Tag: faille de sécurité

Quand faut-il changer ses mots de passe? Lastpass vous répond

L’application LastPass, c’est un peu comme un gardien des clés, qui non seulement protège le trousseau de vos mots de passe, mais vous indique aussi quand il faut en changer. Un mot de passe n’est pas éternel et il faut, de temps en temps, le modifier. Pourquoi? Parce qu’ils vieillissent et s’affaiblissent. Plusieurs facteurs, en fait, les rendent peu à peu inefficaces:

  • l’ancienneté: plus un mot de passe est vieux, plus il est faible
  • la simplicité: plus un mot de passe est simple, moins il est performant
  • la longueur: plus un mot de passe est court, moins il est efficace
  • la répétition: plus un mot de passe est utilisé, moins il vous protège

Comment savoir si mes mots de passe tiennent encore la route? Il suffit de les tester par le biais d’un gestionnaire de mots de passe: ce type de logiciels vous aide à stocker, enregistrer et protéger vos identifiants. Le contrôle de LastPass, par exemple, s’effectue en quelques secondes et vous indique tout de suite quels codes sont faibles et doivent être modifiés immédiatement.

Voici comment installer LastPass, importer vos mots de passe et exécuter la vérification de sécurité pour pouvoir changer vos identifiants trop fragiles.

1. Installez LastPass sur votre PC

LastPass fonctionne sur tous les navigateurs. L’installateur universel pour Windows vous garantit l’installation de LastPass sur Chrome, Firefox, Internet Explorer, Safari et Opera.

L’installateur vous demande tout d’abord la langue dans laquelle vous souhaitez vous servir de LastPass.

Sélectionner la langue

Ensuite, choisissez les navigateurs sur lesquels vous désirez ajouter l’extension. S’ils sont en cours d’utilisation, LastPass exigera que vous les fermiez (si vous ne le faites pas, l’installation du logiciel ne pourra aboutir).

Sélectionner les navigateurs

Enfin, vous devrez vous créer un compte LastPass ou vous identifier avec votre compte actuel. Vous pouvez sauter cette étape pour y revenir plus tard, depuis le navigateur.

Créer un compte LastPass

Lorsque vous ouvrirez chaque navigateur, vous devrez installer l’extension et l’autoriser. Voici par exemple ce que vous verrez dans Chrome après avoir ajouté l’extension.

Autoriser l'extension pour Chrome

LastPass apparaît toujours sous la forme d’un bouton rouge avec un astérisque blanc au centre.

L'icône de Lastpass

2. Importez vos mots de passe dans LastPass

L’étape suivante consiste à importer tous les mots de passe stockés dans vos navigateurs. Cliquez sur le bouton de LastPass et sur le menu Outils > Importer depuis.

Choisir les mots de passe à importer

LastPass ouvrira une fenêtre dans laquelle vous verrez les mots de passe disponibles. Choisissez ceux que vous souhaitez importer (ou sélectionnez-les tous) et appuyez sur l’option Import.

Vos mots de passe se trouvent maintenant dans le coffre-fort de LastPass et sont protégés par un mot de passe maître (ne le perdez pas!).

3. Lancez le test de sécurité de LastPass

Il est maintenant temps de tester la force de vos codes d’accès. Pressez l’icône de LastPass et ouvrez le menu Outils.

Tester l'efficacité de ses mots de passe

Puis, choisissez l’option Contrôle de sécurité.

Lancer le contrôle de sécurité

Un site sécurisé (cadenas) appartenant à LastPass se lancera. Cliquez sur le bouton rouge.

Démarrer

Vos mots de passe seront analysés…

L'analyse est en cours

…puis LastPass vous demandera si vous souhaitez vérifier si certains de vos comptes ont fait l’objet d’un vol de données. Répondez Oui.

Confirmer la vérification

Les résultats s’afficheront au bout d’une minute.

4. Consultez la liste pour choisir les mots de passe à modifier

Le rapport de sécurité de LastPass est complet et très utile. Au début, le document rapporte les évènements importants, tels que l’apparition de la faille de sécurité Heartbleed, par exemple, puis il va vous recommander de changer vos mots de passe tout de suite ou non.

