Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Vos mots de passe : une clé pour garder vos secrets bien au chaud

Vos mots de passe : une clé pour garder vos secrets bien au chaud
2012-08-292013-02-28sécurité organisationnelle et humainefr
Le sujet du jour est les mots de passe. On dit toujours qu'il faut changer un mot de passe régulièrement. On dit aussi qu'il faut qu'il soit robuste. Mais ça veut dire quoi? Et pourquoi? Quels sont les moyens pour découvrir un mot de...
Publié le 29 Août 2012 par Sébastien Roncin dans sécurité organisationnelle et humaine
vos mots de passe : une clé pour garder vos secrets bien au chaud

Je me lance pour mon premier article sur le blog.....

Pour commencer, il faut savoir que je ne suis pas un expert de la sécurité. Je sais, j'en vois déjà qui commence à sourire puisque je dis à tout le monde et au bout d'un certain temps, on ne me croit plus! Non, je ne suis pas un expert de la sécurité : je ne suis pas un technicien de la sécurité! Ne me demandez pas comment fonctionne tel ou tel protocole, comment on fait pour hacker quoique ce soit, comment faire pour sniffer un réseau voire même à quoi ressemble une adresse IP (bon là, j'exagère un poil mais pas tant!), je n'en sais rien! Ma connaissance est exclusivement due à mon expérience autour des projets que j'ai pu mener. Tout ça pour dire que jamais je ne vous parlerai d'un sujet hyper technique.

Le sujet du jour est les mots de passe. On dit toujours qu'il faut changer un mot de passe régulièrement. On dit aussi qu'il faut qu'il soit robuste. Mais ça veut dire quoi? Et pourquoi? Quels sont les moyens pour découvrir un mot de passe?

découvrir un mot de passe

il y 3 façons de le chercher : la force brute, la méthode du dictionnaire et l'ingénierie sociale.

La force brute est la plus simple des recherches et c'est celle qui donne un résultat assuré si on a du temps (beaucoup de temps parfois). La technique consiste tout simplement à jouer toutes les combinaisons possibles du mot de passe jusqu'à obtenir la bonne combinaison de caractères.

La méthode du dictionnaire nécessite une base de mots de passe possibles. La méthode consiste alors de jouer tous les mots du dictionnaire jusqu'à obtenir la combinaison recherchée. Bien évidemment, si la combinaison recherchée ne fait pas partie du dictionnaire, il n'y a aucune chance de retrouver le mot de passe. Cependant, ces dictionnaires sont réalisés sur une base de mots de passe communs : statistiquement, il y a de très fortes chances de retrouver le mot de passe d'une majorité d'utilisateurs.

Enfin, l'ingénierie sociale consiste à mener une enquête sur l'utilisateur afin d'obtenir des informations liées à ses activités, sa famille et autres pour obtenir de nouvelles possibilités de mots de passe.

J'en vois déjà qui sont en train de faire des gros yeux et qui me disent que les sites web n'autorisent en général pas la possibilité de jouer plus de X mots de passe. Et par conséquent, la découverte du mot de passe est difficile. Il faut alors se rappeler que les mots de passe sont en général aussi stockés sur l'ordinateur qui l'utilise. Heureusement, le mot de passe n'est pas en clair mais il a une empreinte. Il est alors simplement nécessaire de jouer toutes les combinaisons de mot de passe jusqu'à retrouver l'empreinte exacte du mot de passe.

changer un mot de passe régulièrement

Plus vous changez de mot de passe, plus vous limitez le risque que votre mot de passe soit réutilisé en cas de découverte à un instant donné et plus il faudra recommencer la procédure de recherche. C'est le principe des authentifications dites fortes où on vous donne un mot de passe "aléatoire". Plus la fréquence de renouvellement du mot de passe est importante, plus le délai de calcul pour découvrir le mot de passe est faible (cas de l'authentification forte) et plus la possibilité de rejouer ce mot de passe est alors faible.

Attention cependant à ne pas tomber dans un travers fréquemment rencontré : parce qu'il faut changer de mot de passe régulièrement, on a tendance à rendre celui-ci beaucoup moins robuste pour s'en rappeler.

jouer sur la robustesse du mot de passe

La plupart des personnes crée leur mot de passe comme ils le peuvent en utilisant les 26 lettres de l'alphabet. Je ne reviendrai pas sur le mot de passe lui même qui est très souvent assez prédictible puisque pas très recherché prénoms des enfants, le nom du chien ou du chat, ou encore du type « azerty » ou "password" et qu'il est si possible court puisqu'on est toujours assez paresseux quand il faut s'authentifier.

