Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Vigilance : 16 formes d'attaques des mots de passe

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
21.09.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Correction d'un lien

Un mot de passe protège quelque chose et ce qui est protégé est toujours plus intéressant, plus attirant que ce qui ne l'est pas ! Comment les hackers s'attaquent-ils à vos mots de passe ? Vous devez en déduire que vos mots de passe doivent être « durs » (longs, complexes, impossibles à s'en souvenir...)

Mot de passe : Test de solidité - Lien permanentMot de passe : Test de soliditéMot de passe : Test de solidité

Vos mots de passe doivent être « durs » (longs (minimum 12 caractères), complexes (chiffres, lettres minuscules et majuscules, signes spéciaux mélangés), impossibles à s'en souvenir (dans le genre 1aXùU95tBéµ7), tenus totalement secrets, impossibles à déceler même si l'on vous regarde le frapper au clavier à cause de caractères choisis un peu partout sur le clavier...).
Test de solidité d'un mot de passe

Mot de passe : Les attaques - Lien permanentMot de passe : Les attaquesMot de passe : Les attaques

Puisque les mots de passe protègent des données confidentielles et sont tenus secrets, ils intéressent beaucoup de monde, tous criminels (mis à part le cas du technicien de maintenance qui tente de vous sortir du pétrin lorsque vous avez perdu votre mot de passe !).

De nombreuses méthodes se sont développées pour se procurer les mots de passe, qu'ils soient cryptés ou non. Soyez vigilant à chaque type d'attaque (caméra, keylogger matériel ou logiciel, miroir dans votre dos, intimidation, persuasion, fishing, etc. ...).

Mot de passe : attaques non techniques - Lien permanentAttaques des mots de passe : attaques non techniquesMot de passe : attaques non techniques

  1. Attaque des mots de passe : Attitude inappropriée de l'humain (non technique)Attaque des mots de passe : Attitude de l'humain (non technique)Attaque contre les mots de passe : Attitude inappropriée du l'humain (attaque non technique)

    Le premier facteur de risque, dans la divulgation des mots de passe, c'est vous. Il est certain que si votre attitude est inappropriée, si vous collez le code secret de votre carte bancaire sur un bout de papier scotché sur votre carte bancaire, si vous affichez vos identifiants et mots de passe informatiques / Internet sur un post-it sur l'écran... il faut commencer par corriger ces négligences et changer tous vos mots de passe. Activez un antivirus contre le virus PEBCAK.
  2. Attaque des mots de passe : Ingénierie sociale (non technique)Attaque des mots de passe : Ingénierie sociale (non technique)Attaque mots de passe : Ingénierie sociale (non technique)

    En matière de « Sécurité de l'information » (en informatique, en cryptographie, en matière de vie privée sur l'Internet, etc.), l'« Ingénierie sociale » (« Social engineering » en anglais), est la méthode la plus répandue et la plus simple de convaincre un individu et le conduire à révéler ce qui devrait rester caché ou faire ce qui ne devrait pas être fait. C'est une escroquerie en col blanc. Par exemple, lors d'une attaque contre un « mot de passe » d'un individu, l'« Ingénierie sociale » consiste à convaincre cet individu de donner, volontairement, son couple : identifiant (login - UserName) et « mot de passe ». L'attaquant se fait passer pour le responsable du service informatique de son entreprise ou pour un cadre dirigeant stressé travaillant cette nuit pour produire dans l'urgence, lors d'une importante réunion qui a lieu demain matin, un document urgent, etc. ... Cela se fait le plus souvent à distance (téléphone, courriel...), à un moment où l'individu attaqué ne peut se déplacer (de nuit, de week-end...).

    C'est tout un art, mais en matière de « Sécurité de l'information », il s'agit d'un acte frauduleux.

    Plus l'hacker attaquant est un bon comédien charismatique et plus l'attaque à des chances de réussir. Le taux de réussite de ce type d'attaques frise les 100% !

    La « bonne foi », l'imposture de l'attaquant, etc. ... ne sont pas des arguments de défense et c'est l'individu attaqué qui constitue la « faille de sécurité ». Il aurait dû activer un antivirus contre le virus PEBCAK.

  3. Attaque des mots de passe : Phishing (très peu technique) - Lien permanentAttaque des mots de passe : Phishing (très peu technique)Attaque des mots de passe : Phishing (très peu technique)

    Le « Phishing » (« Hameçonnage » ou « Filoutage ») est une attaque de type « Ingénierie sociale » consistant à récupérer les identifiants des internautes, tout simplement en leur demandant de les donner, sans éveiller le moindre soupçon de leur part.

    La méthode consiste à convaincre l'internaute, d'une manière ou d'une autre, de se rendre sur une page Web imitant parfaitement une page d'un site officiel d'une banque ou d'un organisme ou d'une administration ou d'un site quelconque de très grande taille, comme Yahoo!, utilisant des données d'authentification.

    Fabrication d'une page de phishing

    Une imitation parfaite d'une page réelle d'un site est d'une simplicité enfantine à réaliser. Vous pouvez, vous-même, copier une page d'un site, en faisant, dans votre navigateur, « Fichier » Fabrication d'une page de phishing - Attaque de mots de passe « Enregistrer sous... ». Vous récupérez instantanément une copie exacte d'une page réelle d'un site réel, avec tout son code HTML, toute sa mise en page, son design, sa charte graphique, tous les liens réels vers les images réelles, les logos réels, les autres pages réelles du site... Les liens présents sont réels et envoient bien vers toutes les rubriques réelles du site réel, etc. ... Le système de navigation est réel... Ouvrez votre sauvegarde de cette page, dans votre navigateur Web, et promenez le curseur de votre souris sur tous ces liens. Regardez les URL - elles sont toutes réelles. Cliquez sur ces liens. Ils vous envoient réellement vers les pages réelles du site réel.

    Il ne vous reste plus qu'à effacer le milieu de la page et mettre, à la place, un formulaire de saisie d'identifiants, numéros de compte, numéro de carte bancaire, code secret, etc. ... et un bouton d'envoi !

    Le bouton d'envoi masquera l'URL de destination par un simple script, en JavaScript, faisant apparaître un lien factice vers le site réel afin de rassurer la victime. Le clic sur ce bouton enverra le formulaire, méticuleusement complété par le gogo naïf, ailleurs, sur la machine du cybercriminel.

    Une fois cette page d'usurpation réalisée, il suffit de l'héberger sur un serveur (un serveur piraté (hacké), car possédant une faille de sécurité, d'un webmaster quelconque qui ne se rend compte de rien. Il existe des logiciels de recherche de failles de sécurité et de vulnérabilités permettant de détecter des serveurs ou des sites Web mal protégés).

    La mise en exploitation de cette page d'usurpation consiste à lancer un vaste filet pour capturer le maximum d'internautes crédules en très peu de temps, raison pour laquelle la peur est souvent employée (menaces, votre compte va être fermé, pseudo dette et menace d'huissiers et de poursuites judiciaires immédiates, vous avez 24 heures pour vous mettre à jour, etc. ...).

    La campagne de spam (méthode privilégiée) utilise un Botnet que le cybercriminel auteur du phishing loue, pour une quinzaine de minutes, à un autre cybercriminel « propriétaire » d'un Botnet. Ils se connaissent tous dans la Web caché (le Dark Web). Ils ont des forums de discussions cachés où ils vendent et achètent de tout en matière de cybercriminalités. Quinze minutes coûtent une centaine d'€ et sont suffisantes pour envoyer des dizaines de millions de spams. Le serveur qui héberge la page contrefaite se trouve dans un pays off-shore et la page contrefaite n'est disponible que quelques heures puis disparaît. Elle n'est pas traçable et le mal est fait.

    Le cybercriminel va à la pêche aux informations qui devraient rester cachées, et c'est vous-même qui allez les lui donner. C'est vous qui êtes le poisson que le cybercriminel ferre (« Phishing » dérive du verbe signifiant « aller à la pèche » en anglais - « fishing », une forme verbale (Participe présent / le gérondif) du verbe « To fish » (pêcher, aller à la pêche). Des pirates vont à la pêche et vont ferrer le poisson (l'internaute naïf).).

    Le cas d'usage le plus répandu du « Phishing » (« Hameçonnage ») est l'envoi massif d'un message, par email (« Spam ») ou par SMS (« SMiShing ») accrocheur afin de récupérer des milliers d'identifiants - Mots de passe - N° de cartes bancaires - N° de comptes bancaires, etc. ... en quelques minutes.

    Le site frauduleux (cette imitation parfaite d'une page d'un site réel d'une banque, d'un fournisseur d'accès Internet, d'un e-commerçant, d'une administration, etc. ...), vers lequel le gogo crédule est dirigé, va être détecté par des organismes de surveillance comme Lexsi, mais, entre temps, le cybercriminel, quelque part dans le monde, aura récupéré les données de quelques milliers de victimes et les aura déjà dépouillées.

    Pour une raison quelconque, le texte va vous convaincre de donner votre « login » et votre « mot de passe », et d'autres données (carte bancaire, numéro de compte, code secret...), que l'attaquant récupère en clair, tout simplement, pour s'attaquer ensuite à vos ressources (piller votre compte bancaire, hacker vos sites Internet, fabriquer une carte de crédit falsifiée, tout savoir sur vous, etc. ...).

