Meyersteven Blog

FONDATEUR DE ZENDATA - CYBER-SECURITE

Possédant un master de l’EPFL spécialisé en cyber-sécurité & cryptographie, Steven Meyer est aussi certifié Certified Information Systems Security Professional (CISSP). Après avoir travaillé chez Microsoft, il a été crackeur de mots de passe et consultant expert en sécurité informatique. Steven a finalement, en 2012, fondé ZENData une compagnie spécialisée en cyber-protection.

Les mots de passe : leurs politiques désuètes, comment ils se font casser et comment les choisir

Les mots de passe sont l’un des plus vieux outils de cyber-sécurité et sont, encore aujourd’hui, l’outil le plus utilisé. Le principe est très simple : une chaîne de caractères secrets permet d’authentifier votre identité, afin de vous autoriser un accès. Pourtant, les mots de passe sont un outil systématiquement mal utilisé, mal configuré et causant régulièrement des attaques et des brèches.

Alors, pourquoi les politiques actuelles de mots de passe sont inefficaces et comment un hackeur (crackeur) arrive-t-il à casser (cracker) votre mot de passe ? 

Les politiques désuètes des mots de passe

La majorité des entreprises (principalement dans la finance) imposent des règles de complexité, de longueur et de durée de vie aux mots de passe de leurs employés. Ces règles ont principalement des raisons historiques et ne sont plus valables, à mon avis, aujourd’hui.

Certains standards préconisent une durée de vie d’un mot de passe de 90 jours et, après cela, ils recommandent de le changer. Cette règle existe pour deux raisons historiques : premièrement, le temps requit pour cracker un mot de passe (nous en parlons plus bas) et, deuxièmement, la nécessité de réduire la durée pendant laquelle le crackeur éventuel pourrait abuser du mot de passe volé.

Un mot de passe bien choisi, comme expliqué ci-dessous, peut prendre des centenaires à craquer. Additionnellement, si un hacker réussissait à voler un mot de passe, sa première démarche serait de l’utiliser pour insérer une porte dérobée, de créer un pivot ou de trouver une autre accroche dans l’infrastructure pour maintenir sa persistance. Dans ces deux cas, nous voyons clairement que le changement régulier d’un mot de passe n’apporte aucune sécurité.

(Il faut néanmoins noter qu’il est évident qu’un changement de mot de passe s’impose si l’on découvre qu’un compte est compromis ; il y a toutefois de nombreux autres éléments de procédure à mettre en place lorsque cela arrive.)

Les inconvénients du changement régulier du mot de passe sont, par exemple, l’utilisation de mots de passe faibles, la réutilisation du même mot de passe pour plusieurs comptes, ou encore l’écriture du mot de passe sur un post-it, tableau Excel ou dans un smartphone.

Nous voyons que, dans ce contexte, les inconvénients surpassent clairement les avantages.

Comment choisir un bon mot de passe ?

Attaque offline

Le but d’un mot de passe étant de valider notre identité, il est nécessaire de s’assurer que personne ne puisse le deviner. Afin de créer un bon mot de passe, il faut donc savoir comment un hackeur peut le cracker. Voici généralement les étapes successives qu’un crackeur utiliserait pour une attaque offline (ce qui n’inclue pas les comptes en ligne tels que Facebook, LinkedIn, Gmail, etc.). Ces attaques peuvent être exécutées lorsqu’un (ou plusieurs) hash de mots de passe sont volés (base de données sur un serveur ou ordinateur volé par exemple ou si un compte en ligne comme Facebook, LinkedIn, Gmail se sont fait hacké).

1. Les Rainbow tables sont un compromis temps/mémoire utilisé pour précalculer des informations qui permettent ensuite de trouver un mot de passe très rapidement. L’état de l’art actuellement est de 8 caractères Mix-alpha-num-speciaux que j’ai créé en 2011. Cette technique ne fonctionne donc pas sur les mots de passe plus longs que 8 caractères (Mix-alpha-num-speciaux).

