Présentation
En anglaisRÉSUMÉ
L’omniprésence des mots de passe dans le monde de l’Information et leur fréquente pauvreté permettant le piratage des droits d’accès rendent nécessaire l'audit de ceux-ci. Mais un mot de passe est souvent stocké sous une forme cryptographique (un «hash») qui ne se décode pas. La seule approche consiste alors à tester chaque possibilité, on parle d’attaque par force brute (Brute Force Attack=BFA).Cet article présente comment monter une telle solution évolutive à base de processeurs graphiques performants bon marché et optimiser son attaque pour en augmenter l’efficacité, mais également comment améliorer la qualité des mots de passe.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
A password is now the only protection for a user’s data privacy in the IT world, and its often poor quality is a security risk that has to be audited. But such passwords are most often stored as a cryptographic ’hash’ that cannot be decoded. The only solution is then to test each combination. This is called a Brute Force Attack (BFA). This article explains how to build a flexible solution of this type using cost-effective graphic processors, and how to optimize the attack for higher efficiency. It also explains how to improve password quality.
Auteur(s)
-
Laurent LEVIER : Officier de Sécurité - Opérateur de Télécommunications international
INTRODUCTION
Notre histoire commence dans les années 1970. Le mot de passe était alors un petit rien, considéré comme une contrainte inutile que chacun devait subir et traitait avec négligence, voire dédain. En ces temps lointains, il était le plus souvent vide ou identique au login ou prénom de l’utilisateur et rarement plus élaboré. Avec la digitalisation galopante et la progression des techniques et tentatives de piratage, il est à présent de plus en plus convoité, omniprésent qu’il est devenu, et ne pouvant plus rester simpliste par le pouvoir qu’il véhicule. D’un mot de passe pour tout, nous sommes arrivés à l’ère d’un pour chaque utilisation, avec un minimum obligatoire de qualité.
Dans les premières années des réseaux locaux puis d’Internet, le mot de passe était encodé dans les unités de stockage avec des algorithmes qui, de nos jours, feraient sourire. Mais, à l’époque, les techniques d’attaques cryptographiques réclamaient une puissance de calcul indisponible au grand public. De plus, ces mots de passe étaient si simples, personne ne comprenant encore l’importance de ceux-ci, que souvent une simple attaque de dictionnaire, même faite manuellement, suffisait. De nos jours, les processeurs graphiques (GPU) spécialisés permettent, pour un coût restant modeste, de disposer d’une puissance de calcul largement suffisante pour attaquer la plupart des algorithmes cryptographiques dans des délais raisonnables. La technologie logicielle suit également, permettant de pouvoir fabriquer sa propre machine « à casser du mot de passe » ou, plus généralement, des hash.
Par ailleurs, et au-delà de ces aspects purement techniques, ce mot de passe est défini le plus souvent par des individus régis par des comportements psychologiques stéréotypés découlant de leur parcours personnel, qu’il soit éducatif, culturel ou émotionnel. Ces facteurs d’influence vont considérablement modeler les mots choisis au départ ainsi que les transformations éventuelles qui pourraient être imposées par une politique de sécurité, selon les termes mêmes de cette politique et sa présentation dans le formulaire de saisie. Une étude sur des milliers d’utilisateurs internationaux a permis d’établir des hypothèses, dont la validation progresse rapidement, quant à la forme finale qu’aura le mot de passe, permettant ainsi de grandement améliorer les performances de l’attaque par force brute.
De nos jours, le mot de passe est toujours le mal-aimé du monde informatique et il n’existe pas pléthores de moyens de garantir sa qualité et donc la protection des accès à l’information.
En amont, au moment de la saisie, il est possible d’indiquer des contraintes de qualité et de contrôler les mots de passe proposés, les propositions inacceptables étant alors purement et simplement bloquées.
Une autre solution, consiste en aval à s’assurer de la qualité du mot de passe choisi. Malheureusement cette solution pose problème car l’algorithme cryptographique utilisé pour le stockage du mot de passe n’est pas réversible. En effet l’algorithme ne permet pas de décoder le hash pour retrouver le texte clair. Il faut alors utiliser des techniques dites de « cassage ».
