Mai 2013
Lun	Mar	Mer	Jeu	Ven	Sam	Dim
	1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Sécurité : l'intenable défi

par Arnauld de La Grandière le Lundi 20 Août 2012 à 17:04

La biométrie, une fausse bonne idée

On croit souvent que la biométrie est le remède absolu de ces problèmes, et c'est bien à tort. La plupart des systèmes de reconnaissance biométrique sont encore plus simples à falsifier que de récupérer un mot de passe. La reconnaissance faciale, basée sur les seules images capturées par une caméra, sera trompée facilement avec une simple photo de la personne à usurper. La reconnaissance vocale sera également trompée par un simple enregistrement de votre voix. Les empreintes digitales se reproduisent très facilement en vous offrant un verre à boire et en se munissant de super-glue comme en témoigne la vidéo ci-dessous. Il existe néanmoins aujourd'hui des lecteurs reconnaissant le dessin de vos veines (à travers la peau du bout du doigt ou dans le fond de votre œil) qui sont beaucoup plus difficiles à berner, puisqu'ils ont même besoin que votre sang circule. On peut évidemment alors vous contraindre à poser votre doigt ou votre visage, mais on peut aussi vous contraindre à donner votre mot de passe.

Mieux encore, les données biométriques peuvent être accessibles sans le moindre contact par la voie des airs : certains passeports biométriques qui incluent une puce sans contact RFID permettent aux hackers de récupérer une empreinte digitale en se mettant simplement à portée de ladite puce !

La biométrie pose également des problèmes d'ordre pratique : impossible par exemple d'ouvrir l'accès à votre conjoint sans votre présence effective, alors que vous pourriez simplement lui communiquer votre mot de passe. Plus gênant encore, par définition ces identifiants ne peuvent être modifiés puisque faisant partie de votre intégrité physique, et s'ils viennent à être compromis par les procédés indiqués ci-dessus (ou par divers accidents de la vie), ils en deviennent totalement inutilisables. Naturellement ces pratiques ne visent que des "cibles" importantes, un quidam n'aura guère à s'en soucier, mais c'est précisément ces cibles d'importance (pour leur seule personnalité ou pour les données sensibles auxquelles elles ont accès) qui ont tendance à recourir à ces systèmes.

Le facteur humain, ultime maillon faible

Alors que les plus grands noms du secteur ont été touchés par des hacks de leurs serveurs (Sony, Valve, Blizzard…), il n'y a parfois pas besoin de la moindre compétence technique pour voler les données en ligne, puisque l'humain, nimbé de son inhérente faillibilité, reste le maillon faible de la chaîne de sécurité.

Témoin la mésaventure de Mat Honan, qui a vu toute sa vie numérique partir en fumée par la simple mise en synergie des pratiques sécuritaires d'Amazon et d'Apple, la première donnant les quatre derniers chiffres de son numéro de carte bancaire, et la seconde n'en exigeant pas plus pour donner les clés de son compte iTunes par téléphone (lire : Sécurité : Amazon peut offrir un accès à votre compte Apple).

Regroupées sous le terme de « social engineering », diverses techniques permettent d'obtenir un mot de passe le plus simplement du monde, en inspirant la confiance et en se contentant de le demander. Le hameçonnage en est l'une des manifestations les plus récurrentes, et c'est également pour ses aptitudes en social engineering que Kevin Mitnick fut le premier hacker à connaître une célébrité planétaire.

Ces méthodes sont d'une simplicité enfantine pour obtenir l'accès aux données, et c'est d'autant plus déroutant que, si les responsables techniques des entreprises mettent parfois beaucoup de moyens sur la protection des données, les employés sont rarement sensibilisés sur les pratiques à proscrire. Un simple coup de fil en se faisant passer pour un membre de l'équipe technique, et en prétendant une maintenance de routine, permet d'obtenir des mots de passe très facilement (de la même façon qu'on tiendra ouvert un portail d'accès par seule courtoisie pour la personne qui vous suit sans même sourciller). Une autre méthode connaît un certain succès depuis quelque temps : le simple abandon d'une clé USB sur le parking d'une société permettra d'installer un keylogger sur le parc informatique sans même entrer dans les locaux, en comptant simplement sur la curiosité des salariés.

