Un dernier pour la route , après je ne post plus :lol:
Nous n'avons pas les même valeurs :-))
Avouez que parler de sécurité et de code à 4 digits numériques pour bluetooth dans le même paragraphe a de quoi surprendre.
Je n'ai jamais dit que les utilisateurs étaient irresponsables mais je dis qu'une fois de plus les informaticiens qui sortent des écoles oublient trop souvent que l'informatique est la pour les servir et non pas le contraire.
C'est une maladie classique des années 90 et 2000
Moi je fournis des systèmes ou le mot de passe de départ ne fonctionne qu'une fois et uniquement pour pouvoir en changer mais en aucun cas être utilisé pour des opérations .
Je fournis des systèmes qui empèchent de mettre "toto" comme mot de passe et j'en fournis les règles aux utilisateurs.
Si les gens ont des difficultés à trouver un mot de passe qui suit ces règles parfois très compliquées, je fournis la possibilité d'utiliser un générateur de mot de passe qui suit ces règles mais dont le résultat ne se cracke pas facilement car il ne dépend d'aucune donnée fixe et n'est pas stocké.
La responsabilité des mots de passe reste la responsabilité des users mais ils ne sont donc pas pris en otage par un produit qui les stocke (par exemple) ou qui les déduit à partir d'une donnée fixe.( de trop nombreux produits gardent les mots de passe dans des tables)
Pour ce qui est de changer le SSID, si un générateur utilise cette donnée pour fabriquer une clé cela ne sert à rien.
( et c'est ce que j'ai compris de la faille en question, mais je peux me tromper)
Thomson le sait et c'est pour cela qu'ils sont en train de changer le système.Il aurait été si simple de mettre un message disant "vous devez fournir un mot de passe" plutôt que d'en fournir un par défaut. ( un truc de base qui semble
avoir trop souvent disparu depuis quelque temps pour laisser la place à "l'éducation des utilisateurs" et se débarasser de toute responsabilité en cas de problème )
Quant aux banques, ce n'est pas parce que certaines ont des systèmes médiocres qu'il faut les prendre pour exemple.
Une banque française très connue puisque je pense la plus grosse, faisait du "persistant session signon" sur leurs accès Internet, je leur ai démontré qu'après que quelqu'un se soit loggé, je pouvais éteindre le PC ( coupure de jus), le rallumer, rappeler l'URL dans l'historique du browser et me retrouver avec tous les accès de l'utilisateur précédent.( ils n'invalidaient la session qu'au bout de 20 minutes)
Ceci pouvait être dangereux (au travail) ou même à la maison quand un PC ést utilisé par plusieurs personnes.
Cette banque accepta mon diagnostic et enleva ce bug au bout de 16 mois (16 mois ! bonjour la sécurité) pour ensuite mettre un système avec un petit clavier numérique pour entrer un MDP qui ne peut contenir que des numériques ( rebonjour la sécurité grace à la complexité du mot de passe).
C'est l'exemple typique que vous avez donné ou un premier mot de passe vous est fourni et ou la banque vous suggère fortement de le changer.( pratique .. on n'est plus vraiment responsable)
Ce nouveau système est tellement fiable (
)que maintenant la banque interdit tout virement bancaire vers des comptes autres que ceux détenus par le titulaire. ( il est possible de faire entrer une liste de comptes externes par la banque afin de pouvoir ensuite faire des transferts à partir de ce service. Mais en aucun cas on ne peut transférer sur un compte quelconque non prédéfini.Une fois de plus l'utilisateur est victime d'une informatique détournée de son but premier
servir les gens.
Cela prouve la confiance que les banques ont dans leur propre système. ( )
Cette discussion sur la sécurité me fait penser à un parrallèle, on pourrait fournir des passe-partout aux clients pour les chambres d'hotel et demander aux clients de ne pas oublier de les changer. Ou bien des clés universelles pour les voitures neuves et demander au client de ne pas oublier de changer les serrures ou les clés.
Cela me rappelle aussi une grosse boite qui demandait une prestation de 'prise de conscience des utilisateurs dans la sécurité informatique" mais fournissait des mécanismes WEP pour certains locaux et des envois de mots de passe en clair sur leur réseau IP/Ethernet.
Avec un petit coup d'etherreal et d'ethergrouik j'avais 10 mots de passe en 20 minutes dans n'importe quel étage.
Croyez moi , mais 40 ans d'informatique m'ont persuadé d'une chose, si vous voulez protégez quelque chose, confiez le à des professionnels pas à des amateurs ( qu'ils soient informaticiens ou utilisateurs car je ne fais pas de discrimination ) et si vous voulez que les MDP n'existent pas dans des dictionnaires , ne fabriquez pas des systèmes ou on ne peut entrer que du numérique ou des MDP triviaux , ou des procédures qui font confiance à l'éducation des gens.
ça ne marche pas et ça ne marchera jamais, car cela fait partie des voeux pieux ou de ce qu'on enseigne dans les écoles.
Hélas le monde de la production et de l'exploitation informatique est un monde différent et même les CCSP ou CCIE qui arrivent sont parfois un peu déroutés et ont besoin de temps pour redescendre sur terre.
Je ne posterai plus sur le sujet car à l'évidence cela ne sert à rien ... mais ( et c'est dit sans aucune malice ) , revenez me voir dans 20 ans :-))
EDIT: pour ceux intéressés : http://www.crack-wpa.fr/forum/viewtopic.php?id=1360