Les mots de passe
Leurs politiques désuètes, comment ils se font craquer et pour être protégés: Les recommandations de ZENData et ICT-a.ch
Original de Steven MEYER, avec nos remerciements, incluant quelques aménagements www.ICT-a.ch sous validation de Steven.
PK: Nos commentaires en complément (PK = Pascal Kotté)
Introduction
Les mots de passe sont l’un des plus vieux outils de cyber-sécurité et sont, encore aujourd’hui, l’outil le plus utilisé. Le principe est très simple : une chaîne de caractères secrets permet d’authentifier votre identité, afin de vous autoriser un accès. Pourtant, les mots de passe sont un outil systématiquement mal utilisé, mal configuré et causant régulièrement des attaques et des brèches.
Nous allons vous expliquer, ci-dessous, pourquoi les politiques actuelles de mots de passe sont inefficaces et comment un hackeur (crackeur) arriver à casser (cracker) votre mot de passe ; et, en conclusion, nous vous donnerons nos recommandations sur l’utilisation et la gestion de vos mots de passe.La majorité des entreprises (principalement dans la finance) imposent des règles de complexité, de longueur et de durée de vie aux mots de passe de leurs employés. Ces règles ont principalement des raisons historiques et ne sont plus valables, à mon avis, aujourd’hui.
Durée de vie
Certains standards préconisent une durée de vie d’un mot de passe de 90 jours et, après cela, ils recommandent de le changer. Cette règle existe pour deux raisons historiques : premièrement, le temps requis pour cracker un mot de passe (nous en parlons plus bas) et, deuxièmement, la nécessité de réduire la durée pendant laquelle le “crackeur” éventuel pourrait abuser du mot de passe volé.
Un mot de passe bien choisi, comme expliqué ci-dessous, peut prendre très longtemps à craquer. Additionnellement, si un hacker réussissait à voler un mot de passe, sa première démarche serait d’insérer une porte dérobée, de créer un pivot ou de trouver une autre accroche dans l’infrastructure pour y maintenir un accès. Dans ces deux cas, nous voyons clairement que le changement régulier d’un mot de passe n’apporte aucune sécurité.
(Il faut néanmoins noter qu’il est évident qu’un changement de mot de passe s’impose si l’on découvre qu’un compte est compromis ; il y a toutefois de nombreux autres éléments de procédure à mettre en place lorsque cela arrive.)
Les inconvénients du changement régulier du mot de passe sont, par exemple, l’utilisation de mots de passe faibles, la réutilisation du même mot de passe pour plusieurs comptes, ou encore l’écriture du mot de passe sur un post-it.
Nous voyons que, dans ce contexte, les inconvénients surpassent clairement les avantages.
Comment choisir un bon mot de passe ?
Attaque offline
Le but d’un mot de passe étant de valider notre identité, il est nécessaire de s’assurer que personne ne puisse le deviner. Afin de créer un bon mot de passe, il faut donc savoir comment un hackeur peut le cracker. Voici généralement les étapes successives qu’un crackeur utiliserait pour une attaque offline (ce qui n’inclue pas les comptes en ligne tels que Facebook, LinkedIn, Gmail etc.). Ces attaques peuvent être exécutées lorsqu’un (ou plusieurs) hash de mots de passe sont volés (base de données sur un serveur ou ordinateur volé par exemple).
1. Les Rainbow tables sont un compromis temps/mémoire utilisé pour précalculer des informations qui permettent ensuite de trouver un mot de passe très rapidement. L’état de l’art actuellement est de 8 caractères Mix-alpha-num-speciaux que j’ai créé en 2011. Cette technique ne fonctionne donc pas sur les mots de passe plus longs que 8 caractères (Mix-alpha-num-speciaux).
Les méthodes suivantes, utilisées successivement par les crackeurs, consistent à tester des potentiels mots de passe de façon consécutive.. Les capacités actuelles d’essai sont estimées entre 100'000'000'000 (cent milliards) mots de passe par secondes pour un super ordinateur et 100'000'000'000'000 (cent trilliards) mots de passe par secondes pour un gouvernement.
2. Les dictionnaires de mots de passe connus sont des listes contenant des mots de passe communément utilisés (qui ont fui ou ont été volés, et qui font maintenant partie du domaine public). Il existe de nombreuses listes contenant jusqu’à 2 milliards de mots de passe les plus communs.
3. L’utilisation des mots dans le dictionnaire (linguistique). Un crackeur peut utiliser des mots dans de différentes langues ou encore combiner ensemble plusieurs mots, les écrire à l’envers, rajouter des chiffres et mettre des majuscules.
4. L’utilisation du l33t speak (leet speak) https://en.wikipedia.org/wiki/Leet consiste à remplacer des lettres par d’autres caractères. Un crackeur peut prendre la liste d’au-dessus pour remplacer les caractères en l33t speak.