Les recommandations de LastPass

Par la suite, le compte-rendu propose un résumé de la quantité de mots de passe analysés, de leur force et longueur moyenne, du nombre de mots de passe dupliqués, ainsi que d’autres données.

Le rapport de LastPass

Mais le plus important se situe à la fin du rapport. Il s’agit de la liste de vos mots de passe, accompagnée de l’indication sur leur puissance. S’ils se répètent, LastPass les regroupe. Pour consulter les sites, cliquez sur les liens.

Si un mot de passe est faible et utilisé sur plusieurs sites, son score sera bas. Pour atteindre 100%, il doit être long, complexe et unique. Mon conseil? Changez tous ceux qui affichent un score inférieur à 80%.

5. Utilisez le générateur de mots de passe de LastPass

Lorsque vous voulez obtenir un mot de passe, cliquez sur l’icône de LastPass pour ouvrir le générateur de mots de passe. Sélectionnez l’un de ceux créés au hasard et conservez-le.

Générateur de mots de passe

Le mot de passe restera associé au site Internet et les champs d’identification se rempliront automatiquement à chaque fois que vous consulterez le site, mais ceci uniquement si LastPass est activé (sigle rouge).

N’oubliez pas votre mot de passe maître!

Comme vous le voyez, un gestionnaire de mots de passe comme LastPass ne se contente pas de vérifier vos mots de passe, il vous permet également de les modifier pour en créer de plus performants et s’en souvient chaque fois que vous allez sur le même site Internet. Vous n’avez donc rien à retenir, sauf, attention, votre mot de passe maître: si vous l’égarez, le stockage des mots de passe deviendra inaccessible pour toujours.

Et vous? Quel score avez-vous obtenu au test de sécurité de LastPass?

A lire:

Article original de Fabrizio Ferri Benedetti – Softonic.com. Traduit et adapté de l’espagnol.

Heartbleed c’est quoi? Les 5 étapes pour protéger ses comptes

Pendant des années, vos données ont été menacées et vous ne le saviez pas. La cause ? Le bug Heartbleed. Mais ne paniquez pas, voici cinq étapes à suivre pour vous en protéger.

Vous voyez le cadenas qui apparaît dans la barre d’adresse de votre navigateur ? Ce cadenas vous indique que la connexion est sécurisée, que les données qui transitent entre votre PC et la page Internet sont chiffrées et que personne ne peut y avoir accès. Outre le cadenas, vous pouvez voir que l’adresse commence par HTTPS, dans lequel le « S » signifie « Sécurisée ». C’est un code à l’épreuve des regards indiscrets que personne ne peut briser par des méthodes traditionnelles.

Mais les menaces informatiques se font de plus en plus puissantes et le cadenas de votre navigateur n’est plus si sûr. La menace que l’on a découverte, nommée Heartbleed est très sérieuse dans la mesure où elle permet à n’importe qui de passer outre le cadenas et de lire tout ce qui transite par votre ordinateur. En d’autres termes, quiconque sait comment l’outrepasser peut avoir accès à une partie de vos données. L’attaque n’a pas même pas besoin de passer le serveur, il suffit que vous répondiez à une « question » particulière.

On estime que 17,5 % des sites Internet qui utilisent ce cadenas sont vulnérables, ce qui signifie qu’ils sont tous menacés ou ont déjà été attaqués. La bonne nouvelle c’est qu’une solution a déjà été trouvée pour ce problème. OpenSSL, le cadenas par défaut, a été mis à jour pour passer à la version 1.0.1g, la plus sécurisée. Mais les dommages sont faits et il n’est pas possible de savoir à 100 % si vos mots de passe ont été dérobés ou non.

Il vous faut vous atteler à cette tâche dès maintenant. Suivez ces étapes.

Cinq étapes pour être sécurisé

Modifier immédiatement tous vos mots de passe n’est pas la solution car si le site Internet pour lequel vous les utilisez est vulnérable, votre nouveau mot de passe ne vous protégera pas plus que l’ancien. Je vous recommande de vérifier tout de suite si les sites que vous utilisez sont vulnérables en utilisant Heartbleed Test.

  1. Fermez votre session sur toutes les pages Internet en cliquant sur « Quitter » ou « Fermer la cession ». Vous devez cesser toute connexion / utilisation des sites potentiellement affectés.
  2. Vérifiez l’état de chaque site Internet en utilisant Heartbleed Test gratuitement.
  3. Si le résultat du test est vert, entrez sur le site et changez votre mot de passe par un nouveau plus puissant et unique.
  4. Si vous n’êtes pas en vert, attendez et recommencez le test plus tard jusqu’à obtenir un résultat vert.
  5. Si vous recevez des emails vous invitant à changer votre mot de passe, faites-le, mais vérifiez tout d’abord qu’ils ne sont pas faux, certains criminels peuvent profiter de la panique pour vous dérober des mots de passe.

Heartbleed Test

Modifiez uniquement le mot de passe de votre compte si le résultat du Heartbleed Test est vert (sécurisé)

Si vous changez de mot de passe, n’utilisez pas le même ou un vieux mot de passe : si vous faites ceci et que l’un de vos comptes est piraté, ils deviendront tous vulnérables. De plus, envisagez le fait d’utiliser un gestionnaire de mots de passe comme LastPass. Les contrôles de sécurité de LastPass vous indiqueront si vous pouvez changer votre mot de passe ou s’il vaut mieux attendre :

LastPass ne gère pas uniquement vos mots de passe, mais vous indique également à quel moment les modifier

LastPass ne gère pas uniquement vos mots de passe, mais vous indique également à quel moment les modifier

Deux conseils de sécurité pour l’avenir

Activez la vérification en deux étapes : un code est envoyé sur votre téléphone lorsque vous entrez sur site Internet pour la première fois et empêche l’accès à votre compte, même si quelqu’un a le mot de passe. Vous pouvez le faire pour GoogleMicrosoftFacebookDropBoxWordPress et beaucoup d’autres services.

Et quand vous avez du temps, fermez les comptes inactifs ou que vous n’utilisez pas, car certains sites Internet peuvent ne pas avoir été mis à jour ou être toujours vulnérables. Minimiser le nombre de comptes que vous utilisez vraiment est une mesure préventive très efficace pour éviter que les données de vos comptes principaux ne vous soient dérobées.

Internet sera plus sécurisé

Il y a une leçon positive à tirer de tout ceci : malgré la gravité de cette menace, sa découverte et la solution ont permis de renforcer la sécurité des sites Internet et des applications que nous utilisons au quotidien et de sensibiliser les utilisateurs sur la nécessité de faire appel à des systèmes d’identification plus sécurisés.

Vous le savez donc : améliorez dès aujourd’hui la sécurité de vos données grâce à la vérification en deux étapes et un bon gestionnaire de mots de passe. Et si vous commencez à vous intéresser aux technologies du cryptage et de la dissimulation de données, c’est encore mieux : vous pourrez éviter que ce type de crise ne vous affecte.

Et vous, que pensez-vous de cette grande menace ?

Articles liés :

Article original écrit par  – Softonic.com. Adapté de l’espagnol.

Quels sont les principaux sites affectés par la faille Heartbleed?

La faille de sécurité Heartbleed fait couler beaucoup d’encre sur le web. Mais quels sont les principaux sites affectés? Voici une première liste. Il est recommandé de changer votre mot de passe si vous êtes un utilisateur de ces sites même si la probabilité que quelqu’un ait accès à vos données sensibles soit très faible.

Pour rappel, nous parlons d’une des failles de sécurité les plus importantes jamais découvertes sur le web. Baptisée Heartbleed, il s’agit d’un bug qui met en danger les deux tiers des sites web dans le monde. Heartbleed est une erreur qui affecte la bibliothèque de chiffrement OpenSSL, un des systèmes les plus utilisés pour crypter le trafic. En théorie donc, cette faille de sécurité permet le vol des noms d’utilisateur, des mots de passe et le contenu sans laisser de traces.

Les grands acteurs du web ont été massivement touchés par cette faille: Google (dont Gmail, YouTube, Wallet,Play) Yahoo, Yahoo Mail, Facebook, Instagram, Pinterest, Amazon Web Services et ironie du sort, LastPass, le fameux gestionnaire de mot de passe.

Les services de stockage en ligne ont aussi souffert de Heartbleed, comme Dropbox et Box. Enfin le très populaire jeu Minecraft est lui aussi une des victimes de la faille.

De son côté, Apple ne serait pas affecté ni Twitter et les services de Microsoft. Les équipes de WordPress seraient, quant à eux, encore au travail pour résoudre la faille.

Vous avez un doute au sujet d’un site que vous utilisez? Le site Filippo.io a créé une page de test. Vous entrez l’adresse URL du site et vous pouvez vérifier tout de suite si il a été victime de cette faille. Une liste complète est aussi disponible sur le site Github.com

On estime que les deux tiers du trafic Internet utilise OpenSSL. En attendant, nous vous recommandons de mettre à jour votre mot de passe mais seulement après s’être assuré que le site a mis à jour OpenSSL.

Sur le même sujet:

Suivez-moi sur Twitter: @xophe

Nouvelle faille de sécurité iOS 7: appelez qui vous voulez avec votre iPhone verrouillé

iOS 7 pas très sûr? Après plusieurs problèmes déjà rencontrés et signalés par certains utilisateurs avec iOS 7, un journaliste de Forbes vient d’annoncer un nouveau bug dans le système d’exploitation mobile d’Apple. Une faille qui permet de réaliser des appels sans avoir à débloquer son iPhone. Pas rassurant.

Dans la vidéo ci-dessous, vous pouvez voir que si vous utilisez la fonction d’appel d’urgence, si ensuite vous tapez un numéro de téléphone et que vous appuyez plusieurs fois sur le bouton d’appel, il arrive un moment où IOS 7 semble se mettre en veille. On voit le logo apparaître mais juste à ce moment-là le téléphone commence à composer le numéro.

C’est une faille de sécurité très sérieuse et nous espérons que Apple envoie une mise à jour dès que possible pour résoudre cette erreur. Nous avons essayé sur un iPhone 5 avec iOS 7 et nous avons réussi à reproduire le même comportement, bien que le nombre de fois où vous devez appuyer sur le bouton d’appel semble totalement aléatoire. Une faille première faille a été détectée hier sur iOS 7 et qui permet d’ignorer l’écran de verrouillage et le mot de passe pour accéder directement à l’appareil photo et aux clichés du téléphone.

Avez-vous pu faire la même chose avec votre propre iPhone?

Vous aimerez aussi…


Source: Forbes

Faille de sécurité critique dans Skype: comment se prémunir?

Une faille de sécurité critique a été découverte dans l’outil de récupération de mot de passe de Skype mettant en danger les comptes de ses millions d’utilisateurs.

Pour résumer, cette faille de sécurité permettait à n’importe quel internaute de récupérer le mot de passe d’un compte Skype simplement en connaissant l’adresse e-mail et le nom d’utilisateur auquel il est lié. Un jeu d’enfant pour les hackers du monde entier.

Révélée sur un forum russe puis reportée par The Next Web, cette faille de sécurité fait suite au virus qui trainait sur Skype ces dernières semaines. Décidément, le logiciel de visioconférence le plus populaire est dans une mauvaise passe. Continue reading “Faille de sécurité critique dans Skype: comment se prémunir?”

Firefox 16.0.1 corrige une faille de sécurité

Mozilla vient de sortir Firefox 16.0.1, une version corrigée de son navigateur web Firefox. Mozilla avait décidé de suspendre la mise à jour de son navigateur (Firefox 16) suite à la découverte d’une faille de sécurité.

Cette faille peut permettre à un site malicieux de savoir quels sites web les utilisateurs ont visité et de consulter l’historique des URL visitées” pouvait-on lire sur le blog de Mozilla.

Mozilla a donc vite réagi avec cette mise à jour pour corriger le problème. Continue reading “Firefox 16.0.1 corrige une faille de sécurité”