Tout sur les mots de passe
Lien court vers cette page : http://vt.cx/mdp1 QR code vers cette page : http://vt.cx/mdp1.qr
Les mots de passe sont d'indispensables auxiliaires de la sécurité en général et informatique en particulier. Entre paranoïa et laxisme, il y a une juste mesure que cette rubrique servira à définir avec le plus de précision possible. Il n'est pas question ici d'entrer dans la cryptographie alors que d'autres sites spécialisés le font très bien mais de donner les outils pour une maîtrise sereine du concept de mot de passe et de tout ce qui concoure à la faciliter.
Sommaire
Anatomie d'un mot de passe
Le mot de passe est une suite de caractères plus ou moins longue et dont les composantes sont plus où moins nombreux :
- Longueur de 1 à N éléments (en pratique rarement plus de 20)
- Composants d'un mot de passe :
- Chiffres : de 0 à 9 soit 10 combinaisons par éléments
- Lettres : de a à z & de A à Z soit 26 combinaisons par éléments si le programme est insensible à la casse (à savoir a=A) ou 52 combinaisons si le programme y est sensible (a<>A)
- Lettres spéciales : lettres accentuées, ç, ñ soit un nombre variable de combinaisons dépendant du nombre de caractères entrant en compte
- Signes spéciaux : /-?*+-)%@{] soit un nombre variable de combinaisons dépendant du nombre de caractères entrant en compte
On constate que le nombre de combinaisons est extrêmement variable et dépend du nombre de caractères autorisés dans la composition du mot de passe :
- Chiffres uniquement : 10^N ou N=nombre d'éléments ainsi un code de carte bancaire comprend 4 éléments -> nombre de combinaisons = 10^4 soit 10.000 (0000 à 9999)
- Lettres uniquement + casse indifférenciée : 26^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 26^4 soit 456.976
- Chiffres + lettres + casse indifférenciée : 36^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 36^4 soit 1.679.616
- Lettres uniquement + casse différenciée : 52^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 52^4 soit 7.311.616
- Chiffres + lettres + casse différenciée : 62^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 62^4 soit 14.776.336
- Chiffres + lettres + accents + signes spéciaux : 200^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments -> nombre de combinaisons = 200^4 soit 1.600.000.000
On perçoit dont, nombres à l'appui, qu'entre un code à 4 chiffres de carte bancaire et celui d'un site ou d'un programme autorisant la quasi-totalité des caractères le nombre de combinaisons varie considérablement et qu'un code avec lettres, chiffres, signes spéciaux semble très sûr ce qui n'est pas forcément le cas pour des raisons qui vont suivre.
Stratégie pour construire des mots de passe
Sachant l'intérêt qu'il y a à faire participer le plus grand nombre de caractères possibles dans la construction d'une mot de passe il faut maintenant tenir compte d'un certain nombre d'aspects pratiques résumés ici :
- Éviter les caractères qui se confondent comme :
- 1 (un) et l (L minuscule)
- 0 (zéro) et O (lettre O majuscule)
- [ (crochet gauche) et ( (parenthèse gauche)
- ] (crochet droit) et ) (parenthèse droite)
- Ne pas avoir des mot de passe trop longs s'ils contiennent tout type de caractères. 7 à 9 caractères de long suffisent (200^7 = 12.800.000.000.000.000 combinaisons)
- Avoir des mot de passe d'au moins 10 à 12 caractères s'ils ne contiennent que des lettres minuscules et majuscules et des chiffres (52^10 = 144.555.105.949.057.024 combinaisons)
- Avoir des mot de passe d'au moins 12 à 14 caractères s'ils ne contiennent que des lettres majuscules et des chiffres (36^12 = 4.738.381.338.321.616.896 combinaisons)
Comment un mot de passe est découvert
Les 10 techniques utilisées pour obtenir des mots de passe
- Force Brute : La force brute (ou brut force en anglais) est une méthode informatique qui consiste à tester toutes les combinaisons les unes à la suites des autres jusqu'à trouver la bonne. Elle emploie deux types d'algorithmes. Le premier se base sur des bibliothèques de mots de passe très usités, la seconde passe toutes les combinaisons en revue.
- Ingénierie sociale : Cette méthode consiste à obtenir un mot de passe par la ruse et généralement en se faisant passer pour un proche ou un membre de l'entreprise. Le plus souvent les usurpateurs se font passer pour un membre du service informatique et prétexte des opérations de maintenance ou de vérification pour obtenir identifiants et mots de passe.
- Interception : les mots de passe envoyés sur un réseau non sécurisé (http plutôt que https) voyage "en clair". Ils peuvent être interceptés à tous les niveaux de leur "voyage" entre l'émetteur et le récepteur.
- Phishing : L'hameçonnage consiste à faire trouver le moyen de faire saisir le mot de passe' d'un usager soit par email soit sur un site qui en copie un autre. Le Phishing est souvent consécutif à des emails très pressant qui semble émaner d'organismes officiels comme une banque, un opérateurs de téléphonie ou une administration.
- Vol : Il existe de nombreuses méthodes de vol de mots de passe. La plus commune consiste à noter ou à photographier les étiquettes ou Postit qui peuvent être collées au niveau d'un moniteur ou d'un clavier. Il arrive même que l'on puisse en trouver dans des reportages (ex reportage FDJ sur France 3 où des mots de passe étaient clairement visibles sur l'ordinateur portable d'un des cadres filmés). Un mot de passe ayant été copié/collé reste dans le presse-papier et peut donc facilement être révélé par un simple collé.
- Observation : Observer une personne entrant son mot de passe est chose simple. Ceci peut être amélioré avec une caméra et, depuis peu, à l'aide d'un capteur infrarouge sur un simple téléphone portable.
- Keylogging : Cette technique peut être logiciel ou matériel. Elle consiste à installer à l'insu d'un utilisateur, un programme ou un dongle (généralement au niveau de la connectique du clavier), qui mémorisera tout ce qui est saisi au clavier. Les dongles clavier sont inopérant contre les mots de passe entrés à l'aide de la souris comme c'est le cas sur de nombreux site bancaire.
- Recherche : Les recherches sur PC ou sur le net sont une source notoire de mots de passe. Sur un ordinateur une simple recherche sur "password", "login", "identifiant", "MDP" ou "mot de passe" peut déjà apporter son lot de découverte. Le navigateur est lui aussi une incroyable source de mot de passe ainsi sur Chrome, tout mot de passe mémorisé est accessible en une commande (about://settings/passwords) et deux clics ! Sur Internet il existe une foule de variantes permettant d'aboutir à la collecte de mots de passe. En automatisant les recherches, la collecte peut s'avèrer rapidement fructueuse.
- Déduction : La méthode déductive consiste à connaître suffisamment d'information sur un usager pour tenter d'en déduire des mots de passe qui pourraient fonctionner. Les informations souvent impliquées dans les mots de passe seules ou assemblées comme : prénom' du conjoint, années de naissance de l'usager ou d'un proche, prénom des enfants, nom d'un animal de compagnie,
etc.
- Duplication : Le même mots de passe utilisé plusieurs fois, comme c'est souvent le cas, peut être récupéré par l'une des méthodes décrites ici, et testé sur d'autres sites avec les mêmes identifiants.
Compte tenu de ces éléments, il convient de mettre en place une politique de gestion des mots de passe et d'en assurer la confidentialité :
- Emploi de mots de passe différents sur chaque site, compte, email, etc.
- Emploi d'un générateur de mots de passe aléatoire faisant intervenir le maximum de caractères autorisés
- Emploi d'un logiciel de stockage des mots de passe lui-même sécurisé par un mot de passe très sûr
- Définition d'une fréquence de changement des mots de passe stratégiques
- Mise en place de précautions pour éviter d'être victime du piratage (antimalware, antivirus, précaution avec certains mails, changement des mots de passe après des connexions à risque, etc.)
Articles Vulgum Techus
Liens utiles
- A BIG password cracking wordlist Une bibliothèque de 1,5 milliard de mots de passe
Articles externes
- we live security - 27/08/13 Long passwords don’t offer “safe option” as cracker app upgrades
- Panoptinet - 05/03/13 En 2013, 90% des mots de passe seront vulnérables
- Tom's Guide - 05/03/13 Et le meilleur code secret à 4 chiffres est...
- Tom's Guide - 10/12/12 L’effrayante machine à cracker les mots de passe
- Art Technica - 21/08/12 Passwords Unders Assault Arstechnica