Les transactions en ligne n'ont pas l'apanage de ces dangers : l'usurpation d'identité a de tout temps fait des ravages. C'est peut-être une des rares raisons qui permettent de se consoler de la gourmandise de l'administration française pour les multiples justificatifs : aux USA, un simple numéro de sécurité sociale a pu permettre d'usurper l'identité d'innocentes victimes et de leur rendre la vie infernale : le pic du nombre de victimes a été atteint en 2003 avec 10,1 millions de personnes touchées sur cette seule année. Il est en effet possible, entre autres, de souscrire à un crédit au nom d'une tierce personne en ne possédant que son numéro de sécurité sociale : à l'usurpateur le bénéfice de l'argent, à l'usurpé la charge de la dette.

C'est l'une des activités criminelles qui a connu la plus forte augmentation aux USA ces dernières années, à tel point qu'elle a généré toute une économie : les assureurs proposent désormais des polices pour s'en protéger, et certains états exigent la présentation de deux pièces d'identité pour tout paiement par carte bancaire. Le renforcement des mesures de sécurité et de vérification commence à endiguer le problème, qui reste malgré tout préoccupant, mais celui-ci démontre que l'efficacité et le pragmatisme ne sont pas toujours sans contreparties douloureuses.

En somme, les moyens de violer diverses protections ne manquent pas, et il faut en faire l'amer constat : aucune mesure de protection n'est inviolable, et c'est bien la confiance dans celles-ci qui est leur première faiblesse. Et à l'inverse, c'est également la confiance qui rend viable ces transactions en ligne : elle incarne donc à la fois la condition sine qua non et la faille même du système, aboutissant à une situation inextricable. C'est sans doute la raison qui explique l'apathie ambiante face à ces problèmes.

<< Retour au début

| |

OS X Mountain disponible ! Mettez à jour votre mac pour 15,99€

Vos réactions (51 réactions)

bugman [20/08/2012 17:28]

"C'est oublier bien vite que les services eux-mêmes, en dépit de leurs efforts affichés de loyauté, ne sont engagés que par leur propre parole"

C'est donc toi MacG qui veut me doper au Viagra !?! ;)

(tres bon article, comme souvent)

---

"Alors que les plus grands noms du secteur ont été touchés par des hacks de leurs serveurs"
Oui (misère) on a haché mon compte EA (ou plutôt tombé sur une faille car je doute que c'est à cause de mon mot de passe (loin d'un "1234" mais plus proche d'un "≥vAz0êËtà–]lef")).

rototo104 [20/08/2012 17:46] via iGeneration pour iPad

Très intéressant cet article.

Je pense que le quidam moyen ne risque rien. Aux yeux des autres, je ne suis rien. Qui voudrai hacker un de mes comptes ?

Vous le dites pour la reproduction des empruntes digitales (les personnalités courent de plus grands risques), mais c'est aussi vrai pour les autres méthodes.

Le seul,risque que je pense encourir, c'est de tomber sur un hackeur qui ne ferai pas ça pour l'argent mais simplement pour le plaisir ("tiens, si j'effaçais 200 comptes iCloud aujourd'hui, rien que pour les faire chier...")

liocec [20/08/2012 17:51] via MacG Mobile

"le simple abandon d'une clé USB sur le parking d'une société permettra d'installer un keylogger sur le parc informatique sans même entrer dans les locaux, en comptant simplement sur la curiosité des salariés."

Je vais me coucher moins ... ce soir !

marcoplaut [20/08/2012 17:52]

Il serait bon de rappeler que Gmail, Facebook, Amazon Web Services et d'autres permettent des authentifications fortes avec l'utilisation de 2 facteurs (mot de passe + envoi de SMS ou utilisation de token).
Bien plus secure que tout mot de passe : pas d'hamçonnage possible et résistant aux keyloggers.

mccawley2012 [20/08/2012 17:55] via iGeneration pour iPad

Moi non je ne suis personne mais on m'a piraté mon compte world of warcraft, dois je sentir que mon niveau à légèrement augmenté ces derniers temps ? ^^

Très bon article, j'adore.

