Un outil prétend forcer l’accès à n’importe quel compte iCloud

Nicolas Furno |

Un nouvel outil publié sur GitHub prétend être capable d’accéder à un compte iCloud en utilisant une attaque « par force brute » : l’outil dispose d’un dictionnaire de mots de passe qu’il essaie successivement, jusqu’à trouver le bon. Normalement, Apple devrait finir par le bloquer après quelques tentatives, mais ses concepteurs précisent qu’ils ont réussi à contourner toutes les mesures mises en place par l’entreprise.

Pour parvenir à trouver le bon mot de passe, la très courte liste de 500 mots de passe utilisée par l’outil ne servira pas à grand-chose (sauf si votre mot de passe est « password », naturellement). L’outil n’en est pas moins dangereux, puisqu’il suffirait de générer une liste beaucoup plus longue, ou bien utiliser d’autres bases de mots de passe déjà dans la nature, pour augmenter ses chances de manière significative.

D’après 9To5 Mac qui a analysé le code de cet outil, Apple pourra très facilement le bloquer. Il semble que la seule chose qu’il fasse est de passer pour un iPhone au moment de proposer un mot de passe et apparemment, il n’y a aucune limite sur le nombre de tentatives effectuées depuis un iPhone. Il suffirait de placer une limite et l’outil perdrait tout son sens.

D’ici là, assurez-vous que votre mot de passe n’est pas constitué uniquement d’un mot simple et d’un chiffre. Mieux vaut soit générer un mot de passe complexe avec 1Password par exemple, soit allonger le mot de passe avec plusieurs mots et des majuscules ailleurs que sur la première lettre.


avatar iapx | 

Lors de mon passage en autorisation à 2-étapes (2-steps) sur mon compte iTunes/iCloud/iMachin, Apple m'a demandé de renforcer mon mot-de-passe (qui faisait 12 caractères!), et leurs nouvelles règles vont rendre totalement caduque ce type d'outil, tout en pourrissant la vie des utilisateurs lambda qui auront du mal à se souvenir d'un mot-de-passe unique à 16 caractères, comme le mien!

avatar tchit | 

@iapx :
12 caractères c'est rien si ce sont juste des lettres

avatar Jeckill13 | 

@tchit :
C'est vrai. Mieux vaut un mélange de caractères avec majuscules et minuscules accompagnés de chiffres et au moins 1 symbole.

avatar Darth Philou (non vérifié) | 

@Jeckill13 :
Oui.
Et le mot de passe devient tellement compliqué à retenir qu'on finit par le noter.
Ou alors, comme beaucoup, on utilise les remplacement usuels type 1 pour i ou l, 3 pour e, etc.
Bref ca ne sert à rien.

En fait, plutôt que des mots de passe complexes, il vaut mieux des mots de passe longs, des passphrases plutôt que des passwords. Ca ne sert à rien d'obliger à mettre des caractères spéciaux et des chiffres. Les autoriser oui de sorte à ce que les combinaisons soient les plus nombreuses possible.

avatar bugman | 

@Darth Philou : "Et le mot de passe devient tellement compliqué à retenir qu'on finit par le noter."
Il faut se faire une méthode et faire le choix de quelque chose qu'on ne peut oublier.

Un exemple. Pour la méthode je peux choisir par exemple de commencer mon mot de passe par le chiffre de la dizaine de ma date de naissance, suivi d'un 'parse' d'une phrase qui m'est cher et que je n'oublierais pas puis finir par les unités de ma date de naissance. C'est tout ce que j'ai besoin de retenir.

