Comment Ca Marche - Communauté informatique  
   
Accueil - Encyclopédie informatiqueTélécharger l'encyclopédieContribuer à cet article

Attaques - Protection par mot de passe

Mots de passe Encyclopédie


Les mots de passe

Lors de la connexion à un système informatique, celui-ci demande la plupart du temps un identifiant (en anglais login ou username) et un mot de passe (en anglais password) pour y accéder. Ce couple identifiant/mot de passe forme ainsi la clé permettant d'obtenir un accès au système.

Si l'identifiant est généralement automatiquement attribué par le système ou son administrateur, le choix du mot de passe est souvent laissé libre à l'utilisateur. Ainsi, la plupart des utilisateurs, estimant qu'ils n'ont rien de vraiment secret à protéger, se contentent d'utiliser un mot de passe facile à retenir (par exemple leur identifiant, le prénom de leur conjoint ou leur date de naissance).

Or, si les données sur le compte de l'utilisateur n'ont pas un caractère stratégique, l'accès au compte de l'utilisateur peut constituer une porte ouverte vers le système tout entier. En effet, dès qu'un pirate obtient un accès à un compte d'une machine, il lui est possible d'élargir son champ d'action en obtenant la liste des utilisateurs autorisés à se connecter à la machine. A l'aide d'outils de génération de mots de passe, le pirate peut essayer un grand nombre de mots de passe générés aléatoirement ou à l'aide d'un dictionnaire (éventuellement une combinaison des deux). S'il trouve par hasard le mot de passe de l'administrateur, il obtient alors toutes les permissions sur la machine !

De plus, à partir d'une machine du réseau, le pirate peut éventuellement obtenir un accès sur le réseau local, ce qui signifie qu'il peut dresser une cartographie des autres serveurs côtoyant celui auquel il a obtenu un accès.

Les mots de passe des utilisateurs représentent donc la première défense contre les attaques envers un système, c'est la raison pour laquelle il est nécessaire de définir une politique en matière de mots de passe afin d'imposer aux utilisateurs le choix d'un mot de passe suffisamment sécurisé.

Méthodes d'attaque

La plupart des systèmes sont configurés de manière à bloquer temporairement le compte d'un utilisateur après un certain nombre de tentatives de connexion infructueuses. Ainsi, un pirate peut difficilement s'infiltrer sur un système de cette façon.

En contrepartie, un pirate peut se servir de se mécanisme d'auto-défense pour bloquer l'ensemble des comptes utilisateurs afin de provoquer un déni de service.

Sur la plupart des systèmes les mots de passe sont stockés de manière chiffrée (« cryptée ») dans un fichier ou une base de données.

Néanmois, lorsqu'un pirate obtient un accès au système et obtient ce fichier, il lui est possible de tenter de casser le mot de passe d'un utilisateur en particulier ou bien de l'ensemble des comptes utilisateurs.

Attaque par force brute

On appelle ainsi « attaque par force brute » (en anglais « brute force cracking », parfois également attaque exhaustive) le cassage d'un mot de passe en testant tous les mots de passe possibles. Il existe un grand nombre d'outils, pour chaque système d'exploitation, permettant de réaliser ce genre d'opération. Ces outils servent aux administrateurs système à éprouver la solidité des mots de passe de leurs utilisateurs mais leur usage est détourné par les pirates informatiques pour s'introduire dans les systèmes informatiques.

Attaque par dictionnaire

Les outils d'attaque par force brute peuvent demander des heures, voire des jours, de calcul même avec des machines équipées de processeurs puissants. Ainsi, une alternative consiste à effectuer une « attaque par dictionnaire ». En effet, la plupart du temps les utilisateurs choisissent des mots de passe ayant une signification réelle. Avec ce type d'attaques, un tel mot de passe peut être craqué en quelques minutes.

Attaque hybride

Le dernier type d'attaques de ce type, appelées « attaques hybrides », vise particulièrement les mots de passe constitué d'un mot traditionnel et suivi d'une lettre ou d'un chiffre (tel que « marechal6 »). Il s'agit d'une combinaison d'attaque par force brute et d'attaque par dictionnaire.

Il existe enfin des moyens permettant au pirate d'obtenir les mots de passe des utilisateurs :

  • Les key loggers (littéralement « enregistreurs de touches »), sont des logiciels qui, lorsqu'ils sont installés sur le poste de l'utilisateur, permettent d'enregistrer les frappes de claviers saisies par l'utilisateur. Les systèmes d'exploitation récents possèdent des mémoires tampon protégées permettant de retenir temporairement le mot de passe et accessibles uniquement par le système.
  • L'ingénierie sociale consiste à exploiter la naïveté des individus pour obtenir des informations. Un pirate peut ainsi obtenir le mot de passe d'un individu en se faisant passer pour un administrateur du réseau ou bien à l'inverse appeler l'équipe de support en demandant de réinitialiser le mot de passe en prétextant un caractère d'urgence ;
  • L'espionnage représente la plus vieille des méthodes. Il suffit en effet parfois à un pirate d'observer les papiers autour de l'écran de l'utilisateur ou sous le clavier afin d'obtenir le mot de passe. Par ailleurs, si le pirate fait partie de l'entourage de la victime, un simple coup d'oeil par dessus son épaule lors de la saisie du mot de passe peut lui permettre de le voir ou de le deviner.

