Crack the code - stocker les mots de passe

E-Nerd Blog Crack the code - stocker les mots de passe

On nous bassine tous les jours avec la sécurité des mots de passe.
Mais reste encore aux administrateurs et aux utilisateurs de les stocker correctement...

J'espère que vous savez maintenant qu'un bon mot de passe :

  • Contient au moins 8 caractères
  • Comporte des chiffres, des lettres et des caractères spéciaux
  • Est un mot introuvable dans un dictionnaire
  • Ne doit pas être utilisé plusieurs fois

Les points ci-dessus sont les bases d'un mot de passe plus ou moins sûr.
Mais deux personnes sont amenées à "utiliser ce mot de passe". Pour chaque type, je vais vous détailler quelques conseils simples pour éviter de vous faire pirater.

Les utilisateurs

Les utilisateurs, c'est-à-dire la plupart des gens, doivent se souvenir des différents mots de passe. A part les retenir tous dans votre tête, il n'y a pas de réelles méthodes efficaces pour garder vos chaînes de caractères de façon sécurisée (et encore, votre mémoire peut devenir une vraie passoire...). 

Cependant, il y a des techniques qu'il faut absolument éviter !

"Je note tout sur un Post-It"

Certes, si vous vivez dans une grotte ou que personne ne rentre dans votre bureau, cette tactique s'avère efficace. Mais inversément, les allées et venues devant votre poste de travail augmentent les chances que votre compte utilisateur soit hacké.
TV5 Monde piraté reportage E-NerdPour la petite histoire, il y a quelque temps,TV5 Monde s'est fait piraté. Certains logins et mots de passe avaient été trouvés. Comment? 
Un reportage avait été réalisé dans les locaux de la chaîne pour France 2. Durant l'interview d'un des journalistes, on peut apercevoir en arrière plan des feuilles contentant des logins et des mots de passe. Le tour est joué, les personnes mal intentionnées ont le travail prémâché.
Même si le cas est assez extrême, il illustre bien la raison pour laquelle il ne faut pas écrire ses données sur des supports facilement visibles.

"Les Post-It, c'est nul, j'utilise des fichiers Word ou .txt"

Même si le contenu est moins visible (surtout s'il est situé dans un sous-dossier de sous-dossier de sous-dossier). Il reste relativement localisable. La démarche pour le trouver est parfois plus fastidieuse mais reste assez accessible pour Monsieur et Madame Tout-le-monde (et ne parlons même pas des pirates expérimentés). De plus, un fichier texte (et tout autre fichier informatique d'ailleurs) peut être récupéré à distance par le biais de logiciels ou de virus.
Enfin, les personnes utilisant cette technique regroupent généralement tous leurs mots de passe dans le même fichier, ce qui rend la tâche encore plus élémentaire.

"J'utilise des logiciels 'Trousseau' contenant mes mots de passe"

Ces logiciels peuvent être une solution mais qui doivent être utilisés avec précaution. En effet, certains Operating Systems comme OSX (Mac) offre ce genre de spécificités. On sait tous que les systèmes d'exploitation et logiciels présentent au fur et à mesure de nouvelles failles. Il est donc plus que probable que ce genre de solution devienne obsolète. De plus, une personne ayant accès à votre ordinateur peut facilement utiliser les chaînes de caractères stockées dans le software pour se connecter à vos différents compte (et pourquoi pas les modifier à sa guise pour vous bloquer l'accès).

 

Les administrateurs

Plusieurs solutions s'offrent à vous avec un degré de sécurité différent.

Stocker en clair

Idée naïve apparaissant en premier lieu si l'on ne pense pas que des attaques de base de données sont fréquentes.
Cela signifie que n'importe qui ayant accès à la base de données peut afficher en clair les mots de passe, ce qui entraîne qu'il pourra se connecter à d'autres sites en utilisant la chaîne de caractères trouvée (un mot de passe est souvent utilisé pour plusieurs services web).

Ce genre de technique est malheureusement encore beaucoup utilisé. Un certain nombre de sites vous propose encore de vous renvoyer votre mot de passe au cas où vous ne vous en souviendriez plus. Cela implique que le mot de passe n'a pas été chiffré dans la base de données, une grosse faille de sécurité potentielle donc.

Il y a peu, Skyrock a subi une attaque où les pirates auraient mis la main sur les mots de passe du site (plusieurs millions de comptes) qui seraient stockés en clair.

A éviter absolument, peu importe la situation!

Utiliser des fonction de hashage

Au lieu de stocker en clair, il est préférable d'utiliser des fonctions de hashage.

Des fonction de quoi ??

Le hashing repose sur un algorithme (différent en fonction du type de hashing) qui va transformer votre mot de passe en une chaîne de caractères "illisible" suivant une suite d'instructions mathématiques. Ces fonctions ne permettent pas le chemin inverse, c'est-à-dire transformer la chaîne de caractère en "texte clair".
(NB : le hash ne doit pas être confondu avec le chiffrement. En effet, ce dernier permet le chemin inverse, de l'illisible au lisble).

Pour comprendre, voici un exemple :
Mot de passe en clair : "Salut"
Hash du mot de passe (MD5) : af4fef1bc0861ca2824db7315f844327

Malgré la caractéritique du Hash d'être à sens unique, certaines fontions ont été crackée. Il existe ce qu'on appelle des Rainbow Tables, de géantes bases de données contenant les chaînes de hash les plus communes et permettant en quelques secondes de retrouver le mot de passe en clair correspondant ("1234", "mot de passe", ...)

On retrouve différentes fonctions de hashage comme :

  • Le MD5 (cracké)
    Je vous donne un lien destiné aux plus courageux afin de comprendre l'algorithme qui se cache derrière
  • Le SHA1
    Encore utilisable, le SHA1 est cependant à éviter, on s'attend à ce qu'il soit cracké.
  • Le SHA256
  • Whirpool
  • RIPEMD-160
  • ...

Un autre facteur qui peut mener à la découverte de l'algorithme est l'utilisation d'un même mot de passe par plusieurs utilisateurs. Si un même hash est présent deux fois, cela signifie que la chaîne de caractères en clair est assez "évidente" pour que deux utilisateurs l'utilisent.

A retenir

  • Il n'existe aucun méthode parfaite pour garder vos mot de passe secret (c'est malheureux mais c'est comme ca...)
  • Ne partez pas du principe que vous ou votre site n'intéresserait pas les hackers, on ne le repète jamais assez : PROTEGEZ-VOUS!
  • Donner le moins de responsabilités possibles à vos utilisateurs concernant la sécurité (n'hésitez pas à générer vous-même des mots de passe, par exemple)
  • Utiliser plusieurs couches de la même fonction de hash n'est pas une solution. Il est prouvé par des formules mathématiques que ce genre de technique est encore moins sécurisée (et on ne contrdit jamais les mathématiques).
  • La protection des mots de passe n'est pas la seule faiblesse exploitable. Il reste une panoplie de failles qui peuvent être utilisées pour pirater votre site. Pensez donc à tester tous les scénarios catastrophes potentiels pour tenter de boucher les brèches de votre système.

Antoine al Assouad

Top