Urgence mots de passe et sécurité de nos données !

Tout le monde sait que la protection de ses données repose principalement sur un bon mot de passe. Personne n'a envie qu'un malandrin vienne mettre son nez dans ses emails, ses photos ou bien ses comptes bancaires.

On connait les conseils qui prévalent classiquement dans ce domaine. Une rapide recherche sur Google fait remonter les conseils suivants:

• taille minimum: au moins 8 caractères
• ne pas utiliser de mots issus d'un dictionnaire
• mixer chiffres, lettres et symboles spéciaux
• etc.…

Ces conseils ne sont pas mauvais et restent valables. Mais la technologie et les techniques utilisées par les pirates n'ayant de cesse de se perfectionner, ils ne sont plus suffisants.

Qu'est ce qui est nouveau ?

Un article passionnant de Dan Goodin (“Why passwords have never been weaker—and crackers have never been stronger”) nous donne un éclairage “à jour” sur ces problèmes et le constat est pour le moins inquiétant. Comme le dit le titre de l’article, la sécurité liée aux mots de passe n’a jamais été aussi faible.

Trois facteurs se combinent:

• la multiplicité des comptes utilisateurs en ligne que nous devons gérer décuple les risques.
• dans les dernières années, plus de 100 millions de mots de passe réels ont été dévoilés à partir de piratage de sites importants.
• la puissance de calcul nécessaire à la casse de mots de passe est devenue incroyablement accessible et peu onéreuse.

Multiplicité des comptes utilisateurs

Gmail, Facebook, Twitter, Linkedin, Amazon, Fnac, orange, SFR, Edf, laposte, … nous pouvons tous lister au moins 20 sites sur lesquels nous avons créé des comptes utilisateur, parfois beaucoup plus. Au fil du temps, la pratique d’utiliser son adresse email comme identifiant s’est généralisée. Et l’humain étant ce qu’il est, il est fréquent d’utiliser le même mot de passe sur plusieurs, voire même tous les sites… Il est vrai que créer un mot de passe fort, unique, qu’on n’oubliera pas, alors qu’on est en train de finaliser une commande sur un nouveau site marchand relève parfois de la mission impossible. Alors on pare au plus pressé…Et on se retrouve ainsi avec de nombreux sites sur lesquels on a le même identifiant (son adresse email donc) et le même mot de passe.

Cette réutilisation d’identifiants est un risque très important car elle fait dépendre la sécurité de notre vie digitale du maillon le plus faible. En effet, imaginons que j’aie les mêmes identifiants sur Gmail et sur un site de commerce électronique lambda.com: si les informaticiens de lambda.com ne sont pas très consciencieux, que le site se fait pirater, mon mot de passe peut être découvert. Et voilà des hackers en possession de l’identifiant et du mot de passe de mon compte Gmail !

Un tel enchainement d’évènements, c’est à dire des hackers qui utilisent une information glanée sur un compte pour en pirater un autre, n’est pas du domaine du phantasme. Il suffit pour s’en convaincre de lire la mésaventure (la catastrophe même) qui est arrivée à Mat Honan (“How Apple and Amazon Security Flaws Led to My Epic Hacking”)

“Dans l’espace d’une heure, ma vie digitale entière a été détruite. Mon compte Google s’est fait pirater le premier, puis effacer. Ensuite, mon compte Twitter a été piraté et utilisé comme plateforme pour diffuser des messages racistes et homophobes. Enfin le pire, mon compte AppleID a été piraté et les hackers l’ont utilisé pour effacer à distance toutes les données de mon iPhone, mon iPad et mon MacBook.”

La diffusion de bases de données de mot de passes réels

Les techniques “classiques” utilisées pour casser des mots de passe ont beaucoup évolué. La technique de base, dite “force brute”, consiste à essayer toutes les combinaisons possibles de lettres, chiffres, symboles. Ainsi par exemple, l’ensemble des combinaisons de 9 caractères pris parmi les lettres majuscules, minuscules et chiffres, soit 62⁹, se dénombre à 13 537 086 546 263 552, soit pour faire court plus de 13 millions de milliards de combinaisons. Impressionnant non ? Oui, mais non.

Non, parce que la puissance de calcul disponible pour faire ces attaques de force brute est actuellement considérable et facilement accessible. Nous verrons cela en détail ci-dessous.

Non, parce que les hackers ont conçu des techniques sophistiquées pour éviter de tester toutes les combinaisons possibles et ainsi gagner du temps.

Partant du constat que les utilisateurs ont tendance à utiliser des mots de passe facile à retenir, une manière de gagner du temps pour un hacker est d’utiliser un dictionnaire de mots pour bâtir des mots de passe en les combinant entre eux ou avec des chiffres. Exemples: “soleil123”, “isabelle12”, … Cette technique a un bon taux de succès et c’est pourquoi on nous conseille de ne pas utiliser de mots issus d’un dictionnaire, ou bien de dénaturer le mot avec un symbole facile à retenir (comme par exemple “sol3il123”).

Mais il y a mieux, beaucoup mieux même… Tout commence en décembre 2009. Le site de jeux sociaux RockYou est victime d’un piratage de sa base de données de comptes utilisateurs. Rockyou n’applique aucune des mesures de sécurité de base et stocke notamment les mots de passe en clair sur ses serveurs, sans les crypter. Les pirates s’emparent d’une liste de … 32 millions d’identifiants et mots de passe !!

C’est une véritable mine d’or car cette liste permet de connaitre non seulement les mots de passe les plus utilisés mais également les formats les plus utilisés. Ainsi par exemple, cette liste révèle que les lettres majuscules viennent majoritairement en première position et que les utilisateurs ont une forte tendance à utiliser des prénoms suivis d’une année, comme “Marie1996”.

Le “phénomène RockYou” a fait boule de neige: à partir de cette première base de connaissance, d’autres sites ont pu être piratés et on estime qu’en 2011, plus de 100 millions de mots de passe ont été ainsi révélés. Plus cette base de mots de passe grandit, plus il est facile de les cracker et d’en découvrir d’autres.

Ces piratages ont aussi affecté des sites très significatifs comme LinkedIn il y a quelques mois, ou bien Twitter. Ce qui veut dire accessoirement que ce ne sont pas des problèmes uniquement de sites américains, mais qui affectent le monde entier…

90 secondes pour cracker un mot de passe de 9 caractères !

En tirant parti de cette connaissance des mots de passe et de la manière dont les utilisateurs les inventent, on peut réduire drastiquement les combinaisons à explorer: ainsi, si on suppose que les mots de passe sont composés d’une majuscule ou minuscule, suivie de 4 minuscules et 4 chiffres, le nombre de combinaisons n’est plus que de 52*26⁴*10⁴, soit 237 627 520 000, environ 237 milliards, au lieu des 13 millions de milliards de combinaisons au total. Et il se trouve que 237 milliards de combinaisons peuvent être testées de nos jours en… 90 secondes !

C’est qu’en dix ans, la puissance de calcul accessible à tout un chacun a fait des progrès spectaculaires. Les processeurs sont bien entendus beaucoup plus puissants mais ce sont les progrès dans les cartes graphiques qui intéressent les hackers. Pourquoi les cartes graphiques ? parce que ce sont des mini-ordinateurs spécialisés dans les calculs mathématiques et de plus massivement parallèles. Un PC équipé d’une carte graphique AMD Radeon HD7970 peut tester jusqu’à 8 milliards de mots de passe par seconde ! Il s’agit d’un équipement qui coute 400€… Autant dire que la casse industrielle de mots de passes est à la portée de tous alors qu’il y a 10 ans il fallait des moyens industriels (supercalculateurs) pour arriver aux mêmes résultats.

Faut-il avoir peur ?

Oui ! Le côté industriel de l’attaque de nos mots de passe doit nous inquiéter. Et nous inciter à changer nos habitudes drastiquement:

• ne pas utiliser le même mot de passe partout
• utiliser des mots de passes aléatoires et très longs
• utiliser des méthodes complémentaires d’authentification (“2-way auth”)
• ….

Tout cela fera l’objet d’un prochain billet où nous verrons concrètement comment améliorer la sécurité de sa vie digitale.

PS: Si vous tombez sur un site qui vous envoie dans un email votre mot de passe en clair, fuyez !! Cela veut dire que ce site ne crypte même pas les mots de passe que vous lui confiez. Si vous ne pouvez pas faire autrement que de l’utiliser, choisissez un mot de passe différent de tous les autres.