Choix du mot de passe

Il est aisément compréhensible que plus un mot de passe est long, plus il est difficile à casser. D'autre part, un mot de passe constitué uniquement de chiffres sera beaucoup plus simple à casser qu'un mot de passe contenant des lettres :

Un mot de passe de 4 chiffres correspond à 10 000 possibilités (104). Si ce chiffre paraît élevé, un ordinateur doté d'une configuration modeste est capable de le casser en quelques minutes.
On lui préfèrera un mot de passe de 4 lettres, pour lequel il existe 456972 possibilités (264). Dans le même ordre d'idée, un mot de passe mêlant chiffres et lettres, voire également des majuscules et des caractères spéciaux sera encore plus difficile à casser.

Mots de passe à éviter :

  • votre identifiant
  • votre nom
  • votre prénom ou celui d'un proche (conjoint, enfant, etc.) ;
  • un mot du dictionnaire ;
  • un mot à l'envers (les outils de cassage de mots de passe prennent en compte cette possibilité) ;
  • un mot suivi d'un chiffre, de l'année en cours ou d'une année de naissance (par exemple « password1999 »).

Politique en matière de mot de passe

L'accès au compte d'un seul employé d'une entreprise peut compromettre la sécurité globale de toute l'organisation. Ainsi, toute entreprise souhaitant garantir un niveau de sécurité optimal se doit de mettre en place une réelle politique de sécurité de matière de mots de passe. Il s'agit notamment d'imposer aux employés le choix d'un mot de passe conforme à certaines exigences, par exemple :

  • Une longueur de mot de passe minimale
  • La présence de caractères particuliers
  • Un changement de casse (minuscule et majuscules)

Par ailleurs, il est possible de renforcer cette politique de sécurité en imposant une durée d'expiration des mots de passe, afin d'obliger les utilisateurs à modifier régulièrement leur mot de passe. Cela complique ainsi la tâche des pirates essayant de casser des mots de passe sur la durée. Par ailleurs il s'agit d'un excellent moyen de limiter la durée de vie des mots de passe ayant été cassés.

Enfin, il est recommandé aux administrateurs système d'utiliser des logiciels de cassage de mots de passe en interne sur les mots de passe de leurs utilisateurs afin d'en éprouver la solidité. Ceci doit néanmoins se faire dans le cadre de la politique de sécurité et être écrit noir sur blanc, afin d'avoir l'approbation de la direction et des utilisateurs.

Mots de passe multiples

Il n'est pas sain d'avoir un seul mot de passe, au même titre qu'il ne serait pas sain d'avoir comme code de carte bancaire le même code que pour son téléphone portable et que le digicode en bas de l'immeuble.

Il est donc conseillé de posséder plusieurs mots de passe par catégorie d'usage, en fonction de la confidentialité du secret qu'il protège. Le code d'une carte bancaire devra ainsi être utilisé uniquement pour cet usage. Par contre, le code PIN d'un téléphone portable peut correspondre à celui du cadenas d'une valise.

De la même façon, lors de l'inscription à un service en ligne demandant une adresse électronique (par exemple la lettre d'information de CommentCaMarche), il est fortement déconseillé de choisir le même mot de passe que celui permettant d'accéder à cette messagerie car un administrateur peu scrupuleux, pourrait sans aucun problème avoir un oeil sur votre vie privée !

Trucs & astuces pertinents trouvés dans la base de connaissances

21/02 19h20 Mot de passe perdu (MSN Messenger)
28/12 00h03 Récupérer login et mot de passe passés par un .htaccess (PHP)
15/09 21h13 Utiliser TrueCrypt pour protéger l'accès à ses fichiers (Sécurité)
04/09 12h09 Mot de passe de session perdu ou oublié (Windows)
17/08 16h49 Comment changer mon mot de passe (MSN Messenger)
03/02 08h51 Protéger fichier/dossier par mot de passe (Sécurité)
20/07 14h12 Pirater une boite mail ? Facile ! (Messagerie électronique)
06/07 00h30 Empêcher le démarrage sans mot de passe (MSN Messenger)
05/01 14h49 Mot de passe perdu - Réinitialisation (BIOS)
26/11 20h22 Supprimer l'historique des recherches (Internet)
Mot de passe Plus d'astuces sur « Mot de passe »

Discussions pertinentes trouvées dans le forum

16/01 16h24 decrypter mot passe pdf decrypter le mot de passe de pdf Logiciels/Pilotes 13/02 11h51->toptitbal5
10/02 19h46 enlever mot passe [enlever un mot de passe] Matériel (hardware) 11/02 18h10->sixtic4
04/05 12h04 gestionnaire accès ie mot passe [Gestionnaire d'accès à IE-Mot de Passe] Internet 18/05 16h26->afideg48
25/09 11h38 perte mot passe principal perte du mot de passe principal MacOS 17/12 04h52->Louis Hoebre...24
06/10 20h14 partage fichiers samba sans mot passe partage fichiers avec samba sans mot de passe Linux/Unix 09/10 21h01->pristella20
16/06 12h48 msn changer son mot passe [MSN] Changer son mot de passe Internet 09/05 12h55->^^Marie^^19
15/08 00h19 free mot passe login réponses [Free] mot de passe et login; Besoin réponses Développement 06/02 21h24->jord18
17/07 09h55 perte mot passe yahoo perte du mot de passe yahoo Internet 17/07 13h55->rimini18
01/02 00h52 mot passe inconnu mot de passe inconnu!!! Windows 01/02 02h23->3x18
02/07 12h10 saisie mot passe réseau Pb saisie du mot de passe réseau Réseaux 09/09 23h31->sylvanohe15
Discussion fermée Problème résolu Mot de passe Plus de discussions sur « Mot de passe »

Ce document intitulé « Attaques - Protection par mot de passe » issu de l'encyclopédie informatique Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.