Un mot de passe protège quelque chose. Ce qui est protégé est plus intéressant/attirant que ce qui ne l'est pas. Les hackers s'y attaquent. Vous devez en déduire que vos mots de passe doivent être durs (longs, complexes, impossibles à s'en souvenir...).

cr  01.01.2012      r+  21.08.2020      r-  20.04.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Vos mots de passe doivent être « durs » (longs [minimum 12 caractères], complexes [chiffres, lettres minuscules et majuscules, signes spéciaux mélangés], impossibles à s'en souvenir [dans le genre 1aXùU95tBéµ7], tenus totalement secrets, impossibles à déceler même si l'on vous regarde le frapper au clavier à cause de caractères choisis un peu partout sur le clavier...).

Chaque chose (compte, etc.) à protéger doit disposer de son propre mot de passe. Aucun mot de passe ne doit être utilisé pour protéger plus d'un seul objet à protéger.

Test de solidité d'un mot de passe

Puisque les mots de passe protègent des données confidentielles et sont tenus secrets, ils intéressent beaucoup de monde, tous criminels (mis à part le cas du technicien de maintenance qui tente de vous sortir du pétrin lorsque vous avez perdu votre mot de passe !).

De nombreuses méthodes se sont développées pour se procurer les mots de passe, qu'ils soient cryptés ou non. Soyez vigilant à chaque type d'attaque (caméra, keylogger matériel ou logiciel, miroir dans votre dos, intimidation, persuasion, fishing, etc. ...).

Le premier facteur de risque, dans la révélation des mots de passe, c'est vous. Il est certain que si votre attitude est inappropriée, si vous collez le code secret de votre carte bancaire sur un bout de papier scotché sur votre carte bancaire, si vous affichez vos identifiants et mots de passe informatiques / Internet sur un post-it sur l'écran... il faut commencer par corriger ces négligences et changer tous vos mots de passe. Activez un antivirus contre le virus PEBCAK.

En matière de « Sécurité de l'information » (en informatique, en cryptographie, en matière de vie privée sur l'Internet, etc.), l'« Ingénierie sociale » (« Social engineering » en anglais), est la méthode la plus répandue et la plus simple de convaincre un individu et le conduire à révéler ce qui devrait rester caché ou faire ce qui ne devrait pas être fait. C'est une escroquerie en col blanc. Par exemple, lors d'une attaque contre un « mot de passe » d'un individu, l'« Ingénierie sociale » consiste à convaincre cet individu de donner, volontairement, son couple : identifiant (login - UserName) et « mot de passe ». L'attaquant se fait passer pour le responsable du service informatique de son entreprise ou pour un cadre dirigeant stressé travaillant cette nuit pour produire dans l'urgence, lors d'une importante réunion qui a lieu demain matin, un document urgent, etc. Cela se fait le plus souvent à distance (téléphone, courriel...), à un moment où l'individu attaqué ne peut se déplacer (de nuit, de week-end...).

C'est tout un art, mais en matière de « Sécurité de l'information », il s'agit d'un acte frauduleux.

Plus le hacker attaquant est un bon comédien charismatique et plus l'attaque à des chances de réussir. Le taux de réussite de ce type d'attaques frise les 100% !

• Le « phishing » est une forme d'« Ingénierie sociale ».

• Le « spam nigérian » (ou « fraude 419 » ou « nigérian spam ») est une forme d'« Ingénierie sociale ».

• La propagation de virus peut se faire grâce à de l'« Ingénierie sociale ».

La « bonne foi », l'imposture de l'attaquant, etc. ne sont pas des arguments de défense et c'est l'individu attaqué qui constitue la « faille de sécurité ». Il aurait dû activer un antivirus contre le virus PEBCAK.

Le « Phishing » (« Hameçonnage » ou « Filoutage ») est une attaque de type « Ingénierie sociale » consistant à récupérer les identifiants des internautes, tout simplement en leur demandant de les donner, sans éveiller le moindre soupçon de leur part.

La méthode consiste à convaincre l'internaute, d'une manière ou d'une autre, de se rendre sur une page Web imitant parfaitement une page d'un site officiel d'une banque ou d'un organisme ou d'une administration ou d'un site quelconque de très grande taille, comme Yahoo!, utilisant des données d'authentification.

Le cybercriminel va à la pêche aux informations qui devraient rester cachées, et c'est vous-même qui allez les lui donner. C'est vous qui êtes le poisson que le cybercriminel ferre (« phishing » dérive du verbe signifiant « aller à la pèche » en anglais - « fishing », une forme verbale (participe présent / le gérondif) du verbe « To fish » (pêcher, aller à la pêche). Des pirates vont à la pêche et vont ferrer le poisson (l'internaute naïf).).

