FLASH INFORMATIQUE FI



La guerre des mots de passe


La sécurité est l‘affaire de tous, on ne laisse pas traîner son trousseau de clés, il en va de même des mots de passe !



Safety is a concern of all, you must manage your passwords the same way you manage your keys !


Pierre MELLIER


L’été dernier, certains services Web très populaires ont reconnu avoir eu de graves problèmes de sécurité :

  • LinkedIn reconnaissait que plus de 6.5 millions de mots de passe lui ont été volés par des pirates russes.
  • Le site de rencontre e-Harmony reconnaissait que 1.5 million de mots de passe lui avaient été volés.
  • Le site de recommandation musicale Last.fm reconnaissait que plus de 2.5 millions de mots de passe lui avaient été volés
  • Yahoo ! reconnaissait le vol de 400’000 mots de passe.
  • Dropbox reconnaissait qu’un petit nombre de mots de passe lui avait été volé depuis un compte email d’un de ses employés.
  • etc.

Tous ces mots de passe n’étaient pas directement exploitables par les pirates, car ils avaient été préalablement chiffrés avant d’être stockés. Malheureusement, des techniques associées à la puissance des ordinateurs d’aujourd’hui permettent de percer et deviner un grand nombre d’entre eux très rapidement.
Par exemple, Ars Technica raconte qu’il ne fallut que 2.5 heures pour que les pirates récupèrent en clair 1.2 million des mots de passe du service e-Harmony et qu’après 3 jours, seuls 98’000 mots de passe résistaient encore aux assauts des pirates ! Ce résultat spectaculaire a été obtenu grâce à l’exploitation de deux grosses faiblesses :

  • l’algorithme de chiffrement de e-Harmony était MD5 et depuis 2003, on sait que cette méthode n’est plus très sure et qu’elle ne devrait plus être utilisée pour chiffrer des mots de passe. De nos jours, une carte graphique performante d’un ordinateur de bureau permet de tester jusqu’à 2 milliards de mots de passe par seconde ;
  • les internautes utilisent beaucoup de prestations Web qui sont toutes protégées par des mots de passe, ils utilisent alors souvent le même mot de passe qui n’est souvent pas trop difficile à deviner. Un mot de passe, une fois volé, est alors partagé entre pirates à l’aide d’énormes dictionnaires.

Une fois le mot de passe et le username volés, le pirate pourra essayer de les employer pour accéder à des prestations comme twitter ou Facebook, ou un compte email comme Yahoo ou Google. Et une fois dans la place, il changera le mot de passe, et se fera passer pour l’internaute !
Pour lutter contre ces attaques pirates, il faut rappeler les précautions importantes à prendre :

Pour l’internaute

  • utiliser des mots de passe différents pour chaque prestation Web : ainsi, si le mot de passe est volé, il ne peut pas être utilisé ailleurs ;
  • utiliser des mots de passe difficiles à deviner, avec au moins 8 caractères composés de lettres, de chiffres, de signes de ponctuation, etc. pour rendre la tâche des pirates difficile ;

Pour les informaticiens

  • utiliser des techniques de chiffrement de mots de passe plus complexes que MD5 ou SHA-1, par exemple en ajoutant du salage cryptographique ;
  • utiliser des techniques d’authentification forte pour protéger une prestation informatique, même en cas de vol du mot de passe.

Nous vous présenterons dans un prochain article, la stratégie d’authentification forte que l’EPFL va déployer courant 2013 sur Tequila pour renforcer la sécurité d’accès de certaines prestations contenant des informations sensibles.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.