Aujourd'hui, la longueur moyenne des mots de passe est de 8 caractères. Un tel mot de passe propose 200 milliards de combinaison. Un ordinateur moyen étant capable de réaliser environ 100 milliards d'opérations par seconde (avec des caractéristiques graphiques, l'ordinateur pourra atteindre plus de 2000 milliards d'opérations), l'ordinateur de monsieur tout le monde sera capable de découvrir ce mot de passe en 1 seconde environ en effectuant une recherche par force brute. En utilisant une puissance de calcul beaucoup plus importante, le temps sera très largement réduit.

Maintenant, que se passe-t-il si on utilise à la fois les lettres minuscules et majuscules? C'est simple, le nombre de combinaisons va augmenter de façon significative : de 200 milliards de combinaisons, on passe à 50000 milliards de combinaisons. Il faudra un délai beaucoup plus significatif pour venir à bout de votre mot de passe : un peu plus de 4 minutes

On montre bien dans cet exemple que plus le nombre de caractères utilisés est important, plus le mot de passe est robuste. C'est pour ça qu'il faut aller encore plus loin dans les caractères utilisés : lettres minuscules et majuscules, chiffres, caractères de ponctuation et autres signes visibles sur votre clavier. En utilisant toute la palette des caractères disponibles, on arrive à obtenir environ 90 caractères soit 4 millions de milliards de combinaisons différentes soit plus de 6 heures de calcul non stop!

6 heures, ça peut paraitre beaucoup mais finalement, ça reste rapide à l'échelle humaine et encore bien plus si on utilise une puissance de calcul beaucoup plus importante comme celle proposée par les fournisseurs de cloud computing ou encore celle disponible dans un botnet.

Le nombre de caractères étant limité, il faut jouer sur la taille du mot de passe. Ajouter un caractère à celui-ci va tout simplement multiplier par presque 100 le nombre de combinaisons et donc le temps pour le craquer soit plus de 22 jours. Avec un tel mot de passe, il va commencer à falloir qu'il y ait un vrai intérêt pour s'attaquer à la recherche de la bonne combinaison... Et à chaque nouveau caractère, ce sera la même multiplication.

Le tableau plus bas présente le nombre de combinaisons en fonction du nombre de caractères. En complément, j'ai rajouté également le temps nécessaire pour que l'un des plus gros botnets de l'histoire (Rustock qui comptait environ un million d'ordinateurs) aurait besoin pour jouer toutes les combinaisons du mot de passe (puissance de calcul encore jamais égalée par un supercalculateur ou autre réseau tel que Folding@home).

password strenght

Pour rappel, et à titre de comparaison, la terre a environ 4,5 milliards d'années et l'univers 15 milliards soit moins que le temps de résolution à l'heure d'aujourd'hui d'un mot de passe de 18 caractères.

Quand on voit que les recommendations courantes sur les sites web sont d'avoir un mot de passe de minimum 8 ou 9 caractères, ça fait peur... et ça montre le niveau de conseil des différents sites web!!!

Au-delà de 14 caractères, aujourd'hui, le mot de passe peut être considéré comme quasi introuvable.

un bon mot de passe

Pour conclure, un bon mot de passe passe sur l'utilisation de tous les caractères disponibles sur le clavier, prévoir une longueur d'au moins 13 caractères et que celui-ci ne corresponde pas à un mot d'une quelconque langue ou un surnom... aujourd'hui! Et oui, aujourd'hui uniquement parce que la puissance de calcul augmente de façon exponentielle : la puissance de calcul au niveau mondial est multiplié par 10 tous les 4 ans environ. Ceci signifie que dans 4 ans, on peut prédire que le plus gros botnet aura lui aussi multiplié sa puissance de calcul à peu près du même rapport. Le mot de passe de 13 caractères qui était recommandé devra se voir attribuer un nouveau caractère pour conserver une réputation de mot de passe infaillible.