Le cas d'usage le plus répandu du « Phishing » (« Hameçonnage ») est l'envoi massif d'un message, par email (« Spam ») ou par SMS (« SMiShing ») accrocheur afin de récupérer des milliers d'identifiants - Mots de passe - N° de cartes bancaires - N° de comptes bancaires, etc. en quelques minutes.

Le site frauduleux (cette imitation parfaite d'une page d'un site réel d'une banque, d'un fournisseur d'accès Internet, d'un e-commerçant, d'une administration, etc.), vers lequel le gogo crédule est dirigé, va être détecté par des organismes de surveillance comme Lexsi, mais, entre temps, le cybercriminel, quelque part dans le monde, aura récupéré les données de quelques milliers de victimes et les aura déjà dépouillées.

Pour une raison quelconque, le texte va vous convaincre de donner votre « login » et votre « mot de passe », et d'autres données (carte bancaire, numéro de compte, code secret...), que l'attaquant récupère en clair, tout simplement, pour s'attaquer ensuite à vos ressources (piller votre compte bancaire, hacker vos sites Internet, fabriquer une carte de crédit falsifiée, tout savoir sur vous, etc.).

Des « Spam » de « Phishing » sont envoyés par milliards chaque jour, dans le monde entier. Qui n'a pas reçu, parfois plusieurs fois par jour, des courriels du genre :

• "EDF - Coupure de votre fourniture d'électricité demain - Veuillez régler immédiatement - Service contentieux."

• "EDF - Dernière démarche amiable avant coupure"

• "Suite à un crash de nos systèmes, vérification et réactivation de votre compte"

• "Urgent - Suspension de votre compte"

• "Demande de mouvement financier suspect sur votre compte - Veuillez vérifier"

• "Crédit Lyonnais - Mise à jour de notre système de sécurité"

• "Confirmation de facturation - Vérifiez les informations"

• "Société Générale : Une importante information"

• "Notification de restriction de l'accès au compte"

• "Problème concernant votre compte"

• "Notification de connexion à votre compte !"

• "[Free] Coordonnées non à jour - Ref. #4657682356789"

• "Confirmation de création de votre espace abonné"

• "Votre contrat a été modifié"

• "Confirmez votre adresse de courriel"

• "Problème sur votre carte bancaire !"

• "Votre compte d'accès a été limité"

• "Problème de non réception d'argent sur votre compte"

• "Problème facture N337624364 du 02/03/2013"

• "Si vous ne mettez pas à jour vos références, votre compte sera clos sous 24 heures."

• "Mouvements suspects sur votre compte, vérifiez vos coordonnées."

• "Le séjour avec hébergement payé que vous avez gagné - Nous n'avons pas reçu votre formulaire de réservation"

• "Concernant votre compte"

• "Prélèvement impayé - il vous reste 24 heures avant déclenchement de la procédure judiciaire."

• "Vous avez gagné le tirage de mercredi."

• Etc. (Tous les titres qui ressemblent, de près ou de loin, à ceux-là sont des cybercriminalités de type « Phishing » ou « SMiShing ». Ne jamais les ouvrir ! ).

Introduction, à domicile comme en entreprise, d'un espion (technicien de surface, service technique externe, visiteur, etc.) qui recopie/photographie, tout simplement, le post-it sur lequel sont affichés les mots de passe (ou le carnet, dans le tiroir, dans lequel sont consignés tous les mots de passe...). Activez un antivirus contre le virus PEBCAK.

Rien à dire !... Et tout à voir et regarder à partir d'une caméra de surveillance cachée et communiquant en Wi-Fi (sans câble). Le paramétrage totalement discret de la caméra, sans laisser de trace dans les journaux, est très technique.

Vol des mots de passe stockés sur un site Web - piratage du mécanisme d'autorité qui stocke les mots de passe.

• Si ceux-ci sont cryptés avec des moyens "légers" (cryptage MD5 ou SHA-1 et autres algorithmes de "chiffres clé" faibles) et que les mots de passe en eux-mêmes sont faibles (mots de passe de moins de 14 caractères, mots de passe n'utilisant que des chiffres et des lettres, sans utiliser les caractères spéciaux ou accentués), les outils de cassage de mots de passe ("Rainbow tables") vont venir rapidement à bout des millions de mots de passe volés sous l'autorité faible.

