Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.01.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Vos mots de passe doivent être « durs » (longs [minimum 12 caractères], complexes [chiffres, lettres minuscules et majuscules, signes spéciaux mélangés], impossibles à s'en souvenir [dans le genre 1aXùU95tBéµ7], tenus totalement secrets, impossibles à déceler même si l'on vous regarde le frapper au clavier à cause de caractères choisis un peu partout sur le clavier...).

Chaque chose (compte, etc.) à protéger doit disposer de son propre mot de passe. Aucun mot de passe ne doit être utilisé pour protéger plus d'un seul objet à protéger.

Test de solidité d'un mot de passe

Puisque les mots de passe protègent des données confidentielles et sont tenus secrets, ils intéressent beaucoup de monde, tous criminels (mis à part le cas du technicien de maintenance qui tente de vous sortir du pétrin lorsque vous avez perdu votre mot de passe !).

De nombreuses méthodes se sont développées pour se procurer les mots de passe, qu'ils soient cryptés ou non. Soyez vigilant à chaque type d'attaque (caméra, keylogger matériel ou logiciel, miroir dans votre dos, intimidation, persuasion, fishing, etc. ...).




Le premier facteur de risque, dans la révélation des mots de passe, c'est vous. Il est certain que si votre attitude est inappropriée, si vous collez le code secret de votre carte bancaire sur un bout de papier scotché sur votre carte bancaire, si vous affichez vos identifiants et mots de passe informatiques / Internet sur un post-it sur l'écran... il faut commencer par corriger ces négligences et changer tous vos mots de passe. Activez un antivirus contre le virus PEBCAK.




En matière de « Sécurité de l'information » (en informatique, en cryptographie, en matière de vie privée sur l'Internet, etc.), l'« Ingénierie sociale » (« Social engineering » en anglais), est la méthode la plus répandue et la plus simple de convaincre un individu et le conduire à révéler ce qui devrait rester caché ou faire ce qui ne devrait pas être fait. C'est une escroquerie en col blanc. Par exemple, lors d'une attaque contre un « mot de passe » d'un individu, l'« Ingénierie sociale » consiste à convaincre cet individu de donner, volontairement, son couple : identifiant (login - UserName) et « mot de passe ». L'attaquant se fait passer pour le responsable du service informatique de son entreprise ou pour un cadre dirigeant stressé travaillant cette nuit pour produire dans l'urgence, lors d'une importante réunion qui a lieu demain matin, un document urgent, etc. Cela se fait le plus souvent à distance (téléphone, courriel...), à un moment où l'individu attaqué ne peut se déplacer (de nuit, de week-end...).

C'est tout un art, mais en matière de « Sécurité de l'information », il s'agit d'un acte frauduleux.

Plus le hacker attaquant est un bon comédien charismatique et plus l'attaque à des chances de réussir. Le taux de réussite de ce type d'attaques frise les 100% !

La « bonne foi », l'imposture de l'attaquant, etc. ne sont pas des arguments de défense et c'est l'individu attaqué qui constitue la « faille de sécurité ». Il aurait dû activer un antivirus contre le virus PEBCAK.




Le « Phishing » (« Hameçonnage » ou « Filoutage ») est une attaque de type « Ingénierie sociale » consistant à récupérer les identifiants des internautes, tout simplement en leur demandant de les donner, sans éveiller le moindre soupçon de leur part.

La méthode consiste à convaincre l'internaute, d'une manière ou d'une autre, de se rendre sur une page Web imitant parfaitement une page d'un site officiel d'une banque ou d'un organisme ou d'une administration ou d'un site quelconque de très grande taille, comme Yahoo!, utilisant des données d'authentification.

Fabrication d'une page de phishing

Une imitation parfaite d'une page réelle d'un site est d'une simplicité enfantine à réaliser. Vous pouvez, vous-même, copier une page d'un site, en faisant, dans votre navigateur, « Fichier » Fabrication d'une page de phishing - Attaque de mots de passe « Enregistrer sous... ». Vous récupérez instantanément une copie exacte d'une page réelle d'un site réel, avec tout son code HTML, toute sa mise en page, son design, sa charte graphique, tous les liens réels vers les images réelles, les logos réels, les autres pages réelles du site... Les liens présents sont réels et envoient bien vers toutes les rubriques réelles du site réel, etc. ... Le système de navigation est réel... Ouvrez votre sauvegarde de cette page, dans votre navigateur Web, et promenez le curseur de votre souris sur tous ces liens. Regardez les URL - elles sont toutes réelles. Cliquez sur ces liens. Ils vous envoient réellement vers les pages réelles du site réel.

Il ne vous reste plus qu'à effacer le milieu de la page et mettre, à la place, un formulaire de saisie d'identifiants, numéros de compte, numéro de carte bancaire, code secret, etc. et un bouton d'envoi !

Le bouton d'envoi masquera l'URL de destination par un simple script, en JavaScript, faisant apparaître un lien factice vers le site réel afin de rassurer la victime. Le clic sur ce bouton enverra le formulaire, méticuleusement complété par le gogo naïf, ailleurs, sur la machine du cybercriminel.

Une fois cette page d'usurpation réalisée, il suffit de l'héberger sur un serveur (un serveur piraté (hacké), car possédant une faille de sécurité, d'un webmaster quelconque qui ne se rend compte de rien. Il existe des logiciels de recherche de failles de sécurité et de vulnérabilités permettant de détecter des serveurs ou des sites Web mal protégés). Utilisez également les listes d'outils de Web-réputation et les listes d'outils de recherche dans les listes noires.

La mise en exploitation de cette page d'usurpation consiste à lancer un vaste filet pour capturer le maximum d'internautes crédules en très peu de temps, raison pour laquelle la peur est souvent employée (menaces, votre compte va être fermé, pseudo dette et menace d'huissiers et de poursuites judiciaires immédiates, vous avez 24 heures pour vous mettre à jour, etc.).

La campagne de spam (méthode privilégiée) utilise un botnet que le cybercriminel auteur d'une opération de phishing loue, pour une quinzaine de minutes, à un autre cybercriminel « propriétaire » d'un botnet. Ils se connaissent tous dans le Web caché (le Dark Web). Ils ont des forums de discussions cachés où ils vendent et achètent de tout en matière de cybercriminalités. Quinze minutes coûtent une centaine d'€ et sont suffisantes pour envoyer des dizaines de millions de spams. Le serveur qui héberge la page contrefaite se trouve dans un pays off-shore et la page contrefaite n'est disponible que quelques heures puis disparaît. Elle n'est pas traçable et le mal est fait.

Le cybercriminel va à la pêche aux informations qui devraient rester cachées, et c'est vous-même qui allez les lui donner. C'est vous qui êtes le poisson que le cybercriminel ferre (« phishing » dérive du verbe signifiant « aller à la pèche » en anglais - « fishing », une forme verbale (participe présent / le gérondif) du verbe « To fish » (pêcher, aller à la pêche). Des pirates vont à la pêche et vont ferrer le poisson (l'internaute naïf).).

Le cas d'usage le plus répandu du « Phishing » (« Hameçonnage ») est l'envoi massif d'un message, par email (« Spam ») ou par SMS (« SMiShing ») accrocheur afin de récupérer des milliers d'identifiants - Mots de passe - N° de cartes bancaires - N° de comptes bancaires, etc. en quelques minutes.

Le site frauduleux (cette imitation parfaite d'une page d'un site réel d'une banque, d'un fournisseur d'accès Internet, d'un e-commerçant, d'une administration, etc.), vers lequel le gogo crédule est dirigé, va être détecté par des organismes de surveillance comme Lexsi, mais, entre temps, le cybercriminel, quelque part dans le monde, aura récupéré les données de quelques milliers de victimes et les aura déjà dépouillées.

Pour une raison quelconque, le texte va vous convaincre de donner votre « login » et votre « mot de passe », et d'autres données (carte bancaire, numéro de compte, code secret...), que l'attaquant récupère en clair, tout simplement, pour s'attaquer ensuite à vos ressources (piller votre compte bancaire, hacker vos sites Internet, fabriquer une carte de crédit falsifiée, tout savoir sur vous, etc.).

