La voix du libre

Émission de radio sur le Web et les logiciels libres

"La voix du libre" est une émission sur les logiciels libres maintenant diffusée sous forme de baladodiffusion (podcast) enregistrée le 2e mercredi de chaque mois (re)commançant le 11 décembre 2013 (Québec - Canada).
Vous pouvez nous écouter en direct ou en différé, via notre baladodiffusion

Nouvelle du 4 novembre 2013

Journal : La proche fin des mots de passe

Je viens vous présenter un article de Ars Technica que je viens de lire, et qui va probablement faire de grosses vagues.

TL;DR:

Pour les décideurs pressés: l'article explique comment Kevin Young, un cryptanalyste qui craque les mots de passes, ne se limite plus à des rainbow table et du brute force, mais cherche maintenant à intégrer des phrases récupérées d'internet et qui généralement produisent des résultats ultra rapidement.

Pour exemple, Young évoque un hack d'une base de données de MilitarySingles, un site de rencontre pour les militaires américains. 
Le mec, avec un petit script qui récupère les tweets contenant des mots classiques chez les militaires, arrive à récupérer pratiquement une mot de passe sur 2!

Une petite citation du bonhomme:

So, from our word list of 4400 words, we yielded 1978 passwords. Let me say that again…
FROM OUR WORD LIST OF 4400 WORDS, WE YIELDED 1978 PASSWORDS!

C'est assez impressionnant, et ce n'est que le début.

Les passphrases: c'est has-been

Il part du principe que le fameux XKCD reproduit ci-dessous a donné à beaucoup de monde l'idée de partir sur une phrase comme mot de passe, plutôt qu'un ensemble de lettres et de chiffres trop difficiles à mémoriser.

image

Le problème, c'est qu'un nombre incroyable de mots de passes ainsi choisis sont pris dans la littérature ou le langage commun. Certains sont un peu "salés" avec une majuscule ou un chiffre à la place des lettres, mais les logiciels de cassage usuels sont déjà parfaitement capables de prendre en charge ce genre de permutations.

Il a déjà réussi à choper un certain nombre de mots de passes du leak de LinkedIn en ajoutant aux mots du dictionnaire de JohnTheRipper tous les passages du magicien d'Oz.

Depuis, il est toujours en recherche de nouvelles techniques, depuis le hack de la base de données de Stratfor.

Il y a environ 60% des mots de passes qui sont déjà sortis de ce fichier. Sur les 40% qu'il reste, Young a commencé à travailler avec des sources diverses:

  • quelques 15000 livres issus du projet Gutemberg
  • l'intégralité des articles de Wikipedia

À chaque fois, il teste différentes combinaisons de phrases qu'il extrait de ces sources, avec des variations (mangling) sur les lettres (l33T sp34k etc.).

La petite citation qui va bien:

Almost immediately, hashes from Stratfor and other leaks that remained uncracked for months fell. One such password was "crotalus atrox". That's the scientific name for the western diamondback rattlesnake, and it ended up in their word list courtesy of this Wikipedia article.

Ce qui est excellent, c'est que plutôt que de partir sur des brute force toujours plus long, il se facilite le job en se disant que les humains vont bien plus facilement retenir des trucs qu'ils connaissent.

Les mots de passes compliqués? Nada..

Une autre chose que l'article invite à remarquer, c'est que même utiliser des phrases incongrues mais déjà écrites, genre 'Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn1' (extrait de The call of Cthulhu, de Lovecraft), ne servent plus à rien avec ces techniques.

Truc encore plus dingue, le mot de passe ",fnfhtqrf_ijrjkflrf" a été récupéré… en prenant comme base de clavier le layout Russe et deux mots russes classiques, mais tapés sur un clavier US.

Il parle aussi de l'effet "shift key", qui veut que plus un mot de passe est long, moins il a de chances de contenir des lettres majuscules et autres caractères compliqués.

The longer a passphrase is, the less likely it is to contain extra characters, variations in case, and other modifications. Young called this "shift key aversion."

L'étape actuelle de son travail est de s'attaquer à un ensemble encore plus large de source de mots potentiels:

  • sites de news
  • logs publics d'IRC (haha)
  • Pastebin
  • les paroles de chansons

Ce n'est d'ailleurs pas le seul à savoir faire ça, puisque tout un tas de gens commencent à généraliser le data-mining pour récupérer des mots de passes potentiels. Pour tout vous dire, Cathash est maintenant capable de cracker des mots de passes de 55 caractères…. La faute à la puissance brute des cartes graphiques, qui font du hashing une technique à la portée de n'importe qui.

Conclusion

En titre de conclusion de l'article, Young explique que ce qu'il fait est à la portée de tout un chacun, et que la NSA, elle, pourrait bien avoir déjà indexé et répertorié l'intégralité du web pour générer ce genre de liste de mots.

Alors que penser de tout ça?

Pour ma part, mon sel de cryptage, la base de tous mes mots de passe, se trouve dans un vieux bouquin. Du coup, ça me fait flipper.

D'après les conclusions de l'article et quelques commentaires sélectionnés, il ne reste de vraiment sécurisé que les mots de passe composés de mots réellement aléatoires, qui n'ont strictement aucun sens. Mais pour combien de temps?

La liste des mots de passes récupérés:
http://arstechnica.com/security/2007/10/izmy-p55w0rd-saph/

Cherchez-y votre mot de passe pour voir… (le mien n'y était pas… ouf!)