    Des « Spam » de « Phishing » sont envoyés par milliards chaque jour, dans le monde entier. Qui n'a pas reçu, parfois plusieurs fois par jour, des courriels du genre :
    • "EDF - Coupure de votre fourniture d'électricité demain - Veuillez régler immédiatement - Service contentieux."
    • "EDF - Dernière démarche amiable avant coupure"
    • "Suite à un crash de nos systèmes, vérification et réactivation de votre compte"
    • "Urgent - Suspension de votre compte"
    • "Demande de mouvement financier suspect sur votre compte - Veuillez vérifier"
    • "Crédit Lyonnais - Mise à jour de notre système de sécurité"
    • "Confirmation de facturation - Vérifiez les informations"
    • "Société Générale : Une importante information"
    • "Notification de restriction de l'accès au compte"
    • "Problème concernant votre compte"
    • "Notification de connexion à votre compte !"
    • "[Free] Coordonnées non à jour - Ref. #4657682356789"
    • "Confirmation de création de votre espace abonné"
    • "Votre contrat a été modifié"
    • "Confirmez votre adresse de courriel"
    • "Problème sur votre carte bancaire !"
    • "Votre compte d'accès a été limité"
    • "Problème de non réception d'argent sur votre compte"
    • "Problème facture N337624364 du 02/03/2013"
    • "Si vous ne mettez pas à jour vos références, votre compte sera clos sous 24 heures."
    • "Mouvements suspects sur votre compte, vérifiez vos coordonnées."
    • "Le séjour avec hébergement payé que vous avez gagné - Nous n'avons pas reçu votre formulaire de réservation"
    • "Concernant votre compte"
    • "Prélèvement impayé - il vous reste 24 heures avant déclenchement de la procédure judiciaire."
    • "Vous avez gagné le tirage de mercredi."
    • Etc. ... (Tous les titres qui ressemblent, de près ou de loin, à ceux-là sont des cybercriminalités de type « Phishing » ou « SMiShing ». Ne jamais les ouvrir ! ).
  4. Attaque des mots de passe : Espionnage humain (très peu technique) - Lien permanentAttaque des mots de passe : Espionnage humain (très peu technique)Attaque des mots de passe : Espionnage humain (très peu technique)

    Introduction, à domicile comme en entreprise, d'un espion (technicien de surface, service technique externe, visiteur, etc. qui recopie/photographie, tout simplement, le post-it sur lequel sont affichés les mots de passe (ou le carnet, dans le tiroir, dans lequel sont consignés tous les mots de passe...). Activez un antivirus contre le virus PEBCAK.

Mot de passe : attaques techniques - Lien permanentMot de passe : attaques techniquesMot de passe : attaques techniques

  1. Attaque des mot de passe : camera de surveillanceAttaque des mot de passe : camera de surveillanceMot de passe : attaques par camera de surveillance

    Rien à dire !... Et tout à voir et regarder.

  2. Attaque des mots de passe : attaques de sites (autorités d'authentification)Attaque des mots de passe : attaques de sites (autorités d'authentification)Mot de passe : attaques de sites (détenteurs de l'autorité d'authentification)

    Vol des mots de passe stockés sur un site Web - Piratage de l'autorité qui stocke les mots de passe.

    • Si ceux-ci sont cryptés avec des moyens "légers" (cryptage MD5 ou SHA-1 et autres algorithmes de "chiffres clé" faibles) et que les mots de passe en eux-mêmes sont faibles (mots de passe de moins de 14 caractères, mots de passe n'utilisant que des chiffres et des lettres, sans utiliser les caractères spéciaux ou accentués), les outils de cassage de mots de passe ("Rainbow tables") vont venir rapidement à bout des millions de mots de passe volés chez l'autorité.

    • Si ceux-ci sont stockés en clair !... Sachant que la plupart des utilisateurs se servent du même mot de passe et du même identifiant (login) sur tous leurs comptes !... Par exemple, le site YouPorn, l'un des cent sites les plus visités au monde (classement Alexa de YouPorn), avec 4,75 millions de comptes, a vu les comptes de sa zone de tchat en ligne, YP Chat et ses 1 million de comptes, piratés (login, mot de passe, adresse e-mail). Or ces comptes étaient stockés en clair et une faille de sécurité à permi d'y accéder ! Ceci a été dévoilé le 21 février 2012 par la publication d'un extrait de cette liste (1, 2). Les usages que peut en faire un pirate sont multiples : chantage à l’e-réputation avec extorsion de fonds, spam, ingénierie sociale, compromission des autres comptes des utilisateurs sur d'autres sites Web, etc. ...

    Plusieurs exemples de Hack de Mots de passe (par milliers ou par millions, et même par milliards)
  3. Mot de passe : attaques par sniffing - Lien permanentMot de passe : attaques par sniffingMot de passe : attaques par sniffing

    Sniffing : attaque technique nécessitant l'accès à un point de la communication (généralement chez le FAI (Fournisseur d'Accès Internet) - Les mots de passe sont récupérés en clair.
    Les mots de passe, en clair ou cryptés, circulent dans des "paquets", par exemple d'un ordinateur dit "client" (le demandeur qui tente de s'authentifier) vers le "serveur" qui va authentifier la requête. Ces "paquets" circulent tous azimuts sur le Web et tout le monde les reçoit, celui à qui ils sont destinés et tous les autres qui, techniquement, les ignorent automatiquement (le maillage de l'Internet permet à un paquet d'atteindre sa cible par de nombreux itinéraires simultanés en fonction de la charge et de l'état des réseaux - les "routeurs" se chargent d'orienter le trajet). Les pirates utilisent des "renifleurs" ("sniffer") qui peuvent lire la totalité des "paquets". Les mots de passe peuvent apparaître en clair (protocole TelNet) ou cryptés (ils seront alors rapidement décryptés avec des attaques à base de "tables Arc en ciel" ("Rainbow tables"). Généralement, les mots de passe circulent en clair du client au serveur et c'est une fois arrivés sur le serveur qu'ils sont cryptés (cas d'une inscription sur un forum, par exemple). Le contenu du paquet est crypté (mot de passe et tout le reste) dès l'ordinateur client (votre ordinateur) lors de l'utilisation du protocole https (cas d'une inscription sur un service bancaire, par exemple).

    Les "renifleurs" ("sniffer") sont utilisés pour toutes formes d'espionnages sur tous les protocoles (voir Deep Packet Inspection"). Un employeur peut parfaitement voir des transferts de fichiers (protocole FTP) opérés par des employés alors qu'ils n'en ont pas le droit ou pas l'usage. Dito pour l'envoi et la réception sur le protocole de messagerie SMTP, POP, IMAP...

  4. Mot de passe : attaques par sniffing https - Lien permanentMot de passe : attaques par sniffing sur protocole httpsMot de passe : attaques par sniffing https

    Sniffing sur HTTPS (attaque technique en sniffing nécessitant, en plus, de casser le cryptage TLS 1.0)
    Lorsque la communication entre le client (vous) et le serveur (de la banque en ligne...) est établie de manière sécurisée, avec le protocole HTTPS, le cryptage utilise un algorithme de chiffrement comme SSL ou TLS.
    TLS 1.0 est la norme depuis 2001, en dépit de TLS 1.1 publié en 2006 et TLS 1.2 publié en 2008. Or TLS 1.0 est affecté d'une vulnérabilité, connue de longue date, du chiffrage utilisé : Cipher Block Chaining. Un simple code en JavaScript inséré dans une page (piégée par un hacker) du site consulté permet d'insérer dans un paquet récupéré par un "renifleur" ("sniffer") la valeur du cookie de session. Cette valeur est la clé de cryptage et va servir à décrypter la communication.

  5. Mot de passe : attaques "Man in the Middle" - Lien permanentMot de passe : attaques "Man in the Middle"Mot de passe : attaques "Man in the Middle"

    Man in the Middle est une attaque technique de type Sniffing mais visant le protocole HTTPS lui-même et non pas le contenu. Cette attaque consiste à introduire un dispositif (un ordinateur) entre le site sensible (le serveur de la banque en ligne, etc. ...) utilisant le protocole HTTPS et le client (vous). La communication, qui est normalement sécurisée, en utilisant le protocole HTTPS, est transformée, côté client, en simple HTTP (non sécurisée). Le client manquant de vigilance (grande majorité des cas) n'observe pas le logo signalant que le protocole n'est pas sécurisé (cadenas ouvert au lieu de fermé, en bas à droite du navigateur Web ou autre forme visuelle) et envoie ses données en clair. La suite de l'attaque se réduit à du simple sniffing. Cette attaque sert à récupérer des identifiants et mots de passe, mais aussi des numéros de cartes bancaires etc. ...

  6. Mot de passe : attaques "Man in the Middle" Authentification franduleuse Authentification franduleuse - Lien permanentMot de passe : attaques "Man in the Middle" Authentification franduleuseMot de passe : attaques "Man in the Middle" Authentification franduleuse Authentification franduleuse

    Le protocole HTTPS permet de vérifier l'authenticité du site visité grâce à un certificat électronique d'authentification. Le problème fondamental des certificats est qu'ils sont émis par de simples sociétés commerciales qui s'autoproclament "Autorité de certification" et se gargarisent de "Politiques de certification", etc. ... Rien n'empêche un cybercriminel en col blanc de monter une structure aux apparences respectables et d'acheter un certificat électronique d'authentification en trompant une "Autorité de certification" par ailleurs de confiance, ou avec la complicité de l'"Autorité de certification" ou, lorsque les cybercriminels se regroupent, en montant, entre eux, une "Autorité de certification" criminelle qui sévira un certain temps.

    D'autre part, des certificats frauduleux peuvent être forgés. Le cas le plus médiatisé d'authentification frauduleuse est celui dit du "Virus Stuxnet", découvert en juin 2010, qui a permis de prendre le contrôle des process industriels commandant les centrifugeuses du programme nucléaire iranien et de les détruire, ralentissant de deux ans, selon les observateurs, la progression de ce programme nucléaire. Le virus "Flame", découvert en mai 2012, ciblant essentiellement le vol de documents sur le programme nucléaire iranien, utilisait aussi des certificats d'authentification frauduleux. Microsoft a publié le 3 juin 2012 et mis à jour le 13 juin 2012 ses procédures de certifications digitales.
    Des certificats numériques non autorisés pourraient permettre une usurpation de contenu - KB (2718704)
    Microsoft certification authority signing certificates added to the Untrusted Certificate Store

  7. Mot de passe : attaques par keylogger - Lien permanentMot de passe : attaques par keyloggerMot de passe : attaques par keylogger

    L'attaque par Keylogger est une attaque technique visant à récupérer les mots de passe "à la source" (directement sur le clavier !), en clair.

    Un keylogger est un dispositif matériel ou logiciel capturant les frappes au clavier. Lorsque les frappes concernent les zones de "login" et de "Mot de passe" d'un formulaire, le poseur du keylogger récupère ces informations en clair. En amont du keylogger il y a tous les moyens de nature virale pour introduire le keylogger dans un ordinateur (Cheval de Troie, Downloader...).

    Voir le dossier Keyloggers.
  8. Mot de passe : attaques par keylogger accoustiques - Lien permanentMot de passe : attaques par keylogger accoustiquesMot de passe : attaques par keylogger accoustiques

    Un Keylogger acoustique est un dispositif technique d'espionnage d'un appareil de manipulation de l'information.

    Le 10 mai 2004, lors du 2004 IEEE Symposium on Security and Privacy, deux chercheurs d’IBM, Dmitri Asonov et Rakesh Agrawal ouvrent la session avec une communication : "Keyboard Acoustic Emanations". Ils prétendent qu'après une phase d'apprentissage où il faut frapper sur chaque touche du clavier une trentaine de fois, un micro ordinaire et un bon logiciel suffisent à enregistrer un texte tapé sur un clavier. Les taux de réussite de la reconnaissance des touches frappées au clavier frisent les 80%, soit des taux supérieurs aux taux de réussite des attaques TEMPEST (keyloggers électromagnétiques). Les changements de claviers ou les changements de dactylographe nécessitent une nouvelle phase d'apprentissage.

    En novembre 2005, une nouvelle communication sur un Keylogger acoustique est faite par Li Zhuang, Feng Zhou et J. D. Tygar, lors de la "12th ACM Conference on Computer and Communications Security", dans "Keyboard Acoustic Emanations Revisited". Dans leur démonstration, ils se basent non pas sur une phase d'apprentissage préalable des bruits du clavier, mais sur un apprentissage en temps réel durant l'attaque avec essentiellement la répartition statistique des lettres dans la langue espionnée, appuyé par un correcteur lexical et par des outils utilisés en traitement du langage comme des automates de Markov à états cachés... Au bout de 10 minutes d'écoute, le taux de précision est de 90%.


    Keylogger acoustique - Signal audio de la frappe d'une touche au clavier
    Keylogger acoustique - Signal audio de la frappe d'une touche au clavier

    La démonstration en a été faite en 2008 contre des mots de passe. Dans cette démonstration, le Keylogger acoustique a récupéré en clair des mots de passe tapés sur un clavier sur trouvant à 20 mètres de distance et dans une autre pièce !

    C'est le LASEC (Laboratoire de Sécurité et de Cryptographie) de l'EPA (École Polytechnique Fédérale de Lausanne - Suisse), où enseigne Philippe Oechslin (à qui nous devons les Tables Arc en Ciel (Rainbow tables) pour décrypter les mots de passe cryptés), qui a travaillé sur le rayonnement acoustique des frappes de touches sur des claviers. Ce que ne montre pas la démonstration est qu'il faut une phase d'apprentissage au keylogger acoustique pour être opérationnel, ce qui rend son déploiement assez lent.

    Les deux démonstrations suivantes de keylogger acoustique remontent à 2008.

    Chargement...

    Keylogger acoustique - Démonstration 1
    Compromising electromagnetic emanations of wired keyboards
    Martin Vuagnoux - Sylvain Pasini

    Chargement...

    Keylogger acoustique - Démonstration 2
    Compromising electromagnetic emanations of wired keyboards
    Martin Vuagnoux - Sylvain Pasini

    La contre-mesure à un keylogger acoustique est assez simple. En cas de matériel traitant des données sensibles, mettre cet appareil dans une pièce anéchoïque ou dans un caisson anéchoïque. L'utilisation d'un clavier virtuel règle définitivement le problème acoustique, y compris si le micro est planqué dans l'épaisseur du bureau ou dans le clavier mécanique lui-même. Enfin, générer du bruit (écouter de la musique, par exemple), rend l'écoute très difficilement exploitable, voire inexploitable.

    Keylogger acoustique - Contre-mesure - Chambre anéchoïque
    Keylogger acoustique - Contre-mesure - Chambre anéchoïque chez anechoique.com

    Mots clés autour de cette attaque :
    Acoustic Emanations
    Émanations acoustiques

    Voir le dossier Keyloggers.
  9. Mot de passe : attaques par keylogger électromagnétiques - Lien permanentMot de passe : attaques par keylogger électromagnétiquesMot de passe : attaques par keylogger electromagnetiques

    Le cas le plus célèbre et médiatisé de Keylogger électromagnétique est celui du Keylogger appelé TEMPEST et opéré par l'agence américaine de renseignement NSA.