Riserock [20/08/2012 18:07] via MacG Mobile

En même temps, les sites comme ceux-là ne vont pas demander à leurs utilisateurs 5 mots de passes différents avec au moins 30 caractères dont 10 majuscules et 15 caractères non-lettres, à taper 3 fois pour vérifier, plus reconnaissance faciale, digitale et de l'iris, et tout ça à chaque fois qu'on se connecte...

Mais sinon très bon article!

demenla971 [20/08/2012 18:14] via iGeneration pour iPad

Article très intéressant une fois de plus

Ali Ibn Bachir, Le Gros [20/08/2012 18:26]

N'empêche, "1 Password" avec un mot de passe maître de 19 caractères, je ne sais pas si quelqu'un arrivera à me le casser d'aussi tôt !

Freitag [20/08/2012 18:30] via MacG Mobile

Je me suis toujours demandé comment pouvait- on tenter 1000 intrusions par seconde sur un site...

youpla77 [20/08/2012 18:31] via MacG Mobile

@Ali Ibn Bachir, Le Gros :
le mot de passe peut être pas mais une faille dans 1password et c'est toute ta vie numérique qui morfle...

esantirulo [20/08/2012 18:45]

Attention à ne pas confondre les concepts, en particulier dans cet article l'entropie de Shannon et l'analyse combinatoire. Pour faire simple, l'entropie de Shannon peut donner une idée sur une limite (ou plutôt une borne supérieure) sur le facteur de compression de données sans perte. D'un autre côté, le nombre de mot de passe que l'on peut générer avec un alphabet fini correspond aux nombres d'arrangements avec répétitions (et non de combinaisons !) de 1, 2... N symboles (cela doit être quelque chose comme O(N**N), à vérifier).

gueven [20/08/2012 19:15] via iGeneration pour iPad

Excellent article :)

ThurstonMoore [20/08/2012 19:18]

Des devices générant des OTP (one time password), comme la Yubikey par exemple, sont très efficaces.

chabodmathieu [20/08/2012 19:18] via MacG Mobile

Ça fait froid dans le dos ! :P

berechit [20/08/2012 19:21] via iGeneration pour iPad

Très bon article !
Toutefois, Rototo104 l'indique, nous ne sommes rien pour la majorité des hackers et notre sécurité tient à notre grand nombre et à un peu de jugeote :
- Bannir les mots simples ou les séquences de chiffes
- Utiliser des termes connus de soi seul et les "hacher" avec des caractères divers selon un principe qui nous appartient. personnellement, j'ai longtemps utilisé la BD Zorglub comme base en exploitant la célèbre phrase "eviv Bulgroz" en le hachant avec le ! pour le i, le 0 pour le o, en aménageant les majuscules selon un principe propre (commencer les mots par une minuscule et les écrire en majuscule) et en ajoutant un suffixe fonction du site concerné... Pour MacG, ça aurait donné EV1V bULGR0Z-m@CG... Plis tard, j'ai utilisé la phrase code " ciel, j'ai égaré mon carburateur ! " de l'album "QRN sur Bretzelboutg"... Fallait connaître mon intérêt pour Franquin et avoir une sacré machine pour le casser... Maintenant pour les sites importants (achat ou qui ont mes coordonnées bancaires), j'utilise des phrases plus calées et un hachage plus vicieux... Et je change régulièrement.
Et mes comptes en banques sont accédés via des passwords à entrer via un applet java qui bouge le clavier sur l'écran...
Pour le moment, tout ça a suffit pour m'éviter les ennuis du piratage...
Pourvu que ça dure !!

delino [20/08/2012 19:40] via MacG Mobile

@esantirulo :
+1

C'est ce genre d'article que j'aime chez MacGe!

Batracien [20/08/2012 20:21] via MacG Mobile

J'adore!
Mais pas un peu dangereux de donner un nom de soft de cassage de mot de passe?

Batracien [20/08/2012 20:21] via MacG Mobile

@Batracien :
*mots

DrFatalis [20/08/2012 20:27]

J'aime bien la "sécurité" des onepassword and co: ce sont des soft, le jour ou apple change son système et que le soft ne suit pas, vous perdez tous vos comptes faute de MdP. Cool.

RickDeckard [20/08/2012 20:39]

@Batracien

Euh, John The Ripper, c'est pas comme si c'était ultra connu.

De toute façon, je comprendrais jamais ce genre de réaction car c'est justement contre-productif.

- Connaitre et savoir utiliser les outils et les méthodes en question, c'est encore la meilleure façon de se protéger.
- Sur le même principe, une faille connue et documentée en long et en large, c'est toujours largement préférable à un exploit 0 day.

Mac mac [20/08/2012 21:08] via MacG Mobile

ID et MDP du compte banquaire d'un pote :

ID : julien.k@gmail.com
MDP : A35dut4mr*#

Allez-y. Vous pourrez vous payer pleiiiins de Macbook, d'iPhone et iPad.

sugarwater [20/08/2012 21:10] via iGeneration pour iPad

Vous avez oublié la technique de celui qui a dévoilé les photos de Scarlett sur le net. Il n'avait aucune connaissance en piratage.

Lyon3 [20/08/2012 21:36] via MacG Mobile

Très bon article comme d'habitude.
Enfin heureusement que vous n'êtes pas une société de conseil, vous nous apportez un problème et vous nous expliquez qu'il n'y a pas de solution.
Je conseil la mitigation : si le risque est de se faire pirater tous ces comptes alors le mieux est déjà d'avoir le moins de comptes possible. Les comptes les plus faciles à pirater pour le moment (Sony et autres) ne sont pas vitaux. Avoir 15 comptes Mail chez tous les fournisseurs n'est pas non plus indispensable.

MarcoAix [20/08/2012 21:51]

@Lyon3
Effectivement, avec 0 compte ton raisonnement fonctionne très bien ;-) pour le reste, il s'agit plutôt d'idées préconçues.
@DrFatalis
Tu ne perds rien du tout, hormis l'automatisation.
@rototo104
"le quidam moyen ne risque rien" : je peux te rassurer sur un point au moins, ton opinion est très largement majoritaire. Et il est difficile de faire comprendre au gens combien la sécurité n'est pas un vain mot dès qu'on est en réseau, et aussi combien le quidam moyen intéresse une multitude de boîtes !

Ali Ibn Bachir, Le Gros [20/08/2012 22:10]

@Mac mac: Super, mais si tu ne donnes pas la banque en même temps, on va s'acheter nos Mac comment ?

Pfff ...

Lemmings [20/08/2012 22:48]

Le problème majeur vient surtout de la sécurité de chaque service. C'est pourquoi employer un mot de passe différent pour chaque service est indispensable !

Car même si le MD5 est "léger", vaut mieux une base hashée en MD5 que rien du tout... évidement un salage supplémentaire n'est jamais mauvais en complément... Mais comme vous le dites, bien des services n'ont même pas de hash dans leurs bases !

Pire, certains systèmes pseudo "sécurisés" se limitent à des sécurités factices. Que dire de l'accès à son compte sécu ou l'on doit utiliser 8 caractères forcément mais aucun caractères spéciaux ? Ou encore de ces accès bancaires ou le code d'accès n'est composé que de chiffres...

Il y a encore bien du boulot !

macbookintel [20/08/2012 23:10]

Sans parler des sites qui nous renvoient notre mdp en clair par mail à l'inscription...

Xalio [20/08/2012 23:24] via MacG Mobile

Pour en revenir a iOS... Un mot de passe (même simple) active la puce de chiffrement depuis l'iphone 3Gs.... Pensez y! (Chiffrement matériel, aucun ralentissement de l'OS...)

os-app92 [20/08/2012 23:49] via MacG Mobile

On dit "chiffrement" en crypto et non pas "chiffrage".

Leehalt [20/08/2012 23:49]

@Freitag
Un pirate qui a réussi à installer sa backdoor sur quelques millions de PC (rappel: le Mac est aussi un PC) peut générer facilement 1000 tentatives d'accès par secondes à un site. Et vu que les connexions viendront de quelques millions d'IP différentes, le site serveur ne pourra pas blacklister ces IP, si tant est que le délai de réutilisation d'une même IP est suffisant.