• Si ceux-ci sont stockés en clair !... Sachant que la plupart des utilisateurs se servent du même mot de passe et du même identifiant (login) sur tous leurs comptes !... Par exemple, le site YouPorn, l'un des sites les plus visités au monde (classement Alexa de YouPorn), avec 4,75 millions de comptes, a vu les comptes de sa zone de tchat en ligne, YP Chat et ses 1 million de comptes, piratés (login, mot de passe, adresse e-mail). Or ces comptes étaient stockés en clair et une faille de sécurité a permis d'y accéder ! Ceci a été dévoilé le 21 février 2012 par la publication d'un extrait de cette liste (^{1, 2}). Les usages que peut en faire un pirate sont multiples : chantage à l'e-réputation avec extorsion de fonds, spam, ingénierie sociale, compromission des autres comptes des utilisateurs sur d'autres sites Web, etc.

  Voir plusieurs exemples de Hack de mots de passe (par milliers ou par millions, et même par milliards).

Sniffing sur HTTPS (attaque technique en sniffing nécessitant, en plus, de casser le cryptage TLS 1.0)

Lorsque la communication entre le client (vous) et le serveur (de la banque en ligne, de l'autorité administrative...) est établie de manière sécurisée, avec le protocole HTTPS, le cryptage utilise un algorithme de chiffrement comme SSL ou TLS.

TLS 1.0 est la norme depuis 2001, en dépit de TLS 1.1 publié en 2006 et TLS 1.2 publié en 2008. Or TLS 1.0 est affecté d'une vulnérabilité, connue de longue date, du chiffrage utilisé : Cipher Block Chaining. Un simple code en JavaScript inséré dans une page (piégée par un hacker) du site consulté permet d'insérer dans un paquet récupéré par un "renifleur" ("sniffer") la valeur du cookie de session. Cette valeur est la clé de cryptage et va servir à décrypter la communication.

Man in the Middle est une attaque technique de type Sniffing, mais visant le protocole HTTPS lui-même et non pas le contenu. Cette attaque consiste à introduire un dispositif (un ordinateur) entre le site sensible (le serveur de la banque en ligne, etc. ...) utilisant le protocole HTTPS et le client (vous). La communication, qui est normalement sécurisée, en utilisant le protocole HTTPS, est transformée, côté client, en simple HTTP (non sécurisée). Le client manquant de vigilance (grande majorité des cas) n'observe pas le logo signalant que le protocole n'est pas sécurisé (cadenas ouvert au lieu de fermé, en bas à droite du navigateur Web ou autre forme visuelle) et envoie ses données en clair. La suite de l'attaque se réduit à du simple sniffing. Cette attaque sert à récupérer des identifiants et mots de passe, mais aussi des numéros de cartes bancaires, etc.

Attaque Man in the Middle par Nokia contre HTTPS et ses clients/utilisateurs

Le protocole HTTPS permet de vérifier l'authenticité du site visité grâce à un certificat électronique d'authentification. Le problème fondamental des certificats est qu'ils sont émis par de simples sociétés commerciales qui s'autoproclament "Autorité de certification" et se gargarisent de "Politiques de certification", etc. Rien n'empêche un cybercriminel en col blanc de monter une structure aux apparences respectables et d'acheter un certificat électronique d'authentification en trompant une "Autorité de certification" par ailleurs de confiance, ou avec la complicité de l'"Autorité de certification" ou, lorsque les cybercriminels se regroupent, en montant, entre eux, une "Autorité de certification" criminelle qui sévira un certain temps.

D'autre part, des certificats frauduleux peuvent être forgés. Le cas le plus médiatisé d'authentification frauduleuse est celui dit du "Virus Stuxnet", découvert en juin 2010, qui a permis de prendre le contrôle des process industriels commandant les centrifugeuses du programme nucléaire iranien et de les détruire, ralentissant de deux ans, selon les observateurs, la progression de ce programme nucléaire. Le virus "Flame", découvert en mai 2012, ciblant essentiellement le vol de documents sur le programme nucléaire iranien, utilisait aussi des certificats d'authentification frauduleux. Microsoft a publié le 3 juin 2012 et mis à jour le 13 juin 2012 ses procédures de certifications digitales.

Des certificats numériques non autorisés pourraient permettre une usurpation de contenu - KB (2718704).
Microsoft certification authority signing certificates added to the Untrusted Certificate Store.

L'attaque par keylogger est une attaque technique visant à récupérer les mots de passe "à la source" (directement sur le clavier !), en clair. Les dispositifs de clavier virtuel des sites Web, voire des outils de type antivirus ou antimalwares permettent de luter contre les keyloggers.

Un keylogger est un dispositif matériel ou logiciel capturant les frappes au clavier. Lorsque les frappes concernent les zones de "login" et de "Mot de passe" d'un formulaire, le poseur du keylogger récupère ces informations en clair.