    Des travaux remontant à la fin des années 1960 / début des années 1970, menés par la NSA et l'OTAN, ont été conduits pour permettre la définition des standards de classification du matériel utilisé (écrans d'ordinateur, télévisions, etc. ...), dans le cadre de l'usage de matériel ayant un rayonnement radioélectrique ou électromagnétique. Ces travaux ont abouti à la classification du matériel selon 3 niveaux de risque tenant compte de la distance jusqu'à laquelle il est possible de "sentir" le rayonnement de l'appareil. Les classes sont :
    NATO (OTAN) SDIP-27 Level A : zone 0 - proximité immédiate - 1 mètre
    NATO (OTAN) SDIP-27 Level B : zone 1 - 20 mètres
    NATO (OTAN) SDIP-27 Level C : zone 2 - 100 mètres
    On parle aussi d'une classification en zone 3 - 1 kilomètre (mais il n'est pas certain qu'elle soit formellement créée, car un matériel ayant un tel rayonnement est invendable et personne ne l'achèterait ni ne l'utiliserait).

    La NSA a conduit des travaux visant à capturer ces rayonnements. C'est le projet TEMPEST, acronyme supposé de «Transient Electro Magnetic Pulse Emanation Surveillance Technology» (il y a de nombreux acronymes proposés pour TEMPEST et aucun n'a été confirmé).

    L'écoute de rayonnements électromagnétiques existe réellement et, par exemple, dans le réseau Echelon, elle est mise en œuvre, y compris sur les câbles sous marins sur lesquels sont enfilés des manchons (amplification du rayonnement ?) que des sous-marins viennent "écouter".

    Il y a eu toute une littérature fantaisiste et alarmiste, avec force exagérations, dans laquelle ce rayonnement "senti" à distance devient la lecture à 1 km de ce qui s'écrit sur un écran, avec un joyeux mélange de NSA, Echelon, TEMPEST etc. ... Cela a permis de vendre beaucoup de livres et d'augmenter la fréquentation de sites frisant les promoteurs/défenseurs des théories du complot.

    Les contre-mesures sont d'une simplicité enfantine à mettre en œuvre :

    • Cages de Faraday dans lesquelles certains ordinateurs ultra sensibles sont confinés : alimentation par groupe électrogène local - salle suspendue sans aucune ouverture et entièrement chemisée de plomb et/ou de treillis métallique - aucune connexion de quelque nature que ce soit, pas même au réseau électrique, au réseau d'eau...
    • Cage de Faraday du bâtiment dans sa totalité, entouré d'un treillis métallique. Un tel bâtiment, entièrement "décoré" extérieurement d'un treillage métallique, peut être vu en bordure du périphérique parisien.
    • Avoir un terrain dégagé d'1 km autour du bâtiment, c'est tout. Il n'y a pas plus simple !
    Enfin, dans un bâtiment où 2000, 3000, 5000 écrans d'ordinateur, tous de même marque et même modèle, ont strictement le même rayonnement, isoler et écouter à 1 km de distance le rayonnement d'un seul d'entre eux et convertir ce rayonnement en caractères s'affichant sur cet écran relève du pur fantasme.

    Voir le dossier Keyloggers.
  10. Mot de passe : attaque en "Force brute" - Lien permanentMot de passe : attaque en "Force brute"Mot de passe : attaque en "Force brute"

    Le cybercriminel, qui s'est procuré un mot de passe chiffré (son cryptage sous la forme d'un "code de hachage" appelé aussi "chiffre clé"), ou les millions de "chiffres clé" des clients d'une banque, d'un site e-marchand, d'un réseau social etc. ..., par divers procédés de piratage, va utiliser un logiciel spécialisé et, éventuellement, du matériel spécialisé, pour attaquer en "Force brute" les "chiffres clé" (codes de hachage) qu'il s'est procuré et remonter du "chiffre clé" (code de hachage) au mot de passe en clair, bien que le "hachage" soit considéré comme une opération univoque (il n'est, en théorie, pas possible de remonter d'un "code de hachage" (un "chiffres clé") au texte d'origine en clair). Cette forme d'attaque en "Force brute" (ou "Recherche exhaustive") contre les "codes de hachage" des mots de passe (les "chiffres clé") consiste à tenter toutes les combinaisons possibles de caractères des "codes de hachage" jusqu'à trouver les bonnes combinaisons qui correspondent aux "mot de passe" d'origine.

    Si l'algorithme de hachage utilisé est, par exemple, SHA-1, qui "crypte" les mots de passe en "chiffres clé" (codes de hachage) de 160 bits de long, le nombre de calculs qui doivent être effectués est 2 ^ 160 (2 puisque chaque position binaire (chaque bit) ne peut prendre que deux valeurs, 0 ou 1, à la puissance 160 puisque le hachage se fait sur 160 bits).

    Note :
    Le cyber criminel gagne du temps s'il sait quel est le jeu de caractères autorisé pour la création des "mots de passe" qu'il tente de casser, ainsi que les longueurs minimum et maximum de ces mots de passe. Une faille de sécurité est, d'ailleurs, que ces informations sont faciles à obtenir : il suffit de tenter d'ouvrir un compte sur le système attaqué pour que l'autorité vous dise, la plupart du temps, que votre "mot de passe" doit faire tant de caractères de long et ne comporter que tels et tels caractères. Le choix de l'algorithme d'attaque en "Force brute" ou de la portion du dictionnaire pour une attaque par Dictionnaire ou le choix de la Rainbow table à utiliser pour attaquer tous les mots de passe d'une autorité est ainsi dévoilé par l'autorité elle-même !

    Le cybercriminel peut alors utiliser le couple "login + mot de passe" pour accéder à la ressource convoitée.

    On peut oser un rapprochement incongrue et déclarer que les "attaques par dictionnaires" sont une forme "intelligente" d'attaque en "force brute". Contre des "mot de passe" un peu durs, l'attaque en "Force brute", bien que possible, va prendre des mois, voire des années, pour percer un seul "mot de passe", même avec les vitesses de calcul actuelles de nos ordinateurs. C'est le problème du Temps. Accéder à une donnée avec des années de retard sur sa signifiance risque de conduire à une donnée totalement périmée, n'ayant plus aucune valeur.

  11. Mot de passe : attaque en "Dictionnaire" - Lien permanentMot de passe : attaque en "Dictionnaire"Mot de passe : attaque par Dictionnaire

    L'attaque des "mots de passe" par dictionnaire est une forme d'attaque dirigée contre les "mots de passe" en clair, pas contre le chiffrement des mots de passe (pas contre les "hashcodes"). On se limite à tenter des mots existants réellement dans un dictionnaire au lieu de tenter, en aveugle (en "force brute" pure), toutes les combinaisons possibles de caractères.

    L'idée est qu'un utilisateur aura tendance, naturellement, à aller vers la facilité et donc à utiliser quelque chose de facile à retenir, quelque chose existant déjà, au lieu d'une suite barbare de caractères impossibles à mémoriser (ce qui est, pourtant, l'une des règles de bonne pratique avec les mots de passe).

    L'attaque par dictionnaire cherche donc à pallier le problème du temps soulevé par les attaques en "force brute". Elle risque de passer à côté de mots de passe tarabiscotés, mais est beaucoup plus rapide que la "force brute". Seul le compromis temps/mémoire par "Tables Arc-en-ciel" arrive à casser relativement rapidement tous les mots de passe.

    Nombre de combinaisons possibles lors d'une attaque par dictionnaire
    Dans une attaque en "force brute" de mots de passe de 8 caractères de long utilisant un jeu de caractères simpliste, de 26 lettres uniquement (majuscules ou minuscules - insensibles à la case) et les 10 chiffres, il y a déjà 2 901 713 047 668 combinaisons possibles.

    Dans une attaque par dictionnaire, on va tenter tous les mots présents dans de simples dictionnaires de la langue de l'utilisateur attaqué ainsi que les mots de passe faibles habituels (mots de passe par défaut des équipements, dates, immatriculations de véhicules, dictionnaires de noms d'animaux, dictionnaires des patronymes d'un pays ou d'une culture, dictionnaire des prénoms, etc. ...).

    En nombre, cela donne :

    • 200.000 combinaisons existant réellement dans la langue française, noms propres inclus (selon l'Académie Française, ici). Et encore... un dictionnaire d'écolier, avec 20.000 mots, est suffisant ! Et encore... dans une attaque contre un mot de passe que l'autorité de vérification limite à 8 caractères, il faudrait ne tenir compte que des mots de moins de 9 caractères !

    • Ajoutons à cela les "mots de passe" les plus bêtes, construits à partir de dates. Généralement, ce sont les dates anniversaires de naissance ou d'un évènement vécu qui sont utilisées. On se limitera donc aux 100 dernières années soit, à raison de 365 dates par an, 36.500 dates. Combien êtes-vous à utiliser la date de la prise d'Uxellodunum comme mot de passe ?

    • Dans le pire des cas, si l'attaque est robotisée, ajoutons :

      • Environ 20.000 prénoms
      • Environ 1.500.000 patronymes
      • Les noms d'animaux (nombre ?)
      • Les immatriculations possibles de véhicules (nombre ?)
      • Les juxtapositions et permutations de patronymes/prénoms ou prénoms/patronymes ou leurs initiales
    Si ces attaques prennent, normalement, beaucoup de temps, même si elles en prennent beaucoup moins que les attaques en "force brute", le hasard peut s'en mêler et l'attaque peut aboutir rapidement. Il en est ainsi de l'attaque par dictionnaire faite par un pirate dont le pseudo était GMZ, en janvier 2011, contre le réseau social Twitter. Assis devant son écran, et après une seule nuit d'attaque contre le compte d'un administrateur dont le pseudo est "Crystal", GMZ trouva son mot de passe, "happiness", un mot que l'on trouve dans un dictionnaire basique anglais (donc un "mot de passe" très faible !). Une vidéo de cette attaque existe :

    Chargement...

    Attaque réussie, par dictionnaire


    Pourquoi ne pas construire, une bonne fois pour toutes, des dictionnaires inverses utilisant toutes les combinaisons possibles de caractères pour les mots de passe et en calculant à l'avance tous leurs hascodes ?
    Parce que de tels dictionnaires sont impossibles à stocker !

    Pourrait-on établir un dictionnaire de toutes les combinaisons possibles de caractères (pour des mots de passe d'une longueur maximum donnée utilisant un jeu de caractères donné) et mettre ça sur un CD-Rom avec le calcul de tous leurs hashcodes ? Ainsi, lorsque l'on se trouvera en présence d'un hashcode donné, il suffira de le chercher dans le dictionnaire pour, en moins d'un pouième de seconde, trouver le mot de passe convoité à l'origine du hashcode. En théorie, on peu construire un tel dictionnaire et il n'est pas très lent à construire. Dans la pratique, non ! Dès qu'un mot de passe est un peu long, les tailles de tels dictionnaires sont gigantesques, délirantes.

    Par exemple, la mémoire de stockage d'un seul de ces dictionnaires, pour toutes les combinaisons possibles de mots de passe d'une longueur donnée et leurs hashcodes SHA-1, dans un jeu de seulement 36 caractères (les 26 majuscules ou les 26 minuscules + les 10 chiffres), serait de :

    Mots de passe de 8 caractères : 81 248 téraoctets (2 901 713 047 668 combinaisons de mots de passe de 8 caractères + 20 caractères pour le hash SHA-1 soit 2 901 713 047 668 x 28 = 81 247 965 334 704 caractères ! Le temps de recherche dans de tels dictionnaires n'est pas excessivement long (s'ils pouvaient être construits) : tri préalable sur le hash puis recherches par dichotomie en accès direct (le hash étant en binaire, il est incompressible et une recherche par arbre-B (B-Tree) doublerait la taille du dictionnaire pour un gain, en vitesse d'accès, assez faible ).
    Mots de passe de 9 caractères : 3 029 388 téraoctets
    Mots de passe de 10 caractères : 112 818 603 téraoctets
    Mots de passe de 11 caractères : 4 196 852 043 téraoctets
    Mots de passe de 12 caractères : 155 960 437 193 téraoctets
    Mots de passe de 13 caractères : 5 790 031 230 781 téraoctets
    Mots de passe de 14 caractères : 214 757 522 014 427 téraoctets


    Pourquoi ne pas construire, une bonne fois pour toutes, des dictionnaires inverses utilisant tous les mots du dictionnaire de la langue et de quelques autres dictionnaires (prénoms, patronymes...) ?

    Multiplions les 200.000 mots de la langue française par 10 (pour tenir compte des masculins/féminins/singuliers/pluriels/conjugaisons, etc. ...)
    Il existerait plus de 20.000 prénoms
    Il y aurait environ 1.500.000 patronymes
    365 jours par ans pour les 100 dernières années soit 36500 dates
    Arrondissons à 30 millions de mots et combinaisons, sans tenir compte de détails inutiles ici) :

    Mots de passe de 8 caractères : 840 GO (30.000.000 * (8 caractères + 20 caractères pour le hash SHA-1) soit 30.000.000 x 28 = 840 000 000 caractères - Ca tient sur un petit Disque dur courant. Le temps de recherche dans de tels dictionnaires n'est pas significatif : tri préalable sur le hash puis recherches par dichotomie en accès direct (le hash étant en binaire, il est incompressible et une recherche par arbre-B (B-Tree) doublerait la taille du dictionnaire pour un gain, en vitesse d'accès, assez faible).
    Mots de passe de 9 caractères : 870 GO
    Mots de passe de 10 caractères : 900 GO
    Mots de passe de 11 caractères : 930 GO
    Mots de passe de 12 caractères : 960 GO
    Mots de passe de 13 caractères : 990 GO
    Mots de passe de 14 caractères : 1020 GO

  12. Mot de passe : attaque "Tables Arc en ciel" (Rainbow tables) - Lien permanentMot de passe : attaque "Tables Arc en ciel" (Rainbow tables)Mot de passe : attaque "Tables Arc en ciel" (Rainbow tables)

    Attaques par Tables Arc en ciel (Rainbow Tables) (technique)
    Les attaques en "Force brute" prenant trop de temps et les attaques par Dictionnaires prenant trop de place mémoire, il a fallu trouver un "Compromis Temps / Mémoire". Ce sont les "Tables Arc en ciel" ("Rainbow tables").