5. L’ajout d’informations personnelles tellles que des dates de naissance, des noms de proches, des adresses, etc. à la liste d’au-dessus.
6. Si aucune de ces techniques ne fonctionne pour trouver le mot de passe, le crackeur va devoir essayer tous les mots de passe potentiels de façon successive. Cela s’appelle le brute force.
Le but, lorsque vous choisissez vos mots de passe, est qu’ils ne soient découverts par aucune des 5 premières tentatives de crackage et que la durée de temps nécessaire pour le brute force (étape 6) ne soit pas rationnelle pour un crackeur. C’est pour cela que nous vous recommandons de choisir simplement des mots de passe très longs. Par example, prenez votre mot de passe actuel et ajoutez-y dix points après.
Saviez-vous que le mot de passe :
B0njour………….
Est plus compliqué à craquer que le mot de passe
68%BLvLFfCnsMCru%H8
L’attaque en ligne
Les attaques en ligne consistent à craquer un mot de passe directement sur le service qui l’héberge. Il y a de nombreux outils qui limitent la vitesse et l’efficacité d’un crackeur, tels que les captchas, les temps d’attente entre tentatives et les limites de la bande passante. Nous estimons qu’un crackeur pourrait tester entre 1 et 100 mots de passe par seconde dans ce contexte, ce qui le forcerait à changer sa stratégie pour une attaque offline.
1. Les dictionnaires de mots de passe connus dont nous avons parlés au-dessus. Il faut noter que cette liste doit généralement être limitée à quelques milliers dans la situation d’une attaque en ligne, car très rapidement une attaque en ligne peut se faire détecter et bloquer.
2.L’utilisation de mots de passe connus pour un utilisateur, permet d’employer des listes de noms d’utilisateurs et mots de passe volés sur un site web sur d’autres services : on pourrait facilement imaginer un crackeur tester les 150'000'000 comptes volés de Adobe.com sur Facebook.
3. L’ingénierie sociale: Consiste en la manipulation d’un utilisateur pour en extraire des informations sensibles. Elle est adoptée dans les emails de phishing et sur des faux sites web. Son but est de vous faire croire que vous êtes sur un site web authentique et de vous inciter à vous “logger” pour ainsi voler votre mot de passe. (L’utilisation de l’authentification forte ne peut aider dans ce contexte mais peut bloquer la réutilisation future de votre mot de passe volé).Pour protéger vos comptes, nous vous recommandons d’utiliser un Gestionnaire de mots de passe. Ce dernier vous génère un mot de passe unique & complexe pour chaque site web et remplit automatiquement les mots de passe si (et seulement si) le nom de domaine du site visité est authentique. Nous recommandons aussi l’utilisation d’un deuxième facteur (2FA) pour empécher qu’un mot de passe volé puisse être réutilisé.
www.ZENData.ch et www.ICT-a.ch peuvent aider votre entreprise à se protéger correctement. Que ce soit pour mettre en place une politique de sécurité cohérente, ou proposer des formations à vos collaborateurs afin qu’ils comprennent correctement les contextes et enjeux de leurs actions.
ZENData dispose aussi d’outils pour vérifier les mots de passe utilisés et pour tester les réactions face à des emails de phishing. N’hésitez pas à nous contacter pour plus d’information sur nos services.
Tous droits réservés par ZENData Sàrl, avec autorisation de citation en cours| Reg: CH-660.0.464.013–4
Vous retrouverez des articles, l’actualité, des conseils et des informations importantes liées à la cyber-sécurité.
Originally published at zendata.ch on January 26, 2017.
Des outils pour aider
PK: Certains mots de passe doivent en plus être partagés, mais surtout, il faut abandonner l’idée d’utiliser le même mot de passe pour tous les services ‘en ligne’ exploités… Alors du coup, il faut des outils:
Des articles pour vous motiver:
Et un article reprenant une conférence que j’ai donné sur “Internet et la sécurité”:
Un mot sur SSO et 2FA
PK: Il est parfois très pratique, et tentant, de réutiliser l’identification proposée de Facebook, ou Google, parfois Twitter, ou LinkedIn, ou d’autres encore, comme le Microsoft “Passport”… Si cet identifiant est sécurisé avec une double identification (2FA), cela peut paraître raisonnable.
Gardez toutefois à l’esprit que ce faisant, vous continuer de payer ce service “gratuit”, en fournissant à ce généreux partageur de clef d’accès (Single Sign On, SSO), des informations complémentaires sur vos habitudes numériques et vos usages des services tiers utilisés avec votre identifiant partagé. Google, Facebook et les autres, n’auront jamais assez d’information à votre sujet. Ils n’auront de cesse d’en savoir plus encore. Car plus ils en savent, plus cher ils pourront “louer” cette information. Du moins, l’usage de cette information qu’ils se réserveront, bien entendu. Rassurez-vous, vos données sont précieuses, ils ne les revendront pas, ils les conserveront pour eux, seuls… Et la NSA. Pascal Kotté
