Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

LinkedIn, MySpace… Pourquoi ces vols de données mettent tout le Web en péril

Ces énormes bases de mots de passe vont permettre aux pirates de procéder à une analyse statistique et, par conséquent, d’améliorer considérablement leurs algorithmes de cassage.

Pas une semaine ne se passe actuellement sans que des dizaines de millions de mots soient mis en vente sur le Darkweb par un pirate qui se fait nommer « peace_of_mind ». Dernière vente en date : 100 millions de comptes VKontakte avec, en prime, des mots de passe en clair sans aucun chiffrement.

Or, ces ventes ne sont pas seulement une mauvaise nouvelle pour les services et les utilisateurs concernés, elles représentent aussi un grand coup de canif dans la sécurité générale de la Toile. C’est en tous les cas l’avis de Jeremi Gosney, un chercheur en sécurité qui vient d’écrire une longue tribune dans Ars Technica. Selon lui, les bases de données qui circulent actuellement sur le Darkweb vont permettre aux pirates d’améliorer considérablement leurs algorithmes de cassage de mots de passe. Et l’homme en sait quelque chose : il est lui-même un grand expert dans ce domaine.

Des motifs prédominants

En effet, casser un mot de passe relève d’abord de l’analyse combinatoire. La méthode la plus banale d’y arriver est d’essayer toutes les combinaisons possibles, jusqu’à trouver enfin la bonne clé. Pour une suite de 10 caractères combinant lettres majuscules et minuscules, chiffres et caractères spéciaux, cela revient à calculer potentiellement 10 puissance 94 possibilités. C’est énorme et infaisable avec les ordinateurs actuels. Les pirates qui attaquent par force brute un mot de passe vont donc commencer par les combinaisons les plus probables.

Les mots de passe générés de manière aléatoire représentent en effet une minorité. La plupart des utilisateurs imaginent leurs codes secrets sur la base d’un moyen mnémotechnique : un mot commun, un date d’anniversaire, le nom du petit chat, etc. Et même quand ils ajoutent des caractères spéciaux et des chiffres, il y a certains motifs qui prédominent. Comme par exemple placer les chiffres et les caractères spéciaux plutôt à la fin qu’au début. Ou le fait de remplacer certaines lettres par certains chiffres. A première vue, on pourrait penser que le mot « 3L3tr0n1Qu3*$ » est un bon mot de passe, mais c’est en réalité un dérivé du mot « électronique » et donc assez facile à casser pour un pirate.

C’est une révolution

Or, pour connaître ces motifs prédominants, il n’y a rien de tel que d’analyser une base de données de plusieurs dizaines voire centaines de millions de mots de passe, comme celles de LinkedIn, Tumblr ou VKontakte. De ce point de vue, la base de données de MySpace est moins intéressante que les autres car les codes secrets qu’on y trouve ne sont pas ceux que les utilisateurs avaient imaginés au départ. « Ces mots de passe ont tous été convertis en caractères minuscules puis tronqués à 10 caractères », explique Jeremi Gosney.

A l’inverse, il estime que la diffusion de la base de LinkedIn a le potentiel, à elle seule, de bouleverser l’art du piratage. Jamais les hackers n’ont eu accès à une telle masse de données. La dernière fois, c’était en 2010 avec le vol de 32 millions de mots de passe du service en ligne RockYou, un événement qui a « révolutionné le cassage de mots de passe », en améliorant les techniques et les algorithmes. Or, la base LinkedIn est six fois plus importante que celle de RockYou. Grâce à elle, « les hackers vont être mieux préparés que jamais pour la prochaine grande fuite de données », estime-t-il.

Dorénavant, quand un pirate siphonnera une base de mots de passe, il mettra donc beaucoup moins de temps à la déchiffrer. Le risque de voir son compte en ligne pris en otage sera donc nettement plus important. Pour les utilisateurs, cela veut dire qu’il ne faut plus créer soi-même ses mots de passe mais utiliser un gestionnaire de mots de passe qui va en créer un de manière aléatoire pour chaque site. Par ailleurs, il est judicieux d’activer l’authentification à deux étapes quand elle est disponible.

Source :
Ars Technica

Gilbert KALLENBORN