Présentation
EnglishRÉSUMÉ
L’omniprésence des mots de passe dans le monde de l’Information et leur fréquente pauvreté permettant le piratage des droits d’accès rendent nécessaire l'audit de ceux-ci. Mais un mot de passe est souvent stocké sous une forme cryptographique (un «hash») qui ne se décode pas. La seule approche consiste alors à tester chaque possibilité, on parle d’attaque par force brute (Brute Force Attack=BFA).Cet article présente comment monter une telle solution évolutive à base de processeurs graphiques performants bon marché et optimiser son attaque pour en augmenter l’efficacité, mais également comment améliorer la qualité des mots de passe.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Laurent LEVIER : Officier de Sécurité - Opérateur de Télécommunications international
INTRODUCTION
Notre histoire commence dans les années 1970. Le mot de passe était alors un petit rien, considéré comme une contrainte inutile que chacun devait subir et traitait avec négligence, voire dédain. En ces temps lointains, il était le plus souvent vide ou identique au login ou prénom de l’utilisateur et rarement plus élaboré. Avec la digitalisation galopante et la progression des techniques et tentatives de piratage, il est à présent de plus en plus convoité, omniprésent qu’il est devenu, et ne pouvant plus rester simpliste par le pouvoir qu’il véhicule. D’un mot de passe pour tout, nous sommes arrivés à l’ère d’un pour chaque utilisation, avec un minimum obligatoire de qualité.
Dans les premières années des réseaux locaux puis d’Internet, le mot de passe était encodé dans les unités de stockage avec des algorithmes qui, de nos jours, feraient sourire. Mais, à l’époque, les techniques d’attaques cryptographiques réclamaient une puissance de calcul indisponible au grand public. De plus, ces mots de passe étaient si simples, personne ne comprenant encore l’importance de ceux-ci, que souvent une simple attaque de dictionnaire, même faite manuellement, suffisait. De nos jours, les processeurs graphiques (GPU) spécialisés permettent, pour un coût restant modeste, de disposer d’une puissance de calcul largement suffisante pour attaquer la plupart des algorithmes cryptographiques dans des délais raisonnables. La technologie logicielle suit également, permettant de pouvoir fabriquer sa propre machine « à casser du mot de passe » ou, plus généralement, des hash.
Par ailleurs, et au-delà de ces aspects purement techniques, ce mot de passe est défini le plus souvent par des individus régis par des comportements psychologiques stéréotypés découlant de leur parcours personnel, qu’il soit éducatif, culturel ou émotionnel. Ces facteurs d’influence vont considérablement modeler les mots choisis au départ ainsi que les transformations éventuelles qui pourraient être imposées par une politique de sécurité, selon les termes mêmes de cette politique et sa présentation dans le formulaire de saisie. Une étude sur des milliers d’utilisateurs internationaux a permis d’établir des hypothèses, dont la validation progresse rapidement, quant à la forme finale qu’aura le mot de passe, permettant ainsi de grandement améliorer les performances de l’attaque par force brute.
De nos jours, le mot de passe est toujours le mal-aimé du monde informatique et il n’existe pas pléthores de moyens de garantir sa qualité et donc la protection des accès à l’information.
En amont, au moment de la saisie, il est possible d’indiquer des contraintes de qualité et de contrôler les mots de passe proposés, les propositions inacceptables étant alors purement et simplement bloquées.
Une autre solution, consiste en aval à s’assurer de la qualité du mot de passe choisi. Malheureusement cette solution pose problème car l’algorithme cryptographique utilisé pour le stockage du mot de passe n’est pas réversible. En effet l’algorithme ne permet pas de décoder le hash pour retrouver le texte clair. Il faut alors utiliser des techniques dites de « cassage ».
Cet article s’adresse au lecteur désireux de connaître la version en texte clair d’un mot de passe (particulièrement) sans avoir les moyens de le décoder. Il a pour objectif de fournir les éléments théoriques et pratiques permettant au lecteur de construire sa propre solution de « cassage » de mots de passe, selon les moyens dont il dispose, et de la mettre en œuvre pour auditer (en aval) la qualité des mots utilisés pour sécuriser ses accès ou ses données. Le premier chapitre présente simplement le fonctionnement de la technique de cassage cryptographique et les schémas psychologiques mis en œuvre par l’individu lors du choix d’un mot de passe, ce qui a pour avantage d’optimiser la méthode. Le second chapitre présente une solution matérielle à base de cartes graphiques du marché avec l’utilisation de logiciel pour retrouver les mots de passe définis au départ par les individus, et évaluer leur qualité a posteriori. À partir de là, il est possible de placer des contraintes de qualité bloquantes pour augmenter cette qualité et ainsi réduire le risque de piratage.
MOTS-CLÉS
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
2. Construction du serveur
La construction d’une solution visant à « casser » des « hash » ne requiert pas de moyens financiers élevés et, de plus, offre une flexibilité permettant d’étaler les dépenses dans le temps. Cependant, pour faire des choix optimaux, le lecteur doit se poser dès le départ certaines questions :
-
S’agit-il d’une solution construite pour un audit ponctuel, lequel ne devra pas évoluer à l’avenir ou s’agit-il du premier élément d’une solution qui va réclamer de plus en plus de puissance ?
-
Jusqu’où faut-il aller en termes de puissance ?
La puissance nécessaire repose sur trois éléments :
-
le nombre de hash à casser. Plus il y en a, plus cela va prendre de temps. Plus on dispose de puissance, plus on réduit ce temps ;
-
la taille des dictionnaires et occurrences. Une attaque consiste à tester chaque mot, chaque déformation définie de ce mot, sur autant de hash qu’il faut casser. Un dictionnaire efficace se mesure en milliards de mots qui sont multipliés par des milliers de déformations possibles. S’agissant d’une attaque par force brute qui teste chaque possibilité, plus le mot en clair est long, plus il y a de possibilités à tester ;
-
enfin, le plus important, le ou les algorithmes utilisés pour encoder les hash. Les plus simplistes tels que MD4 ou MD5 se cassent des milliers, voire des millions de fois plus rapidement qu’un bcrypt à 12 tours par exemple. Des benchmarks existent pour se faire une idée, il suffit de chercher « hashcat benchmarks » sur Internet pour les trouver.
Le lecteur trouvera en annexe (§ 5) un tableau des performances (benchmark) pour 4 cartes GTX 1080, technologie la plus puissante à l’écriture de cet article.
-
-
Quelle qualité de matériel devra-t-elle être utilisée ?...
TEST DE VALIDATION ET CERTIFICATION CerT.I. :
Cet article vous permet de préparer une certification CerT.I.
Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.
de Techniques de l’Ingénieur ! Acheter le module
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Construction du serveur
BIBLIOGRAPHIE
DANS NOS BASES DOCUMENTAIRES
ANNEXES
Passmark – Videocard Benchmarks- Over 800,000 Video Cards Benchmarked
http://www.videocardbenchmark.net
Hashcat – Advanced password recovery
bcrypt
HAUT DE PAGE
NVIDIA – Carte graphique GTX 1080
http://www.nvidia.fr/graphics-cards/geforce/pascal/gtx-1080/
UBUNTU
HAUT DE PAGECet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE
1/ Quiz d'entraînement
Entraînez vous autant que vous le voulez avec les quiz d'entraînement.
2/ Test de validation
Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.
Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive