Les mots de passe : leurs politiques désuètes, comment ils se font craquer et nos recommandations pour être protégés

Les mots de passe : leurs politiques désuètes, comment ils se font craquer et nos recommandations pour être protégés

Les mots de passe sont l’un des plus vieux outils de cyber-sécurité et sont, encore aujourd’hui, l’outil le plus utilisé. Le principe est très simple : une chaîne de caractères secrets permet d’authentifier votre identité, afin de vous autoriser un accès. Pourtant, les mots de passe sont un outil systématiquement mal utilisé, mal configuré et causant régulièrement des attaques et des brèches.
Nous allons vous expliquer, ci-dessous, pourquoi les politiques actuelles de mots de passe sont inefficaces et comment un hackeur (crackeur) arriver à casser (cracker) votre mot de passe ; et, en conclusion, nous vous donnerons nos recommandations sur l'utilisation et la gestion de vos mots de passe.

Les politiques désuètes des mots de passe :

La majorité des entreprises (principalement dans la finance) imposent des règles de complexité, de longueur et de durée de vie aux mots de passe de leurs employés. Ces règles ont principalement des raisons historiques et ne sont plus valables, à mon avis, aujourd’hui.


Durée de vie

Certains standards préconisent une durée de vie d’un mot de passe de 90 jours et, après cela, ils recommandent de le changer. Cette règle existe pour deux raisons historiques : premièrement, le temps requis pour cracker un mot de passe (nous en parlons plus bas) et, deuxièmement, la nécessité de réduire la durée pendant laquelle le crackeur éventuel pourrait abuser du mot de passe volé.

Un mot de passe bien choisi, comme expliqué ci-dessous, peut prendre des centenaires à craquer. Additionnellement, si un hacker réussisait à voler un mot de passe, sa première démarche serait d’insérer une porte dérobée, de créer un pivot ou de trouver une autre accroche dans l’infrastructure pour maintenir sa persistance. Dans ces deux cas, nous voyons clairement que le changement régulier d’un mot de passe n’apporte aucune sécurité.

(Il faut néanmoins noter qu’il est évident qu’un changement de mot de passe s’impose si l’on découvre qu’un compte est compromis ; il y a toutefois de nombreux autres éléments de procédure à mettre en place lorsque cela arrive.)

Les inconvénients du changement régulier du mot de passe sont, par exemple, l’utilisation de mots de passe faibles, la réutilisation du même mot de passe pour plusieurs comptes, ou encore l’écriture du mot de passe sur un post-it.
Nous voyons que, dans ce contexte, les inconvénients surpassent clairement les avantages.


Comment choisir un bon mot de passe ?


Attaque offline

Le but d’un mot de passe étant de valider notre identité, il est nécessaire de s’assurer que personne ne puisse le deviner. Afin de créer un bon mot de passe, il faut donc savoir comment un hackeur peut le cracker. Voici généralement les étapes successives qu’un crackeur utiliserait pour une attaque offline (ce qui n’inclue pas les comptes en ligne tels que Facebook, LinkedIn, Gmail etc.). Ces attaques peuvent être exécutées lorsqu’un (ou plusieurs) hash de mots de passe sont volés (base de données sur un serveur ou ordinateur volé par exemple).

1. Les Rainbow tables sont un compromis temps/mémoire utilisé pour précalculer des informations qui permettent ensuite de trouver un mot de passe très rapidement. L’état de l’art actuellement est de 8 caractères Mix-alpha-num-speciaux que j’ai créé en 2011. Cette technique ne fonctionne donc pas sur les mots de passe plus longs que 8 caractères (Mix-alpha-num-speciaux).

Les méthodes suivantes, utilisées successivement par les crackeurs, consistent à tester des potentiels mots de passe de façon consécutive.. Les capacités actuelles d’essai sont estimées entre 100'000'000'000 (cent milliards) mots de passe par secondes pour un super ordinateur et 100'000'000'000'000 (cent trilliards) mots de passe par secondes pour un gouvernement.

2. Les dictionnaires de mots de passe connus sont des listes contenant des mots de passe communément utilisés (qui ont fui ou ont été volés, et qui font maintenant partie du domaine public). Il existe de nombreuses listes contenant jusqu’à 2 milliards de mots de passe les plus communs.

3. L’utilisation des mots dans le dictionnaire (linguistique). Un crackeur peut utiliser des mots dans de différentes langues ou encore combiner ensemble plusieurs mots, les écrire à l’envers, rajouter des chiffres et mettre des majuscules.

4. L’utilisation du l33t speak (leet speak) https://en.wikipedia.org/wiki/Leet consiste à remplacer des lettres par d’autres caractères. Un crackeur peut prendre la liste d’au-dessus pour remplacer les caractères en l33t speak.

5. L’ajout d’informations personnelles tellles que des dates de naissance, des noms de proches, des adresses, etc. à la liste d’au-dessus.

6. Si aucune de ces techniques ne fonctionne pour trouver le mot de passe, le crackeur va devoir essayer tous les mots de passe potentiels de façon successive. Cela s’appelle le brute force.

Le but, lorsque vous choisissez vos mots de passe, est qu’ils ne soient découverts par aucune des 5 premières tentatives de crackage et que la durée de temps nécessaire pour le brute force (étape 6) ne soit pas rationnelle pour un crackeur.

C’est pour cela que nous vous recommandons de choisir simplement des mots de passe très longs. Par example, prenez votre mot de passe actuel et ajoutez-y dix points après...


Saviez-vous que le mot de passe :

B0njour………….

Est plus compliqué à craquer que le mot de passe

68%BLvLFfCnsMCru%H8

crackingPower



L’attaque en ligne

Les attaques en ligne consistent à craquer un mot de passe directement sur le service qui l’héberge. Il y a de nombreux outils qui limitent la vitesse et l’efficacité d’un crackeur, tels que les captchas, les temps d’attente entre tentatives et les limites de la bande passante. Nous estimons qu’un crackeur pourrait tester entre 1 et 100 mots de passe par seconde dans ce contexte, ce qui le forcerait à changer sa stratégie par rapport à une attaque offline.

1. Les dictionnaires de mots de passe connus dont nous avons parlés au-dessus. Il faut noter que cette liste doit généralement être limitée à quelques milliers dans la situation d’une attaque en ligne, car très rapidement une attaque en ligne peut se faire détecter et bloquer

2.L’utilisation de mots de passe connus pour un utilisateur, permet d’employer des listes de noms d’utilisateurs et mots de passe volés sur un site web sur d’autres services : on pourrait facilement imaginer un crackeur tester les 150'000'000 comptes volés de Adobe.com sur Facebook

3. L’ingénierie sociale consiste en la manipulation d’un utilisateur pour en extraire des informations sensibles. Elle est adoptée dans les emails de phishing et sur des faux sites web. Son but est de vous faire croire que vous êtes sur un site web authentique et de vous inciter à vous logger pour ainsi voler votre mot de passe. (L’utilisation de l’authentification forte ne peut aider dans ce contexte mais peut bloquer la réutilisation future de votre mot de passe volé).

Pour protéger vos comptes, nous vous recommandons d’utiliser un Gestionnaire de mots de passe. Ce dernier vous génère un mot de passe unique & complexe pour chaque site web et remplit automatiquement les mots de passe si (et seulement si) le nom de domaine du site visité est authentique. Nous recommandons aussi l’utilisation d’un deuxième facteur (2FA) pour empécher qu’un mot de passe volé puisse être réutilisé.

ZENData peut aider votre entreprise à se protéger correctement. Nous pouvons vous aider à mettre en place une politique de sécurité cohérente, et offrons des formations à vos employés afin qu’ils comprennent correctement les contextes et enjeux de leurs actions.
Nous avons aussi des outils pour vérifier les mots de passe utilisés par vos employés et pour tester leurs réactions face à des emails de phishing. N’hésitez pas à nous contacter pour plus d'informations sur nos services.

Tweets de ZENData

RT @DefenseBaron: JUST IN: No more jogging apps! DOD: “effective immediately, Defense Dept personnel are prohibited from using geolocation…
RT @COSCOSHPGLines: Our network within the Americas region has been fully restored: https://t.co/UHzstMj6Xf
RT @TheHackersNews: Egypt passes a new controversial #FakeNews law that allows government to monitor, block or prosecute citizens with more…
RT @TheHackersNews: ⚡President of Ecuador is going to withdraw asylum for #Wikileaks founder Julian Assange – multiple sources claimed. ht…
@Anouch est ce que l'évolution des par de marché d'Internet explorer été différent en Europe VS USA? Car la loi pou… https://t.co/hpJuCJRkSi

Nous animons aussi le blog de cyber-sécurité du magazine Bilan. Retrouvez nos articles sur leur site: www.bilan.ch/steven-meyer

Contact

ZENData - Cyber-sécurité

Informations

Contactez-nous pour une analyse gratuite de vos besoins en sécurité ou pour des renseignements sur nos services, solutions et produits.

ZENData Sarl

Téléphone: +4122 588 65 90

Email:

Adresse: 114 rue du Rhône, 1204 Genève, Suisse


LinkedIn: linkedin.com/company/zendata

Twitter: twitter.com/ZenDataSec

Facebook: facebook.com/zendataSec

Google+: plus.google.com/+ZendataCh

Contactez-nous

13+14=

Souhaitez-vous vous inscrire à notre newsletter mensuelle ?

Vous y trouverez nos articles, l’actualité, des conseils et des informations importantes liées à la cyber-sécurité.