Ajouter ne serait-ce qu’un caractère à un mot de passe rallonge de plus de 115 jours la procédure de craquage.

Il y a deux semaines, j’ai reçu dans ma messagerie professionnelle un spam qui vantait les mérites d’un produit. Ce pourriel a contourné tous les filtres et défenses parce qu’il a été envoyé depuis le compte de messagerie personnel de ma fille. Etant donné que je communique souvent avec elle, le système a estimé qu’elle était une source de confiance. 

En faisant ma petite enquête, je me suis aperçu que son compte était en fait victime de la faille de sécurité qui a récemment affecté les mots de passe de la plate-forme de blogs tumblr. Et comme si cela ne suffisait pas, ma fille a malheureusement réutilisé le mot de passe de tumblr pour son compte Gmail. Dès que les pirates ont craqué son code d’accès, ils ont pu envoyer du spam en son nom.

Les failles de sécurité permettant les fuites de mots de passe sont désormais monnaie courante. Les pirates prennent le contrôle d’un serveur en exploitant une vulnérabilité au sein du système d’exploitation ou d’une application, et parviennent à accéder au gestionnaire de mots de passe de l’application.

Si le système attaqué est un site Web, le pirate peut, suite à l’injection de codes SQL par exemple, profiter d’une vulnérabilité au sein de l’application pour accéder à la base de données du système. Si le site enregistre un grand nombre d’utilisateurs, ce même pirate peut ensuite avoir accès à des centaines de milliers de noms d’utilisateurs, d’adresses électroniques et de mots de passe.

En règle générale, les mots de passe ne sont pas stockés en clair. Ils sont chiffrés, ou plus exactement « hachés », ce qui ne les rend pas immédiatement exploitables. Le chiffrement doit donc être craqué, un processus fastidieux et ponctué de tentatives et d’erreurs sur des milliards de combinaisons associant chiffres et caractères. Cependant, les technologies d’aujourd’hui s’avèrent fort utiles pour mener à bien ces manœuvres.

Il existe des programmes sophistiqués qui s’appuient sur des clusters de machines distribuant le processus de craquage. Chaque machine utilise de nombreuses cartes puissantes pour accélérer les opérations mathématiques réalisées dans le cadre de l’opération de craquage. Récemment, un cluster exécutant 64 milliards d’opérations de calculs SHA1 par seconde est ainsi parvenu à craquer un mot de passe de 8 caractères en à peu près trente heures.

L’authentification à deux facteurs

Pour contourner immédiatement cette menace, vous pouvez allonger votre mot de passe. En raison de la nature exponentielle du problème, ajouter ne serait-ce qu’un caractère rallonge de plus de 115 jours la procédure de craquage tandis qu’opter pour un mot de passe composé de 12 caractères fait que l’opération prendra plus de… 200 000 ans. Une autre solution serait de recourir à des mots de passe différents par application, ou encore d’utiliser des mots de passe aléatoires.

Les systèmes qui conservent des données importantes proposent souvent une autre technologie célèbre : l’authentification à deux facteurs. Un tel système s’appuie aussi sur un nom d’utilisateur et un mot de passe pour l’authentification. Mais il exige en outre un code numérique reçu via un autre support, par exemple par courrier postal, SMS ou généré par un jeton, via un smartphone ou sur une clé USB.

Le but est de demander à l’utilisateur une information que lui seul possède afin de renforcer la sécurité du système. Les banques utilisent fréquemment l’authentification à deux facteurs pour les opérations bancaires en ligne, mais cette procédure peut également être déployée dans d’autres domaines. En 2008, elle a été adoptée pour « World of Warcraft », célèbre jeu de rôle en ligne qui peut réunir plusieurs milliers de personnes, à la suite de plaintes par de nombreux joueurs de vols d’armure et d’armes, effets des personnages pouvant coûter plusieurs centaines d’euros.

En réalité, c’est à vous de choisir la manière dont vous souhaitez protéger vos données. Plus elles sont précieuses, plus elles doivent être protégées. Aussi, demandez à vos fournisseurs de vous proposer l’authentification à deux facteurs. Twitter a annoncé l’adoption de ce mode d’authentification pour bientôt, tandis que Google l’a déjà déployé depuis un moment. Le compte Gmail de ma fille est désormais protégé via une authentification à deux facteurs qu’elle génère sur son iPhone.