En amont du keylogger il y a tous les moyens de nature virale pour introduire le keylogger dans un appareil (Cheval de Troie, Downloader...).

Voir le Dossier : Keylogger.

Un Keylogger acoustique est un dispositif technique d'espionnage d'un appareil de manipulation de l'information.

Le 10 mai 2004, lors du 2004 IEEE Symposium on Security and Privacy, deux chercheurs d'IBM, Dmitri Asonov et Rakesh Agrawal ouvrent la session avec une communication : "Keyboard Acoustic Emanations". Ils prétendent qu'après une phase d'apprentissage où il faut frapper sur chaque touche du clavier une trentaine de fois, un micro ordinaire et un bon logiciel suffisent à enregistrer un texte tapé sur un clavier. Les taux de réussite de la reconnaissance des touches frappées au clavier frisent les 80%, soit des taux supérieurs aux taux de réussite des attaques TEMPEST (keyloggers électromagnétiques). Les changements de claviers ou les changements de dactylographe nécessitent une nouvelle phase d'apprentissage.

En novembre 2005, une nouvelle communication sur un Keylogger acoustique est faite par Li Zhuang, Feng Zhou et J. D. Tygar, lors de la "12th ACM Conference on Computer and Communications Security", dans "Keyboard Acoustic Emanations Revisited". Dans leur démonstration, ils se basent non pas sur une phase d'apprentissage préalable des bruits du clavier, mais sur un apprentissage en temps réel durant l'attaque avec essentiellement la répartition statistique des lettres dans la langue espionnée, appuyé par un correcteur lexical et par des outils utilisés en traitement du langage comme des automates de Markov à états cachés... Au bout de 10 minutes d'écoute, le taux de précision est de 90%.

Keylogger acoustique - Signal audio de la frappe d'une touche au clavier

La démonstration en a été faite en 2008 contre des mots de passe. Dans cette démonstration, le Keylogger acoustique a récupéré en clair des mots de passe tapés sur un clavier sur trouvant à 20 mètres de distance et dans une autre pièce !

C'est le LASEC (Laboratoire de Sécurité et de Cryptographie) de l'EPA (École Polytechnique Fédérale de Lausanne - Suisse), où enseigne Philippe Oechslin (à qui nous devons les Tables Arc en Ciel (Rainbow tables) pour décrypter les mots de passe cryptés), qui a travaillé sur le rayonnement acoustique des frappes de touches sur des claviers. Ce que ne montre pas la démonstration est qu'il faut une phase d'apprentissage au keylogger acoustique pour être opérationnel, ce qui rend son déploiement assez lent.

Les deux démonstrations suivantes de keylogger acoustique remontent à 2008.

La contre-mesure à un keylogger acoustique est assez simple. En cas de matériel traitant des données sensibles, mettre cet appareil dans une pièce anéchoïque ou dans un caisson anéchoïque. L'utilisation d'un clavier virtuel règle définitivement le problème acoustique, y compris si le micro est planqué dans l'épaisseur du bureau ou dans le clavier mécanique lui-même. Enfin, générer du bruit (écouter de la musique, par exemple), rend l'écoute très difficilement exploitable, voire inexploitable.

Keylogger acoustique - Contre-mesure - Chambre anéchoïque chez anechoique.com

Mots clés autour de cette attaque :
Acoustic Emanations
Émanations acoustiques

Voir le Dossier : Keylogger.

Le cas le plus célèbre et médiatisé de keylogger électromagnétique est celui du Keylogger appelé TEMPEST et opéré par l'agence américaine de renseignement NSA.

Des travaux remontant à la fin des années 1960 / début des années 1970, menés par la NSA et l'OTAN, ont été conduits pour permettre la définition des standards de classification du matériel utilisé (écrans d'ordinateur, télévisions, etc.), dans le cadre de l'usage de matériel ayant un rayonnement radioélectrique ou électromagnétique. Ces travaux ont abouti à la classification du matériel selon 3 niveaux de risque tenant compte de la distance jusqu'à laquelle il est possible de "sentir" le rayonnement de l'appareil. Les classes sont :

• NATO (OTAN) SDIP-27 Level A : zone 0 - proximité immédiate - 1 mètre

• NATO (OTAN) SDIP-27 Level B : zone 1 - 20 mètres

• NATO (OTAN) SDIP-27 Level C : zone 2 - 100 mètres

On parle aussi d'une classification en zone 3 - 1 kilomètre (mais il n'est pas certain qu'elle soit formellement créée, car un matériel ayant un tel rayonnement est invendable et personne ne l'achèterait ni ne l'utiliserait).

