# piratage mot de passe



## PascalBS38 (30 Mars 2010)

Hello,
Voilà j'ai la question suivante qui me turlupine depuis un bon moment bien qu'elle ne soit pas liée particulierement aux porduit Apple.
*Il s'agit du piratage de mots de passe* qui est, d'ailleurs, plutot d'actualite en ce moment.

Je viens de lire ceci sur l'Expansion:
_"Casser" les mots de passe est souvent un jeu d'enfant pour les pirates. L'attaque "par dictionnaire" consiste à passer en revue, via un logiciel, tous les mots du dictionnaire. Celle "par force brute" essaie, elle, tous les mots de passe possibles: succession de lettres, de chiffres, etc. Du fait de la rapidité des logiciels, il faut seulement "une seconde pour casser un mot de huit caractères simples", affirme un porte-parole de l'Agence nationale de la sécurité des systèmes d'information (Anssi).

Conséquence: il est impératif de bannir les mots de passe trop courts, les noms propres et communs, ceux de proches ou relatifs à notre environnement immédiat. Les pirates consultent en effet les réseaux sociaux pour tenter de les deviner (lieux de villégiature, amis, etc.). Cette technique de l'"ingénierie sociale" est d'ailleurs celle qu'a utilisée "Hacker-croll", le pirate français qui est parvenu à infiltrer les comptes Twitter et Facebook de personnalités, notamment celui du président américain Barack Obama. Il réussissait aussi à obtenir le mot de passe via "la question secrète", posée à l'internaute en cas d'oubli de son sésame, question elle aussi souvent trop simple.

Un bon mot de passe, explique Bernard Ourghanlian, directeur sécurité de Microsoft France, doit être "long" et donc comporter "au moins huit caractères et dans l'idéal 14 ou plus". Il faut également "mélanger les caractères, en associant des lettres, avec des minuscules et des majuscules......_

Je me demande toujours pourquoi un site ne met pas une durée d'acces minimale de, par exemple, 5s entre chaque demande d'acces par un mot de passe et aussi pourquoi les sites ne bloquent pas l'acces apres 3 ou 5 tentatives par exemple.
5s entre chaque acces rendrait impossible les attaques du type "dictionnaire" ou "par force brute" car cela prendrait environ 30heures rien que pour parcourir tous les mots du dictionnaire francais et environ (dans le pire cas) 22000 demande d'acces....
Ceci est vrai aussi pour repondre a la question secrete.

Ben voila si quelqu'un peut eclairer ma lenterne sur ce sujet, je suis preneur 
A bientot sur Macge


----------



## kena73 (30 Mars 2010)

Je suis entièrement d'accord avec toi.
J'ai fais mon service militaire dans le Chiffre (Cryptologie) et je peut te confirmer qu'après trois essai infructueux il était impossible d'aller plus loin.
Comme toi je ne comprends pas pourquoi il n'en n'est pas de même avec l'informatique...
avec la puissance de calcul actuellement disponible les mots de passe les plus complexes peuvent êtres crackés

D'ailleurs trois essais infructueux avec ta carte bleue ... mangée par le distributeur mais essais illimité par internet...


----------



## pascalformac (30 Mars 2010)

il y avait un topo ( en anglais) sur la pseudo efficacité de ces robots testeurs de mots de passes

 la conclusion
efficacité correcte sur les mots de passes simples
mais quasi nulle sur mots de passe corrects
( le laps de temps pour intrusion "réussie" se mesurait en années d'essais non stop)

il existe des tonnes d'outils permettant de construire des mots de passe corrects si on a pas le temps d'en inventer un


----------



## pascalformac (31 Mars 2010)

petit tableau d'une estimation de temps moyen pour cracker un mot de passe





on remarque que si on utilise plus de 7 à 8 caractères  avec mélange minuscule-majuscule ou caractères speciaux  ca complique largement la chose pour l'intrus


----------



## Anabys (31 Mars 2010)

Je ne sais pas "pourquoi" les sites comme Facebook ou Twitter ne mettent pas en place un système de blocage après un certain nombre d'essais infructueux (perso, je l'implémente dans tous les logiciels que je développe et qui nécessitent une identification des utilisateurs), mais on pourrait avancer deux idées :

1) la plupart des utilisateurs créent un compte sur une multitude de sites, en utilisant une petite dizaine de mots de passe (en comptant les variantes, p.ex. prénom maman, prénom maman + année naissance, prénom maman + prénom papa, etc.), et oublient systématiquement quel mot de passe est utilisé pour un site donné (pas besoin de s'en souvenir, puisqu'il suffit d'essayer la dizaine de mdp courants pour trouver le bon...) ;

2) l'analyse des logs révèle très facilement une attaque par la force brute (sérieusement, 800 000 essais infructueux, provenant de la même IP, avant de trouver le bon mdp ? sérieusement...?)

