Les mots de passe sont l’un des plus vieux outils de cyber-sécurité et sont, encore aujourd’hui, l’outil le plus utilisé. Le principe est très simple : une chaîne de caractères secrets permet d’authentifier votre identité, afin de vous autoriser un accès. Pourtant, les mots de passe sont un outil systématiquement mal utilisé, mal configuré et causant régulièrement des attaques et des brèches.
Nous allons vous expliquer, ci-dessous, pourquoi les politiques actuelles de mots de passe sont inefficaces et comment un hackeur (crackeur) arriver à casser (cracker) votre mot de passe ; et, en conclusion, nous vous donnerons nos recommandations sur l’utilisation et la gestion de vos mots de passe.
Les politiques désuètes des mots de passe :
La majorité des entreprises (principalement dans la finance) imposent des règles de complexité, de longueur et de durée de vie aux mots de passe de leurs employés. Ces règles ont principalement des raisons historiques et ne sont plus valables, à mon avis, aujourd’hui.
Durée de vie
Certains standards préconisent une durée de vie d’un mot de passe de 90 jours et, après cela, ils recommandent de le changer. Cette règle existe pour deux raisons historiques : premièrement, le temps requis pour cracker un mot de passe (nous en parlons plus bas) et, deuxièmement, la nécessité de réduire la durée pendant laquelle le crackeur éventuel pourrait abuser du mot de passe volé.
Un mot de passe bien choisi, comme expliqué ci-dessous, peut prendre des centenaires à craquer. Additionnellement, si un hacker réussisait à voler un mot de passe, sa première démarche serait d’insérer une porte dérobée, de créer un pivot ou de trouver une autre accroche dans l’infrastructure pour maintenir sa persistance. Dans ces deux cas, nous voyons clairement que le changement régulier d’un mot de passe n’apporte aucune sécurité.
(Il faut néanmoins noter qu’il est évident qu’un changement de mot de passe s’impose si l’on découvre qu’un compte est compromis ; il y a toutefois de nombreux autres éléments de procédure à mettre en place lorsque cela arrive.)
Les inconvénients du changement régulier du mot de passe sont, par exemple, l’utilisation de mots de passe faibles, la réutilisation du même mot de passe pour plusieurs comptes, ou encore l’écriture du mot de passe sur un post-it.
Nous voyons que, dans ce contexte, les inconvénients surpassent clairement les avantages.
Comment choisir un bon mot de passe ?
Attaque offline
Le but d’un mot de passe étant de valider notre identité, il est nécessaire de s’assurer que personne ne puisse le deviner. Afin de créer un bon mot de passe, il faut donc savoir comment un hackeur peut le cracker. Voici généralement les étapes successives qu’un crackeur utiliserait pour une attaque offline (ce qui n’inclue pas les comptes en ligne tels que Facebook, LinkedIn, Gmail etc.). Ces attaques peuvent être exécutées lorsqu’un (ou plusieurs) hash de mots de passe sont volés (base de données sur un serveur ou ordinateur volé par exemple).
1. Les Rainbow tables sont un compromis temps/mémoire utilisé pour précalculer des informations qui permettent ensuite de trouver un mot de passe très rapidement. L’état de l’art actuellement est de 8 caractères Mix-alpha-num-speciaux que j’ai créé en 2011. Cette technique ne fonctionne donc pas sur les mots de passe plus longs que 8 caractères (Mix-alpha-num-speciaux).
Les méthodes suivantes, utilisées successivement par les crackeurs, consistent à tester des potentiels mots de passe de façon consécutive.. Les capacités actuelles d’essai sont estimées entre 100’000’000’000 (cent milliards) mots de passe par secondes pour un super ordinateur et 100’000’000’000’000 (cent trilliards) mots de passe par secondes pour un gouvernement.
2. Les dictionnaires de mots de passe connus sont des listes contenant des mots de passe communément utilisés (qui ont fui ou ont été volés, et qui font maintenant partie du domaine public). Il existe de nombreuses listes contenant jusqu’à 2 milliards de mots de passe les plus communs.
3. L’utilisation des mots dans le dictionnaire (linguistique). Un crackeur peut utiliser des mots dans de différentes langues ou encore combiner ensemble plusieurs mots, les écrire à l’envers, rajouter des chiffres et mettre des majuscules.
4. L’utilisation du l33t speak (leet speak) https://en.wikipedia.org/wiki/Leet consiste à remplacer des lettres par d’autres caractères. Un crackeur peut prendre la liste d’au-dessus pour remplacer les caractères en l33t speak.
5. L’ajout d’informations personnelles tellles que des dates de naissance, des noms de proches, des adresses, etc. à la liste d’au-dessus.
6. Si aucune de ces techniques ne fonctionne pour trouver le mot de passe, le crackeur va devoir essayer tous les mots de passe potentiels de façon successive. Cela s’appelle le brute force.
Le but, lorsque vous choisissez vos mots de passe, est qu’ils ne soient découverts par aucune des 5 premières tentatives de crackage et que la durée de temps nécessaire pour le brute force (étape 6) ne soit pas rationnelle pour un crackeur.
C’est pour cela que nous vous recommandons de choisir simplement des mots de passe très longs. Par example, prenez votre mot de passe actuel et ajoutez-y dix points après…
Saviez-vous que le mot de passe :
B0njour………….
Est plus compliqué à craquer que le mot de passe
68%BLvLFfCnsMCru%H8