@tous ceux qui croient que leurs infos n'intéressent pas les pirates
Détrompez-vous ! Il y a tout un commerce underground autour du vol de vos données. Ces n'est pas tant vos données qui intéressent ces "mafias" que l'argent qu'ils peuvent en tirer. Ils revendent ensuite des services de "mass marketing" à des "sociétés" peu regardantes et désireuses de faire leur pub. Y'a du fric à faire dans l'exploitation underground de vos données. HS: remarquez, c'est pas trop loin du business model de Facebook et consorts.

@MacGé
Très subtile votre utilisation du terme "confiance" dans le dernier paragraphe de l'article: la confiance des "mesures de protections" est une donnée quantifiable et mathématiquement prouvable: c'est la longueur d'un mot de passe, la diversité de son dictionnaire, la force de l'algo de chiffrement, la longueur de ses clés, la chaine de certificats, l'emetteur 'root', etc. Alors que la confiance qu'on accorde en tant qu'utilisateurs à ces systèmes de protection est un ressenti, un sentiment. Cette seconde découle de la première, ou plus précisément de ce que les sites disent avoir pris comme mesures de protection ("nous prenons la sécurité de vos données très au sérieux", bla bla) mais vu qu'on ne peut pas vérifier leurs dires, on est bien obligés de leur faire...confiance.

Leehalt [21/08/2012 00:00]

@Xalio
Ca se suffit pas. Ce n'est pas tant l'exploit technique qui consiste à casser un algo de chiffrement fort que le fait de tromper le système de sécurité en se faisant passer pour l'utilisateur légitime qui intéresse aujourd'hui les petits malins qui voudraient exploiter tes données. Quelque soit la complexité et le blindage de ton coffre-fort, si la combinaison est "1234" le coffre s'ouvrira. Ainsi durant mes vacances, en manque d'internet, j'ai déjà réussi à me connecter à un réseau wifi chiffré WPA-2 dont le mot de passe était, je te le donne dans le mille, "12345" ! Et j'ai trouvé le password au 1er essai (j'avais hésité avec 0000 :). Autant laisser son wifi en réseau ouvert dans ce cas-là !

Armas [21/08/2012 01:46]

Excellent article. Merci pour l'instant culture

miniwilly [21/08/2012 01:53] via MacG Mobile

Tomber de Charybde en Scylla : Charybde et Scylla auraient été deux dangers du détroit de Messine, entre l'Italie et la Sicile, le premier étant un tourbillon, le second un écueil. Les marins qui cherchaient à éviter le premier allaient périr en s'écrasant sur le second.

jeffgene [21/08/2012 05:50] via iGeneration pour iPad

C'est bon quasiment tous les sites que j'utilise ont été modifier avec un passeport aléatoire grâce a un 1passeword !

passares [21/08/2012 07:28] via iGeneration pour iPad

Et que dire des banques qui contraignent à n'utiliser que 6 chiffres comme code ?

lecoeur [21/08/2012 09:32]

Bientôt on fera sa déclaration d'impôts sur le net avec ses identifiants de Facebook, et les gens seront très contents !

Lemmings [21/08/2012 10:01]

@passares : cf mon message + haut :)

shadokart [21/08/2012 10:43]

Est-il vrai qu'un ensemble de caractères avec majuscules, chiffres et ainsi de suite, protège moins bien que deux ou trois mots communs, comme semble le dire le dessin illustrant cet article ?!! Il me semblait que c'était l'inverse : qu'un logiciel utilisé pour craquer un mot de passe aura une base de données de dictionnaires, alors qu'une combinaison complexe ne se trouve nul part et demande un temps de calcul infini.

Uloz [21/08/2012 10:50]

Seul oubli à mon sens, la nécessité d'utiliser une carte virtuelle (e-card, payweb card...) pour payer en ligne en lieu et place de sa carte bancaire.

Apple est la seule société à laquelle j'ai filé mes véritables coordonnées bancaire, les cartes virtuelles n'étant pas acceptées...

Lemmings [21/08/2012 11:59]

@shadokart : il y a deux grandes méthodes pour "trouver" un code :

1) soit utiliser un dictionnaire, et donc tester toutes les combinaisons courantes connues, genre 0000, 1234, abcd et j'en passe... C'est là ou un mot "commun" est très faible comme protection car rapidement trouvé.

