.3. Mot de passe
Le pire scénario, le vol du mot de passe. Ce vol est
aussi le plus dur, car le hacker n'a souvent qu'un seul essai, lors de la phase
d'identification (ou d'inscription). Dans un espace membre classique, autant
lors de l'inscription que de la connexion, le mot de passe circule en clair.
1.4. Cookie
Il existe 2 types de cookie permettant l'identification : le
cookie de session, tel qu'on l'a vu précédemment, ne contenant en
général que l'identifiant de session, et un cookie dit
« d'autologin » qui permet à un visiteur de ne pas
saisir de nouveau son login et son mot de passe lors d'une visite
ultérieure. Le vol peut, comme on l'a vu, se faire par l'attaque du "Man
in the middle", mais peut aussi se faire par un vol physique (pour les cookies
d'autologin en général). Une personne utilise votre PC, fouille
dans vos cookies et copie par exemple sur une clé USB les cookies
d'autologin qui l'intéressent. Elle les copie chez elle, et se connecte
ensuite directement sur votre compte sur le site concerné. La seule
solution pour éviter ceci est de ne pas faire de cookie d'autologin et
de forcer le visiteur à se reconnecter manuellement à chaque
fois.
|