Exemple : Disons que je suis né en 83 qu'une phrase sur une assiette décorative qu'il y avait chez ma grand mère "La mesure de l'amour est d'aimer sans mesure." est bien encré en moi (certain de ne pas l'oublier).
Avec la méthode le mot de passe pourrait être "8Lm2lAedasm.3".
Pas d'obligation de l'apprendre par coeur ni de le noté. Naturellement plus le MdP est long et mieux c'est.

avatar poikoi | 

@bugman :
Merci de nous avoir renseigné sur ton mot de passe. Pourrais-tu nous donner ton identifiant iCloud ?

avatar bugman | 

@poikoi : Ce n'est qu'un exemple (et la méthode également). Disons que j'utilise quelque chose de similaire. ;)
Pour info, l'un de mes mots de passe fait plus de 30 caractères et il ne me pose aucun problème de mémorisation (la meilleur façon de le 'cracker' reste peut être le thiopental). C'est ce que je voulais souligné ici.

avatar BestMBP | 

Perso, j'ai encodé mon mot de passe de plus de 20 caractères avec un simple outil de codes scouts et quelques chiffres et symboles. J" n'ai eu aucun mal à le retenir par coeur.

Pour ceux que ça intéresse, il faut taper "codage scout dans google et aller sur le lien de latoilescoute.
Le codeur propose une dizaine de systèmes de cryptage basiques de type "avocat" et quelques uns plus compliqués.

avatar bugman | 

@BestMBP : Intéressant. Le codage "avocat" (Cesar en fait) est certainement suffisant pour un mot de passe mais en faisant attention à certaines choses, comme la redondance dans les caractères et ne surtout pas utiliser un mot de dictionnaire. Le mieux est certainement de choisir deux mots différents (l'un étant le passe à coder et l'autre la clé (le masque) de la même longueur, mais celle-ci n'est à n'utiliser qu'une et qu'une seule fois). Tu peux rechercher "Chiffre de Vigenère" sur Google pour plus d'infos.

Une autre solution (en plus d’être instructif) c'est de se servir de simulateur de machines ayant fait leurs preuves, comme l'Enigma par exemple (il en existe d'autre), qui n'a été que craquer parce que les allemands utilisaient une sorte d’entête dans leurs messages (météo, il me semble) en plus d'un langage connu des dictionnaires (la langue allemande).

En gros, faut être créatif et faire sa petite sauce perso. ;)

avatar GoldenPomme | 

Si l'utilisation des caractères unicode est possible, même avec 6 caractères t'es tranquille.

edit: Sur macg on peut même pas foutre d'unicode dans les comm'. :'(

avatar bugman | 

@GoldenPomme : "edit: Sur macg on peut même pas foutre d'unicode dans les comm'. :'("
Ouai... Tout comme on ne peut pas faire d'injection SQL. :/ C'est ballot (ou juste normal). ;)

avatar Darth Philou (non vérifié) | 

@bugman :
Le problème est que la grande majorité des utilisateurs sont incapables de faire l'effort de construire et retenir ce type de mot de passe.

La seule valeur de ta technique est la longueur (13 caractères).

Autre chose à faire aussi : changer souvent des mots de passe.

avatar bugman | 

@Darth Philou :
"La seule valeur de ta technique est la longueur (13 caractères)."
L'autre avantage c'est de ne pas contenir de mots (pouvant se retrouver dans un dico) et d'être (pour moi du moins) assez facile à retenir.

"Autre chose à faire aussi : changer souvent des mots de passe."
C'est mieux, oui.

"Le problème est que la grande majorité des utilisateurs sont incapables de faire l'effort de construire et retenir ce type de mot de passe. "
Rien de complexe pourtant. Reste à espérer que le contenu qu'ils 'protègent' à aussi peu d’intérêt.

avatar AirForceTwo | 

"Et le mot de passe devient tellement compliqué à retenir qu'on finit par le noter."

Pas si vous utilisez un gestionnaire de mots de passe tel que 1Password.
La plupart de mes nouveaux mots de passe font 24 caractères (quand c'est permis), avec lettres minuscules/majuscules, chiffres et caractères spéciaux. Le gestionnaire de mots de passe les génère automatiquement et s'assure qu'aucun mot du dictionnaire n'est présent dans ces mots de passe.

Mon seul mot de passe court (6 caractères) est paradoxalement celui de ma banque qui n'autorise pas de mot de passe plus long et ne permet que des chiffres.

avatar becausebreast | 

@tchit :
Mes mots de passes ont toujours été long, c'est limité inutile à un certain stade mais au moins ça m'aide à me rappeler de mes mots de passes en plus différents sur chaque site!
Celui de Apple fait 33 caractères, je doute que ce logiciel arrive à le trouver rapidement...

avatar Superboy58 (non vérifié) | 

Un faille particulièrement ridicule si cela s'avère vrai...

avatar bugman | 

@Superboy58 : si cela s'avère vrai, "ridicule" est plutôt gentil, je trouve.

avatar Floklein | 

Testé, mais bon, pas très efficace : il faut ajouter soi-même des entrées à la liste proposée par défaut...

avatar bugman | 

@Floklein : Si tu essais, je t'invite à ne pas y inclure ton véritable MdP.

avatar BitNic | 

J'en connais beaucoup autour de moi qui n'ont qu'un seul mot pour tous les sites !!!
J'ai beau leur expliquer, il n'y a rien à faire... ça me désespère.
Mais bon, il y en a tellement que ça ne dérange pas de conduire bourré... alors la précaution sur le Web !

avatar Madame Mim | 

@BitNic :
Idem pour moi, ils ne veulent rien comprendre et je passe pour une parano.

avatar bugman | 

"Apple devrait finir par le bloquer après quelques tentatives, mais ses concepteurs précisent qu’ils ont réussi à contourner toutes les mesures mises en place par l’entreprise. "

J'ai comme un sérieux doute. La logique voudrait que le MdP, la gestion du compteur et le droit d’accès soit traiter par une seule et même procédure (et non séparément)... alors à moins d'avoir accès à la BdD (et donc également au MdP) je ne vois pas comment cela serait possible.

avatar lezardon | 

Encore et toujours 1password. MAIS ARRETEZ, LES GARS DE MACG !!!

avatar XiliX | 

Il semblerait que ce forçage un brut ne marche pas pour les comptes avec la double vérification activée

avatar patrick86 | 

Mot de passe 30 caractères alphanumériques et spéciaux, c'est le minimum.

avatar Mrod | 

@patrick86 :
C'est tout? Le mien fait 476 caractères au total. Un peu long a rentrer (30 min) mais au moins mes données sont à l'abri

avatar françois bayrou | 
avatar Darth Philou (non vérifié) | 

@françois bayrou :
Merci. Exactement ce à quoi je faisais référence.

avatar bugman | 

Oui...mais non c'est pas du jeu.

D'un coté tu as un pass de 11 caractères et de l'autre 25 !

Essayons de voir les choses autrement...

Il parait (source internet) qu'un français connait en moyenne 5000 mots (prenons alors les plus courants sachant que le petit Robert a quelque chose comme 60.000 entrées).
La moyenne de caractère dans un mot en français est de 6 ou 7 lettres (allez, disons 7).
Parait que la moyenne des mots de passe fait en général 8 caractères (je veux bien croire qu'un français lambda fera l'effort d'utiliser 2 mots donc une moyenne de 14 caractères).

Petits calculs :

Attaque par dico : (sans tenir compte des majuscules comme sur l'illustration)
5000^2 = 25.000.000 possibilités. A 1000 (c'est vraiment peu) tentatives par seconde il faudrait 17 jours (environs) pour avoir une chance de casser le password.

---

Prenons maintenant le premier mot de passe (11 caractères sur l'illustration), imaginons qu'on utilise des caractères ascii (minuscules, majuscules, chiffres et ponctuations) : Disons 90 caractères (pour arrondir à la dizaine inférieure).

Déjà on peut dire que l'attaque au dictionnaire n'a rien donnée (17 jours dans le cul).

Attaquons en brut force (toutes les combinaisons possibles) :
90^11 = 3.138.105.960.900.000.000.000 possibilités.

Fait ton choix camarade ! :)
Ce que je veux dire, c'est qu'effectivement, c'est une bonne idée d'utiliser des mots courants, mais encore une fois en faisant l'effort de sélectionner ses mots et leurs nombres (et ajouter une ponctuation, un chiffre ou une majuscule ne vous coute vraiment pas grand chose).

---

Pour finir, il reste un problème avec ce genre de mot (phrase) de passe.
Imaginons une autre attaque. Ici, notre malandrin détient la BdD contenant les mots de passes cryptés. Suivant le type de chiffrement, il est possible (je ne parle pas de certitude mais de possibilité) de découvrir le MdP en ne se focalisant que sur une partie de celui-ci (tu as 'horse' tu as tout).

avatar Darth Philou (non vérifié) | 

@bugman :
Ton raisonnement ne tient pas car à partir du moment où le champ du mot de passe autorise chiffres, lettres majuscules et minuscules, caractères spéciaux sont l'espace, le pirate ne sait pas quoi chercher :
. Par dictionnaire : il ne sait pas combien de mots, y a-t-il des caractères de substitutions ou non, y a-t-il emploi de majuscules ou minuscules, de caractères accentués ou non, etc.
. Par force brute : il a un ensemble de symboles étendus sur une longueur indéterminée.

Donc au final, on en revient au principe d'un mot de passe ou d'une phrase, longue.

avatar bugman | 

"Ton raisonnement ne tient pas car à partir du moment où le champ du mot de passe autorise chiffres, lettres majuscules et minuscules, caractères spéciaux sont l'espace, le pirate ne sait pas quoi chercher"

Il va donc utiliser ce qui lui semble le plus pertinent (ici un dictionnaire), qui semble aller dans tes choix d'ailleurs. Ce n'est pas pour rien que ce genre d'outils existe. Pour se faire une idée (longueur par exemple) il peut faire ce que j'ai fait ici en cherchant des résultats de statistiques. Nous sommes d'accord, une attaque par dictionnaire ne garantie aucun résultat, mais cela reste intéressant (résultat/temps) comparé à une attaque brute force. Et donc, autant éviter tout ce qui pourrait être inclus dans ce dictionnaire.

"Par dictionnaire : il ne sait pas combien de mots, y a-t-il des caractères de substitutions ou non, y a-t-il emploi de majuscules ou minuscules, de caractères accentués ou non, etc."

Je te cite :
"Ca ne sert à rien d'obliger à mettre des caractères spéciaux et des chiffres."
J'en conclus que tu fais référence à de l’alphabétique uniquement (c'est aussi ce qui est proposé dans l'illustration).
Je me cite maintenant (ce qui devrait rejoindre ce que tu me dis ici) :
"effectivement, c'est une bonne idée d'utiliser des mots courants, mais encore une fois en faisant l'effort de sélectionner ses mots et leurs nombres (et ajouter une ponctuation, un chiffre ou une majuscule ne vous coute vraiment pas grand chose)."

"Donc au final, on en revient au principe d'un mot de passe ou d'une phrase, longue."
Jette un œil à mon dernier paragraphe (du message au dessus).

---

"Lm2lAeds" me semble plus sûr (bien trop court par contre) que "lamesure" (même nombre de caractères) qui en brute force est plus faible que l'autre et qui en plus risque de lâcher dans certains cas (attaque par dictionnaire) alors que l'autre, non. Ne compte pas trop sur les espaces non plus (groupe de deux caractères : "un" "le" "la" seuls dans leurs petits coins...), tu noteras aussi que dans la langue française nous avons quelques groupes de lettres (quelques fois jusqu'a 4) revenant souvent "asse" "elle" "ette"... Cela permet des analyses (en cas d'attaque sur le pass chiffré).

Après, relativisons. Je suis certain que nos passwords sont assez solides pour ce que nous voulons protéger... respectivement. ;)

avatar françois bayrou | 

"Lm2lAeds" me semble plus sûr

Il ne l'est pas tant que ca. 8 caractères, la longueur par défaut, il a toutes les chances de se trouver dans la liste d'un petit malin qui a découvert que 8 chars avec 1 num et de l'alpha maj/min ca le fait grave dans XX% des cas.
Et pour l'utilisateur, il est très dur à mémoriser.
Tandis que "Ma grand mère me chantait du Michel Sardou pour m'obliger à finir mes épinards" ne se trouvera dans aucun dico. Aucune brute force n'ira jusqu'a cette longueur, il est d'ailleurs tellement long qu'il n'a pas besoin de salt, et, cerise sur le gâteau, tu ne l'oublieras jamais !

avatar bugman | 

@françois bayrou : C'est un peu ce que je confirme au dessus.

Après si tu me dis que "MgmmcdMS/pm'oàfmé/" se retrouverait dans un dico (ou même en clair pourrait évoquer quelque chose à un hacker) je vais commencer à m'inquiéter sur mes choix.

Pour l'autre exemple, non il ne se trouverait certainement pas dans le dictionnaire d'un petit malin. Il reste juste attaquable en brute force, mais j'ai souligné qu'il était bien trop court (donc "plus sûr QUE" et non "sûr POINT").

"Ma grand mère me chantait du Michel Sardou pour m'obliger à finir mes épinards"
pourrait poser des problèmes de sécurité par contre au cas où on le récupérerait chiffré, pour la bonne raison qu'il est formé de règles connus et de suites redondantes facilement identifiables (la langue française). Bonjour le nombre d'espaces, bonjour le "Ma", le "me", le "du", la conjugaison ("ait" avant l'espace), le "pour", le "à", le "mes"... si courants dans une phrase. Qu'est ce qui s'est passé, déjà, lors de la seconde guerre mondiale ? Pourquoi (surtout) ?

"Et pour l'utilisateur, il est très dur à mémoriser."
Dur à mémoriser ? Vous arrivez a mémoriser des phrases et n'êtes pas capable de ressortir les premières lettres de chacun de ses mots ? Après, si vous avez la capacité de mettre votre clignotement avant de tourner, nul doute que vous l'aurez aussi pour saler à loisir (c'est pas la mort).

avatar françois bayrou | 

" bonjour le "Ma", le "me", le "du", la conjugaison ("ait" avant l'espace), le "pour", le "à", le "mes"

Je ne savais pas que ca avait un impact sur le chiffrement qui est censé être autant affecté par les caractères, que par la longueur même du pass. Le salt est d'ailleurs censé casser cela, justement, pour peu qu'on en rajoute un : salt de 10x la longueur, et basta. Mais je ne suis pas expert en chiffrement, à confirmer par un spécialiste…

Pour ma part on m'a toujours dit que le seul moyen de se protéger d'une brute force ou d'un dico c'était la longueur, ca parait logique, je me permets donc de rester sur cette technique...

avatar bugman | 

@françois bayrou :

Je pense sincèrement qu'une phrase comme la tienne est effectivement largement assez solide pour résister aux attaques brute force.

"Pour ma part on m'a toujours dit que le seul moyen de se protéger d'une brute force ou d'un dico c'était la longueur, ca parait logique"

La longueur, oui. Mais j'ajouterais aussi le nombre de possibilité pour chaque caractère (encore faut il les utiliser). Tu te doutes (juste pour donner un exemple) que 8 valeurs binaires seront plus rapide à trouver que 8 valeurs hexa, comme il y aurait plus de gagnants au loto si il n'y avait que 20 boules dans la sphere même en sortant le même nombre de boules par tirage. Ça parait logique.

"Le salt est d'ailleurs censé casser cela"
C'est pourquoi j'ai entamé cette conversation avec Darth Philou d'ailleurs.

Pour le reste, je dois, je l'avoue, être un peu parano. La phrase est certainement trop courte pour espérer une analyse. Mais juste par doute (en imaginant l’éventualité d'une attaque partielle sur la phrase), juste parce que le résultat risque de me sauter au visage (ou à ceux d'un logiciel), juste parce que ces suites de caractères ne me sont pas inconnu (à moi qui ne suis pourtant pas l'initiateur de cette phrase), juste parce que ce ne sont que des mots... j’évite.

avatar rondex8002 (non vérifié) | 

J'ai oublié le lien, mais le mot de passe que demande Apple est le plus difficile de tous les sites, et de loin.
J'entends par là, qu'il faut obligatoirement une majuscule et minuscule, un chiffre, etc. Une liste pour ne pas générer un mot de passe trop facile.

CONNEXION UTILISATEUR