Attaques - Protection par mot de passe

Attaques / Arnaques
Piratage
Pirates
Typologie de pirates
Méthodologie
Exploits
Attaques cryptographiques
Mot de passe
Man in the middle
Rejeu
Déni de service
Déni de service
Attaque par réflexion
Ping de la mort
Fragmentation
Land
SYN
Techniques
Usurpation d'adresse IP (spoofing)
Vol de session (hijacking)
ARP poisoning
Ecoute réseau (sniffers)
Balayage de ports (Port scanning)
Débordement de tampon (Buffer overflow)
Spam
Mail-bombing
Vulnérabilités du web
Attaques web
Falsification de la saisie
Manipulation d'URL
Cross-Site Scripting
Injection SQL
Arnaques
Ingénierie sociale (social engineering)
Scam
Phishing
Loteries
Plus d'information
Virus
Cheval de Troie
Spyware
Hoax
FAQ sécurité
FAQ Internet

Les mots de passe

Lors de la connexion à un système informatique, celui-ci demande la plupart du temps un identifiant (en anglais login ou username) et un mot de passe (en anglais password) pour y accéder. Ce couple identifiant/mot de passe forme ainsi la clé permettant d'obtenir un accès au système.

Si l'identifiant est généralement automatiquement attribué par le système ou son administrateur, le choix du mot de passe est souvent laissé libre à l'utilisateur. Ainsi, la plupart des utilisateurs, estimant qu'ils n'ont rien de vraiment secret à protéger, se contentent d'utiliser un mot de passe facile à retenir (par exemple leur identifiant, le prénom de leur conjoint ou leur date de naissance).

Or, si les données sur le compte de l'utilisateur n'ont pas un caractère stratégique, l'accès au compte de l'utilisateur peut constituer une porte ouverte vers le système tout entier. En effet, dès qu'un pirate obtient un accès à un compte d'une machine, il lui est possible d'élargir son champ d'action en obtenant la liste des utilisateurs autorisés à se connecter à la machine. A l'aide d'outils de génération de mots de passe, le pirate peut essayer un grand nombre de mots de passe générés aléatoirement ou à l'aide d'un dictionnaire (éventuellement une combinaison des deux). S'il trouve par hasard le mot de passe de l'administrateur, il obtient alors toutes les permissions sur la machine !

De plus, à partir d'une machine du réseau, le pirate peut éventuellement obtenir un accès sur le réseau local, ce qui signifie qu'il peut dresser une cartographie des autres serveurs côtoyant celui auquel il a obtenu un accès.

Les mots de passe des utilisateurs représentent donc la première défense contre les attaques envers un système, c'est la raison pour laquelle il est nécessaire de définir une politique en matière de mots de passe afin d'imposer aux utilisateurs le choix d'un mot de passe suffisamment sécurisé.

Méthodes d'attaque

La plupart des systèmes sont configurés de manière à bloquer temporairement le compte d'un utilisateur après un certain nombre de tentatives de connexion infructueuses. Ainsi, un pirate peut difficilement s'infiltrer sur un système de cette façon.

En contrepartie, un pirate peut se servir de se mécanisme d'auto-défense pour bloquer l'ensemble des comptes utilisateurs afin de provoquer un déni de service.

Sur la plupart des systèmes les mots de passe sont stockés de manière chiffrée (« cryptée ») dans un fichier ou une base de données.

Néanmois, lorsqu'un pirate obtient un accès au système et obtient ce fichier, il lui est possible de tenter de casser le mot de passe d'un utilisateur en particulier ou bien de l'ensemble des comptes utilisateurs.

Attaque par force brute

On appelle ainsi « attaque par force brute » (en anglais « brute force cracking », parfois également attaque exhaustive) le cassage d'un mot de passe en testant tous les mots de passe possibles. Il existe un grand nombre d'outils, pour chaque système d'exploitation, permettant de réaliser ce genre d'opération. Ces outils servent aux administrateurs système à éprouver la solidité des mots de passe de leurs utilisateurs mais leur usage est détourné par les pirates informatiques pour s'introduire dans les systèmes informatiques.

Attaque par dictionnaire

Les outils d'attaque par force brute peuvent demander des heures, voire des jours, de calcul même avec des machines équipées de processeurs puissants. Ainsi, une alternative consiste à effectuer une « attaque par dictionnaire ». En effet, la plupart du temps les utilisateurs choisissent des mots de passe ayant une signification réelle. Avec ce type d'attaques, un tel mot de passe peut être craqué en quelques minutes.

Attaque hybride

Le dernier type d'attaques de ce type, appelées « attaques hybrides », vise particulièrement les mots de passe constitué d'un mot traditionnel et suivi d'une lettre ou d'un chiffre (tel que « marechal6 »). Il s'agit d'une combinaison d'attaque par force brute et d'attaque par dictionnaire.

Il existe enfin des moyens permettant au pirate d'obtenir les mots de passe des utilisateurs :

Les key loggers (littéralement « enregistreurs de touches »), sont des logiciels qui, lorsqu'ils sont installés sur le poste de l'utilisateur, permettent d'enregistrer les frappes de claviers saisies par l'utilisateur. Les systèmes d'exploitation récents possèdent des mémoires tampon protégées permettant de retenir temporairement le mot de passe et accessibles uniquement par le système.
L'ingénierie sociale consiste à exploiter la naïveté des individus pour obtenir des informations. Un pirate peut ainsi obtenir le mot de passe d'un individu en se faisant passer pour un administrateur du réseau ou bien à l'inverse appeler l'équipe de support en demandant de réinitialiser le mot de passe en prétextant un caractère d'urgence ;
L'espionnage représente la plus vieille des méthodes. Il suffit en effet parfois à un pirate d'observer les papiers autour de l'écran de l'utilisateur ou sous le clavier afin d'obtenir le mot de passe. Par ailleurs, si le pirate fait partie de l'entourage de la victime, un simple coup d'oeil par dessus son épaule lors de la saisie du mot de passe peut lui permettre de le voir ou de le deviner.