2) soit passer par un système dit de "force brute" qui va tester une à une chaque combinaison possible, par exemple pour un code numérique à 4 chiffres, il va tester de 0000 à 9999 en essayant chaque possibilité intermédiaire. C'est plus long mais tu as un résultat garanti.

Avec la seconde méthode, aucun code n'est inviolable, seulement chaque caractère supplémentaire ajouté augmente le nombre d'essai nécessaires à trouver le bon code, et donc le temps. Ainsi, un mot de passe de 10 lettres est énormément plus sécurisé qu'un mot de passe de 8.

L'association de multiples mots communs pour faire un mot de passe assez long est une technique valable, tant que les algo ne seront pas mis à jour pour tester en simili force brute en associant les mots des dictionnaires... Ce qui évidement existe déjà ;)

En gros, un mot de passe suffisamment long (8 caractères gros minimum) et qui ne soit pas dans un dictionnaire est la moins mauvaise des protection. Si tu as un mot de passe "complexe" de 16 ou 20 caractères, évidement c'est mieux... Mais moins pratique lol

Encore une fois, je le redis, la règle DE BASE c'est un mot de passe par service !

.matt [21/08/2012 14:36]

(Vous confondez chiffrement et hashage. Pour stocker les mots de passe dans les bases de données, on utilise du hashage, et pas du chiffrement.)

Le défi n'est pas intenable à proprement parler. C'est plutôt un défi constant : un jeu du chat et de la souris. Le tout est de ne pas s'endormir sur ses lauriers : chaque faille amène un correctif, et une nouvelle faille arrive ensuite, ou alors le correctif lui-même présente une faille.

Exemples :
- Bruteforce -> limitations des connexions par intervalle de temps
- Mots de passe communs -> forcer les utilisateurs à utiliser un mot de passe unique
- Mots de passe idiots -> forcer les utilisateurs à utiliser chiffres/lettres et une longueur minimale
- Failles inhérentes aux bases de données -> hasher les mots de passe au moins avec des tours de SHA1
- Tables arc-en-ciel, redoutables -> utiliser des vecteurs d'initialisation publics puis privés

Le problème ne vient quasiment jamais des technologies utilisées, mais des techniciens qui les mettent en place et n'assurent pas leur fonction de "veille technologique" après.

poco [21/08/2012 16:57]

Excellent article et réactions très intéressantes! Merci à toutes et à tous ;-)

Juste mon petit grain de sel. On voit qu'on a affaire ici à des "amoureux" du soft. Au delà de çà, comme il est dit dans l'article, les autres protections incluant du hard (rétine, empreintes, clé USB etc.) ont leurs pendants dans les cracks possibles. Par exemple il est possible "d'écouter" à distance ce que vous écrivez sur votre clavier. Un rayon Laser et un interféromètres sur la vitre de ton logement et on "entend" très bien les bruits à l'intérieur de l'appartement. Mais je laisse expliquer celà par les spécialistes si il y en a ici.

padbrest [21/08/2012 19:22]

On dirait qu'Apple vient de se réveiller : à ma dernière connexion sur l'appstore iphone, j'ai été réorienté vers l'enregistrement de 3 questions personnelles et de leurs réponses (le nom de mon chat, etc.), ainsi que l'enregistrement d'une adresse mail secondaire qui est tenue informée de tous les changements demandés sur le compte iCloud.

padbrest [21/08/2012 19:26]

@rototo104
"Le seul,risque que je pense encourir, c'est de tomber sur un hackeur qui ne ferai pas ça pour l'argent mais simplement pour le plaisir ("tiens, si j'effaçais 200 comptes iCloud aujourd'hui, rien que pour les faire chier...")"
C'est bien ce qui est arrivé au journaliste de Wired, qui a pu entrer en contact avec son pirate : il lui a simplement dit qu'il avait trouvé son identifiant sut twitter particulièrement cool, et qu'il voulait juste lui piquer. Il a effacé tout le compte iCloud en passant, mais "ça n'avait rien de personnel". Trop cool, le gars :-)

Leehalt [22/08/2012 00:24]

