Un dernier pour la route , après je ne post plus :lol:
Nous n'avons pas les même valeurs :-))
Avouez que parler de sécurité et de code à 4 digits numériques pour bluetooth dans le même paragraphe a de quoi surprendre.
Je n'ai jamais dit que les utilisateurs étaient irresponsables mais je dis qu'une fois de plus les informaticiens qui sortent des écoles oublient trop souvent que l'informatique est la pour les servir et non pas le contraire.
C'est une maladie classique des années 90 et 2000
Moi je fournis des systèmes ou le mot de passe de départ ne fonctionne qu'une fois et uniquement pour pouvoir en changer mais en aucun cas être utilisé pour des opérations .
Je fournis des systèmes qui empèchent de mettre "toto" comme mot de passe et j'en fournis les règles aux utilisateurs.
Si les gens ont des difficultés à trouver un mot de passe qui suit ces règles parfois très compliquées, je fournis la possibilité d'utiliser un générateur de mot de passe qui suit ces règles mais dont le résultat ne se cracke pas facilement car il ne dépend d'aucune donnée fixe et n'est pas stocké.
La responsabilité des mots de passe reste la responsabilité des users mais ils ne sont donc pas pris en otage par un produit qui les stocke (par exemple) ou qui les déduit à partir d'une donnée fixe.( de trop nombreux produits gardent les mots de passe dans des tables)
Pour ce qui est de changer le SSID, si un générateur utilise cette donnée pour fabriquer une clé cela ne sert à rien.
( et c'est ce que j'ai compris de la faille en question, mais je peux me tromper)
Thomson le sait et c'est pour cela qu'ils sont en train de changer le système.Il aurait été si simple de mettre un message disant "vous devez fournir un mot de passe" plutôt que d'en fournir un par défaut. ( un truc de base qui semble
avoir trop souvent disparu depuis quelque temps pour laisser la place à "l'éducation des utilisateurs" et se débarasser de toute responsabilité en cas de problème )
Quant aux banques, ce n'est pas parce que certaines ont des systèmes médiocres qu'il faut les prendre pour exemple.
Une banque française très connue puisque je pense la plus grosse, faisait du "persistant session signon" sur leurs accès Internet, je leur ai démontré qu'après que quelqu'un se soit loggé, je pouvais éteindre le PC ( coupure de jus), le rallumer, rappeler l'URL dans l'historique du browser et me retrouver avec tous les accès de l'utilisateur précédent.( ils n'invalidaient la session qu'au bout de 20 minutes)
Ceci pouvait être dangereux (au travail) ou même à la maison quand un PC ést utilisé par plusieurs personnes.
Cette banque accepta mon diagnostic et enleva ce bug au bout de 16 mois (16 mois ! bonjour la sécurité) pour ensuite mettre un système avec un petit clavier numérique pour entrer un MDP qui ne peut contenir que des numériques ( rebonjour la sécurité grace à la complexité du mot de passe).
C'est l'exemple typique que vous avez donné ou un premier mot de passe vous est fourni et ou la banque vous suggère fortement de le changer.( pratique .. on n'est plus vraiment responsable)
Ce nouveau système est tellement fiable ( <humour ON> )que maintenant la banque interdit tout virement bancaire vers des comptes autres que ceux détenus par le titulaire. ( il est possible de faire entrer une liste de comptes externes par la banque afin de pouvoir ensuite faire des transferts à partir de ce service. Mais en aucun cas on ne peut transférer sur un compte quelconque non prédéfini.Une fois de plus l'utilisateur est victime d'une informatique détournée de son but premier
servir les gens.
Cela prouve la confiance que les banques ont dans leur propre système. ( <humour OFF>)

Cette discussion sur la sécurité me fait penser à un parrallèle, on pourrait fournir des passe-partout aux clients pour les chambres d'hotel et demander aux clients de ne pas oublier de les changer. Ou bien des clés universelles pour les voitures neuves et demander au client de ne pas oublier de changer les serrures ou les clés.
Cela me rappelle aussi une grosse boite qui demandait une prestation de 'prise de conscience des utilisateurs dans la sécurité informatique" mais fournissait des mécanismes WEP pour certains locaux et des envois de mots de passe en clair sur leur réseau IP/Ethernet.
Avec un petit coup d'etherreal et d'ethergrouik j'avais 10 mots de passe en 20 minutes dans n'importe quel étage.