Je vous rejoins par sur le fait que le problème reste entier lorsque le mot de passe est "deviné" après quelques essais manuels, grâce à une compilation d'informations personnelles.


----------



## pascalformac (31 Mars 2010)

+1
-
la majorité des utilisateurs fait dans le mot de passe simple ( court en minuscule et nom commun ou dans un dicco , dicco que des logiciels ont en base de données)

et dans certains cas même pas besoin de  mode  " force brute par matosse adhoc"
la jugeotte suffit
( exemple le hack du compte email de l'ex candidate Palin : nom de son chien )


----------



## kena73 (31 Mars 2010)

un petit tour ici pour compléter le tableau de Pascalformac


----------



## pascalformac (1 Avril 2010)

Prendre ces divers tableaux avec des pincettes
comme toujours ca dépend des contextes et protocoles de tests effectués


Néanmoins en retenir l'essentiel:
plus un mot de passe est simple ( court , mot commun en une casse etc) plus il est facile à trouver

plus un mot de passe est long et melangeant les casses et ou caractères speciaux et n'utilisant pas des mots communs , et plus il sera sûr


----------



## PascalBS38 (1 Avril 2010)

Et en conclusion?
Est-ce que les acces sont verrouiles apres x tentatives (3 par ex) ou si tentative multiples toutes les x microsecondes?
Les mots de passe crakes sont-ils crakes des le premier essai?


----------



## pascalformac (1 Avril 2010)

Pas compris de quoi tu parles exactement

en general ces tests de " force brute" se font avec des vagues massives d'essai ( des centaines de milliers)
quant à savoir quel essai  reussit c'est de l'ordre de calcul de probabilités
dans la réalité le mot de passe peut etre trouvé dans 6 ans comme au bout de 2 secondes SI c'est le bon

( exactement comme au loto ,  un lot en theorie gagnable  avecune chance sur X milliard , tu peux ne jamais gagner comme gagner 4 fois de suite)


----------



## PascalBS38 (1 Avril 2010)

pascalformac a dit:


> en general ces tests de " force brute" se font avec des vagues massives d'essai ( des centaines de milliers)
> quant à savoir quel essai reussit c'est de l'ordre de calcul de probabilités


 
Selon moi, tout systeme informatique doit être capable de deceler ces vagues massivess d'essais comme anormale et bloquer l'acces au bout de quelques tentatives.
Aussi un mot de passe est sensé être entré à la main et pas par un robot ou un logiciel, donc tout systeme informatique devrait attendre environ 3s entre chaque essai et permettre un nombre limité d'acces (inferieur à 10 voire 3)

Bien sûr il n'y aurait pas un risque 0 car meme un robot peut trouver un mot de passe du 1er coup, mais ce resterait extremement rare, et on ne peut rien y faire.


----------



## pascalformac (1 Avril 2010)

PascalBS38 a dit:


> Selon moi, tout systeme informatique doit être capable de deceler ces vagues massivess d'essais comme anormale et bloquer l'acces au bout de quelques tentatives.


sauf que non
certains le font 
d'autres pas
il n'y a pas de régle unique en la matiere

en passant le risque central de " crack" est surtout pour les sites, comptes en ligne ( galerie photo , site perso , compte email , fessebook  etc)
avec en general comme conséquence
- soit un hack- modif du compte
-soit une simple reprise du...email pour spam

concernant une machine et coeur de l'OS c'est different pour tonnes de raisons dont par exemple un truc tout bête ,allumée ou pas.


----------



## PascalBS38 (1 Avril 2010)

Franchement pas tres serieux tout ca.
Les sites du type "compte en ligne" mettent une serrure a leur porte d'entree mais autorisent quiconque a venir avec un trousseau de cle infini, c'est sur, tot ou tard la bonne clé est trouvé. Ce n'est qu'un question de temps.
Que fait iTunes (voir les messages a propos des comptes iTunes pirates....)?


