FLASH INFORMATIQUE FI



Sésame, ouvre-toi !


Mettons à jour nos connaissances sur la sécurité !



Update our knowledge on safety !


Laurent KLING


Le premier enjeu de la sécurité est spontanément l’identité. Celle-ci est définie par un couple : l’utilisateur et son mot de passe. Dès qu’on évoque la nature du mot de passe, on se retrouve devant ces dilemmes :

  • c’est secret, je ne dois pas en parler,
  • sa création demande beaucoup d’effort,
  • je risque de l’oublier.

Un ordinateur ne doit pas enregistrer votre sésame en clair, il doit être crypté dans une empreinte numérique. La meilleure protection consiste en une opération irréversible, le résultat ne doit pas pouvoir être décrypté. Dans ces conditions, comment l’ordinateur peut–il me reconnaître ?
En pratique, le mot de passe introduit est chiffré, puis le résultat est comparé avec l’empreinte numérique déjà cryptée. Cette transformation en empreinte numérique est appelée hachage en langage informatique.
Malheureusement, la formule magique convertissant le mot de passe n’est pas toujours parfaite, il existe des méthodes qui permettent de le redécouvrir :

  • à partir du résultat conservé haché dans l’ordinateur ;
  • avec des dictionnaires ou de manière exhaustive, en calculant la chaîne de hâchage, la solution remonte à son origine par comparaison ;
  • en demandant aux utilisateurs de communiquer le mot de passe, cela peut sembler insensé, mais cela se pratique encore.

Ce décodage va être légèrement plus complexe que de retourner le clavier ou d’ouvrir la tirette du tiroir pour découvrir le code d’accès, mais le résultat est le même, votre mot de passe est public. Dans un excès de curiosité, les informaticiens conserve parfois en clair les mots de passe des utilisateurs ou utilisent des méthodes d’encodage réversible, il faut éviter tout service qui est capable de vous communiquer votre clé décodée  !


nuage des mots de passe les plus utilisés

Garder en mémoire

La création du mot de passe est probablement la partie la plus révélatrice de notre personnalité. Pour nous aider dans ce travail introspectif, les informaticiens rivalisent de méthodes de plus en plus cryptiques, certaines engendrent des codes d’accès quasiment impossible à retenir. Dans ce sens, il est parfait, car personne ne se souvient de celui-ci. La parade est rapidement trouvée, on note son sésame, de secret celui-ci redevient public. Ce processus de complexification tend vers l’infini avec une proposition d’un chercheur consistant à répéter de manière mécanique une suite de caractères, pour finalement obtenir comme résultat un mot de passe inconscient saisi comme par un chien de Pavlov. Cette expérience est facilement observable si vous changez de langues, essayez de taper votre clé sur un clavier français ou russe ! Pour compléter le tout, le mot de passe peut être utilisé dans plusieurs applications. Sa perte, ou sa divulgation engendre un vrai cauchemar numérique. On perd le contrôle de sa messagerie professionnelle, de ses publications scientifiques, de son compte Twitter, de son téléphone portable, bref on redevient un terrien sans attache numérique. Cette mésaventure est arrivée à un spécialiste des nouvelles technologies, le comble [1].

Repenser son mot de passe

Pour éviter un tel désastre, il faut peut-être se reposer la question de la création de son mot de passe. Randall Monroe, nom de code X K C D n’est pas un espion venu du froid. C’est au contraire un humoriste geek.
Sa solution au problème de la génération du mot de passe est lumineuse, au lieu d’appliquer une formule incompréhensible par chacun. Il propose d’accoler quatre mots choisis au hasard.



un mot de passe humain, xkcd.com/936
Mathématiquement, la qualité du mot de passe résultant est plus sûre, car plus complexe. Notre mémoire par contre se réjouit de se rappeler ces quatre mots. Dans un environnement multiculturel comme le nôtre, ces quatre mots peuvent provenir de langues différentes.