Croyez moi , mais 40 ans d'informatique m'ont persuadé d'une chose, si vous voulez protégez quelque chose, confiez le à des professionnels pas à des amateurs ( qu'ils soient informaticiens ou utilisateurs car je ne fais pas de discrimination ) et si vous voulez que les MDP n'existent pas dans des dictionnaires , ne fabriquez pas des systèmes ou on ne peut entrer que du numérique ou des MDP triviaux , ou des procédures qui font confiance à l'éducation des gens.
ça ne marche pas et ça ne marchera jamais, car cela fait partie des voeux pieux ou de ce qu'on enseigne dans les écoles.
Hélas le monde de la production et de l'exploitation informatique est un monde différent et même les CCSP ou CCIE qui arrivent sont parfois un peu déroutés et ont besoin de temps pour redescendre sur terre.
Je ne posterai plus sur le sujet car à l'évidence cela ne sert à rien ... mais ( et c'est dit sans aucune malice ) , revenez me voir dans 20 ans :-))

EDIT: pour ceux intéressés : http://www.crack-wpa.fr/forum/viewtopic.php?id=1360

Salut Joe,

JoePike :

Ici le problème est qu'il y a un générateur automatique de clé WPA mais que le résultat est crackable.
( c'est un peu comme si au lieu de rentrer ta propre combinaison sur un coffre fort, le coffre fort génèrait
automatiquement une combinaison que n'importe qui pourrait retrouver ensuite en 1 minute).
J'espère que ça clarifiera

ça ne clarifie rien du tout, sauf votre tendance à vouloir absolument considérer que les utilisateurs sont définitivement irresponsables,
bah non.
certains peut-etre , mais pas tous, loin de là.
Comme je l'ai dit plus haut et comme l'a dit Marsunoir, il s'agit d'une valeur par défaut que le fournisseur doit absolument conseiller de changer (le SSID comme la clé WPA) les accès bancaires par mot de passe sont valides et fonctionnent avec un mot de passe par défaut, mais il faut les changer, c'est ainsi que chacun est responsable de ses mots de passe, c'est une règle de base en sécurité informatique, si les utilisateurs ne le savent pas, il faut les éduquer dans ce sens , qu'on le veuille ou pas, il est très grave de faire l'économie de cette mesure.
Jusqu' à preuve de contraire la clé par défaut n'est crackable que parce qu'elle est déduite de l'adresse mac tout comme le SSID il suffit de modifier l'un des deux, ou les deux, comme ça devrait être fait sur toute installation et le problème n'existe plus .
Tous les produits bluetooth sont livrés avec le code par défaut 0000, ce n'est pas pour cela qu'il faut le laisser .
Je me bats de puis des années pour que les utilisateurs windows en réseau (ou pas) créent des comptes utilisateurs avec des mots de passe sur leurs machines c'est une contrainte certes, mais ça évite beaucoup de déconvenues plus tard , microsoft, faisait tout pour éviter cette utilisation pour maintenir un système illusoirement utilisable comme un téléviseur, mais ça évolue doucement et les systèmes récents sont de plus en plus restrictifs à ce niveau, ça commence à aller dans le bon sens.
Il faut continuer à responsabiliser au lieu de tirer le parapluie derrière un constructeur qui fournit tous les outils, mais sans trop préciser que leur non utilisation vous pourrira la vie à terme .

En tous cas, mois je dit que c'est ma Freebox V4 avec sa carte PCMCIA qui est là plus sûr, car le Wifi ne fonctionne pas a plus de 6 mètres.
Vu que je suis dans une maison un peu isolé, si il y a un pirate, il est assis sur mon canapé :-)