[ad_1]

Si tu utilises Gmail et vous êtes-vous déjà demandé combien votre compte pourrait valoir pour les cyber-voleurs, jetez un œil à Balayeur de nuages, une nouveau service lancé cette semaine qui tente de fixer le prix de votre adresse Gmail en fonction du nombre de comptes de détail que vous y avez liés et de la valeur de revente actuelle de ces comptes dans le métro.

Mon Gmail était au prix de 28,90 $.

Mon Gmail était au prix de 28,90 $.

L’idée originale des chercheurs du Université de l’Illinois à Chicago, Outil d’audit de vol de compte de Cloudsweeper analyse votre boîte de réception et présente une ventilation du nombre de comptes connectés à cette adresse qu’un attaquant pourrait saisir s’il accédait à votre Gmail. Cloudsweeper essaie ensuite de mettre une étiquette de prix globale sur votre boîte de réception, un chiffre qui est calculé en totalisant la valeur de revente d’autres informations d’identification de compte que les escrocs peuvent voler s’ils détournent votre e-mail.

Dans un article de blog plus tôt ce mois-ci intitulé La valeur d’un compte de messagerie piraté, j’ai noté que de nombreuses personnes ne réalisent pas combien elles ont investi dans leur compte de messagerie jusqu’à ce que ce compte soit entre les mains de cyber-escrocs. Ce message citait les prix d’un vendeur dans le milieu de la cybercriminalité qui achète des comptes compromis, tels que piratés iTunes comptes pour 8 $, ou des informations d’identification pour Groupon.com pour 5 $, par exemple.

Chris Kanic, professeur adjoint au département d’informatique de l’UIC et principal organisateur du projet, a déclaré que le modèle de tarification de Cloudsweeper est basé sur les prix collectés auprès de plusieurs vendeurs sur plusieurs forums et services souterrains. J’ai exécuté l’un de mes comptes Gmail via Cloudsweeper, et il a déterminé que mon compte vaudrait environ 28,90 $ pour les méchants. Bien que ce ne soit pas un compte Gmail que j’utilise tous les jours, j’ai été surpris du nombre de services tiers auxquels j’avais souscrit pour l’utiliser au fil des ans. Selon Cloudsweeper, les personnes malveillantes ayant accès à mon compte pourraient également détourner mes comptes sur Amazone, Pomme, Groupons, Hulu, Nouvel œuf, Pay Pal, Skype, UPlay et Yahoopour n’en nommer que quelques-uns.

Cloudsweeper utilise le Authentification ouverte (OAuth2) pour se connecter à votre compte Gmail et rechercher dans les messages. OAuth est une norme ouverte pour l’autorisation en ligne, et son utilisation avec Cloudsweeper ne vous oblige pas à saisir votre mot de passe tant que vous êtes déjà connecté au compte Gmail que vous souhaitez analyser. Cloudsweeper ne conserve pas vos informations d’identification et oublie votre visite et votre boîte de réception après votre déconnexion du service ou dans les 60 minutes d’inactivité.

DÉLINQUANTS EN TEXTE PLAIN

Avant d’effectuer une analyse, le service demande aux utilisateurs s’ils souhaitent participer à une étude, qui, selon Kanich, recueille et stocke en toute sécurité des informations non personnellement identifiables sur les utilisateurs de Cloudsweeper qui s’inscrivent. Ces données incluent le nombre de types de comptes que chaque utilisateur a liés à son compte Gmail. L’étude s’appuie également sur les données de la deuxième fonctionnalité principale de Cloudsweeper : la capacité de découvrir, puis de supprimer ou de crypter les mots de passe que divers services peuvent envoyer aux utilisateurs en texte brut.

Kanich de l’UIC a déclaré que le projet souhaitait conserver des informations statistiques anonymisées – telles que le nombre de comptes et le type – sur l’utilisation de l’outil par les visiteurs.

« Ainsi, avec l’autorisation expresse de l’utilisateur uniquement, nous stockerons des éléments tels que » il y avait un mot de passe qui a été dupliqué dans sept e-mails différents et l’utilisateur a choisi de tous les expurger «  », a déclaré Kanich. « C’est un peu drôle parce que vous n’avez pas besoin de nous donner votre mot de passe pour que Cloudsweeper fonctionne, mais une grande raison pour laquelle vous venez nous voir est que nous pouvons trouver vos autres informations d’identification de compte.

