Le problème avec les mots de passe | Hackaday

Par
François Zipponi
-

À présent, il est probable que la plupart des lecteurs aient entendu parler de « l’incident de sécurité » de LastPass, dans lequel les coffres-forts de mots de passe des utilisateurs ont été supprimés de leurs serveurs. On nous dit que les coffres sont cryptés de sorte qu’ils sont peu utiles à quiconque sans puissance de calcul futuriste et beaucoup de temps, mais le mal est quand même fait et je suis pour ma part heureux de ne pas être abonné à leur un service. Mais peut-être que la débâcle sert un très bon objectif pour nous tous, en ce sens qu’elle offre une occasion bien nécessaire de jeter un coup d’œil sur la façon dont nous utilisons les mots de passe.

Qu’est-ce qu’un car-ferry a en commun avec un mot de passe ?

Le MS Stena Britannica
Si je ferme les yeux, j’imagine presque que je suis en croisière ! Ligne Stena, CC BY 3.0

L’un de mes moyens préférés pour quitter le Royaume-Uni est le ferry de Harwich à Hoek van Holland. Il y a une différence étrange entre ses deux jambes cependant, l’extrémité britannique a une sécurité de type aéroport avec des détecteurs de métaux et des rayons X, tandis qu’au Hoek, je traverse simplement le contrôle des passeports jusqu’au ferry.

C’est une démonstration particulièrement flagrante du théâtre de sécurité, la pratique consistant à exagérer les mesures de sécurité largement inutiles pour donner l’impression de faire quelque chose. Dans le cas d’un car-ferry, il est particulièrement inutile d’utiliser des mesures sur les passagers à pied destinées à protéger les avions, alors que tous les automobilistes roulent simplement sur le ferry sans encombre. Un ferry peut sembler peu pertinent pour la sécurité des mots de passe, mais l’idée de théâtre de sécurité qu’il introduit est certainement pertinente dans le domaine des mots de passe. Combien de fois avez-vous rencontré un site Web qui impose des règles obscures à votre choix, exigeant une longueur spécifiée, qu’il doit contenir des chiffres, ou pire encore, des caractères spéciaux ? Est-ce que cela aide beaucoup ? Je ne suis pas convaincu, et j’aimerais faire un petit voyage à travers la question pour le savoir.

Les cerveaux humains faibles et faibles ne font pas le poids face à un ordinateur !

Le mot de passe idéal est une longue chaîne générée aléatoirement conçue pour confondre les logiciels de piratage par force brute. Ces techniques reposent sur l’essai séquentiel de toutes les combinaisons possibles de caractères, et la chaîne la plus longue avec le plus d’entropie est censée être celle qui prend le plus de temps à atteindre. Si vous prenez les 95 caractères ASCII imprimables comme alphabet, un attaquant doit essayer 95 à la puissance de la longueur de la chaîne différentes chaînes pour tout attraper, quelque chose qui risque de prendre un certain temps. Pour un mot de passe à 10 caractères, ce chiffre est de 5,987369392 × 10¹⁹, vous utilisez des mots de passe aussi longs, n’est-ce pas ?

Malheureusement, très peu d’humains utilisent des chaînes aléatoires comme mots de passe. Ils ne sont pas du tout mémorables, et donc si vos mots de passe sont comme ça, vous utilisez probablement une sorte de gestionnaire de mots de passe pour eux. Les vrais humains ont une fâcheuse propension à se comporter de manière prévisible plutôt qu’au hasard, ils utiliseront donc des mots et des phrases qu’ils connaissent et dont ils se souviennent. Et lorsqu’on leur demande d’ajouter des lettres, des chiffres et des caractères spéciaux, ils restent tout aussi incapables de le faire de manière aléatoire qu’ils l’étaient avec des chaînes. Une chaîne simple telle que jennylist devient JennyListe avec des majuscules ajoutées, puis JennyList ! avec un caractère spécial, et enfin JennyList!1234 quand il a été rembourré pour s’adapter. Le développeur essayant de le déchiffrer peut essayer des raccourcis tels que des prénoms, des noms de chiens, des équipes de football et des années de naissance avec des substitutions de lettres et des séquences numériques courantes, ce qui rend ces mots de passe mémorables sûrs en apparence mais avec une entropie considérablement réduite. Mais tout va bien, car ils réussissent le test d’avoir un caractère spécial, des chiffres et des lettres majuscules.

Agrafe de batterie de cheval incorrecte

La suggestion de XKCD d'utiliser quatre mots choisis au hasard comme mot de passe
La fameuse « bonne agrafe de batterie de cheval » de XKCD. (CC BY-NC 2.5)

Nous avons donc établi que le théâtre de sécurité par mot de passe est une chose, alors quelles sont les alternatives ? XKCD a eu un coup de poignard avec « bonne agrafe de batterie de cheval », dans laquelle ils ont avancé l’idée de choisir quatre mots mémorables pour créer un mot de passe beaucoup plus long avec une plus grande entropie en raison de sa taille. C’est un excellent moyen de créer un mot de passe mémorable, mais cela mérite d’être examiné de plus près. L’attaquant n’a qu’à deviner quatre choses pour le casser, mais c’est toujours OK. En supposant que le propriétaire du mot de passe est un anglophone et en prenant une estimation du dos de l’enveloppe d’environ 250 000 mots anglais, y compris les mots obsolètes, nous calculons qu’il y a 3,90625 × 10²¹ possibilités, ce qui est mieux que notre chaîne ASCII aléatoire de 10 caractères.

Le problème est que le vocabulaire d’un anglophone natif moyen est considérablement inférieur au chiffre de 250 000. Vous pouvez vérifier le vôtre ici, mais la moyenne est d’environ 20 000. Lorsque je travaillais pour un éditeur de dictionnaires bien connu, nous avons fait le test et avons constaté que la plupart d’entre nous étions dans le stade approximatif de 30 000, avec un collègue spécialiste lexicographe dont le travail consistait à trouver de nouveaux mots atteignant un nombre incroyable de 65 000. Mais si la plupart des utilisateurs disposent de 20 000 mots anglais parmi lesquels choisir leur mot de passe, le nombre d’essais tombe à 1,6 × 10¹⁷, plus gérable. Étant donné qu’il est plus probable qu’ils choisissent des mots avec une fréquence plus élevée dans la langue, ce chiffre diminue encore plus, et comme ils auront tendance à former une phrase plutôt qu’une séquence aléatoire, l’attaquant peut affiner encore plus ses choix. Êtes-vous toujours satisfait de votre attache de source d’alimentation équine précise maintenant ?

Jusqu’où devez-vous aller ?

Ainsi, plus nous examinons la sécurité des mots de passe, plus il devient évident que tout l’édifice est construit sur des fondations de sable. Mais devrait-il être notre seule défense ? Bien sûr que non, et nous sommes sûrs que la plupart des lecteurs utiliseront déjà l’authentification à deux facteurs, dans laquelle quelque chose que vous avez ainsi que quelque chose que vous connaissez devient un facteur. Pour beaucoup, il s’agit d’un téléphone portable plutôt que d’une clé de sécurité, mais même dans ce cas, il existe la possibilité qu’un malfaiteur détourne votre numéro. N’y a-t-il aucun endroit sûr ? Il est peut-être temps de rappeler la paranoïa.

Les méchants ne déchiffreront pas votre mot de passe, ils vous frapperont simplement avec une clé à molette.
XKCD pour la deuxième fois, sur l’ongle. (CC BY-NC 2.5)

Il existe probablement plusieurs niveaux de service pour lesquels vous avez besoin d’un mot de passe. Ceux qui n’ont pas d’importance, ceux qui seraient un PITA doux s’ils étaient fissurés, ceux qui seraient un PITA majeur et ceux qui seraient game over. Et à son tour, il existe plusieurs classes d’attaquants que vous pouvez probablement classer par niveau de ressources et par volonté de s’investir.

Si une agence gouvernementale veut votre mot de passe, elle a déjà tout parcouru dans votre vie et l’a trouvé, ou plus probablement, elle vous traînera en prison et vous frappera avec une clé à molette jusqu’à ce que vous lui disiez. De même vos voyous locaux, sauf qu’ils ne prendront pas la peine de vous traîner en prison avant de sortir la clé. Les escrocs dans un pays lointain vous feront le leur donner par le biais d’une escroquerie par hameçonnage ou d’un logiciel malveillant si vous êtes assez imprudent pour tomber amoureux d’eux. Ce qui laisse les « hackers » portant des sweats à capuche et bien-aimés des médias populaires, qui utiliseront les techniques décrites ci-dessus sur les hachages de mot de passe dans les bases de données divulguées.

Il est clair que la sécurité des mots de passe est quelque chose que nous devons tous avoir à l’esprit, et que l’utilisation de l’authentification à deux facteurs avec des mots de passe uniques et entropiques régulièrement changés est probablement aussi bonne que possible sans tomber dans la paranoïa. Mais il reste le problème de la mémorisation des mots de passe pour des centaines de sites différents, à moins que vous ne réinitialisiez simplement le mot de passe oublié avec une autre chaîne arbitraire chaque fois que vous devez utiliser l’un des moins importants. L’incident LastPass a-t-il mis un terme à l’utilisation de tels services, ou est-ce simplement plus de paranoïa ? Il est peut-être temps de revenir à la méthode la plus sûre de toutes et de l’écrire sur le post-it sous votre clavier.

François Zipponi
François Zipponi
https://10-raisons.fr/author/10raisons/
Je suis François Zipponi, éditorialiste pour le site 10-raisons.fr. J'ai commencé ma carrière de journaliste en 2004, et j'ai travaillé pour plusieurs médias français, dont le Monde et Libération. En 2016, j'ai rejoint 10-raisons.fr, un site innovant proposant des articles sous la forme « 10 raisons de... ». En tant qu'éditorialiste, je me suis engagé à fournir un contenu original et pertinent, abordant des sujets variés tels que la politique, l'économie, les sciences, l'histoire, etc. Je m'efforce de toujours traiter les sujets de façon objective et impartiale. Mes articles sont régulièrement partagés sur les réseaux sociaux et j'interviens dans des conférences et des tables rondes autour des thèmes abordés sur 10-raisons.fr.
ARTICLES SIMILAIRESPLUS DE L'AUTEUR