tchin-tchin Baka-Yoke  [2]
Ensuite, pour éviter tout débordement, ce mot de passe est la clé de votre coffre-fort KeePass décrit dans cette revue : Sérénité dans les nuages par Laurent Kling et KeePass, votre coffre-fort de mots de passe par Jean-Daniel Bonjour.
Pour ceux qui désirent connaître la qualité numérique des mots de passe, je suggère la lecture du blog de Mark Burmett. Spécialisé dans l’analyse de la sécurité, celui-ci possède une base de données de plus de six millions d’entrées décodées. Cela semble être de la science-fiction, comment établir une telle masse de renseignements  ? Ce ne sont pas des utilisateurs qui ont volontairement déposé leurs informations secrètes. Des failles de sécurité, des erreurs de conceptions autorisent des hackers à télécharger les bases de données contenant le couple identifiant - mot de passe haché. Ensuite des outils permettent de décoder le sésame. Finalement, ces listes sont publiées sur Internet.

Secret = Bond 007

Notre espion revient au galop avec Bond 007 ; non, ce n’est pas une plaisanterie, c’est un mot de passe secret qui arrive dans la 737e position dans la liste des 10 000 plus mauvais.



fréquences des mots de passe

Comment puis-je dire qu’ils sont mauvais  ? Après tout, ce sont les plus utilisés  ?
C’est bien la répétition qui pose problème, normalement un mot de passe est unique, car secret. S’il est employé par de nombreuses personnes, il existe sûrement une empreinte numérique décodée. Une règle simple pour découvrir la qualité de sa clé et de rechercher son sésame sur Internet. Si le résultat est vide, personne ne connaît votre mot de passe (sauf Google).

Le danger de suivre une méthode reproductible

Le seul conseil pour générer un mot de passe est de ne pas suivre les méthodes ou les outils proposés. En effet, si vous utilisez un site Web vous proposant de créer un sésame, vous ne possédez aucune certitude que celui-ci n’est pas enregistré avec les caractéristiques de votre navigateur vous rendant identifiable. Dans ce cas, votre code d’accès est devenu public. La complexité apparente est également un piège, comment retenir un mot de passe trop complexe ?
strongpasswordgenerator.com
Your new password : ^P0O]#/dxQ
Remember your new password as : ^ PAPA 0 OSCAR ] # / delta x-ray QUEBEC
www.pctools.com/guides/password/
Passwords : Muvu67E4We
Phonetic Pronunciation : MIKE - uniform - victor - uniform - Six - Seven - ECHO - Four - WHISKEY - echo
En réalité, suivre une méthode est une invitation à une attaque intelligente. La complexité est réduite, car vous suivez un chemin public, donc reproductible. Comme un pied de nez de l’histoire, les messages secrets des sous-marins nazis ont pu être décodés par une faille similaire de raisonnement. Le capitaine de U-Boot transmettait avec la même clé secrète et unique deux communications encodées avec Enigma :

  • la météo de l’endroit où se situait le sous-marin (avec une pression en millibar) à heure fixe,
  • les renseignements stratégiques.

La pression atmosphérique n’est pas une donnée secrète, un navire allié dans la même zone géographique peut relever la même pression. De ce fait, un indice reproductible de l’information encodé est disponible. C’est cette méthode subtile qui permit de déchiffrer les messages des sous-mariniers nazis entrainant un avantage indéniable pendant la bataille de l’Atlantique.

Cyberguerre

Échaudé par les problèmes de mot de passe, on imagine que nos processus industriels sont mieux protégés. À ce niveau de complexité, les voyous sont des états, américain, chinois, russe, israélien, français, allemand, chacun possède une part d’ombres.

  • En février 2011 dans ce journal, je décris l’attaque numérique sur la procédure d’enrichissement d’uranium en Iran par Stuxnet.
  • Le 1er juin 2012, le New York Times publie un article  sur la chaîne de responsabilité de Stuxnet qui remonte au président américain. De manière prophétique, l’auteur met en garde le lecteur sur le risque d’un contrecoup, une attaque contre les États-Unis.
  • Le 17 septembre 2012, l’entreprise Kaspersky Security présente sur ]son blog ->http://www.securelist.com/en/blog/7...] une analyse détaillée du centre de commandement du virus Flame, un cousin proche de Stuxnet.