----------



## pascalformac (1 Avril 2010)

PascalBS38 a dit:


> Franchement pas tres serieux tout ca.


une chose à ne pas perdre de vue

le web c'est pas UN machin qui fonctionne de manière unifiée
certains diraient tant mieux , d'autres non.


> Les sites du type "compte en ligne" mettent une serrure a leur porte d'entree mais autorisent quiconque a venir avec un trousseau de cle infini, c'est sur, tot ou tard la bonne clé est trouvé.


 nope, ca dépend des sites! certains mettent des limites d'autres non



> Que fait iTunes (voir les messages a propos des comptes iTunes pirates....)?


t'as un moyen très simple de le savoir
tu vas chez un pote et tu tentes de te logguer sur ton compte en 10 fois avec 10 faux mot de passe
( perso je le ferai pas, hein , mais au moins tu sauras )


----------



## Anabys (1 Avril 2010)

Il faut aussi mettre tout cela en perspective : deviner le mot de passer d'un utilisateur, après plusieurs essais manuels ou automatiques, cela ne compromet que le compte de cet utilisateur, à l'exclusion du serveur. En revanche, une petite injection SQL parce que le développeur a oublié d'échapper les apostrophes, cela peut compromettre l'ensemble des comptes. Les gens qui se préoccupent de la sécurité (du bon ou du mauvais côté) travaillent donc plutôt sur les failles globales que sur le mot de passe d'un utilisateur particulier. Cela n'excuse certes pas l'absence de contrôle, mais il ne faut pas à l'inverse dramatiser un phénomène très marginal (même si un gamin a deviné le mdp twitter d'Obama et qu'on en a parlé au JT de 20h...).


----------



## PascalBS38 (1 Avril 2010)

pascalformac a dit:


> tu vas chez un pote et tu tentes de te logguer sur ton compte en 10 fois avec 10 faux mot de passe
> ( perso je le ferai pas, hein , mais au moins tu sauras )


 
Pas tres envie de faire ca non plus 




Anabys a dit:


> .... Les gens qui se préoccupent de la sécurité (du bon ou du mauvais côté) travaillent donc plutôt sur les failles globales que sur le mot de passe d'un utilisateur particulier..


 
Sauf qu'il y a eu un certains nombre de compte iTunes apparemment pirates dernierement qui ont coutes quelques 100 de pertes  a chacun des proprietaires des comptes. On ne connait pas encore les details mais j'espere que le controle des mots de passe est serieusement fait par Apple sachant qu'il y a des references bancaires derriere chaque compte.

Sinon je vais augmenter le nombre de caractere de mes mots de passe a x (je ne vais pas vous dire combien, on ne sait jamais si quelqu'un de mal veillant nous espionne).....
En premier ce sera celui de iTunes


----------



## pascalformac (1 Avril 2010)

PascalBS38 a dit:


> Sauf qu'il y a eu un certains nombre de compte iTunes apparemment pirates dernierement qui ont coutes quelques 100&#8364; de pertes  a chacun des proprietaires des comptes. On ne connait pas encore les details mais j'espere que le controle des mots de passe est serieusement fait par Apple sachant qu'il y a des references bancaires derriere chaque compte


pas en France
la Loi est claire
La Loi prévaut sur ce que claironnent certains  chargés de compte bancaire mal informés ou annonant le topo venant de la Direction marketing ( pousser à achat de services ou cartes speciales)


par ailleurs et ca été dit et conseillé tu peux parfaitement  retourner sur ton compte et changer UNE case
" pas de paiement"
et voilà
plus d'achat faisable ni par pirates ni par toi
 ( sauf si tu recoches et rerentres tes coordonnées de carte)


----------



## PascalBS38 (1 Avril 2010)

pascalformac a dit:


> pas en France
> ( sauf si tu recoches et rerentres tes coordonnées de carte)


 
Oui j'ai effectivement constate que a chaque rachat il faut se reconnecter et cocher la case que tu indiques afin d'enlever les coordonnees bancaires car elle se rajoute automatiquelent a chaque achat.
 bref pas tres pratique, mais bon, c'est une solution effectivement


----------



## pascalformac (1 Avril 2010)

c'est temporaire
ces gugusses ont foncé dans une faille
il suffrira que tutunes change un process et ce sera terminé , jusqu'à faille suivante exploitable, sur tutunes ou ailleurs
c'est la régle de ce jeu gendarmes et voleurs


----------



## PascalBS38 (1 Avril 2010)

Ok ok, 
A bientot sur Macge


----------