La NSA a conduit des travaux visant à capturer ces rayonnements. C'est le projet TEMPEST, acronyme supposé de «Transient Electro Magnetic Pulse Emanation Surveillance Technology» (il y a de nombreux acronymes proposés pour TEMPEST et aucun n'a été confirmé).

L'écoute de rayonnements électromagnétiques existe réellement et, par exemple, dans le réseau Echelon, elle est mise en œuvre, y compris sur les câbles sous-marins sur lesquels sont enfilés des manchons (amplification du rayonnement ?) que des sous-marins viennent "écouter".

Il y a eu toute une littérature fantaisiste et alarmiste, avec force exagérations, dans laquelle ce rayonnement "senti" à distance devient la lecture à 1 km de ce qui s'écrit sur un écran, avec un joyeux mélange de NSA, Echelon, TEMPEST, etc. Cela a permis de vendre beaucoup de livres et d'augmenter la fréquentation de sites frisant les promoteurs/défenseurs des théories du complot.

Les contre-mesures sont d'une simplicité enfantine à mettre en œuvre :

1. Cages de Faraday dans lesquelles certains ordinateurs ultras sensibles sont confinés : alimentation par groupe électrogène local - salle suspendue sans aucune ouverture et entièrement chemisée de plomb et/ou de treillis métallique - aucune connexion de quelque nature que ce soit, pas même au réseau électrique, au réseau d'eau...
   

2. Cage de Faraday du bâtiment dans sa totalité, entouré d'un treillis métallique. Un tel bâtiment, entièrement "décoré" extérieurement d'un treillage métallique, peut être vu en bordure du périphérique parisien.
   

3. Avoir un terrain dégagé de 1 km autour du bâtiment, c'est tout. Il n'y a pas plus simple !
   

Enfin, dans un bâtiment où 2000, 3000, 5000 écrans d'ordinateur, tous de même marque et même modèle, ont strictement le même rayonnement, isoler et écouter à 1 km de distance le rayonnement d'un seul d'entre eux et convertir ce rayonnement en caractères s'affichant sur cet écran relève du pur fantasme.

Voir le Dossier : Keylogger.

L'attaque enforce bruteest l'une des méthodes utilisées encryptologie / cryptanalysepour tenter de casser unchiffrement(cryptage). Le principe en lui-même de l'attaque enforce brutene vise pas exclusivement lesmots de passe, mais c'est dans ce domaine que ce type d'attaques est essentiellement utilisé.

Uncybercriminels'est procuré unidentifiant(login-mot de passe) et sonhashcode cryptographique(ou des listes d'identifiantset leurshashcodes cryptographiques). On ne se soucie pas du moyen mis enœuvre pour les obtenir :

• Piratage d'unserveur.

• Écoute parsniffer.

• Création, par uncybercriminel, d'un service gratuit en ligne (unsite Web) pour permettre aux internautes de saisir un mot de passe (unidentifiant, etc.) et obtenir tous seshashcodes cryptographiquesdans les diversalgorithmes de calcul de hashcodes, et, inversement, de saisir unhashcode cryptographiquepour tenter de retrouver ce qui a été oublié (un mot de passe ou quoi que ce soit dont on a juste lehashcode cryptographique). Ceci permet au cybercriminel de sauvegarder toutes ces paires puis, en se heurtant plus tard à un hashcode, lors d'une attaque, de remonter du hashcode au mot de passe ou à l'expression clé d'origine. Il existe un nombre incroyable de cybercriminels et leurs services gratuits de ce type. Certains cybercriminels créent des centaines de sites de ce genre sous divers noms, sous diverses apparences, dans diverses langues... Ceci casse le caractère normalement voulu à sens unique (« caractère univoque ») deshashcodes cryptographiques. Il n'y a pas de formule pour décrypter un hashcode, il n'y a que des méthodes.

• Etc.

Lire :

• Notre article : «Mot de passe : test de solidité, mesure de résistance» (de quelques secondes à une infinité de trillions de siècles).

• Notre article : «Mots de passe imbéciles et hit-parade des mots de passe les plus imbéciles du monde».

• Notre article : «16 formes d'attaques des mots de passe».

Attaques par tables arc-en-ciel (Rainbow Tables)

Les attaques en force brute prenant trop de temps et les attaques par dictionnaires prenant trop de place mémoire, il a fallu trouver un compromis temps/mémoire. Ce sont les tables arc-en-ciel (Rainbow tables).

Voir :

1. Attaque en force brute et le problème du temps

2. Attaque par dictionnaire et problème de taille

3. Attaques par Rainbow table : le compromis Temps / Mémoire