Lorsqu’un attaquant souhaite se connecter sur votre compte, on lui demande généralement deux informations : l’identifiant de l’utilisateur ainsi que le mot de passe correspondant. L’identifiant est une information généralement simple. En revanche, trouver un mot de passe est un tâche plutôt complexe dans certains cas. Dans un premier temps, nous allons aborder les motivations d’un attaquant. Ensuite, nous détaillerons le processus de sauvegarde d’un mot de passe sur un site Internet. Par la suite, nous abordons les différentes techniques d’attaque. Enfin, nous verrons comment nous pouvons nous en protégé.
Pourquoi veut-on votre mot de passe ?
Une personne malintentionnée vous veut généralement du mal. Ces motivations peuvent être nombreuses. Basiquement, il en veut à votre argent, vos relations ou votre carrière. Il peut vous faire chanter ou dans des cas extrêmes, vous détruire psychologiquement. On peut aussi retrouver des personnes souhaitant juste vous ajouter à leur tableau de chasse (pour leur ego). Les profils sont nombreux et les intentions aussi. Une personne peut aussi se servir de vous en tant qu’intermédiaire, dans le but d’obtenir le contrôle d’une machine ayant plus de droit, mais on s’égare un peu.
Généralement, une personne malintentionnée a pour objectif les informations qui sont sur votre compte. Il peut aussi décider de s’approprier votre identité. Cela peut être par vengeance, jalousie …
Comment est stocké mon mot de passe ?
Lorsque vous vous inscrivez, par exemple, sur un site, vous allez rentrer différentes informations dont votre mot de passe. Toutes ces informations vont être stockées dans une base de données. Afin d’éviter les failles de sécurité, le site en question ne va pas sauvegarder en clair votre mot de passe. En effet, si le site se fait pirater, tous les mots de passe seront visibles et ce serait le jackpot pour un pirate informatique. Afin de cacher le mot de passe, nous allons le chiffrer à l’aide d’une fonction de hachage telle que, par exemple, le Brypt. Ainsi, si mon mot de passe est « bonjour », alors la fonction de hachage nous donnera (en utilisant Bcrypt) : « $2y$10$.hkYtpXAQTRDTHYz5QEouebW7URrMqzqYeaZ2nvV6PQjK54T5oJ02 »
L’une des particularités des fonctions de hachage est que le traitement ne se fait que dans un seul sens. Ainsi, si nous n’avons que le résultat de notre fonction de hachage, nous ne pouvons pas en deviner l’entrée. La seconde particularité d’une fonction de hachage est que si l’entrée est toujours la même, nous aurons toujours le même résultat.
Ainsi, lorsque vous vous inscrivez sur un site Internet, le site va réaliser le hash de votre mot de passe que vous lui avez donner et il va sauvegarder ce hash en question. Lorsque vous allez vous connecter, le site va réaliser le hash du mot de passe que vous lui avez indiquer et il va le comparer au hash présent dans sa base de données. Ainsi, s’il correspond, cela veut dire que le mot de passe que vous avez fourni est bien valide.
Ce type de fonctionnement permet aussi d’empêcher les pirates informatiques de savoir directement votre réel mot de passe. En effet, ils ne peuvent pas en déduire le mot de passe que vous utilisez, car la fonction de hachage ne fonctionne que dans un sens.
Comment trouver votre mot de passe ?
Pour trouver un mot de passe, deux cas de figure se présentent :
- Vous n’avez aucune information.
- Vous connaissez le hash du mot de passe.
Dans le premier cas de figure, plusieurs techniques existent. Tout d’abord, la technique la plus bourrine est de tester toutes les possibilités. En effet, si nous testons l’ensemble de toutes les possibilités, nous sommes sûr qu’à un moment donner, nous allons trouver votre mot de passe. On appelle cette technique une attaque par force brute. Ce genre d’attaque est possible, car nous avons en notre possession une puissance de calcul de plus en plus importante. Nous avons aussi même à notre disposition des services spécialisés dans le traitement de calcul comme des systèmes de calcul de cloud (à vérifier si c’est légal pour ce type de calcul). Personnellement, je n’aime pas ce genre d’attaque qui est extrêmement longue et qui peut demander plusieurs jours de calcul. En effet, plus votre mot de passe sera long et plus les possibilités seront importantes.
La seconde technique, plus intelligente, consiste à utiliser un dictionnaire. Nous allons distinguer deux types de dictionnaire. Nous allons avoir des dictionnaires génériques qui vont contenir une liste de mots de passe qui ont une signification. En effet, dans le cas d’une force brute, nous allons obtenir des mots de passe qui n’ont pas réellement de sens (par exemple : « yghtjisld »). Alors qu’avec un dictionnaire, nous allons avoir des mots de passe ayant plus de chance d’être utilisés. Le second type de dictionnaire, que nous allons appeler « dictionnaire personnelle », est plus intéressant, à mon sens. En effet, un attaquant qui cherche le mot de passe d’une victime va essayer d’en savoir plus sur elle. Il va essayer de la connaître presque par cœur. À partir de là, il peut réaliser des mots de passe qui se base sur des informations personnelles comme sa date de naissance, son nom, le nom de ses frères et sœurs, le nom de son animal de compagnie, les activités qu’elle aime pratiquer … Toutes ces informations peuvent être intéressantes à exploiter. En effet, en tant qu’humain, on cherche un mot de passe facile à retenir.
Dans le second cas de figure, nous avons eu accès à la base de données et donc au hash de votre mot de passe. À partir de là, différents cas de figure existe. Dans un premier temps, nous allons chercher si le hash en question a déjà été trouver. Ce que nous allons faire, c’est que nous allons chercher dans une base de données qui associe un hash à un mot de passe. Ainsi, si dans cette base de données, nous retrouvons le hash en question, nous serons directement le mot de passe correspondant. Il est à noter que ce type de base de données est très contraignante. En effet, il faut énormément d’espace de stockages. Pour pallier à ce problème des Rainbow table (tables arc-en-ciel) existe. Nous n’allons pas rentrer dans le détail, ce sera pour un prochain article ;p
Comment se protéger ?
Tout d’abord, utilisé des mots de passe complexes. Quand nous disons complexes, c’est des mots de passe utilisant à la fois des caractères minuscule, majuscule, des chiffres, mais aussi des caractère spéciaux. N’utilisez pas des informations personnelles. Certains utilisent leur date de naissance pour leur code PIN de leur téléphone, ne faites pas ça s’il vous plaît. Surtout que si votre téléphone est dans les mains d’une autre personne, cela peut-être extrêmement dangereux. Concernant, la longueur, nous vous recommandons d’utiliser des mots de passe de taille 16 minimum. Utilisé des mots de passe différents pour chaque utilisation que vous en faites. Énormément de personnes utilise le même mot de passe. Vous facilitez encore plus le travail des personnes malintentionnées. Enfin, utilisé plusieurs facteurs de connexion si cela est possible. Cela permettra de bloquer l’accès à votre compte pour une personne qui connaît votre mot de passe.
Pour résumé, une personne malintentionnée veut avoir accès à votre compte. Pour ce faire, il va chercher à avoir accès à votre mot de passe. Il peut décider de réaliser une attaque par force brute, d’utiliser des attaques par dictionnaire générique ou bien personnel. Afin d’améliorer la sécurité de votre mot de passe, utiliser un qui soit complexe, long et différent pour chaque compte. N’hésitez pas à activer le facteur à double authentification qui vous protégera en cas d’attaque.
Choisir un bon mot de passe : https://www.ssi.gouv.fr/guide/mot-de-passe/
Merci pour votre temps de lecture. N’hésitez pas à nous dire dans les commentaires votre avis sur cet article, les points que vous n’avez pas compris, vos suggestions d’améliorations ou des idées de sujets que vous aimeriez voir ;p
Apprendre le hacking 