Cet article s’adresse au lecteur désireux de connaître la version en texte clair d’un mot de passe (particulièrement) sans avoir les moyens de le décoder. Il a pour objectif de fournir les éléments théoriques et pratiques permettant au lecteur de construire sa propre solution de « cassage » de mots de passe, selon les moyens dont il dispose, et de la mettre en œuvre pour auditer (en aval) la qualité des mots utilisés pour sécuriser ses accès ou ses données. Le premier chapitre présente simplement le fonctionnement de la technique de cassage cryptographique et les schémas psychologiques mis en œuvre par l’individu lors du choix d’un mot de passe, ce qui a pour avantage d’optimiser la méthode. Le second chapitre présente une solution matérielle à base de cartes graphiques du marché avec l’utilisation de logiciel pour retrouver les mots de passe définis au départ par les individus, et évaluer leur qualité a posteriori. À partir de là, il est possible de placer des contraintes de qualité bloquantes pour augmenter cette qualité et ainsi réduire le risque de piratage.
MOTS-CLÉS
KEYWORDS
audit | hash | password | brute force attack
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
1. « Casser » du mot de passe
Avant tout, quelle vilaine expression que « casser du mot de passe », mais ce n’est pas anodin. Elle provient de l’expression anglaise : « password breaking ».
Conceptuellement, la technique de cassage du mot de passe est assez simpliste : on part de la version « hashée » du mot de passe dont on connaît l’algorithme cryptographique et une graine (salt, seed) complémentaire.
Une fois un mot de passe choisi par un utilisateur, celui-ci est encodé par un algorithme cryptographique qui produira un hash. Un hash est un « texte » incompréhensible représentant le mot codé. Cet algorithme ne fonctionne (en général) que dans un sens, c’est-à-dire qu’il n’est pas possible de retrouver le mot original en décodant le hash obtenu. On parle alors de « mot de passe haché ». Selon l’application utilisée, un élément secret peut être ajouté lors du calcul du hash. Il n’est alors connu que de l’application et sans lui le cassage est quasiment impossible. En plus, et aux fins d’améliorer la qualité du codage, un élément aléatoire appelé « graine » est utilisé pour construire le hash. Cependant, afin de pouvoir produire le même hash pour le même mot de départ, cet élément aléatoire est fourni dans le hash final.
On tente alors par un test exhaustif de deviner la valeur du mot de passe. Plus précisément, le logiciel de craquage fabrique un mot de passe en texte clair, l’encode avec les mêmes attributs que le hash à casser, puis compare les 2 chaînes de caractères. Si elles sont identiques, on en conclut que le bon mot de passe a été deviné, sinon un autre mot de passe est testé.
Dans cette séquence d’actions, on ne parle pas de décodage ou d’analyse intelligente. Cela s’apparente plus à du harcèlement, brutal et basique, jusqu’à ce que le but soit atteint. C’est la raison pour laquelle les termes utilisés sont très agressifs, voire guerriers. On parle d’attaque, de force brute, de cassage à la manière d’une masse sur un rocher.
Il faut relativiser notablement la réalité du risque. Cette technique ne s’apparente en aucune façon aux tentatives de pénétration par force brute via le réseau, qui peuvent être sérieusement mitigées par un verrouillage de compte,...
TEST DE VALIDATION ET CERTIFICATION CerT.I. :
Cet article vous permet de préparer une certification CerT.I.
Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.
de Techniques de l’Ingénieur ! Acheter le module
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
« Casser » du mot de passe
BIBLIOGRAPHIE
DANS NOS BASES DOCUMENTAIRES
ANNEXES
Passmark – Videocard Benchmarks- Over 800,000 Video Cards Benchmarked
http://www.videocardbenchmark.net
Hashcat – Advanced password recovery
bcrypt
HAUT DE PAGE
NVIDIA – Carte graphique GTX 1080
http://www.nvidia.fr/graphics-cards/geforce/pascal/gtx-1080/
UBUNTU
HAUT DE PAGECet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE
1/ Quiz d'entraînement
Entraînez vous autant que vous le voulez avec les quiz d'entraînement.
2/ Test de validation
Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.
Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive