Vous êtes dans : Accueil > Tribunes libres >

Synthèse sur les mots de passe. Partie II

Cédric Cartau, LUNDI 10 OCTOBRE 2016 Soyez le premier à réagirSoyez le premier à réagir

Dans un article précédent[1], nous avons entamé une synthèse de l’état de l’art sur les mots de passe, faisant suite à une émission du Comptoir Sécu. Seconde partie.

Second cas : l’attaquant a pu obtenir la base chiffrée des mots de passe (soit par fuite de données sur le site, soit par accès au back-office) et peut alors jouer avec en toute tranquillité au fond de son garage. L’enjeu pour cet attaquant consiste donc à tester des combinaisons avec les fonctions de hachage et de chiffrement standard, et à les comparer aux mots de passe chiffrés présents dans la base : en cas de matching d’une ligne, c’est un couple login/mot de passe qui a été trouvé par l’attaquant. Le débat se résume donc à des stratégies possibles de choix de combinaisons à tester et de temps de calcul. Sur ce second point, les possibilités des derniers matériels grand public (par exemple une carte graphique haut de gamme à 250 euros en vente libre) donnent froid dans le dos : sur un algorithme de hachage rapide de type MD5, le processeur de la carte graphique est capable de tester 10 milliards de combinaisons par seconde. Cela signifie qu’un mot de passe utilisant tout l’alphabet et comportant 10 caractères sera craqué en moyenne en à peine 20 heures sur un simple PC à la portée de toutes les bourses. Avec un mot de passe de huit caractères utilisant majuscules, minuscules, lettres, chiffres et caractères spéciaux, il faudra en moyenne 30 heures. Autant dire rien pour un attaquant motivé, et il faut se souvenir que la longueur minimale exigée par la plupart des sites Web est de huit caractères…

Les calculs ci-dessus se basent sur un test systématique de toutes les combinaisons (force brute). Mais avant de faire cela, l’attaquant dispose d’au moins trois stratégies beaucoup plus rapides : l’usage de dictionnaires de mots de passe, l’usage de bases de mots de passe déjà craqués ou l’usage de patterns de mutation. Les deux premières stratégies sont tout à fait claires : plutôt que de tester toutes les combinaisons, on teste celles qui sont présentes dans un dictionnaire. Inutile de dire que si l’utilisateur a choisi un mot du dictionnaire français (environ 40 000 entrées), même avec un algorithme de hash lent tel que Script ou Argon2, le temps de crack est inférieur à un battement de cils. Idem si l’utilisateur a eu le malheur de choisir un mot de passe composé de mots du dictionnaire ou d’un mot de passe déjà craqué.

L’usage de patterns de mutation est plus intéressant : par études statistiques, même si un mot de passe utilise toutes les possibilités des caractères ASCII, on sait par exemple qu’il commence souvent par une majuscule et se termine souvent par un caractère spécial, ce qui limite fortement le champ des possibles. Cela en dit long d’ailleurs sur l’efficacité d’une politique de mots de passe en interne qui obligerait par exemple les utilisateurs à respecter des règles explicites de complexité : forcément un caractère spécial, forcément des lettres et des chiffres, etc. : autant de pain bénit pour l’attaquant qui prendrait connaissance de ces règles et les implémenterait dans son moteur de recherche, lui faisant gagner un temps précieux. Certains patterns sont d’ailleurs étonnants, par exemple un nombre important de mots de passe de la plateforme LinkedIn contiennent le mot « blue », en rapport avec la charte graphique du site.

En résumé, parmi les conseils que l’on peut donner pour le choix d’un bon mot de passe : ne pas utiliser un mot ou une combinaison de mots du dictionnaire, ne pas utiliser un mot de passe déjà craqué, ne pas utiliser le même sur plusieurs sites, utiliser un mot de passe de plus de 14 caractères (selon Hydraze, il ne sera pas craquable pour le prochain siècle), ne pas utiliser de citations, privilégier l’utilisation d’outils tels que la Qwertycard[2] pour ceux qui ont du mal à en construire un robuste, utiliser les premières lettres d’une phrase secrète.

À titre personnel, je considère que le mot de passe le plus sensible dont je dispose est celui de ma messagerie privée. En effet, c’est sur cette messagerie que je me ferais renvoyer un mot de passe oublié ou compromis : la compromission de ma boîte aux lettres est donc la porte d’entrée au vol de mes autres comptes privés ou professionnels. Pour ce mot de passe, j’ai choisi une longueur plus que convenable (et bien entendu je n’en dirai pas plus). Pour le reste, si d’aventure on venait à me chiper le mot de passe de mon compte Amazon, ce serait un moindre mal.


[1] http://www.dsih.fr/article/2152/synthese-sur-les-mots-de-passe-partie-i.html

[2] https://www.qwertycards.com/