L’importance du choix des mots de passe

L’évolution de la puissance machine a fait exploser les attaques sur les mots de passe. Muni des bons outils et d’une puissance machine adéquate, il est désormais facile de briser la plupart des mots de passe plus rapidement que vous n’avez à le taper. Dans cet article, nous allons voir quels sont les critères pour un bon mot de passe et surtout démontrer pourquoi appliquer ces critères permettent de les rendre quasiment incassable. 

Ci -contre, voici le classement des mots de passe les plus utilisés dans le monde en 2016. Tous les mots de passe de cette liste sont hélas des mots de passe à faible complexité et donc très facilement cassable.

1. Les méthodes de cassage de mot de passe

L’idée de cet article n’est pas de vous effrayer mais de vous sensibiliser aux bonnes pratiques de construction d’un mot de passe fort. Pour bien comprendre, il faut se mettre dans la peau d’un attaquant. Que faire pour casser un mot de passe ? Trois solutions s’offrent alors :

L’ attaque par méta données :
Cette attaque consiste à deviner le mot de passe en accumulant des informations sur la victime :
Nom, prénom, nom de la rue, nom du chien, date de naissance, nom des frères et sœurs etc… c’est ce qu’on appelle les méta données de la victime.

On dénombre environ 200 méta données généralement récupérables de manière automatisée via internet et des logiciels spécialisés.
On teste alors l’ensemble de ces métadonnées ainsi que les combinaisons couplés de ces méta données, par exemple Nathan02091992 (prénom+date de naissance).

Ce qui fait en moyenne 200 + 200*200 = 40 200 possibilités.

Le Bruteforce par dictionnaire :
Cette attaque consiste à tester l’ensemble des mots du dictionnaire de la langue de la victime ainsi que tous les noms, prénoms, diminutifs et pseudonymes fréquemment utilisés.

Dans une langue riche comme l’anglais, on dénombre pas moins de 200 000 mots, mais pas de quoi décourager nos attaquants qui testeront alors ces 200 000 possibilités.

Le Bruteforce pure :
Cette attaque consiste à tester l’ensemble des combinaisons de tous les caractères autorisés dans le champ du mot de passe.
Si le mot de passe est composé de chiffres allant de 0 à 9 avec une longueur de 8 chiffres, le nombre de possibilités sera alors : 10*10*10*10*10*10*10*10 = 10 8 possibilités

Si celui-ci est composé uniquement avec des lettres de l’alphabet sans accent et sans majuscule (soit 26 caractères) avec une longueur de 6 caractères :
Ce mot de passe possède 26 6 possibilités

Enfin, si celui-ci est composé de n’importe quel des 255 caractères ASCII (nombres, caractères spéciaux, minuscules, majuscules et accents) et que sa longueur est de 12 : Ce mot de passe possède alors 25512 possibilités

Vous l’avez compris, augmenter à la fois le nombre de caractères possibles et la taille augmente le nombre de possibilités.
L’image ci-contre montre le paramétrage du logiciel Bruter qui permet d’effectuer des tests de mot de passe de manière automatisée.

2. Craquer un mot de passe, une question de temps !

Vous l’aurez sans doute déjà compris, mais la force d’un mot de passe dépend de son temps à le trouver. Pour bien comprendre, considérons que notre attaquant Eliott dispose d’une puissance machine de 10 Ghz soit en louant cette puissance machine sur un Cloud pour 5€ soit en utilisant ses 5 ordinateurs de 2Ghz chacun simultanément. Pour rappel, 10 Ghz de puissance machine permettent d’effectuer 10 milliards d’opérations par seconde, pour faire simple on considérera qu’il faut à la machine 10000 opérations pour tester un mot de passe. Dans cette configuration, Eliott peut alors tester 1 000 000 de mot de passe à la seconde.

La question est donc, combien de temps faudra t-il à Eliott pour trouver votre mot de passe ?

 

  • Avec l’attaque par méta données (40 200 possibilités), il mettra = 40 200 / 1 000 000 = 0.04 s !
  • Avec l’attaque Brute force par dictionnaire (200 000 possibilités), il mettra = 200 000 / 1 000 000 = 0.02 s !
  • Avec l’attaque par Bruteforce pure d’un mot de passe composé uniquement de chiffres allant de 0 à 9 et d’une longueur de 8 chiffres  (100 000 000 possibilités) il mettra = 100 000 000 / 1 000 000 =  100 s !
  • Avec l’attaque par Bruteforce pure d’un mot de passe composé uniquement avec des lettres de l’alphabet sans accent et sans majuscules (soit 26 caractères) avec une longueur de 6 caractères (308 915 776 possibilités), il mettra 308 915 776 / 1 000 000 = 309 s !
  • Avec l’attaque par Bruteforce pure d’un mot de passe composé de n’importe quel des 255 caractères ASCII (nombres, caractères spéciaux, minuscules, majuscules et accents) et que sa longueur est de 12 (75593101654204447168212890625 possibilités), il mettra : 75593101654204447168212890625 / 1 000 000 = 145820026339128949 années !

Vous constaterez alors que les informations que possède Eliott sur vous lui sont d’une aide précieuse. En effet, le fait de savoir que votre mot de passe ne contient pas de majuscule ou de caractères spéciaux, ou ne contient que des chiffres va énormément réduire le nombre de possibilités à tester et donc son temps pour trouver votre mot de passe.

Oui mais Eliott sera bloqué si il teste trop de mots de passe non valide ?

Ne sous estimez jamais Eliott ! Il est rusé… il lancera plusieurs dizaines de milliers de navigateurs en même temps avec des adresses ip différentes afin d’éviter ce type de blocage, mais avant ça, il lancera son attaque sur un site ne proposant pas ce type de sécurité. Sachant que la plupart d’entre nous utilisent le même mot de passe partout, il reviendra sur la plateforme sécurisé une fois votre mot de passe trouvé.

3. Ce qu’il faut retenir

  • Un attaquant utilisera toujours la méthode la plus rapide pour casser votre mot de passe. Il essayera d’abord une attaque par méta données, puis par une attaque par dictionnaire, puis en dernier recours une attaque de Bruteforce pure
  • Les informations sont un gain de temps énorme pour les attaquants car ils permettent de supprimer une grande partie des possibilités
  • La longueur d’un mot de passe définit sa force uniquement si celui-ci n’est pas déductible par récolte d’informations
  • Ne jamais, Ô grand jamais utiliser des mots du dictionnaire
  • La longueur et l’utilisation de caractères spéciaux, majuscules et accents augmente énormément la force de votre mot de passe
  • Eviter d’utiliser le même mot de passe partout
  • Changer les mots de passe par défaut des équipements et des services web
  • Ne conservez pas vos mot de passe sur un post-it ou dans un fichier

0 commentaires

Soumettre un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

0
Connecting
Please wait...
Envoyer un message

Nous ne sommes pas en ligne actuellement. Laissez-nous un message.

* Votre nom
* Email
* Posez-nous vos questions
Des questions ?

Besoin d'aide ? Gagnez du temps en posant vos questions à notre support.

* Email
* Votre message
Des questions ?
Feedback

Aidez-nous à nous améliorer ! N'hésitez pas à laisser votre avis.

Comment évaluez-vous notre support?

Pin It on Pinterest

Share This