Sécuritaire, mon oeil!

Dans un monde idéal, je ne passerais pas mes fins de semaine à plier du linge.

Assise sur le divan du salon, entourée de toute part par du linge frais lavé, je plie et empile. Lorsqu’enfin la pile de ma fille est assez haute et risque de s’effondrer, je me lève et me dirige vers sa chambre pour déposer le tout sur son lit.  Sa porte est fermée et un curieux petit “Post-it” jaune attire mon attention. Je cogne en demandant si je peux entrer.

- “Nonnnnnn!  As-tu fait le code?”, me répond-elle de l’autre côté de la porte.

Le code????!!!!!

- “Heu! Non!  Qu’est-ce que c’est que cette histoire de code?”, dis-je.

- “Tu vois le papier sur la porte? Il faut que tu fasses le code pour entrer.” me dit-elle simplement.

Je vois le papier en question. C’est le fameux “Post-it”. Je remarque qu’elle a dessiné un clavier numérique. Je souris et fais semblant de pianoter quelque chose.  Au moment où je m’apprête à entrer, elle me demande :

- “Pis!  C’est quoi le code?”

- “Heu!… (pense vite ma vieille)… 12345.”

- “Non!” répond-elle sèchement.

- “Ben, c’est quoi alors?”

- “Regarde sous le papier. C’est pour ça que c’est un “Post-it”, ça se recolle facilement!”

Pour le côté sécurité, on repassera mais pour le côté pratique, c’est super!  Je soulève le papier, regarde le code et le pianote à nouveau sur le faux clavier.

- “Tu as fait le bon code cette fois?”

- “Oui madame! Est-ce que je peux entrer maintenant?”

- “OK”

Je dépose la pile de linge et retourne au salon, songeuse. Dans le monde où l’on vit, les mots de passe sont devenus un vrai casse-tête.  Il y en a pour tout :

• l’ordinateur au bureau;
• le compte en banque sur internet ou sur paypal;
• le compte Linked In ou autre réseau social;
• l’extranet pour faire notre feuille de temps à distance;
• le nip de notre carte de guichet automatique ou pour la carte de crédit;
• la liste de souhaits sur Amazon;
• … j’en passe et des meilleurs.

Comme l’être humain est paresseux et manque souvent d’imagination, tous les hackers de ce monde savent que nous réutilisons le même mot de passe le plus souvent possible et donc une fois trouvé, ils peuvent faire le tour de notre jardin secret. Pire encore, nous en choisissons un qui soit souvent évident comme notre date de naissance, le nom de nos enfants ou de notre perruche, notre adresse civique ou toute combinaison semblable et surtout facile à craquer.

Pour les cas où ça n’est pas possible (mot de passe imposé au bureau par exemple), rares sont ceux qui se fient à leur mémoire. Il est vrai que retenir un truc du genre “Xs186fGnR5” n’est pas chose facile… alors, on l’écrit. Sur un petit bout de papier caché dans notre tiroir à crayons, sous le sous-main, sous les feuilles accrochées au mur autour de notre bureau, derrière le cadre de photo de famille et même parfois sur un “Post-it” collé sur notre écran.  Pas malin me direz-vous et pourtant, très courant!

Il arrive aussi que, lorsqu’on en a trop, certains les conservent dans un fichier (généralement intitulé “password.txt”!!!) bien en vu sur notre “desktop” ou dans “mes documents”.  On y lie les données sensibles à leur source respective comme un URL ou une étiquette du genre “carte de crédit” facilitant ainsi la tâche aux Vilains. Quand c’est le cas, le mot de passe requis pour ouvrir une session Windows est souvent très banal… malheureusement.

Il y a aussi le cas des programmeurs et des testeurs qui créent des profils fictifs pour tester des applications. On pense alors à :

• username : test1, test2, … ou user,… ou johndoe, ou toto, titi, tata, asdf, etc.
• password : password, test, asdf, toto, titi, tata, 12345, ou même rien du tout (c’est tellement chiant de saisir ces donnés à tous les jours pour tester des systèmes)

Faites un test sur le site de votre employeur et allez dans la zone privée en utilisant ce genre de combinaison. Vous pourriez être surpris des résultats. En plus, les testeurs utilisent souvent des profils ayant un niveau de permission assez élevé car, ils ont besoin de tout tester.

Si ça ne fonctionne pas, ne vous découragez pas et essayez le SQL Injection dont voici un exemple tout simple emprunté à Wikipédia donc grand public :

“… Supposons maintenant que le pirate veuille non pas tromper le script SQL sur le nom d’utilisateur, mais sur le mot de passe. Il pourra alors injecter le code suivant :

* Utilisateur : Dupont
* Mot de passe : ‘ or 1=1–

L’apostrophe indique la fin de la zone de frappe de l’utilisateur, le code “or 1=1” demande au script si 1=1 est vrai, or c’est toujours le cas, et – indique le début d’un commentaire. La requête devient alors :

SELECT uid WHERE name = ‘Dupont’ AND password = ‘ ‘ OR 1=1 — 45723a2af3788c4ff17f8d1114760e62′;

Ainsi le script programmé pour vérifier si ce que l’utilisateur tape est vrai, il verra que 1=1 est vrai, et le pirate sera connecté sous la session Dupont.”

Si ça vous intéresse, lisez également ceci : http://www.linux-pour-lesnuls.com/injection.php On y explique entre autre qu’en changeant le mot de passe par “ ‘ OR 1=1″); drop table users;” ont peut effacer la table des usagers ou pire, on remplace le password par ” ‘; exec master..xp_cmdshell ‘net stop firewall’; – ” et on ouvre littéralement les portes pour tester tous les ports afin de pénétrer dans le système visé.  En passant, les programmeurs ne sont pas plus créatifs pour les noms de table!!!  Essayez ce qui vous paraît le plus évident (comme USERS ou LOGIN) juste pour voir.

C’est également de cette façon que l’on peut inclure des scripts dans une base de données en lançant une commande “Update“. C’est ce qui est arrivé à un endroit où j’étais en mandat. Le problème a été identifié grâce à un internaute qui avait rapporté le fait que son fureteur refusait d’afficher la page du site et présentait plutôt un texte choc l’informant que le site n’était pas sûr.  Belle publicité!  Adieu la crédibilité!

Le problème a été réglé bien entendu mais il a fallu communiquer avec Google qui affichait le message de mise en garde pour lui dire de revisiter notre page pour pouvoir la retirer de sa liste noire.  En tout, le site a été perturbé pendant plus d’une semaine.  Pensez-y!