La guerre des mots de passe - Flash informatique

Analyse
La guerre des mots de passe
Pierre.Mellier@epfl.ch, EPFL - Domaine IT, responsable du KIS
Safety is a concern of all, you must manage your
passwords the same way you manage your keys!
La sécurité est l‘affaire de tous, on ne laisse pas traîner son trousseau de clés, il en va de même des mots
de passe!
L’été dernier, certains services Web très populaires ont reconnu
avoir eu de graves problèmes de sécurité:
z LinkedIn reconnaissait que plus de 6.5 millions de mots de
passe lui ont été volés par des pirates russes.
z Le site de rencontre e-Harmony reconnaissait que 1.5 million
de mots de passe lui avaient été volés.
z Le site de recommandation musicale Last.fm reconnaissait
que plus de 2.5 millions de mots de passe lui avaient été volés
z Yahoo! reconnaissait le vol de 400'000 mots de passe.
z Dropbox reconnaissait qu'un petit nombre de mots de passe
lui avait été volé depuis un compte email d'un de ses employés.
zetc.
Tous ces mots de passe n'étaient pas directement exploitables
par les pirates, car ils avaient été préalablement chiffrés avant
d'être stockés. Malheureusement, des techniques associées à la
puissance des ordinateurs d'aujourd'hui permettent de percer et
deviner un grand nombre d'entre eux très rapidement.
Par exemple, Ars Technica (arstechnica.com/security/2012/06/8million-leaked-passwords-connected-to-linkedin/) raconte qu'il
ne fallut que 2.5 heures pour que les pirates récupèrent en clair
1.2 million des mots de passe du service e-Harmony et qu'après
3 jours, seuls 98'000 mots de passe résistaient encore aux assauts
des pirates! Ce résultat spectaculaire a été obtenu grâce à l'exploitation de deux grosses faiblesses:
z l'algorithme de chiffrement de e-Harmony était MD5 et depuis 2003, on sait que cette méthode n'est plus très sure et
qu'elle ne devrait plus être utilisée pour chiffrer des mots de
Impressum
Revue consacrée aux technologies de
l’information, éditée par le Domaine IT de
l’EPFL (DIT). Les articles n’engagent que
leurs auteurs, sauf ceux qui concernent de
façon évidente des prestations officielles
(sous la responsabilité du DIT ou d’autres
entités). Toute reproduction, même partielle, n’est autorisée qu’avec l’accord de la
rédaction et des auteurs.
2 flash informatique
passe. De nos jours, une carte graphique performante d'un
ordinateur de bureau permet de tester jusqu'à 2 milliards de
mots de passe par seconde;
z les internautes utilisent beaucoup de prestations Web qui sont
toutes protégées par des mots de passe, ils utilisent alors souvent le même mot de passe qui n'est souvent pas trop difficile
à deviner. Un mot de passe, une fois volé, est alors partagé
entre pirates à l'aide d'énormes dictionnaires.
Une fois le mot de passe et le username volés, le pirate pourra essayer de les employer pour accéder à des prestations comme twitter ou Facebook, ou un compte email comme Yahoo ou Google.
Et une fois dans la place, il changera le mot de passe, et se fera
passer pour l'internaute!
Pour lutter contre ces attaques pirates, il faut rappeler les précautions importantes à prendre:
Pour l'internaute
z utiliser des mots de passe différents pour chaque prestation
Web: ainsi, si le mot de passe est volé, il ne peut pas être utilisé
ailleurs;
z utiliser des mots de passe difficiles à deviner, avec au moins 8
caractères composés de lettres, de chiffres, de signes de ponctuation, etc. pour rendre la tâche des pirates difficile;
Pour les informaticiens
z utiliser des techniques de chiffrement de mots de passe plus
complexes que MD5 ou SHA-1, par exemple en ajoutant du
salage cryptographique;
z utiliser des techniques d'authentification forte pour protéger
une prestation informatique, même en cas de vol du mot de
passe.
Nous vous présenterons dans un prochain article, la stratégie
d'authentification forte que l'EPFL va déployer courant 2013 sur
Tequila pour renforcer la sécurité d'accès de certaines prestations
contenant des informations sensibles. n
Rédacteur en chef:
Jacqueline Dousson, fi@epfl.ch
Mise en page & graphisme:
Appoline Raposo de Barbosa
Comité de rédaction:
Jean-Daniel Bonjour, Sébastien Ferrara,
Patrice Fumasoli, Jaouher Garreb, Florence
Hagen, Laurent Kling, Julia Paolini,
François Roulet, Christophe Salzmann &
Predrag Viceić
Impression: Atelier de Reprographie EPFL
Tirage: 4000 exemplaires
Adresse Web: flashinformatique.epfl.ch
Adresse: Domaine IT EPFL
Station 8, CH-1015 Lausanne
Téléphone: +41 21 69 32246 & 32247
Abonnement au FI par e-mail à:
fi[email protected]fl.ch