Cette plongée au coeur de l’organisation interne des virus permet de comprendre leurs concepteurs. Écrit par des professionnels, il est très rare d’arriver à un poste de commandement intact. Les programmeurs vandalisent leurs travaux pour empêcher une autopsie ultérieure. Dans ce cas précis, une erreur de codage évita la destruction.

Comment un virus américain peut se retrouver dans des ordinateurs saoudiens ?



une raffinerie en Arabie Saoudite

  • Le 23 octobre 2012, un article du New York Times décrit une cyber-attaque arrivée en Arabie Saoudite. Un virus s’est introduit dans le réseau interne de Saudi Aramco, la compagnie du plus grand producteur de pétrole de la planète.
    Le mercredi 15 août à 11 h 7, les 55’000 employés de cette entreprise observent un désastre total, leurs ordinateurs s’auto détruisent. Cette date possède une signification précise pour les musulmans, car elle correspond au Laylat al-Qadr ou Nuit du Destin, au cours de cette nuit, le Coran aurait été révélé à Mahomet par l’ange Gabriel.
    L’autodestruction n’est pas le scénario de mission impossible, l’ordinateur ne se consume pas, mais le disque dur est vidé automatiquement. Pour la firme, c’est la catastrophe la plus totale, vos ordinateurs se transforment en briques stupides.
    Rapidement, des spécialistes informatiques analysent les ordinateurs, ceux-ci contiennent un virus dénommé Shamoon (le patronyme du virus est désigné à partir des chaînes de caractères contenus à l’intérieur).
    Dans ce virus se trouve un module de Flame qui n’est pas inconnu des experts en sécurité. Appartenant à la même famille, Flame et Stuxnet partagent des modules en commun. C’est un sous programme intégré dans ce virus, activé pour effacer toute trace du crime selon l’adage pas vu pas pris.
    Logiquement, on cherche l’auteur du virus en analysant le code, une clé de la réponse réside peut-être à l’intérieur. Dans ce code, on retrouve Arabian Gulf, naturellement nous avons probablement tous rectifié le lieu géographique pour le golfe Persique. Cette différence n’est pas minime, ce serait une erreur grossière de confondre les Iraniens avec les Arabes, ces deux civilisations sont antagonistes depuis des millénaires.
    Ces escarmouches prennent une tournure universelle avec l’incident rapporté pendant l’écriture de cet article, la cyber attaque du bureau du président Sarkozy avec le même virus Flame décrit dans l’édition de la BBC du 21 novembre 2012.

Conclusion, une sécurité relative

Face a un état, l’individu ou l’institution peut se retrouver facilement démuni devant une attaque cybernétique. En évitant de tomber dans une paranoïa schizophrène, il est essentiel de maîtriser son identité numérique. Particulièrement quand nous avons tendance à devenir notre propre démiurge [3] en créant de multiples avatars pour tenter de suivre les soubresauts de la technologie.
Le premier choix consiste à inventer un mot de passe pour chaque service en respectant notre créativité naturelle. Ensuite, il faudra probablement passer par les fourches caudines d’une authentification forte dans l’EPFL. Celle-ci consiste à combiner deux sésames de nature différente, par exemple un mot de passe et un jeton temporel. Les locataires de coffre fort dans une banque connaissent déjà ce principe de l’authentification forte, pour ouvrir le casier il est nécessaire de disposer de deux clés :

  • celle du propriétaire
  • celle de la banque

L’article de Denis Rochat paru récemment dans cette revue explique cette méthode utilisée par Google.
En conclusion, il faut toujours respecter ce principe : un mot de passe n’est secret que s’il est connu d’une seule personne. D’oú ce dilemme, l’ordinateur peut-il connaître mon mot de passe ?

[1] How Apple and Amazon Security Flaws Led to My Epic Hacking, by MAT HONAN, 8 juin 2012

[2] une recherche avec Google vous réservera quelques surprises

[3] Démiurge, du latin demiurges, dieu architecte de l’Univers



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.