A la question votre mot de passe est-il sûr, la réponse est … vérifiez-donc !

Je me posais cette question depuis quelque temps ce qui est l’occasion de faire un petit article sur la chose. La recherche de mots de passe ne se déroule pas comme dans les films, en testant sur le site tous les mots de passe possible ; on ne trouve pas non plus les digit un à un ; effet cinématographique mais mathématiquement idiot …
La recherche de mots-de-passe est généralement possible à partir du moment où celui qui veut le cracker va le posséder. Pas évident me direz-vous mais combien t’entre nous utilisent le même password pour la maison, le travail, l’internet… autant d’opportunités pour un pirate éventuel de se le procurer. D’où la première règle : à son environnement son propre mot-de-passe ; ou en posséder plusieurs par classe de sécurité.

Bref obtenir des passwords n’est pas très compliqué, toutefois, ceux-ci sont cryptés selon des méthodes non réversibles, c’est à dire qu’il ne sera pas possible de décrypter le mot de passe lu. Par ailleurs, la version cryptée ne permet pas de présager du nombre de lettres ni du type de lettres. Le décryptage se fait donc par comparaison, il suffit donc d’essayer toutes les combinaisons possibles, de les crypter et de comparer le résultat obtenu avec celui recherché. Si les deux chaines cryptées sont identique le mot-de-passe courant sera le bon. Simple donc !

C’est là que les math entre en jeu. Combien de temps faut-il pour trouver la chaîne initiale ? Tout celà dépend du nombre de combinaisons possibles, lors d’une attaque brutale c’est le nombre de [caractères différents] à la puissance [nombre de caractères de la chaîne]. Le temps est donc fonction de la taille de la chaine et des caractères utilisés. Voici quelques exemples :

Sur un Athlon XP 2400@1.5GHz :
Chaine numérique pure :

• 7 digits : 5 secondes
• 8 digits : 1 minute

Chaine alphabétique en minuscules:

• 6 digits : 6 secondes
• 7 digits : 2 minutes
• 8 digits : 14 minutes

Chaine alpha_num minuscules/majuscules:

• 4 digits : 7 secondes
• 5 digits : 8 minutes
• 6 digits : 84 minutes

Chaine tous caractères:

• 4 digits : 38 secondes
• 5 digits : 1 heure
• 6 digits : 100 heures

Suivant ses résultats, je tire deux conclusion, l’usage de chaines composée d’une maj, d’un symbol spécial suffit pour obliger l’usage d’une recherche tous caractères et c’est dans ce cas que les performances sont vraiment amoindries. Car la logique veut que l’attaquant essayes les combinaisons les plus simples en premier avant le mode tout caractère vu l’ecart significatif dans les temps de traitement.
La seconde conclusion concerne la taille, il est evident qu’une chaîne avec une longueur inférieur à 5 est une pure folie !

Suis-je alors sauvé si mon mot de passe fait plus de 8 digits ?
Et bien non, tout simplement car l’usage veut que l’on utilise des mots de passe simplement mémorisable, souvent nom, prenoms, date de naissance, nom commun… Cet usage est facilement compréhensible, la mémoire humaine ayant ses liminites. Les outils de recherche ont donc pris en compte cet aspect de la nature humaine et utilisent des dictionnaires. C’est une simple liste de mots communs qui servira de référence : plutot que de chercher parmi toutes les chaînes, cherchons parmi celles que notre mémoire nous conduira à favoriser. Le programme sera capable de composer des variantes classiques à partir de cette liste : ajout de majuscules, chiffres, caractères spéciaux. Alors, combien de temps faut-il pour trouver un mot de passe commun ?

Sur un Athlon XP 2400@1.5GHz, avec un dictionnaire de 237000 mots français et des règles de transformation standard, comptez moins de 5 minutes pour tester toutes les possibilités.

Et ce, bien sure, quelque soit la taille de la chaîne choisie. Cette méthode étant la plus efficasse, c’est la principale utilisée.

Donc, que va faire (logiquement) un pirate qui souhaitera connaitre votre mdp ?

• 1. Lancer une attaque par dictionnaire
• 2. Lancer une attaque par date (8 digits)
• 3. Lancer une attaque alpha lower (7 digits)<.LI>
• 4. Lancer une attaque alpha upper (7 digits).
• 5. Lancer une attaque alpha (5 digits)

Un pirate qui ne vous en veut pas particulièrement à vous devrait grosso-modo s’en arrêter là car il trouvera sans doute 30 à 40% de mots de passe en suivant ces règles. Et ce dans un temps d’environ 10 minutes. Pour éviter ce genre d’attaque, les règles pour choisir un bon mot de passe sont donc les suivantes :

• Utiliser au moins 1 digit + 1 symbol spécial + 1 majuscule.
• Utliser une logueur d’au moins 8 caractères
• Banir les mots usuels

Alors comment avec celà tourver un mot qui soit mémorisable facilement … Je vous propose une solution simple : utiliser la phonétique choisissons par exemple le prénom paulcomme base :

• Ne pas le trouver dans le dico : pol
• Augmenter la taille et complexifier : pPoOlL
• Ajouter des carcatères spéciaux : [pPoOlL]

Voila 8 digit plutot simple à mémoriser surtout si le mot de base est familier. Pour augmenter la taille il suffit de choisir un mot plus long. Votre cerveau doit alors mémoriser la méthode et non le mot-de-passe en lui même.