Des « Spam » de « Phishing » sont envoyés par milliards chaque jour, dans le monde entier. Qui n'a pas reçu, parfois plusieurs fois par jour, des courriels du genre :

  • "EDF - Coupure de votre fourniture d'électricité demain - Veuillez régler immédiatement - Service contentieux."

  • "EDF - Dernière démarche amiable avant coupure"

  • "Suite à un crash de nos systèmes, vérification et réactivation de votre compte"

  • "Urgent - Suspension de votre compte"

  • "Demande de mouvement financier suspect sur votre compte - Veuillez vérifier"

  • "Crédit Lyonnais - Mise à jour de notre système de sécurité"

  • "Confirmation de facturation - Vérifiez les informations"

  • "Société Générale : Une importante information"

  • "Notification de restriction de l'accès au compte"

  • "Problème concernant votre compte"

  • "Notification de connexion à votre compte !"

  • "[Free] Coordonnées non à jour - Ref. #4657682356789"

  • "Confirmation de création de votre espace abonné"

  • "Votre contrat a été modifié"

  • "Confirmez votre adresse de courriel"

  • "Problème sur votre carte bancaire !"

  • "Votre compte d'accès a été limité"

  • "Problème de non réception d'argent sur votre compte"

  • "Problème facture N337624364 du 02/03/2013"

  • "Si vous ne mettez pas à jour vos références, votre compte sera clos sous 24 heures."

  • "Mouvements suspects sur votre compte, vérifiez vos coordonnées."

  • "Le séjour avec hébergement payé que vous avez gagné - Nous n'avons pas reçu votre formulaire de réservation"

  • "Concernant votre compte"

  • "Prélèvement impayé - il vous reste 24 heures avant déclenchement de la procédure judiciaire."

  • "Vous avez gagné le tirage de mercredi."

  • Etc. (Tous les titres qui ressemblent, de près ou de loin, à ceux-là sont des cybercriminalités de type « Phishing » ou « SMiShing ». Ne jamais les ouvrir ! ).




Introduction, à domicile comme en entreprise, d'un espion (technicien de surface, service technique externe, visiteur, etc.) qui recopie/photographie, tout simplement, le post-it sur lequel sont affichés les mots de passe (ou le carnet, dans le tiroir, dans lequel sont consignés tous les mots de passe...). Activez un antivirus contre le virus PEBCAK.




Rien à dire !... Et tout à voir et regarder à partir d'une caméra de surveillance cachée et communiquant en Wi-Fi (sans câble). Le paramétrage totalement discret de la caméra, sans laisser de trace dans les journaux, est très technique.




Vol des mots de passe stockés sur un site Web - piratage du mécanisme d'autorité qui stocke les mots de passe.

  • Si ceux-ci sont cryptés avec des moyens "légers" (cryptage MD5 ou SHA-1 et autres algorithmes de "chiffres clé" faibles) et que les mots de passe en eux-mêmes sont faibles (mots de passe de moins de 14 caractères, mots de passe n'utilisant que des chiffres et des lettres, sans utiliser les caractères spéciaux ou accentués), les outils de cassage de mots de passe ("Rainbow tables") vont venir rapidement à bout des millions de mots de passe volés sous l'autorité faible.

  • Si ceux-ci sont stockés en clair !... Sachant que la plupart des utilisateurs se servent du même mot de passe et du même identifiant (login) sur tous leurs comptes !... Par exemple, le site YouPorn, l'un des sites les plus visités au monde (classement Alexa de YouPorn), avec 4,75 millions de comptes, a vu les comptes de sa zone de tchat en ligne, YP Chat et ses 1 million de comptes, piratés (login, mot de passe, adresse e-mail). Or ces comptes étaient stockés en clair et une faille de sécurité a permis d'y accéder ! Ceci a été dévoilé le 21 février 2012 par la publication d'un extrait de cette liste (1, 2). Les usages que peut en faire un pirate sont multiples : chantage à l'e-réputation avec extorsion de fonds, spam, ingénierie sociale, compromission des autres comptes des utilisateurs sur d'autres sites Web, etc.

    Voir plusieurs exemples de Hack de mots de passe (par milliers ou par millions, et même par milliards).