Les méthodes suivantes, utilisées successivement par les crackeurs, consistent à tester des potentiels mots de passe de façon consécutive. Les capacités actuelles d’essai sont estimées entre 100'000'000'000 (cent milliards) mots de passe par secondes pour le crime organisé et 100'000'000'000 (cent billards) mots de passe par secondes pour un gouvernement.

2. Les dictionnaires de mots de passe connus sont des listes contenant des mots de passe communément utilisés (qui ont fui ou ont été volés, et qui font maintenant partie du domaine public). Il existe de nombreuses listes contenant jusqu’à 3 milliards de mots de passe les plus communs. Le hackeur va donc essayer successivement les mots de passe dans cette liste.

3. L’utilisation des mots dans les dictionnaires (linguistique). Un crackeur peut utiliser des mots dans de différentes langues ou encore combiner ensemble plusieurs mots de différentes langues.

4. L’utilisation du l33t speak (leet speak) consiste à remplacer des lettres par d’autres caractères. Un crackeur peut prendre la liste d’au-dessus pour remplacer les caractères en l33t speak.

5. L’ajout d’informations personnelles telles que des dates de naissance, des noms de proches, des adresses, etc. à la liste d’au-dessus.

6. L’ajout de suffixe et postfixe comme des chiffres et de la ponctuation en début et fin de mot de passe

7. Si aucune de ces techniques ne fonctionne pour trouver le mot de passe, le crackeur va devoir essayer tous les mots de passe potentiels de façon successive comme aaaaaaaaaa aaaaaaaaab aaaaaaaaac etc.. Cela s’appelle le brute force.
 

Le but, lorsque vous choisissez vos mots de passe, est qu’ils ne soient découverts par aucune des 6 premières tentatives de crackage et que la durée de temps nécessaire pour le brute force (étape 7) ne soit pas rationnelle pour un crackeur.

C’est pour cela que nous vous recommandons de choisir simplement des mots de passe très longs.  

Je recommande entre 15 et 17 caractères si vous n’utilisez que des minuscules ou entre 11 et 12 caractères si vous utilisez minuscules, majuscules, chiffres et caractères spéciaux.

Saviez-vous que le mot de passe :

LLLLLLOOOOOLLLLLL

Est plus compliqué à craquer que le mot de passe

8%BLv6LFfC!3

L’attaque en ligne

Les attaques en ligne consistent à craquer un mot de passe directement sur le service qui l’héberge. Il y a de nombreux outils qui limitent la vitesse et l’efficacité d’un crackeur, tels que les captchas, les temps d’attente entre tentatives et les limites de la bande passante. Nous estimons qu’un crackeur pourrait tester entre 1 et 100 mots de passe par seconde dans ce contexte, ce qui le forcerait à changer sa stratégie par rapport à une attaque offline.

1. Les dictionnaires de mots de passe les plus couramment utilisés. Il faut noter que cette liste doit généralement être limitée à quelques centaines dans la situation d’une attaque en ligne, car très rapidement une attaque en ligne peut se faire détecter et bloquer.

2. L’utilisation de mots de passe connus pour un utilisateur, permet d’employer des listes de noms d’utilisateurs et mots de passe volés sur un site web sur d’autres services : on pourrait facilement imaginer un crackeur tester la combinaison d’adresses email et mot de passe volé d’un site web (comme adobe.com qui en a eu plus de 150'000'000) sur un autre site comme LinkedIn. 

3. L’ingénierie sociale consiste en la manipulation d’un utilisateur pour en extraire des informations sensibles. Elle est adoptée dans les emails de phishing et sur des faux sites web. Son but est de vous faire croire que vous êtes sur un site web authentique et de vous inciter à vous logger pour ainsi voler votre mot de passe. (L’utilisation de l’authentification forte ne vous protège que partiellement contre cette attaque).

Pour protéger vos comptes, je vous recommande d’utiliser un Gestionnaire de mots de passe. Ce dernier vous génère un mot de passe unique & complexe pour chaque site web et remplit automatiquement les mots de passe si (et seulement si) le nom de domaine du site visité est authentique. Je recommande aussi l’utilisation d’un deuxième facteur (2FA) pour empêcher qu’un mot de passe volé puisse être réutilisé.

 

Du même auteur

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info

"Tout ce qui compte.
Pour vous."