@shadokart

Oui, le dessin de xkcd a raison, c'est une question d'entropie : il faut plus de temps à hackeur (humain ou machine) pour trouver une passphrase (càd plusieurs mots côte-à-côte, et tant qu'à faire une phrase que l'on ne peut pas oublier, qu'elle ait un sens ou non) plutôt qu'un password (même contenant des caractères exotiques, et conséquemment difficile à retenir). En effet l'ensemble de combinaisons (en fait d'arrangements) que l'on peut générer avec l'ensemble des mots (existants ou non, dans une langue ou plusieurs à la fois) + le caractère "espace" est largement (mais LARGEMENT) plus grand que l'ensemble des passwords que l'on peut générer avec tous les caractères d'un alphabet ou de plusieurs (majuscules, minuscules et caractères spéciaux compris).

En résumant grossièrement, l'entropie du cas "passphrase" est systématiquement plus élevée que celle du cas "password" (au pire elles sont égales quand la passphrase est composée d'un seul mot, un password en somme). Or plus l'entropie d'un système de sécurité est élevée (càd moins le système de sécurité délivre des infos permettant au hackeur cibler son attaque), plus il est couteux en temps pour le hackeur de trouver la passphrase qui lui permettra de pénétrer ce système, et d'ailleurs il n'a pas d'autre choix que de faire des attaques "brute force". Or les attaques "brute force" coûtent cher en temps et plus le temps passe, plus la valeur des informations stockées sur le système sécurisé diminue, et donc l'intérêt de pénétrer ce système. Vous me voyez venir : les failles et autre bugs des systèmes de sécurité réduisent l'entropie du système puisque ce sont des infos que le hackeur peut exploiter pour réduire drastiquement le temps nécessaire à son attaque (ces infos diminuent le nombre de combinaisons possibles).

Leehalt [22/08/2012 00:35]

@Lemmings
"En gros, un mot de passe suffisamment long (8 caractères gros minimum) et qui ne soit pas dans un dictionnaire est la moins mauvaise des protection. Si tu as un mot de passe "complexe" de 16 ou 20 caractères, évidement c'est mieux..."

Oui mais non, ou plutôt oui et non. La théorie de l'entropie montre que ce n'est pas la taille du password qui le rend plus sûr, mais plutôt la taille de l'alphabet utilisé pour former ce password. Plus cet alphabet est grand, plus le password est sûr (d'où la recommandation d'utiliser des caractères d'imprimerie en plus des caractères de l'alphabet latin classique pour augmenter un peu plus l'entropie d'un système de sécurité à base de password).

Lemmings [22/08/2012 08:55]

@Leehalt : exact, c'était ce que j'essayais de dire avec "et qui ne soit pas dans un dictionnaire" :)

patogaz1 [23/08/2012 00:38]

et un keylogger pour les briser tous !

1uo [24/08/2012 17:35]

Et alors, quelle est le niveau de sécurité d'un logiciel comme 1password? Les logs sont-ils enregistrés sur le nuage (c'est à dire sur un serveur propre à 1pw qu'il suffirait de pirater) ou enregistrés en local sur l'ordinateur,l'iphone etc... ?

S'ils sont locaux, un hacker doit forcément installer un malware pour accéder ensuite à ces données, ou modifier le répertoire du logiciel, ce qui nécessite de tromper l'utilisateur.

Réagir

Il n'est pas possible de réagir à cette dépêche. Si vous souhaitez toutefois réagir, n'hésitez pas à faire un tour dans nos forums.

Macbook Pro 15" -...	1 450€
MacBook Pro 15" 2011...	1 640€
Technicien Maintenance...	n/d
IMac 27 pouces 3,1 GHz haut...	1 450€
MacBook Air 13"...	1 500€
Macbook Pro 15"...	600€
Tablette Graphique Wacom...	1 000€
Mac book pro 17"	450€
Macbook pro 18'' en tres...	750€
Macbook blanc 13"	350€
A vendre : Macbook Pro...	800€
IMac 27' Excellent...	1 600€
MACBOOK PRO QUAD CORE i7 ...	1 280€
Macbook Pro 15 "	980€
À SAISIR : iMac...	1 150€

Sécurité : l'intenable défi

La biométrie, une fausse bonne idée

Le facteur humain, ultime maillon faible

Réagir

Transmettre à un ami