La guerre des mots de passe - Flash informatique
Transcription
La guerre des mots de passe - Flash informatique
Analyse La guerre des mots de passe Pierre.Mellier@epfl.ch, EPFL - Domaine IT, responsable du KIS Safety is a concern of all, you must manage your passwords the same way you manage your keys! La sécurité est l‘affaire de tous, on ne laisse pas traîner son trousseau de clés, il en va de même des mots de passe! L’été dernier, certains services Web très populaires ont reconnu avoir eu de graves problèmes de sécurité: z LinkedIn reconnaissait que plus de 6.5 millions de mots de passe lui ont été volés par des pirates russes. z Le site de rencontre e-Harmony reconnaissait que 1.5 million de mots de passe lui avaient été volés. z Le site de recommandation musicale Last.fm reconnaissait que plus de 2.5 millions de mots de passe lui avaient été volés z Yahoo! reconnaissait le vol de 400'000 mots de passe. z Dropbox reconnaissait qu'un petit nombre de mots de passe lui avait été volé depuis un compte email d'un de ses employés. zetc. Tous ces mots de passe n'étaient pas directement exploitables par les pirates, car ils avaient été préalablement chiffrés avant d'être stockés. Malheureusement, des techniques associées à la puissance des ordinateurs d'aujourd'hui permettent de percer et deviner un grand nombre d'entre eux très rapidement. Par exemple, Ars Technica (arstechnica.com/security/2012/06/8million-leaked-passwords-connected-to-linkedin/) raconte qu'il ne fallut que 2.5 heures pour que les pirates récupèrent en clair 1.2 million des mots de passe du service e-Harmony et qu'après 3 jours, seuls 98'000 mots de passe résistaient encore aux assauts des pirates! Ce résultat spectaculaire a été obtenu grâce à l'exploitation de deux grosses faiblesses: z l'algorithme de chiffrement de e-Harmony était MD5 et depuis 2003, on sait que cette méthode n'est plus très sure et qu'elle ne devrait plus être utilisée pour chiffrer des mots de Impressum Revue consacrée aux technologies de l’information, éditée par le Domaine IT de l’EPFL (DIT). Les articles n’engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d’autres entités). Toute reproduction, même partielle, n’est autorisée qu’avec l’accord de la rédaction et des auteurs. 2 flash informatique passe. De nos jours, une carte graphique performante d'un ordinateur de bureau permet de tester jusqu'à 2 milliards de mots de passe par seconde; z les internautes utilisent beaucoup de prestations Web qui sont toutes protégées par des mots de passe, ils utilisent alors souvent le même mot de passe qui n'est souvent pas trop difficile à deviner. Un mot de passe, une fois volé, est alors partagé entre pirates à l'aide d'énormes dictionnaires. Une fois le mot de passe et le username volés, le pirate pourra essayer de les employer pour accéder à des prestations comme twitter ou Facebook, ou un compte email comme Yahoo ou Google. Et une fois dans la place, il changera le mot de passe, et se fera passer pour l'internaute! Pour lutter contre ces attaques pirates, il faut rappeler les précautions importantes à prendre: Pour l'internaute z utiliser des mots de passe différents pour chaque prestation Web: ainsi, si le mot de passe est volé, il ne peut pas être utilisé ailleurs; z utiliser des mots de passe difficiles à deviner, avec au moins 8 caractères composés de lettres, de chiffres, de signes de ponctuation, etc. pour rendre la tâche des pirates difficile; Pour les informaticiens z utiliser des techniques de chiffrement de mots de passe plus complexes que MD5 ou SHA-1, par exemple en ajoutant du salage cryptographique; z utiliser des techniques d'authentification forte pour protéger une prestation informatique, même en cas de vol du mot de passe. Nous vous présenterons dans un prochain article, la stratégie d'authentification forte que l'EPFL va déployer courant 2013 sur Tequila pour renforcer la sécurité d'accès de certaines prestations contenant des informations sensibles. n Rédacteur en chef: Jacqueline Dousson, fi@epfl.ch Mise en page & graphisme: Appoline Raposo de Barbosa Comité de rédaction: Jean-Daniel Bonjour, Sébastien Ferrara, Patrice Fumasoli, Jaouher Garreb, Florence Hagen, Laurent Kling, Julia Paolini, François Roulet, Christophe Salzmann & Predrag Viceić Impression: Atelier de Reprographie EPFL Tirage: 4000 exemplaires Adresse Web: flashinformatique.epfl.ch Adresse: Domaine IT EPFL Station 8, CH-1015 Lausanne Téléphone: +41 21 69 32246 & 32247 Abonnement au FI par e-mail à: fi[email protected]fl.ch