, qui n’avaient pas été avertis non
plus.
Pascal Bérubé
Photo d'archives, Simon Clark
Chef intérimaire du Parti québécois
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale. Ce qu’il avait à dire : Le
député de Matane s’en servait pour se connecter à des sites tiers. La
sécurité de l’Assemblée nationale ne l’a jamais avisé. « Si mon mot de
passe circule avec un courriel, ce n’est pas très rassurant !
lance-t-il. Merci au Journal de nous avertir, on va prendre des mesures. »
François Croteau
Maire de l’arrondissement de Rosemont–Petite-Patrie, à Montréal
Ce que nous avons trouvé : Un mot de passe associé à son adresse courriel de la Ville. Ce qu’il avait à dire : « C’est le mot de passe
que j’avais jusqu’en 2018 pour me connecter à mon logiciel Lotus Notes
de la Ville ! » Messagerie électronique, connexion au réseau Wi-Fi,
téléchargement d’ordres du jour... Le code servait à toutes ces
fonctions, jusqu’à ce que la Ville passe à un système plus sécuritaire, à
double authentification.
Filomena Rotiroti
Photo courtoisie
Députée de Jeanne-Mance–Viger
Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale. Ce qu’elle avait à dire : La députée croit qu’elle
utilisait ce mot de passe pour accéder au site de mise en forme
myfitnesspal.com. Personne ne l’a jamais avisée.
Denis Audet
Directeur de la gestion des contrats au ministère de la Justice du Québec
Ce que nous avons trouvé : Un mot de passe associé à son adresse gouvernementale. Ce qu’il avait à dire : Le haut fonctionnaire
utilisait encore le code d’accès dont nous avons retrouvé les quatre
premières lettres pour se connecter à des systèmes du gouvernement. « Je
vais devoir vérifier ça », affirme-t-il. Denis Audet se dit surpris de
n’avoir jamais été averti de la fuite.
La Sûreté du Québec et la police de Montréal Ce que nous avons trouvé :
258 mots de passe d’employés de la Sûreté du Québec, dont certains hauts gradés des enquêtes criminelles.
110 mots de passe associés à la police de Montréal. On
y retrouve des codes de chefs de postes de quartier. Des adresses sont
associées au site de rencontres extraconjugales Ashley Madison, ce qui
pourrait permettre de faire chanter des
agents.
Ce qu’ils avaient à dire :
À la Sûreté du Québec, le porte-parole Hugo Fournier
assure que l’organisation est au courant de ces fuites de mots de passe
depuis janvier 2018.
L’organisation n’a reçu aucune plainte à ce sujet et a donc décidé
de ne pas enquêter. Elle croit que ces fuites proviennent des données
d’un site tiers ayant subi une brèche
informatique.
« Une enquête a permis de démontrer qu’aucune
information sensible n’avait été compromise, déclare de son côté la
police de Montréal. Un ensemble de mesures a également été mis en place
pour empêcher que ces adresses courriel puissent être utilisées à
mauvais escient. »
Lexique
Web clandestin (dark web)
Partie
du web non répertoriée par les moteurs de recherche comme Google, où se
concentrent les activités illicites (distribution et revente de drogue,
pornographie juvénile, données personnelles volées,
etc.). Encryption (ou chiffrement)
Modification dans le codage numérique d’une information pour la
rendre illisible par quelqu’un qui ne détient pas la clé de
décryption. Double authentification
Système où l’utilisateur doit entrer un code apparaissant sur un
autre appareil, comme un téléphone, en plus de son mot de passe, avant
de pouvoir se connecter à un réseau.
Des experts s’inquiètent
Des
experts en cybersécurité croient que les gouvernements doivent
redoubler de vigilance pour détecter les fuites de mots de passe qui
pourraient compromettre leurs informations et celles de leurs
employés.
Mathieu Jacques Expert en cybersécurité
« Ce n’est pas encore pris au sérieux », affirme l’expert en cybersécurité Mathieu Jacques.
Selon lui, les autorités devraient systématiquement informer leurs
employés de la présence de mots de passe leur étant associés sur le web
clandestin, même s’ils ont été changés et qu’ils sont associés à des
fuites déjà connues.
« Tous les utilisateurs devraient être notifiés pour leurs propres
problèmes », soutient M. Jacques, fondateur de Microfix, une firme qui
aide les entreprises à colmater leurs vulnérabilités
informatiques.
Plusieurs façons
Comment ces données sont-elles arrivées entre les mains de pirates ?
La réponse varie énormément selon les cas, disent les experts.
La victime peut avoir utilisé son adresse courriel
professionnelle comme identifiant pour se connecter à un autre site qui
s’est fait pirater, comme LinkedIn, Dropbox ou Ashley
Madison.
« C’est généralement la source d’information piratée la moins
valide, ne serait-ce que parce que l’information sur ces brèches est
connue et les usagers diligents ont déjà changé leur mot de passe »,
explique M. Jacques.
Quelqu’un peut avoir utilisé un ordinateur à la maison
ou ailleurs, infecté par un virus, pour se connecter à son compte
professionnel, et s’être alors fait voler
l’information.
Pour ce faire, les pirates peuvent utiliser le keylogging :
un logiciel espion qui transmet les touches sur lesquelles tape la
victime, et enregistre son activité.
La victime peut avoir été « hameçonnée » (phishing)
: au téléphone, par texto, par courriel ou à l’aide d’un faux site, le
pirate l’a convaincue de partager son mot de passe en se faisant passer
pour un interlocuteur légitime.
Pire scénario : l’organisme lui-même peut avoir
directement été victime d’une attaque ou d’un vol d’informations, comme
Desjardins et le ministère de
l’Éducation.
Grave problème
Chose certaine, le vol de mots de passe est un grave problème dans
les organisations, publiques ou privées, assure Damien Bancal,
spécialiste en cyberintelligence.
« Des fuites, il y en a à profusion, dit-il. Après le vol, les
pirates peuvent utiliser les informations pendant des années, les
revendre plusieurs fois... »
Les
gouvernements prennent-ils la chose à la légère ? « Ça évolue dans le
bon sens, note M. Bancal. Mais leurs experts en sécurité ne peuvent pas
surveiller chaque employé. »
À quoi ça peut servir ?
Un mot de passe valide peut être d’une grande utilité pour un
pirate qui veut voler une identité afin de commettre des
méfaits. Attaque par force brute
Utiliser un réseau d’ordi-nateurs qui teste rapidement des milliers
de mots de passe pour pénétrer dans un système informatique public. Une
fois entré, le pirate peut :
Crypter les données et exiger une rançon pour les déchiffrer ;
Accéder à des dossiers secrets pour faire de
l’espionnage ou voler des informations
confidentielles.
Hameçonnage
Se
faire passer pour un technicien informatique ou un autre interlocuteur
légitime en utilisant des données personnelles comme un identifiant et
un mot de passe.
Soutirer ensuite d’autres informations personnelles, comme d’autres
codes d’accès, qui permettront de commettre des
fraudes. Atteinte à la réputation
Pénétrer une boîte courriel ou un compte LinkedIn pour envoyer des menaces ou insulter d’autres personnes. Fraude, extorsion
Se cacher derrière l’adresse courriel d’un autre pour frauder ou extorquer.
Trouver une adresse servant d’identifiant pour un site
de rencontres extraconjugales comme Ashley Madison, contacter la
victime de la fuite et exiger une rançon pour garder le silence.
IoT, internet des objets, mot de passe, Password, serveurs, routers, fuite, Hackers,
Un hacker a publié cette semaine une longue liste d'identifiants de
connexion Telnet pour plus de 515 000 serveurs, routeurs et appareils
connectés à l'Internet des objets (IoT). La liste, publiée sur un forum
bien connu des hackers, comprend l'adresse IP de chaque appareil, ainsi
qu'un nom d'utilisateur et un mot de passe pour le service Telnet, un protocole d'accès à distance qui peut être utilisé pour contrôler les appareils sur Internet.
Selon les experts à qui ZDNet s'est adressé cette semaine, et une
déclaration du hacker lui-même, la liste a été compilée en balayant tout
Internet à la recherche d'appareils qui exposaient leur port Telnet. Le
pirate a ensuite essayé d'utiliser (1) les noms d'utilisateur et mots
de passe par défaut (paramètres d'usine), ou (2) des combinaisons de
mots de passe personnalisés mais faciles à deviner. Ces types de listes
- appelées "bot lists" - sont communes lors d'opérations de "botnet
IoT". Les pirates parcourent Internet pour créer des bot lists, puis les
utilisent pour se connecter aux périphériques et installer des
logiciels malveillants. Elles sont généralement privées, bien que
certaines aient fait l'objet de fuites en ligne par le passé, comme une liste de 33 000 références Telnet
de routeurs domestiques en août 2017. A notre connaissance, il s'agit
de la plus grande fuite de mots de passe Telnet connue à ce jour.
publicité
DDoS et fuite de données
Il semblerait que la liste a été publiée en ligne par le responsable
d'un service DDoS-for-hire (DDoS booter). Lorsqu'on lui a demandé
pourquoi il avait publié une liste de "bots" aussi massive, il a répondu
qu'il avait mis à niveau son service DDoS en passant du travail sur des
botnets IoT à un nouveau modèle qui repose sur la location de serveurs à
haut rendement auprès de fournisseurs de services cloud.
Les
listes qui ont fuitées sont datées d'octobre-novembre 2019. Certains
des périphériques fonctionnent maintenant sur une adresse IP différente,
et les identifiants de connexion peuvent avoir été modifiés. Impossible
de dire si les identifiants sont encore valides, nous n'avons pas pu
les tester - ce serait illégal bien entendu. En utilisant des moteurs de
recherche IoT comme BinaryEdge ou Shodan, nous avons identifié des
périphériques dans le monde entier, certains sur des réseaux
domestiques, d'autres sur les réseaux des fournisseurs de services
cloud.
Le danger demeure
D'après un expert sécurité IoT souhaitant rester anonyme, même si
certaines entrées de la liste ne sont plus valides, ces listes restent
très utiles pour un attaquant habile. Les périphériques mal configurés
ne sont pas répartis uniformément sur Internet, mais ils sont
généralement regroupés sur le réseau d'un seul FAI en raison de la
mauvaise configuration des périphériques par le personnel du FAI lors de
leur déploiement auprès de leurs clients respectifs. Le pirate peut
donc utiliser les adresses IP des listes, déterminer le fournisseur de
services, puis ré-analyser le réseau du FAI pour mettre à jour la liste
avec les dernières adresses IP.
ZDNet a partagé la liste des identifiants avec des chercheurs en
sécurité fiables et approuvés qui se sont portés volontaires pour
contacter et avertir les FAI et les propriétaires des serveurs.
Le FBI s'empare de WeLeakInfo, un site vendant des identifiants volés
Sécurité : Le site
WeLeakInfo a vendu l'accès à plus de 12 milliards d’identifiants
d'utilisateurs diffusés suite à des piratages de services en lignes.
FBI, vol d'identité, vol de donné, Hackers, Password, mot de passe,
Les autorités américaines ont saisi cette semaine le domaine de
WeLeakInfo.com, un service en ligne qui, depuis trois ans, vendait
l'accès à des données piratées sur d'autres sites Web.
Le site Web donnait accès aux mots de passe en texte clair des gens,
permettant aux pirates d'acheter un abonnement sur le site et d'accéder à
des milliards d'informations d'identification d'utilisateur.
En raison de cette pratique illégale, le site Web s'est forgé une
réputation dans les milieux underground du piratage comme une excellente
source et un endroit pour effectuer des reconnaissances contre des
cibles.
publicité
Comment les pirates ont utilisé WeLeakInfo
Les pirates achetaient un accès au site, puis recherchaient le
nom, l'adresse e-mail ou le nom d'utilisateur d'une personne qu'ils
voulaient pirater. Le site renvoyait alors des résultats sur toutes les
fuites de données où les données de l'utilisateur étaient incluses, y
compris les mots de passe en texte clair lorsque ceux-ci étaient
disponibles.
Le pirate pouvait récupérer les mots de passe antérieurs et
tenter de les utiliser sur les autres profils en ligne d'un utilisateur,
en espérant que la cible aurait réutilisé les mots de passe sur
d'autres sites.
L’accès au site Web était très bon marché, ce qui le rendait très
accessible même aux pirates peu qualifiés disposant de ressources
limitées. Pour 2 $ par jour, les pirates pouvaient effectuer des recherches illimitées sur les données d'un utilisateur sur le site.
Avant que le domaine ne soit saisi il y a deux jours, le 15
janvier, WeLeakInfo avait déclaré sur son site Web avoir indexé plus de
12 milliards d’identifiants d'utilisateurs de plus de 10 000 fuites de
données.
Le site Web a été supprimé à la suite d'une opération conjointe
du FBI et des autorités d'Irlande du Nord, des Pays-Bas, d'Allemagne et
du Royaume-Uni.
Hier, dans un communiqué de presse, le ministère américain de la
Justice a demandé au public de l'aide et des conseils pour identifier
les propriétaires du site Web. Le lendemain, la police néerlandaise a annoncé l’arrestation d’un homme de 22 ans à Arnhem, soupçonné d'exploiter le site.
D'autres sites Web similaires restent fonctionnels
Il s'agit du deuxième site Web de ce type fermé par les autorités américaines. Ils ont précédemment supprimé LeakedSource en février 2017.
Actuellement, il existe au moins trois autres sites Web qui fonctionnent
de manière similaire à LeakedSource et WeLeakInfo, en vendant l'accès
aux données piratées, y compris les mots de passe en texte clair. On
peut ainsi citer Dehashed, Snusbase et Leak-Lookup. Tous les trois sont
toujours en ligne, au moment de la rédaction.
Tous ces sites Web ont été créés sur le modèle de Have I Been
Pwned, un site Web créé par le chercheur australien en sécurité Troy
Hunt.
La différence, cependant, est que Have I Been Pwned n'accorde jamais aux
utilisateurs l'accès aux mots de passe en texte clair - pas même à
leurs propres mots de passe, sans parler des mots de passe d'autres
personnes.
Et ce ne serait que le sommet visible de l’iceberg. La firme de Palo Alto se montre très alarmiste…
Avez-vous installé l’extension Password Checkup
sur votre navigateur Google Chrome ? Si oui, vous faites partie des
650 000 utilisateurs qui ont permis au département sécurité de Google de
faire une découverte terrifiante. Sur près de 21 millions
d’identifiants scannés pendant un mois, 316 000 au moins auraient été
compromis. Password Checkup a été lancé par Google
au début de l’année. Cette extension identifie les noms d’utilisateur
et les mots de passe qui ont pu subir une violation de données. Si vous
êtes victime d’un piratage,
elle vous alerte et vous invite à modifier les identifiants concernés.
Parallèlement, cela permet à Google de comptabiliser le volume de
données utilisateur sensibles. L’extension est régulièrement mise à
jour.
Des milliards de comptes touchés ?
Les chercheurs de Google
référenceraient actuellement quatre milliards de noms et de mots de
passe dangereux. Un chiffre affolant estimé selon l’échantillon
représentatif des utilisateurs de Password Checkup. Afin d’obtenir des
données plus concrètes et de sécuriser davantage les internautes, Google
devrait intégrer automatiquement l’extension dans Chrome 78. Mise à
jour prévue en octobre.
Vous êtes plutôt pro-Firefox ? Aucun souci : le navigateur de Mozilla
possède depuis l’an dernier son propre détecteur de fuite de données.
Il vous suffit de vous rendre sur le site Firefox Monitor
et de saisir votre ou vos adresses électroniques utilisées pour
vérifier leur intégrité. Le cas contraire, vous serez notifié par mail.
Originellement, le conseil de les modifier provient des brèches dans les bases de données. Lorsqu’une brèche concerne un site où vous êtes inscrit, n’importe qui peut récupérer vos identifiants pour ce site. D’où l’intérêt d’en utiliser des différents pour chaque plateforme.
Certes, changer de mot de passe évitera que quelqu’un d’autre se serve de votre compte. Pour autant le hacker qui aura créé la fuite d’informations de base aura déjà utilisé vos données s’il en a besoin. Il est donc inutile de changer vos mots de passe tant qu’aucune brèche n’a été annoncée.
Trop changer de mot de passe rend vulnérable
En effet, une étude démontre qu’en devant changer trop souvent de mot de passe, afin de les retenir, l’utilisateur moyen a tendance à revenir vers des termes logiques et simples. Par exemple des expressions liées à la plateforme, ainsi qu’un placement de majuscules trop prévisible et peu de caractères spécifiques.
Inversement, certains choisissent des mots de passe tellement complexes qu’ils se doivent de le noter quelque part
s’ils n’utilisent pas de logiciel pour les préserver. Certes, un
post-it avec votre mot de passe est efficace contre les pirates du NET,
mais pas contreles gens autour de vous, y compris les inconnus brièvement rencontrés.
Que faut-il faire alors ?
Un mot de passe idéal contient au moins 12 signes comprenant des minuscules, majuscules, chiffres, et caractères spéciaux. Il doit être simple à retenir, et ne dois pas avoir de lien direct avec le milieu où il est utilisé.
On vous recommande également d’utiliser un mot de passe différent par plateforme
afin que le hacker n’ait accès qu’au site directement concerné en cas
de fuites. Enfin, si possible, n’hésitez pas à utiliser les services de double authentification, par exemple par SMS ou mail.
A lire aussi – Mot de passe Wifi perdu : que faire ?
Plus tôt cette année au mois d’avril, deux chercheurs en sécurité ont
dévoilé des informations détaillées sur cinq vulnérabilités (baptisées Dragonblood) dans la norme d'authentification et de sécurité WPA3 WiFi récemment mis en place par la WiFi Alliance.
Hier, ces mêmes chercheurs en sécurité ont révélé deux nouveaux bugs affectant la même norme.
Les deux chercheurs - Mathy Vanhoef et Eyal Ronen - ont découvert
ces deux nouveaux bugs dans les recommandations de sécurité que
l'Alliance WiFi a publiés pour les fournisseurs d'équipements afin
d'atténuer les attaques initiales de Dragonblood.
Tout comme les vulnérabilités Dragonblood d’avril, ces deux
nouvelles vulnérabilités permettent aux attaquants de faire fuiter des
informations à partir d’opérations cryptographiques WPA3 et de réaliser
une attaque par force brute sur le mot de passe d’un réseau WiFi.
Les deux bugs expliqués
Le premier bug est CVE-2019-13377 et affecte le « handshake »
Dragonfly du WPA3 lorsque celui-ci utilise les courbes Brainpool.
Dragonfly est
le mécanisme d’échange de clés par lequel les utilisateurs
s’authentifient sur un routeur ou un point d’accès WPA3. En avril,
Vanhoef et Ronen ont découvert que les échanges de clés Dragonfly
reposant sur les courbes elliptiques P-521 pouvaient être rétrogradés
pour utiliser le P-256 plus faible. En conséquence, la WiFi Alliance a
recommandé aux fournisseurs d’utiliser les courbes Brainpool, plus robustes, dans le cadre des algorithmes Dragonfly.
"Cependant, nous avons constaté que l'utilisation des courbes Brainpool
introduit une deuxième classe de fuites de canal auxiliaire dans l’étape
de handshake Dragonfly de WPA3", ont expliqué les deux chercheurs.
"Nous avons confirmé l’effectivité de cette faille sur la dernière
version de Hostapd et nous avons été en mesure de mener avec succès une
attaque de force brute sur le mot de passe en utilisant les informations
divulguées."
Le deuxième bug, CVE-2019-13456, affecte l'implémentation d'EAP-pwd dans le framework FreeRADIUS, utilisé par de nombreux fournisseurs pour prendre en charge la connectivité WiFi.
EAP-pwd (protocole d'authentification extensible) est un système
d'authentification pris en charge dans les normes d'authentification WPA
et WPA2 WiFi précédentes, qui est également pris en charge à des fins
de rétrocompatibilité dans WPA3.
Tout comme le bug précédent, il existe une fuite d'informations dans le
processus d'authentification EAP-pwd sur certains périphériques pris en
charge par FreeRADIUS, ce qui permet aux attaquants de récupérer des
mots de passe.
Les normes fermées de la WiFi Alliance
Les chercheurs ont déclaré avoir signalé ces deux nouveaux bugs à la WiFi Alliance.
"[La] norme WiFi est maintenant mise à jour avec des défenses adéquates, ce qui pourrait conduire à WPA3.1", a déclaré Vanhoef.
"Bien que cette mise à jour ne soit pas rétrocompatible avec les
déploiements actuels de WPA3, elle empêche la plupart des attaques que
nous avons découvertes", ont déclaré les chercheurs.
Mais en plus de dévoiler les deux nouvelles vulnérabilités
Dragonblood, les deux chercheurs ont également profité de l'occasion
pour critiquer à nouveau la WiFi Alliance pour son processus de
développement de normes fermées qui ne permet pas à la communauté open
source de contribuer et de repérer en amont les failles au sein du
standard.
"Cela démontre que la mise en œuvre de Dragonfly et de WPA3 sans
fuites de canal auxiliaire est étonnamment difficile", ont déclaré les
chercheurs. "Cela montre également, une fois de plus, que la création
privée de recommandations et de normes de sécurité est au mieux
irresponsable et au pire inepte."
Bien que ce type de retour puisse être ignoré lorsqu'il provient
d'autres chercheurs, la critique pèse son poids davantage lorsqu'elle
provient de Vanhoef. Le chercheur belge est l’un de ceux ayant découvert l'attaque KRACK, qui a rendu le standard d'authentification WiFi WPA2 obsolète et a contraint la WiFi Alliance à développer le standard WPA3, lancé en juin 2018.
Des informations détaillées sur les deux nouvelles vulnérabilités Dragonblood sont disponibles dans une version mise à jour du livre blanc Dragonblood. Source : New Dragonblood vulnerabilities found in WiFi WPA3 standard
jeudi 25 avril 2019
Débloquer le mot de passe du BIOS avec le Master Code
Tous les ordinateurs HP, Dell, ASUS, Lenovo ou n’importe quel autre marque propose de configurer un mot de passe dans le BIOS. Ce dernier peut s’ouvrir au démarrage de l’ordinateur ou à l’ouverture du BIOS. Vous avez oublié ou perdu le mot de passe du BIOS et vous ne savez pas quoi faire ?
Cet article vous explique comment réinitialiser ou supprimer le mot de passe BIOS.
Il existe deux mots de passe configurables depuis le BIOS de votre ordinateur :
Un
mot de passe utilisateur qui permet de bloquer le démarrage de
l’ordinateur. A l’ouverture de ce dernier, ce mot de passe vous sera
demandé.
Un mot de passe BIOS pour prévenir de l’accès et modifications de la configuration du BIOS.
Exemple ci-dessous de la configuration du mot de passe du BIOS sur un BIOS ASUS dans la partie avancée > Général.
Le mot de passe du BIOS
Dans les deux cas, il s’agit de protéger et bloquer l’accès à l’ordinateur ou au BIOS. Par
exemple, pour le mot de passe du BIOS, cela permet de bloquer le
chargement de DVD-ROM ou clé USB pour empêcher le vol de données. Le
mot de passe utilisateur lui protège carrément du démarrage et l’accès à
l’ordinateur mais vous sera demandé à chaque allumage du PC.
Voici l’écran de demande de mot de passe à l’allumage du PC lorsqu’un mot de passe est configuré.
Le mot de passe pour accéder au BIOS
Supprimer le mot de passe du BIOS
Plusieurs méthodes sont données selon les cas rencontrés.
La première méthode est lorsque vous avez encore accès au BIOS et que vous n’avez donc pas perdu le mot de passe du BIOS.
Les autres cas traitent de la perte de mot de passe.
J’ai accès au BIOS
Si
vous avez accès au BIOS, il suffit de modifier la configuration de ce
dernier ou éventuellement réinitialiser la configuration par défaut pour
supprimer le mot de passe. Plus d’informations sur l’accès au BIOS, cliquez sur le lien suivant : Comment accéder au BIOS de l’ordinateur Il existe aussi une page qui explique comment remettre les paramètres du BIOS par défaut : Réinitialiser les paramètres du BIOS par défaut
Si
vous avez accès au BIOS, il suffit de modifier la configuration de ce
dernier ou éventuellement réinitialiser la configuration par défaut pour
supprimer le mot de passe. Plus d’informations sur l’accès au BIOS, cliquez sur le lien suivant : Comment accéder au BIOS de l’ordinateur Il existe aussi une page qui explique comment remettre les paramètres du BIOS par défaut : Réinitialiser les paramètres du BIOS par défaut
Master code
Les BIOS sont fournis avec des Master code qui permettent de supprimer le mot de passe du BIOS. Le master code peut donc être vu comme un code de déblocage. Ce dernier se calcul à partir d’un numéro de série à l’aide d’un programme ou un site WEB.
Dans cet exemple nous allons réinitialiser le mot de passe d’un BIOS ASUS à partir du Master code. Sur la page de demande du mot de passe BIOS, appuyez sur ALT+R. Cette combinaison est spécifique à ASUS et permet de basculer sur le Rescue Password.
Rescue Password sur BIOS ASUSLe numéro de série est demandée, il s’agit la date du jour de l’ordinateur. Ensuite, il faut se rendre sur ce site : http://dogber1.blogspot.com/2009/05/table-of-reverse-engineered-bios.html
La liste des différents assembleurs de PC est alors disponible avec les exemples de code de série. Un exécutable ou script Python est alors fournit pour générer le master code.
Avec Asus, nous n’avons qu’un script python, il faut installer Python 2.6 : http://www.python.org/download/releases/2.6/ Débloquer le mot de passe du BIOS avec le Master CodeA noter qu’il existe un second site qui vous permet de calculer le master code directement depuis ce dernier sans rien devoir installer. Tous les constructeurs ne sont pas disponibles et notamment ASUS n’y est pas. Débloquer le mot de passe du BIOS avec le Master CodeUne fois Python installé, double-cliquez sur le script .py téléchargé. Le rescue code ou numéro de série est demandé afin de générer le master code. Dans le cas d’ASUS, la date du jour du BIOS. Le Master est alors retourné.
Ici il s’agit de BLALACAA, il ne faut pas le saisir en majuscule et il faut le saisir sur un clavier Qwerty. En français, cela donne blqlqcqq car les touches a et q sont inversées. Le clavier QwertyLa vidéo suivante résume toutes les opérations pour débloquer un mot de passe du BIOS avec la Master Code.
Reset CMOS
Voici la méthode pour supprimer le mot de passe du BIOS par une réinitialisation CMOS ou reset CMOS en anglais. Il
s’agit de la pile contenue sur la carte mère qui permet de garder les
informations et données lorsque l’ordinateur est coupé électriquement.
Voici
une capture d’écran avec à gauche la pile du BIOS (cercle) et à droite
ce qu’on appelle le cavalier (ou jumper en anglais). Cliquez sur la capture d’écran pour lire les indications.
Ce qui donne encore ceci :
Il y a alors deux solutions pour réinitialiser le CMOS :
soit positionner le cavalier quelques secondes en position clear CMOS puis le remettre.
soit retirer puis remettre la pile (c’est plutôt pour les vieux ordinateurs).
Le cavalier se trouve généralement à côté de la pile mais ce n’est pas forcément le cas. Tout dépend de la carte mère. Vous devez trouver l’inscription :
CLEAR CMOS
CLEAR
CLR CMOS
CLR PWD
Par exemple ci-dessous, le cavalier CLR CMOS se trouve tout en bas à droite de la carte mère.
Au besoin, n’hésitez pas à vous reporter à la notice de la carte mère, un plan de celle-ci doit être donnée. De plus, il y a probablement un paragraphe explicatif sur la réinitialisation du CMOS pour supprimer le mot de passe du BIOS. La vidéo suivante montre le changement d’emplacement du cavalier pour effectuer le clear CMOS :
Autres liens autour du BIOS
Quelques liens du site autour du BIOS de l’ordinateur :