Vue la taille des mots de passe, il va commencer à falloir soit d'avoir une bonne mémoire pour se rappeler de la chaine de caractères qui va servir de mot de passe soit il va falloir être plus malin. On parle de mot de passe mais rien ne dit qu'il faut le créer à partir d'un seul mot : on peut faire ce fameux mot de passe à partir d'une phrase que vous appréciez, que vous n'aurez pas de difficulté à retenir. Par exemple, on pourrait partir de la dernière performance du petit dernier avec la phrase "Tom a raté son bac en 2012.". En reprenant, vos habitudes pour essayer de brouiller les pistes pour créer votre mot de passe, ça pourrait devenir "T0marat3$0nBac3n2012.". Vous avez 21 caractères, l'utilisation d'une large gamme de caractères et il n'y a aucune chance que le mot de passe soit dans un dictionnaire et vous êtes tranquille jusqu'à la prochaine phrase qui vous passera par la tête.

en espérant ne pas vous avoir endormi pour mon 1er article...

Seb

5 Commentaires

  • 14 Septembre 2012
    2012-09-14
    par
    Merci Séb pour ton site, je peux te proposer un lien perso pour un générateur/gestionnaire de mot de passe 18 à 20 caractères:

    Pass4All.com

    Max
  • 30 Août 2012
    2012-09-14
    par
    C23
    Tout à fait d'accord avec hyoga. D'ailleurs, qd on fait des comparaisons pour le temps de calcul avec des mots de passe de longueurs differentes, on devrai plutot raisonner en termes de rapport, du genre :
    si un mot de passe de 7 caracteres prend 1 unité de temps, alors 8 en prendra 50, 9 en prendra 1000, et ainsi de suite...
    Le pb, c'est que pour le quidam, cela ne va pas trop l'avancer dans sa reflexion.
     
    D'autant plus que pour reduire la facilité de calcul de mot de passe, on a inventé les algos de dérivation de clé (PBKDF2, scrypt, PGP String-to-Key,...). Plus vous multipliez le "nombre de cycles" de dérivation de clé, plus vous avez besoin de puissance de calcul, et ceci de façon exponentielle aussi.
    Sachant que le "nombre de cycles" resulte d'un choix humain, il va de soi qu'il faudrait choisir un nombre tres grand au regard de ce qui est possible en ce 21eme siecle.
     
    Malhereusement, certaines sociétés se foutent royalement de la gueule du monde en proposant des produits où le nombre d'iterations est faible. Les meilleurs exemples sont les applications sur smartphones qui stockent vos mot de passes de manière sécurisée avec du AES et tout le toutim... ,tellement sécurisé que le nombre d'itération est tellement faible que ce n'est pas l'AES que vous cassez, mais le mot de passe en lui-meme.
     
    Voyez la presentation : https://media.blackhat.com/bh-eu-12/Belenko/bh-eu-12-Belenko-Password_Encryption-Slides.pdf
  • 30 Août 2012
    2012-09-14
    par
    Pascal
    Bonjour, merci pour ce post. Concernant les combinaison à tester pour un mot de passe, comme on ne connait pas sa longueur, il faut tester toutes les longueurs.Et du coup, ajouter environ 10% aux chiffres.
  • 29 Août 2012
    2012-09-14
    par
    Julien Chezeaux
    C'est toujours intéressant de faire de la sensibilisation sur la
    création et l'utilisation des mots de passe, même si les lecteurs de ce
    blog ne sont peut-être pas les personnes qui en ont le plus besoin.



    Je comprends également que vous n'ayez pas un profil technique, mais je
    souhaite relever une inexactitude : ce n'est pas parce qu'un ordinateur
    peut effectuer 100 milliards d'opérations par secondes qu'il est
    possible de tester autant de mots de passe par seconde ! Pour du hash
    MD5, à l'heure actuelle on se trouve à environ 20 millions de mots de
    passe par seconde avec un CPU, et entre 1 et 10 milliards avec un GPU.



    Donc, de mon point de vue, un mot de passe de 9 caractères combinant
    lettres majuscules, minuscules, chiffres et caractères spéciaux est
    largement suffisant.



    Mais si vous connaissez un outil qui permet de casser un mot de passe de
    10 caractères étendus par brute-force en moins de 3 minutes, je suis preneur !

  • 29 Août 2012
    2012-09-14
    par
    Hyoga
    Bonjour,  Merci pour l'article. Tres interessant, et surtout facile à lire.
    J'aurai une question. Vous dites que les mots de passe sont stockés sur les ordinateurs qui les utilisent, avec une empreinte. J'ai pas tres bien compris. Vous voulez dire qu'à chaque fois qu'on rentre un mot de passe dans une machine (un PC de cyber, celui d'un ami), il y est stocké ? Et donc pour me subtiliser mon mot de passe par force brute par exemple, un pirate devrait obligatoirement viser une machine sur laquelle je l'y aurais dejà entré ? 

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage