{{ Password_strength.png?200}} \\ \\ \\ \\ \\ \\ \\ \\ \\ ====== Comment les mots de passe sont-ils compromis ? ====== Les mots de passe sont souvent compromis hors ligne en cassant leur hachage. Pratiquement tous les mois, un énorme site Web avec des millions d'utilisateurs se fait piraté et ça base de données rendue publique ou vendue au plus offrant. La plus grande base de données à ce jour de mot de passe est [[http://www.computerworld.com/article/2522045/security0/rockyou-hack-exposes-names--passwords-of-30m-accounts.html|RockYou]]. Les crackers utiliseront leurs outils qui généreront des milliers d'essais par seconde contre les mots de passe hachés pour les démasquer. À partir de ça, ils vont apprendre plusieurs choses: * Quels sont les mots de passe les plus courants. * Quelles stratégies les gens utilisent pour essayer de durcir leurs mots de passe (en ajoutant par exemple des chiffres à la fin). * Combien de mots de passe uniques sont utilisés. Une fois que les mots de passe de la base de données sont démasqués, les crackers ont désormais une vision plus précise dans la façon dont les utilisateurs choisissent leurs mots de passe, et donc, adapté une meilleure stratégie pour compromettre encore plus de mots de passe. Une technique courante pour démasquer les mots de passe consiste à effectuer une attaque par dictionnaire, qui tentera chaque entrée d'une liste de mots personnalisée ( «dictionnaire»). Cela pourrait être le Dictionnaire anglais d'Oxford, une liste de mot les plus recherché dans Google, une liste de mot de passe précédemment démasqué dans une autre base de donnée, ou n'importe quoi d'autre... les dictionnaires sont bien, car souvent constituer de: * phrases secrètes. * Les mêmes mots, mais avec des numéros à la fin. * Des mots avec des symboles avant/après/ou entre. * Des mots en l337 sp34k. * Des mots auxquels vous n'auriez pas pensé. ====== Choisir un bon mot de passe ====== Il existe deux types de mots de passe: * les mots de passe réguliers, que vous conservez dans un gestionnaire de mot de passe. * les phrases secrètes, qui sont des chaînes plus longues à utiliser dans les endroits les plus importants, par exemple pour protéger la base de données de votre gestionnaire de mot de passe ou pour déverrouiller votre disque chiffré. Les meilleures phrases secrètes sont générées avec [[http://world.std.com/~reinhold/diceware.html|Diceware]] qui consiste à rouler un dé pour sélectionner des mots aléatoires qui construiront une longue phrase secrète. Cela produit des phrases secrètes que [[https://firstlook.org/theintercept/2015/03/26/passphrases-can-memorize-attackers-cant-guess/|vous pouvez mémoriser, et que les attaquants ne peuvent pas deviner]] (facilement). Le reste de vos mots de passe, dont la plupart seront pour des sites web, doivent être générés et stockés dans un gestionnaire de mot de passe. 1> Notez que pour que ce soit le cas, le gestionnaire doit vraiment être hors ligne (contrairement, par exemple a [[https://lastpass.com/|LastPass]] qui est en ligne). ===== Gestionnaires de mot de passe ===== Certains gestionnaires stockent vos mots de passe dans le cloud, ce qui en fait une cible colossale pour les hackers, laisser reposer votre confiance dans les compétences de l'administrateur de ses services n'est pas une bonne idée. Quelques exemples de site non recommandé incluent LastPass et 1Password. Dans la catégorie des bon gestionnaires de mots de passe, on peut citer KeePass2. Le logiciel crée une archive chiffrée avec AES 256 CBC, dans laquelle il stocke les mots de passe. La clé de chiffrement est dérivée d'un mot de passe maître et éventuellement d'un fichier clé. KeePass2 dispose d'un générateur de mot de passe fort, qui est entièrement configurable. Il est également à noter que la version 2.10 portable de KeePass a été [[https://www.ssi.gouv.fr/entreprise/certification_cspn/keepass-version-2-10-portable/|certifiée CSPN en 2011]]. ====== Mauvaises stratégies de mot de passe ====== Ne faites pas ça: * Moins de 10 caractères * Minuscule uniquement * Mots du dictionnaire * Noms, équipes de sports, nom de votre animal de compagnie, référence de films. Ou ça: * Réutiliser le même mot de passe dans deux (ou plusieurs) endroits différents. * Réutiliser le même mot de passe avec de légères modifications pour chaque endroit où il est utilisé. * Partager un mot de passe avec quelqu’un. * Utilisé un mot de passe/phrase chiffré: Cela peut vous faire un mot de passe d'une longueur correct, mais tant qu'a utilisé un outil, pourquoi ne pas utiliser un outil spécifique pour faire de bons mots de passe? Si vous êtes sceptique sur l'habileté des passcrackers, [[https://www.youtube.com/watch?v=DTbCjpsdhfM|unhash]] est un discours fait fin 2014 expliquant l'état actuel du cassage des mots de passe.\\ Interview d'[[http://www.comptoirsecu.fr/2016/05/episode-36-les-mots-de-passe/|Hydraze]], passcracker depuis 4 ans. ===== Échecs notables en sécurité ===== « Les cordonniers sont toujours les plus mal chaussés » * [[https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/|Lastpass: des pirates ont volé des données de coffre-fort client lors d'une bréche dans un cloud de stockage]] ([[https://web.archive.org/web/20221222194105/https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/|Archive copy]])\\ * [[https://twitter.com/taviso/status/843965519371812864|Nouveau bug LastPass qui affecte les plugins Chrome & Firefox]] ([[http://web.archive.org/web/20170321082619/https://twitter.com/taviso/status/843965519371812864|Archive copy]])\\ * [[https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/|LastPass, une faille zero day menace tous les comptes de ce gestionnaire de mots de passe]] ([[http://web.archive.org/web/20160727143007/https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/|Archive copy]])\\ * [[http://fossbytes.com/mark-zuckerberg-twitter-pinterest-hacked/|Mark Zuckerberg "hacké" pour cause de mot de passe trop faible]] ([[http://web.archive.org/web/20160606071440/http://fossbytes.com/mark-zuckerberg-twitter-pinterest-hacked/|Archive copy]])\\ * [[http://www.theregister.co.uk/2016/05/31/north_korea_clones_facebook_forgot_to_change_default_creds/|Le Facebook nord-coréen "hacké" grâce au mot de passe par défaut]] ([[http://web.archive.org/web/20160606072419/http://www.theregister.co.uk/2016/05/31/north_korea_clones_facebook_forgot_to_change_default_creds/|Archive copy]])\\ * [[http://tempsreel.nouvelobs.com/tech/20150410.OBS6850/tv5-monde-laisse-trainer-ses-mots-de-passe-devant-les-cameras.html|TV5 Monde laisse traîner ses mots de passe devant les caméras]] ([[http://web.archive.org/web/20160606074413/http://tempsreel.nouvelobs.com/tech/20150410.OBS6850/tv5-monde-laisse-trainer-ses-mots-de-passe-devant-les-cameras.html|Archive copy]])\\ ====== Outils de récupération de mot de passe ====== * [[http://hashcat.net/oclhashcat/|oclHashcat]] Casseur de mot de passe multi-plateforme via accélération GPU (OpenCL ou CUDA) * [[http://www.openwall.com/john/|John the Ripper (JtR)]] Casseur de mot de passe multi-plateforme. * [[http://www.oxid.it/cain.html|Cain & Abel]] Casseur de mot de passe pour les systèmes d'exploitation Microsoft uniquement.