Ou pourquoi un mot de passe se doit d’avoir une taille minimum et d’\u00e9viter de suivre un motif particulier.<\/p>\n
Comme vous le savez certainement, il n’est pas toujours ais\u00e9, pour un hacker ayant d\u00e9couvert une faille de s\u00e9curit\u00e9 dans un syst\u00e8me informatique, de contacter les responsables du syst\u00e8me pour le leur signaler. Certaines entreprises, la premi\u00e8re me venant \u00e0 l’esprit \u00e9tant Google, prennent facilement en compte les alertes (il me semble). Dans d’autres cas, le simple fait de signaler la faille vous assimile \u00e0 un pirate…<\/p>\n
Sur cette petite introduction, je vais maintenant revenir sur une situation \u00e0 laquelle j’ai \u00e9t\u00e9 confront\u00e9. Pas de faille de s\u00e9curit\u00e9 \u00e0 proprement parler, mais un constat sur la politique de cr\u00e9ation et d’utilisation des mots de passe d’une plate-forme. Penchons-nous donc sur le probl\u00e8me.<\/p>\n
La plate-forme en question n’h\u00e9berge pas de donn\u00e9es personnelles sensibles \u00e0 proprement parler, pas de num\u00e9ro de carte de cr\u00e9dit, pas d’adresse. Elle propose n\u00e9anmoins un compte pour l’utilisateur qui contient donc un minimum d’informations le concernant: ses noms et pr\u00e9noms notamment. Venons en au sujet qui f\u00e2che: le mot de passe d’acc\u00e8s \u00e0 l’espace utilisateur. Premi\u00e8rement, il n’est pas possible de le modifier via l’interface. Deuxi\u00e8mement, et c’est l\u00e0 que certains des lecteurs vont commencer \u00e0 s’\u00e9trangler. Le mot de passe n’est compos\u00e9 que de 5 caract\u00e8res.<\/p>\n
Regardons le nombre de mot de passe diff\u00e9rents qu’il est possible d’obtenir si on consid\u00e8re que le mot de passe est g\u00e9n\u00e9r\u00e9 avec au choix:
\n* les lettres de l’alphabet latin en minuscule ou en majuscule (52 possibilit\u00e9s).
\n* les chiffres (10 possibilit\u00e9s).
\n* les caract\u00e8res sp\u00e9ciaux comme @ \/ [ {\u00a0 (34 possibilit\u00e9s environ).
\nEn r\u00e9sum\u00e9, pour chaque caract\u00e8re: 52 + 10 + 34 = 96 possibilit\u00e9s.
\nCe qui nous donne donc 96 *96 *96 *96 *96 = 96^5 = 8 153 726 976, un peu plus de 8 milliard de mot de passe diff\u00e9rents. C’est peu mais \u00e7a reste beaucoup plus \u00e9lev\u00e9 que le nombre qui va suivre.<\/p>\n
En effet, le massacre n’est pas fini… les mots de passe suivent un motif particulier. Ils sont constitu\u00e9s de l’ann\u00e9e de naissance de l’utilisateur avec la premi\u00e8re lettre de son nom. En r\u00e9sum\u00e9, une lettre et un nombre \u00e0 4 chiffres, 10 * 10 * 10 * 10 * 26 soit 260 000 possibilit\u00e9s. Nous sommes loin des 8 milliard initiaux et \u00e7a commence \u00e0 faire peur.<\/p>\n
Ce nombre peut encore \u00eatre r\u00e9duit, puisqu’on parle d’ann\u00e9e de naissance. En consid\u00e9rant un intervalle simple d’une centaine d’ann\u00e9e, on est presque s\u00fbr d’englober tous les cas possible, \u00e0 l’exception des personnes plus que centenaire. En d\u00e9finitive, on se retrouve avec grand maximum 100 * 26 = 2 600 mots de passe diff\u00e9rents ce qui est tout simplement ridicule.<\/p>\n
Alors \u00e9videmment, on pourrait me faire remarquer qu’il faudrait conna\u00eetre l’identifiant du compte pour que cela deviennent dangereux. Effectivement, et dans notre cas, oh malheur! L’identifiant est un nombre \u00e0 9 chiffres. A mon sens, la s\u00e9curit\u00e9 est insuffisante sur cette plate-forme, \u00e0 cause d’une politique de g\u00e9n\u00e9ration des mots de passe d\u00e9fectueuse.<\/p>\n
Imaginons un instant que l’on puisse tester un mot de passe par seconde… Vous voyez o\u00f9 je veux en venir n’est-ce pas? En moins d’une heure, toutes les possibilit\u00e9s pourraient \u00eatre essayer. Cela prendrait seulement 43 minutes et 20 secondes pour \u00eatre pr\u00e9cis.<\/p>\n
Si j’\u00e9cris tout cela, c’est pour tenter de montrer combien un mot de passe qui suit un m\u00eame motif pour tous les utilisateurs est un mauvaise chose et encore plus lorsque la g\u00e9n\u00e9ration se base sur des donn\u00e9es personnelles comme la date de naissance. Je peux comprendre une partie des choix qui ont pu mener \u00e0 une telle situation: facilit\u00e9 de m\u00e9morisation pour les utilisateurs, inutilit\u00e9 d’un syst\u00e8me de r\u00e9cup\u00e9ration de mot de passe puisque le motif est connu de tous, place r\u00e9duite en base de donn\u00e9e. Quand bien m\u00eame, tous ces arguments me semblent insuffisants pour justifier une telle politique de s\u00e9curit\u00e9, d’autant plus lorsqu’on manipule un minimum de donn\u00e9es personnelles.<\/p>\n","protected":false},"excerpt":{"rendered":"
Ou pourquoi un mot de passe se doit d’avoir une taille minimum et d’\u00e9viter de suivre un motif particulier. Comme vous le savez certainement, il n’est pas toujours ais\u00e9, pour un hacker ayant d\u00e9couvert une faille de s\u00e9curit\u00e9 dans un syst\u00e8me informatique, de contacter les responsables du syst\u00e8me pour le leur signaler. Certaines entreprises, la … Continuer la lecture de « All your password are belong to us »<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[40,331],"tags":[49],"class_list":["post-1488","post","type-post","status-publish","format-standard","hentry","category-info","category-securite","tag-securite"],"_links":{"self":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts\/1488","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1488"}],"version-history":[{"count":3,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts\/1488\/revisions"}],"predecessor-version":[{"id":1568,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts\/1488\/revisions\/1568"}],"wp:attachment":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1488"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1488"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1488"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}