Si maintenant vous devez vous protéger de quelqu’un qui cherche à vous ataquer personnellement, le choix du mot de passe est plus compliqué, mais basé sur le même principe, toutefois, il y a des règles supplémentaires à prendre en compte tout d’abord imaginez : le temps qu’il pourra y consacrer et ses ressources : s’il me faut 100h pour trouver un mot quelconque de 6 caractères, ce calcul peut etre très simplement distribué permettant de transfomer ces 100h en 100 fois 1 heure en utilisant 100 machines… Par rapport à celà, vous devez donc prévoir de modifier votre mot de passe au moins 1 fois dans ce temps de calcul qui dépend donc des ressources du pirate. Si vous ne le changez que tous les mois, il aura un mois pour calculer. A partir de là, 8 digits quelconque est à peine fiable ; 10 ou 12 semblent être une meilleure solution. Reprenons un exemple simple à mémoriser : vacances devient : [vVaAcCaAnNcCeEsS] avec 18 caractères ; plutot simple à retenir non ?!?

Face à celà, vous n’etes cependant pas à l’abrit, la dernière methode employable et l’analyse sociale : si vous utilisez la méthode ci-dessus, votre mot-de-passe ne vaudra rien : étant publié, il peut être employé comme motif dans une attaque par dictionnaire. Plus généralement, si vous passez ou avez reçu des consignes dans votre entreprise pour la création de mot-de-passe, il suffira au pirate de se renseigner sur ces consignes, les exemples donnés pour appuyer sa recherche. Bref, la methode de construction étant la clef, elle doit vous être propre. L’avantage ensuite et que vous pouvez changer le mot chaque mois sans changer la methode… par éxemple : janvier2006 devient *janvieR!2006, simple et correct ; adaptable chaque mois.

Les erreurs à ne pas commettre :

• Les mots-de-passe aléatoires qui finissent sur un post-it sous le clavier
• Le donner à qui que ce soit : la méthode (clef du mot-de-passe) devient publique
• Ne pas diffuser un mot de passe critique sur un autre média que celui pour lequel il est prévu : ne pas utiliser le mdp du travail pour s’inscrire sur un site Internet : c’est rendre public le mot de passe ET la methode

Bref, il faut des methodes différentes selon les contextes. Ensuite, il existe des tas d’autre façon de générer/utiliser de très long mots de passe : biometrie ou classeur de mdp sur carte à puce …

Pour finir, vous pouvez tester vous même la fiabilité du mot-de-passe choisi avec des outils comme John-The-Ripper (JTR) avec ou sans KMD5, unhash … facilement téléchargeables sur internet, dictionnaires y compris.

Recemment, en me baladant sur un système utilisé par de nombreux utilisateurs, j’ai pu me rendre compte que certains softs créent leur répertoires avec par défaut des droits plutot dangereux … autorisant n’importe qui a en lire leur contenu. Ceci est d’autant plus idiot que nul n’a besoin de consulter ce répertoire purement applicatif !

Dans le présent cas, je me suis surtout penché sur mozilla, qui peut contenir des informations personnelles très pertinentes retraçant tous vos faits et gestes sur Internet ! Toutes les versions ne semblent pas se comporter de la même manière quant aux droits donnés au réprtoire .mozilla mais sur certaines, les droits RX sont bien donnés à tous. Dans ce cas, et pour peut que l’on puisse au moins traverser le répertoire home de l’utilisateur, il est simple de consulter son historique et la liste de ses cookies, informations qui peuvent être trés parlantes…

Il est donc à mon avis important de bien veilleer aux droits par défaut de certaines applications !!

Je vous livre un petit script d’analyse permettant de mettre en evidence ce problème éventuel : #!/bin/sh
liste=`ls -l /home/ | tr -s ” ” | cut -b 10- | grep ^x | cut -d ” ” -f 8 |column`
for user in $liste
do
file=”/home/$user/.mozilla/default”
if [ -d $file ] && [ -r $file ]; then
histo=`find $file -name “history.dat” 2> /dev/null`
cookie=`find $file -name “cookies.txt” 2> /dev/null`
echo $user :
if [ $histo != “” ] && [ -n $histo ] ; then
cat $histo | grep “=http://” | sed -e “s/=http://([^)]*)).*/1/”
fi
if [ $cookie != “” ] && [ -f $cookie ] ; then
cat $cookie | cut -f 1 | grep -v “^#”
fi
fi
done

Qu’est-ce qu’un auto-virus (hormis un terme personnel qui vient de sortir de mon clavie) ?
C’est un virus qui par opposition aux virus classiques s’installe tout seul sur l’ordinateur sans réelle erreur de la part de l’utilisateur.
Par opposition aux virus commun que l’on déclenche en lançant pour une raison ou une autre un executable infecté.

Le dernier en date a fait du bruit, il profitait d’un trou de sécurité dans un des service réseau de Windows pour s’installer et se propager. L’utilisateur connecté à Internet était infecté sans toucher à son ordinateur.

Le nouveau trou de sécurité découvert dans les images jpeg pourrait être aussi dangereux vu le nombre d’images échangées par Mail et l’inoffencivité habituelle de ce type de fichier. D’autre part, un pirate malin pourrait falsifier des images sur des sites internet et ainsi très discrètement propager son virus … Les idées ne manqueront pas !

En cinq mots : METTEZ A JOUR VOS SYSTEMES !

Installer et utilise GnuPG pour le cryptage et décryptage d’emails.

Continue reading →