Sniffing sur HTTPS (attaque technique en sniffing nécessitant, en plus, de casser le cryptage TLS 1.0)

Lorsque la communication entre le client (vous) et le serveur (de la banque en ligne, de l'autorité administrative...) est établie de manière sécurisée, avec le protocole HTTPS, le cryptage utilise un algorithme de chiffrement comme SSL ou TLS.

TLS 1.0 est la norme depuis 2001, en dépit de TLS 1.1 publié en 2006 et TLS 1.2 publié en 2008. Or TLS 1.0 est affecté d'une vulnérabilité, connue de longue date, du chiffrage utilisé : Cipher Block Chaining. Un simple code en JavaScript inséré dans une page (piégée par un hacker) du site consulté permet d'insérer dans un paquet récupéré par un "renifleur" ("sniffer") la valeur du cookie de session. Cette valeur est la clé de cryptage et va servir à décrypter la communication.




Man in the Middle est une attaque technique de type Sniffing, mais visant le protocole HTTPS lui-même et non pas le contenu. Cette attaque consiste à introduire un dispositif (un ordinateur) entre le site sensible (le serveur de la banque en ligne, etc. ...) utilisant le protocole HTTPS et le client (vous). La communication, qui est normalement sécurisée, en utilisant le protocole HTTPS, est transformée, côté client, en simple HTTP (non sécurisée). Le client manquant de vigilance (grande majorité des cas) n'observe pas le logo signalant que le protocole n'est pas sécurisé (cadenas ouvert au lieu de fermé, en bas à droite du navigateur Web ou autre forme visuelle) et envoie ses données en clair. La suite de l'attaque se réduit à du simple sniffing. Cette attaque sert à récupérer des identifiants et mots de passe, mais aussi des numéros de cartes bancaires, etc.

Attaque Man in the Middle par Nokia contre HTTPS et ses clients/utilisateurs




Le protocole HTTPS permet de vérifier l'authenticité du site visité grâce à un certificat électronique d'authentification. Le problème fondamental des certificats est qu'ils sont émis par de simples sociétés commerciales qui s'autoproclament "Autorité de certification" et se gargarisent de "Politiques de certification", etc. Rien n'empêche un cybercriminel en col blanc de monter une structure aux apparences respectables et d'acheter un certificat électronique d'authentification en trompant une "Autorité de certification" par ailleurs de confiance, ou avec la complicité de l'"Autorité de certification" ou, lorsque les cybercriminels se regroupent, en montant, entre eux, une "Autorité de certification" criminelle qui sévira un certain temps.

D'autre part, des certificats frauduleux peuvent être forgés. Le cas le plus médiatisé d'authentification frauduleuse est celui dit du "Virus Stuxnet", découvert en juin 2010, qui a permis de prendre le contrôle des process industriels commandant les centrifugeuses du programme nucléaire iranien et de les détruire, ralentissant de deux ans, selon les observateurs, la progression de ce programme nucléaire. Le virus "Flame", découvert en mai 2012, ciblant essentiellement le vol de documents sur le programme nucléaire iranien, utilisait aussi des certificats d'authentification frauduleux. Microsoft a publié le 3 juin 2012 et mis à jour le 13 juin 2012 ses procédures de certifications digitales.

Des certificats numériques non autorisés pourraient permettre une usurpation de contenu - KB (2718704).
Microsoft certification authority signing certificates added to the Untrusted Certificate Store.




L'attaque par keylogger (enregistreur de frappe au clavier) est une attaque technique visant à récupérer, « en clair » (« à la source »), n'importe quelle information, directement lors de sa saisie au clavier, avant qu'elle ne soit soumise à un algorithme de cryptographie (chiffrement).

Les données visées par ces attaques sont principalement les mots de passe (de cibles choisies comme du vulgum pecus).

Tout appareil susceptible d'être utilisé par une personne « intéressante » est la cible de keylogger.

Les dispositifs de clavier virtuel des sites Web, voire des outils de type antivirus ou antimalwares permettent de lutter contre les keyloggers.

Un keylogger est un dispositif immatériel (logiciel...) capturant les frappes au clavier. Lorsque les frappes concernent les zones de login et de mot de passe, le poseur du keylogger récupère ces informations en clair.

En amont du keylogger, il y a tous les moyens de nature virale pour introduire le keylogger dans un appareil (Cheval de Troie, Downloader...) ainsi que l'exploitation de la crédulité humaine (« Protégez-vous en installant tel bidule de sécurité machin-chose » qui s'avère être un keylogger, etc.).

Voir : Dossier : Keylogger.




Un Keylogger acoustique est un dispositif technique d'espionnage d'un appareil de manipulation de l'information.

Le 10 mai 2004, lors du 2004 IEEE Symposium on Security and Privacy, deux chercheurs d'IBM, Dmitri Asonov et Rakesh Agrawal ouvrent la session avec une communication : "Keyboard Acoustic Emanations". Ils prétendent qu'après une phase d'apprentissage où il faut frapper sur chaque touche du clavier une trentaine de fois, un micro ordinaire et un bon logiciel suffisent à enregistrer un texte tapé sur un clavier. Les taux de réussite de la reconnaissance des touches frappées au clavier frisent les 80%, soit des taux supérieurs aux taux de réussite des attaques TEMPEST (keyloggers électromagnétiques). Les changements de claviers ou les changements de dactylographe nécessitent une nouvelle phase d'apprentissage.

En novembre 2005, une nouvelle communication sur un Keylogger acoustique est faite par Li Zhuang, Feng Zhou et J. D. Tygar, lors de la "12th ACM Conference on Computer and Communications Security", dans "Keyboard Acoustic Emanations Revisited". Dans leur démonstration, ils se basent non pas sur une phase d'apprentissage préalable des bruits du clavier, mais sur un apprentissage en temps réel durant l'attaque avec essentiellement la répartition statistique des lettres dans la langue espionnée, appuyé par un correcteur lexical et par des outils utilisés en traitement du langage comme des automates de Markov à états cachés... Au bout de 10 minutes d'écoute, le taux de précision est de 90%.

Keylogger acoustique - Signal audio de la frappe d'une touche au clavier
Keylogger acoustique - Signal audio de la frappe d'une touche au clavier

La démonstration en a été faite en 2008 contre des mots de passe. Dans cette démonstration, le Keylogger acoustique a récupéré en clair des mots de passe tapés sur un clavier sur trouvant à 20 mètres de distance et dans une autre pièce !

C'est le LASEC (Laboratoire de Sécurité et de Cryptographie) de l'EPA (École Polytechnique Fédérale de Lausanne - Suisse), où enseigne Philippe Oechslin (à qui nous devons les Tables Arc en Ciel (Rainbow tables) pour décrypter les mots de passe cryptés), qui a travaillé sur le rayonnement acoustique des frappes de touches sur des claviers. Ce que ne montre pas la démonstration est qu'il faut une phase d'apprentissage au keylogger acoustique pour être opérationnel, ce qui rend son déploiement assez lent.

Les deux démonstrations suivantes de keylogger acoustique remontent à 2008.


Chargement...

Keylogger acoustique - Démonstration 1
Compromising electromagnetic emanations of wired keyboards
Martin Vuagnoux - Sylvain Pasini


Chargement...

Keylogger acoustique - Démonstration 2
Compromising electromagnetic emanations of wired keyboards
Martin Vuagnoux - Sylvain Pasini

La contre-mesure à un keylogger acoustique est assez simple. En cas de matériel traitant des données sensibles, mettre cet appareil dans une pièce anéchoïque ou dans un caisson anéchoïque. L'utilisation d'un clavier virtuel règle définitivement le problème acoustique, y compris si le micro est planqué dans l'épaisseur du bureau ou dans le clavier mécanique lui-même. Enfin, générer du bruit (écouter de la musique, par exemple), rend l'écoute très difficilement exploitable, voire inexploitable.

Keylogger acoustique - Contre-mesure - Chambre anéchoïque
Keylogger acoustique - Contre-mesure - Chambre anéchoïque chez anechoique.com

Mots clés autour de cette attaque :
Acoustic Emanations
Émanations acoustiques

Voir le Dossier : Keylogger.




Le cas le plus célèbre et médiatisé de keylogger électromagnétique est celui du Keylogger appelé TEMPEST et opéré par l'agence américaine de renseignement NSA.

Des travaux remontant à la fin des années 1960 / début des années 1970, menés par la NSA et l'OTAN, ont été conduits pour permettre la définition des standards de classification du matériel utilisé (écrans d'ordinateur, télévisions, etc.), dans le cadre de l'usage de matériel ayant un rayonnement radioélectrique ou électromagnétique. Ces travaux ont abouti à la classification du matériel selon 3 niveaux de risque tenant compte de la distance jusqu'à laquelle il est possible de "sentir" le rayonnement de l'appareil. Les classes sont :

  • NATO (OTAN) SDIP-27 Level A : zone 0 - proximité immédiate - 1 mètre

  • NATO (OTAN) SDIP-27 Level B : zone 1 - 20 mètres

  • NATO (OTAN) SDIP-27 Level C : zone 2 - 100 mètres

On parle aussi d'une classification en zone 3 - 1 kilomètre (mais il n'est pas certain qu'elle soit formellement créée, car un matériel ayant un tel rayonnement est invendable et personne ne l'achèterait ni ne l'utiliserait).

La NSA a conduit des travaux visant à capturer ces rayonnements. C'est le projet TEMPEST, acronyme supposé de «Transient Electro Magnetic Pulse Emanation Surveillance Technology» (il y a de nombreux acronymes proposés pour TEMPEST et aucun n'a été confirmé).

L'écoute de rayonnements électromagnétiques existe réellement et, par exemple, dans le réseau Echelon, elle est mise en œuvre, y compris sur les câbles sous-marins sur lesquels sont enfilés des manchons (amplification du rayonnement ?) que des sous-marins viennent "écouter".

Il y a eu toute une littérature fantaisiste et alarmiste, avec force exagérations, dans laquelle ce rayonnement "senti" à distance devient la lecture à 1 km de ce qui s'écrit sur un écran, avec un joyeux mélange de NSA, Echelon, TEMPEST, etc. Cela a permis de vendre beaucoup de livres et d'augmenter la fréquentation de sites frisant les promoteurs/défenseurs des théories du complot.

Les contre-mesures sont d'une simplicité enfantine à mettre en œuvre :

  1. Cages de Faraday dans lesquelles certains ordinateurs ultras sensibles sont confinés : alimentation par groupe électrogène local - salle suspendue sans aucune ouverture et entièrement chemisée de plomb et/ou de treillis métallique - aucune connexion de quelque nature que ce soit, pas même au réseau électrique, au réseau d'eau...

  2. Cage de Faraday du bâtiment dans sa totalité, entouré d'un treillis métallique. Un tel bâtiment, entièrement "décoré" extérieurement d'un treillage métallique, peut être vu en bordure du périphérique parisien.

  3. Avoir un terrain dégagé de 1 km autour du bâtiment, c'est tout. Il n'y a pas plus simple !

Enfin, dans un bâtiment où 2000, 3000, 5000 écrans d'ordinateur, tous de même marque et même modèle, ont strictement le même rayonnement, isoler et écouter à 1 km de distance le rayonnement d'un seul d'entre eux et convertir ce rayonnement en caractères s'affichant sur cet écran relève du pur fantasme.

Voir le Dossier : Keylogger.




L'attaque en force brute est l'une des méthodes utilisées en cryptanalyse pour tenter de casser un cryptage. Le principe en lui-même de l'attaque en force brute ne vise pas exclusivement les mots de passe, mais c'est dans ce domaine que ce type d'attaques est essentiellement utilisé.

Un cybercriminel s'est procuré un identifiant (login) et le hashcode du mot de passe associé à cet identifiant (ou des listes d'identifiants et les hashcodes des mots de passe associés). On ne se soucie pas du moyen mis en oeuvre pour les obtenir (piratage d'un serveur, écoute par sniffer, etc.). La question n'est pas là.

L'attaque en force brute commence lorsque l'on dispose du couple dont on ne peut rien faire :

  1. identifiant

  2. chiffre clé (codage, on ne sait par quel algorithme, du mot de passe)

Il faut remonter du chiffre clé au mot de passe d'origine. Il faut casser le chiffre clé qui, normalement, ne permet pas de remonter à la chaîne de caractères qui a servi à le générer puisque le cryptage du mot de passe, ou de tout autres choses, est à sens unique (univoque). Il n'y a pas de formule pour décrypter un hashcode, il n'y a que des méthodes.

L'une des méthodes possibles est de recommencer : crypter toutes les combinaisons possibles de caractères autorisés, avec le même algorithme (MD5, SHA-1, etc.), jusqu'à obtenir un hashcode identique à celui détenu. Pour savoir quel est l'algorithme utilisé, on regarde la longueur du hashcode piraté : 16 caractères, c'est du MD5, 20 caractères c'est du SHA-1, etc.

En utilisant du matériel spécialisé (réseau de type botnet ou ordinateur ultrarapide à base de matériel spécialement développé pour les attaques en « force brute », etc.), et après un certain temps de calcul, on finit par trouver le mot de passe à l'origine du hashcode détenu. On peut alors usurper l'identité du titulaire en utilisant son couple identifiant / mot de passe.

Les attaques en « force brute » se heurtent au problème du temps de calcul qui :

  1. Temps de calcul qui peut prendre des années, voire des trillions de trillions de siècles.

  2. Temps de calcul qui nécessite du matériel dont la puissance de calcul est à des prix délirants.

    Il est certain que des clusters (grappes) de machines dotées chacune de dizaines de processeurs Xéon (le même type que pour les serveurs rapides et fiables ou le minage de monnaies virtuelles) et de dizaines de processeurs graphiques monstrueusement puissants (dont certaines fonctions de calcul sont beaucoup plus rapides qu'avec les processeurs centraux), sera incommensurablement plus rapide qu'un bête PC avec un Intel CORE I7, Intel CORE I9 ou Intel CORE IX aussi rapide et overclocké qu'il soit. On peut arriver à des installations à plusieurs millions d'€ donc il faut que les comptes attaqués en vaillent le coup (mis à part les attaques en cyberguerres d'un état contre un autre état, là où les moyens des NSA ou FAPSI sont illimités).

  3. Temps de calcul qui est totalement dépendant de la longueur des mots de passe et du jeu de caractères utilisés dans les mots de passe.




L'attaque enforce bruteest l'une des méthodes utilisées encryptologie / cryptanalysepour tenter de casser unchiffrement(cryptage). Le principe en lui-même de l'attaque enforce brutene vise pas exclusivement lesmots de passe, mais c'est dans ce domaine que ce type d'attaques est essentiellement utilisé.

Uncybercriminels'est procuré unidentifiant(login-mot de passe) et sonhashcode cryptographique(ou des listes d'identifiantset leurshashcodes cryptographiques). On ne se soucie pas du moyen mis enœuvre pour les obtenir :

  • Piratage d'unserveur.

  • Écoute parsniffer.

  • Création, par uncybercriminel, d'un service gratuit en ligne (unsite Web) pour permettre aux internautes de saisir un mot de passe (unidentifiant, etc.) et obtenir tous seshashcodes cryptographiquesdans les diversalgorithmes de calcul de hashcodes, et, inversement, de saisir unhashcode cryptographiquepour tenter de retrouver ce qui a été oublié (un mot de passe ou quoi que ce soit dont on a juste lehashcode cryptographique). Ceci permet au cybercriminel de sauvegarder toutes ces paires puis, en se heurtant plus tard à un hashcode, lors d'une attaque, de remonter du hashcode au mot de passe ou à l'expression clé d'origine. Il existe un nombre incroyable de cybercriminels et leurs services gratuits de ce type. Certains cybercriminels créent des centaines de sites de ce genre sous divers noms, sous diverses apparences, dans diverses langues... Ceci casse le caractère normalement voulu à sens unique (« caractère univoque ») deshashcodes cryptographiques. Il n'y a pas de formule pour décrypter un hashcode, il n'y a que des méthodes.

  • Etc.

Lire :




Attaques par tables arc-en-ciel (Rainbow Tables)

Les attaques en force brute prenant trop de temps et les attaques par dictionnaires prenant trop de place mémoire, il a fallu trouver un compromis temps/mémoire. Ce sont les tables arc-en-ciel (Rainbow tables).

Voir :

  1. Attaque en force brute et le problème du temps

  2. Attaque par dictionnaire et problème de taille

  3. Attaques par Rainbow table : le compromis Temps / Mémoire