Choix du mot de passe

Il est aisément compréhensible que plus un mot de passe est long, plus il est difficile à casser. D'autre part, un mot de passe constitué uniquement de chiffres sera beaucoup plus simple à casser qu'un mot de passe contenant des lettres :

Un mot de passe de 4 chiffres correspond à 10 000 possibilités (10⁴). Si ce chiffre paraît élevé, un ordinateur doté d'une configuration modeste est capable de le casser en quelques minutes.
On lui préfèrera un mot de passe de 4 lettres, pour lequel il existe 456972 possibilités (26⁴). Dans le même ordre d'idée, un mot de passe mêlant chiffres et lettres, voire également des majuscules et des caractères spéciaux sera encore plus difficile à casser.

Mots de passe à éviter :

votre identifiant
votre nom
votre prénom ou celui d'un proche (conjoint, enfant, etc.) ;
un mot du dictionnaire ;
un mot à l'envers (les outils de cassage de mots de passe prennent en compte cette possibilité) ;
un mot suivi d'un chiffre, de l'année en cours ou d'une année de naissance (par exemple « password1999 »).

Politique en matière de mot de passe

L'accès au compte d'un seul employé d'une entreprise peut compromettre la sécurité globale de toute l'organisation. Ainsi, toute entreprise souhaitant garantir un niveau de sécurité optimal se doit de mettre en place une réelle politique de sécurité de matière de mots de passe. Il s'agit notamment d'imposer aux employés le choix d'un mot de passe conforme à certaines exigences, par exemple :

Une longueur de mot de passe minimale
La présence de caractères particuliers
Un changement de casse (minuscule et majuscules)

Par ailleurs, il est possible de renforcer cette politique de sécurité en imposant une durée d'expiration des mots de passe, afin d'obliger les utilisateurs à modifier régulièrement leur mot de passe. Cela complique ainsi la tâche des pirates essayant de casser des mots de passe sur la durée. Par ailleurs il s'agit d'un excellent moyen de limiter la durée de vie des mots de passe ayant été cassés.

Enfin, il est recommandé aux administrateurs système d'utiliser des logiciels de cassage de mots de passe en interne sur les mots de passe de leurs utilisateurs afin d'en éprouver la solidité. Ceci doit néanmoins se faire dans le cadre de la politique de sécurité et être écrit noir sur blanc, afin d'avoir l'approbation de la direction et des utilisateurs.

Mots de passe multiples

Il n'est pas sain d'avoir un seul mot de passe, au même titre qu'il ne serait pas sain d'avoir comme code de carte bancaire le même code que pour son téléphone portable et que le digicode en bas de l'immeuble.

Il est donc conseillé de posséder plusieurs mots de passe par catégorie d'usage, en fonction de la confidentialité du secret qu'il protège. Le code d'une carte bancaire devra ainsi être utilisé uniquement pour cet usage. Par contre, le code PIN d'un téléphone portable peut correspondre à celui du cadenas d'une valise.

De la même façon, lors de l'inscription à un service en ligne demandant une adresse électronique (par exemple la lettre d'information de CommentCaMarche), il est fortement déconseillé de choisir le même mot de passe que celui permettant d'accéder à cette messagerie car un administrateur peu scrupuleux, pourrait sans aucun problème avoir un oeil sur votre vie privée !

Trucs & astuces pertinents trouvés dans la base de connaissances

21/02 19h20	Mot de passe perdu (MSN Messenger)
28/12 00h03	Récupérer login et mot de passe passés par un .htaccess (PHP)
15/09 21h13	Utiliser TrueCrypt pour protéger l'accès à ses fichiers (Sécurité)
04/09 12h09	Mot de passe de session perdu ou oublié (Windows)
17/08 16h49	Comment changer mon mot de passe (MSN Messenger)
03/02 08h51	Protéger fichier/dossier par mot de passe (Sécurité)
20/07 14h12	Pirater une boite mail ? Facile ! (Messagerie électronique)
06/07 00h30	Empêcher le démarrage sans mot de passe (MSN Messenger)
05/01 14h49	Mot de passe perdu - Réinitialisation (BIOS)
26/11 20h22	Supprimer l'historique des recherches (Internet)
Plus d'astuces sur « Mot de passe »

Discussions pertinentes trouvées dans le forum

16/01 16h24	decrypter le mot de passe de pdf	Logiciels/Pilotes	13/02 11h51->toptitbal	5
10/02 19h46	[enlever un mot de passe]	Matériel (hardware)	11/02 18h10->sixtic	4
04/05 12h04	[Gestionnaire d'accès à IE-Mot de Passe]	Internet	18/05 16h26->afideg	48
25/09 11h38	perte du mot de passe principal	MacOS	17/12 04h52->Louis Hoebre...	24
06/10 20h14	partage fichiers avec samba sans mot de passe	Linux/Unix	09/10 21h01->pristella	20
16/06 12h48	[MSN] Changer son mot de passe	Internet	09/05 12h55->^^Marie^^	19
15/08 00h19	[Free] mot de passe et login; Besoin réponses	Développement	06/02 21h24->jord	18
17/07 09h55	perte du mot de passe yahoo	Internet	17/07 13h55->rimini	18
01/02 00h52	mot de passe inconnu!!!	Windows	01/02 02h23->3x	18
02/07 12h10	Pb saisie du mot de passe réseau	Réseaux	09/09 23h31->sylvanohe	15
Discussion fermée Problème résolu		Plus de discussions sur « Mot de passe »