Cliquez sur le bouton bleu « Cleartext Password Audit » sur la page d’accueil de Cloudsweeper et le service parcourra votre boîte de réception à la recherche de mots de passe que divers services tiers peuvent vous avoir envoyés en texte brut. Cloudsweeper répertorie ensuite les mots de passe en clair à côté des noms des sites qui vous les ont envoyés, et offre la possibilité de crypter ou de supprimer tout ou partie des mots de passe (ou de ne rien faire, bien sûr).

Ce processus fonctionne en chargeant vos messages via le Protocole d’accès aux messages Internet (IMAP), qui permet aux utilisateurs de modifier les messages dans leur boîte de réception. Grâce à IMAP, Cloudsweeper peut expurger ou chiffrer uniquement le mot de passe en clair dans n’importe quel e-mail, laissant le reste du message intact et intact. Selon le nombre de messages que vous avez dans votre boîte de réception, ce processus peut prendre un certain temps.

Lors du cryptage du ou des mots de passe, le service présente un code QR que vous pouvez prendre en photo avec votre téléphone portable. Vous pouvez également copier une clé de déchiffrement assez longue et la conserver en lieu sûr. Si jamais vous souhaitez décrypter les mots de passe désormais obscurcis, revisitez simplement Cloudsweeper et cliquez sur le bouton orange « Décrypter les messages » de la page d’accueil. Tapez ou collez votre clé de décryptage, ou maintenez le code QR devant la webcam de votre ordinateur et le site de Cloudsweeper déchiffrera vos mots de passe cryptés.

Mots de passe en clair trouvés par Cloudsweeper.

Mots de passe en clair trouvés par Cloudsweeper.

La fonctionnalité de rédaction/cryptage du mot de passe est astucieuse, mais cela pourrait être plus problématique que cela n’en vaut la peine. Après tout, les escrocs qui accèdent à votre compte Gmail peuvent simplement demander un nouveau mot de passe au site qui l’a envoyé en premier lieu.

« C’est le principal argument contre cela : que si vous avez accès au compte de messagerie, vous pouvez simplement réinitialiser le mot de passe de toute façon », a déclaré Kanich. « À l’heure actuelle, la rédaction du mot de passe est la chose la plus proche de la simple suppression des messages [containing plaintext passwords]. Beaucoup de gens veulent conserver tous leurs e-mails et ne veulent pas supprimer beaucoup de messages, même ceux qui peuvent contenir leurs mots de passe.

Fait intéressant, comme en témoigne la capture d’écran ci-dessus, de nombreux mots de passe détectés par cet outil comme ayant été envoyés à ma boîte de réception Gmail en texte brut provenaient de fournisseurs d’antivirus. Le stockage des mots de passe en clair est un non-non de sécurité, et ces entreprises devraient en savoir plus. J’ai encouragé les lecteurs à dénoncer les entreprises qui perpétuent cette pratique en transférant ces e-mails à plaintextoffenders.comqui rédige et publie ces missives chaque jour. Passwordfail.com maintient une autre liste de contrevenants en clair et dispose même d’une extension de navigateur pour avertir les utilisateurs avant qu’ils ne s’inscrivent sur un site qui stocke les mots de passe en clair.

Comme je l’ai noté dans plusieurs articles récents, Gmail et d’autres fournisseurs de messagerie Web — Yahoo! et Hotmail/Live.com — tous proposent une authentification en plusieurs étapes ; si vous n’avez pas déjà protégé vos comptes avec ces fonctionnalités, veuillez prendre un moment pour cliquer sur les liens pertinents dans cette phrase pour en savoir plus sur la façon de procéder (Kanich de l’UIC a déclaré que son groupe envisageait d’ajouter Yahoo à Cloudsweeper, mais que Live .com ne fonctionne pas avec IMAP). Consultez cet article pour une introduction à la sélection et à la gestion de mots de passe forts.

Avez-vous utilisé Cloudsweeper pour tarifer votre compte Gmail ? Si oui, laissez un commentaire ci-dessous et parlez-nous de votre expérience.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *