Sécurité : l'intenable défi

Arnaud de la Grandière |
Tout le monde le sait, mais personne ne veut en entendre parler : toute l'économie numérique repose sur une confiance déraisonnable dans une sécurité qu'il est tout bonnement impossible de garantir.

Les faits divers se suivent et se ressemblent, de compromission des données des utilisateurs en mots de passe complaisamment distribués au premier venu, sans que cela ne semble en rien modifier les habitudes des consommateurs, ni même entamer la confiance accordée aux garants de nos données personnelles. Mais y a-t-il seulement une alternative à ce statu quo intenable ?



Sésame, ouvre-toi



L'écrasante majorité des systèmes d'identification en ligne ne repose que sur la simple paire identifiant/mot de passe. Lorsqu'on en laisse le libre choix à l'utilisateur au lieu de lui fournir un mot de passe imposé, il aura non seulement tendance à choisir l'un des mots de passe les plus fréquemment utilisés (et donc facile à déterminer, de "password" à "qwerty" en passant par "123456"), mais pire encore il utilisera la même combinaison pour tous les services (n'étant pas en mesure d'en retenir un pour chaque compte de chaque service). Il suffit donc qu'un seul de ces services soit hacké (aussi inoffensives soient les données qu'il recèle) pour que tous les autres prennent sa suite.

Alors même que le hachage cryptographique MD5 est considéré comme inefficace depuis au moins huit ans, celui-ci reste encore très largement utilisé par la plupart des sites pour la vérification de mots de passe.

Mais pire encore, il reste nombre de sites qui stockent les mots de passe de leurs utilisateurs sans le moindre chiffrement : c'est là le coût de la démocratisation des outils de publication en ligne, ouvrant aux amateurs un territoire autrefois réservé aux professionnels. Ces pratiques seraient d'ailleurs sans doute moins dangereuses si les utilisateurs eux-mêmes n'utilisaient pas toujours les mêmes mots de passe partout, permettant une escalade de privilège d'un service à l'autre, pour aboutir sur des données autrement plus sensibles. Avec l'augmentation des secrets confiés aux sociétés, la part numérique de la vie de chaque citoyen allant grandissant, le problème devient de plus en plus crucial. C'est potentiellement votre compte en banque qui est exposé, mais également des mois de travail qui peuvent être réduits à néant pour peu qu'un tiers accède à votre compte iCloud et l'efface.



Il existe certes quelques solutions pour remédier partiellement à ce problème. Le logiciel 1password permet ainsi de générer des mots de passe uniques pour chaque service et de les mémoriser pour vous, leur accès s'ouvrant à l'aide d'un mot de passe "maître". Mais celui-ci ne fait que reporter le problème d'un niveau, faisant du mot de passe maître de 1Password le nouveau maillon à abattre, qui fera tomber tous les mots de passe qu'il protège. C'est d'ailleurs l'objectif affiché de John the Ripper, un logiciel libre de cassage de mot de passe. Les développeurs de 1Password se disent prêts à faire face à ce défi, tout en exhortant leurs utilisateurs à employer un mot de passe maître difficile à casser, en associant plusieurs mots communs aléatoirement choisis (ce qui rend virtuellement impossible de les déterminer par « force brute »). Car tout mot de passe est par essence "trouvable" si l'on fait abstraction du temps nécessaire à le trouver, il suffit d'essayer toutes les combinaisons possibles et imaginables de manière systématique. Le tout étant de rendre l'opération si longue qu'une vie entière n'y suffirait pas malgré toute la puissance de calcul possible, ce qui peut être déterminé par l'entropie de Shannon. Mais ce procédé reste malgré tout moins facile à mettre en pratique sur le clavier virtuel d'un smartphone.


un comic de XKCD illustrant ce principe

Il faut dire que la création de comptes utilisateurs est devenue si universelle qu'elle se fait désormais sans y prêter la moindre attention : il est souvent impossible de bénéficier du moindre service en ligne sans en passer par la divulgation d'une adresse email et de l'enregistrement d'un identifiant et d'un mot de passe.

C'est oublier bien vite que les services eux-mêmes, en dépit de leurs efforts affichés de loyauté, ne sont engagés que par leur propre parole et par la confiance qu'on lui accorde : qu'une start-up se trouve en délicatesse financière, et elle aura tôt fait de vendre son carnet d'adresse au premier spammeur venu. Et c'est encore là le moindre mal qu'on puisse redouter.

La biométrie, une fausse bonne idée



On croit souvent que la biométrie est le remède absolu de ces problèmes, et c'est bien à tort. La plupart des systèmes de reconnaissance biométrique sont encore plus simples à falsifier que de récupérer un mot de passe. La reconnaissance faciale, basée sur les seules images capturées par une caméra, sera trompée facilement avec une simple photo de la personne à usurper. La reconnaissance vocale sera également trompée par un simple enregistrement de votre voix. Les empreintes digitales se reproduisent très facilement en vous offrant un verre à boire et en se munissant de super-glue comme en témoigne la vidéo ci-dessous. Il existe néanmoins aujourd'hui des lecteurs reconnaissant le dessin de vos veines (à travers la peau du bout du doigt ou dans le fond de votre œil) qui sont beaucoup plus difficiles à berner, puisqu'ils ont même besoin que votre sang circule. On peut évidemment alors vous contraindre à poser votre doigt ou votre visage, mais on peut aussi vous contraindre à donner votre mot de passe.



Mieux encore, les données biométriques peuvent être accessibles sans le moindre contact par la voie des airs : certains passeports biométriques qui incluent une puce sans contact RFID permettent aux hackers de récupérer une empreinte digitale en se mettant simplement à portée de ladite puce !

La biométrie pose également des problèmes d'ordre pratique : impossible par exemple d'ouvrir l'accès à votre conjoint sans votre présence effective, alors que vous pourriez simplement lui communiquer votre mot de passe. Plus gênant encore, par définition ces identifiants ne peuvent être modifiés puisque faisant partie de votre intégrité physique, et s'ils viennent à être compromis par les procédés indiqués ci-dessus (ou par divers accidents de la vie), ils en deviennent totalement inutilisables. Naturellement ces pratiques ne visent que des "cibles" importantes, un quidam n'aura guère à s'en soucier, mais c'est précisément ces cibles d'importance (pour leur seule personnalité ou pour les données sensibles auxquelles elles ont accès) qui ont tendance à recourir à ces systèmes.

Le facteur humain, ultime maillon faible



Alors que les plus grands noms du secteur ont été touchés par des hacks de leurs serveurs (Sony, Valve, Blizzard…), il n'y a parfois pas besoin de la moindre compétence technique pour voler les données en ligne, puisque l'humain, nimbé de son inhérente faillibilité, reste le maillon faible de la chaîne de sécurité.

Témoin la mésaventure de Mat Honan, qui a vu toute sa vie numérique partir en fumée par la simple mise en synergie des pratiques sécuritaires d'Amazon et d'Apple, la première donnant les quatre derniers chiffres de son numéro de carte bancaire, et la seconde n'en exigeant pas plus pour donner les clés de son compte iTunes par téléphone (lire : Sécurité : Amazon peut offrir un accès à votre compte Apple).

Regroupées sous le terme de « social engineering », diverses techniques permettent d'obtenir un mot de passe le plus simplement du monde, en inspirant la confiance et en se contentant de le demander. Le hameçonnage en est l'une des manifestations les plus récurrentes, et c'est également pour ses aptitudes en social engineering que Kevin Mitnick fut le premier hacker à connaître une célébrité planétaire.



Ces méthodes sont d'une simplicité enfantine pour obtenir l'accès aux données, et c'est d'autant plus déroutant que, si les responsables techniques des entreprises mettent parfois beaucoup de moyens sur la protection des données, les employés sont rarement sensibilisés sur les pratiques à proscrire. Un simple coup de fil en se faisant passer pour un membre de l'équipe technique, et en prétendant une maintenance de routine, permet d'obtenir des mots de passe très facilement (de la même façon qu'on tiendra ouvert un portail d'accès par seule courtoisie pour la personne qui vous suit sans même sourciller). Une autre méthode connaît un certain succès depuis quelque temps : le simple abandon d'une clé USB sur le parking d'une société permettra d'installer un keylogger sur le parc informatique sans même entrer dans les locaux, en comptant simplement sur la curiosité des salariés.

Les transactions en ligne n'ont pas l'apanage de ces dangers : l'usurpation d'identité a de tout temps fait des ravages. C'est peut-être une des rares raisons qui permettent de se consoler de la gourmandise de l'administration française pour les multiples justificatifs : aux USA, un simple numéro de sécurité sociale a pu permettre d'usurper l'identité d'innocentes victimes et de leur rendre la vie infernale : le pic du nombre de victimes a été atteint en 2003 avec 10,1 millions de personnes touchées sur cette seule année. Il est en effet possible, entre autres, de souscrire à un crédit au nom d'une tierce personne en ne possédant que son numéro de sécurité sociale : à l'usurpateur le bénéfice de l'argent, à l'usurpé la charge de la dette.

C'est l'une des activités criminelles qui a connu la plus forte augmentation aux USA ces dernières années, à tel point qu'elle a généré toute une économie : les assureurs proposent désormais des polices pour s'en protéger, et certains états exigent la présentation de deux pièces d'identité pour tout paiement par carte bancaire. Le renforcement des mesures de sécurité et de vérification commence à endiguer le problème, qui reste malgré tout préoccupant, mais celui-ci démontre que l'efficacité et le pragmatisme ne sont pas toujours sans contreparties douloureuses.

En somme, les moyens de violer diverses protections ne manquent pas, et il faut en faire l'amer constat : aucune mesure de protection n'est inviolable, et c'est bien la confiance dans celles-ci qui est leur première faiblesse. Et à l'inverse, c'est également la confiance qui rend viable ces transactions en ligne : elle incarne donc à la fois la condition sine qua non et la faille même du système, aboutissant à une situation inextricable. C'est sans doute la raison qui explique l'apathie ambiante face à ces problèmes.


Tags
avatar MarcoAix | 
@Lyon3 Effectivement, avec 0 compte ton raisonnement fonctionne très bien ;-) pour le reste, il s'agit plutôt d'idées préconçues. @DrFatalis Tu ne perds rien du tout, hormis l'automatisation. @rototo104 "le quidam moyen ne risque rien" : je peux te rassurer sur un point au moins, ton opinion est très largement majoritaire. Et il est difficile de faire comprendre au gens combien la sécurité n'est pas un vain mot dès qu'on est en réseau, et aussi combien le quidam moyen intéresse une multitude de boîtes !
avatar Ali Ibn Bachir Le Gros | 
@Mac mac: Super, mais si tu ne donnes pas la banque en même temps, on va s'acheter nos Mac comment ? Pfff ...
avatar Lemmings | 
Le problème majeur vient surtout de la sécurité de chaque service. C'est pourquoi employer un mot de passe différent pour chaque service est indispensable ! Car même si le MD5 est "léger", vaut mieux une base hashée en MD5 que rien du tout... évidement un salage supplémentaire n'est jamais mauvais en complément... Mais comme vous le dites, bien des services n'ont même pas de hash dans leurs bases ! Pire, certains systèmes pseudo "sécurisés" se limitent à des sécurités factices. Que dire de l'accès à son compte sécu ou l'on doit utiliser 8 caractères forcément mais aucun caractères spéciaux ? Ou encore de ces accès bancaires ou le code d'accès n'est composé que de chiffres... Il y a encore bien du boulot !
avatar macbookintel | 
Sans parler des sites qui nous renvoient notre mdp en clair par mail à l'inscription...
avatar Xalio | 
Pour en revenir a iOS... Un mot de passe (même simple) active la puce de chiffrement depuis l'iphone 3Gs.... Pensez y! (Chiffrement matériel, aucun ralentissement de l'OS...)
avatar os-app92 | 
On dit "chiffrement" en crypto et non pas "chiffrage".
avatar Leehalt | 
@Freitag Un pirate qui a réussi à installer sa backdoor sur quelques millions de PC (rappel: le Mac est aussi un PC) peut générer facilement 1000 tentatives d'accès par secondes à un site. Et vu que les connexions viendront de quelques millions d'IP différentes, le site serveur ne pourra pas blacklister ces IP, si tant est que le délai de réutilisation d'une même IP est suffisant. @tous ceux qui croient que leurs infos n'intéressent pas les pirates Détrompez-vous ! Il y a tout un commerce underground autour du vol de vos données. Ces n'est pas tant vos données qui intéressent ces "mafias" que l'argent qu'ils peuvent en tirer. Ils revendent ensuite des services de "mass marketing" à des "sociétés" peu regardantes et désireuses de faire leur pub. Y'a du fric à faire dans l'exploitation underground de vos données. HS: remarquez, c'est pas trop loin du business model de Facebook et consorts. @MacGé Très subtile votre utilisation du terme "confiance" dans le dernier paragraphe de l'article: la confiance des "mesures de protections" est une donnée quantifiable et mathématiquement prouvable: c'est la longueur d'un mot de passe, la diversité de son dictionnaire, la force de l'algo de chiffrement, la longueur de ses clés, la chaine de certificats, l'emetteur 'root', etc. Alors que la confiance qu'on accorde en tant qu'utilisateurs à ces systèmes de protection est un ressenti, un sentiment. Cette seconde découle de la première, ou plus précisément de ce que les sites disent avoir pris comme mesures de protection ("nous prenons la sécurité de vos données très au sérieux", bla bla) mais vu qu'on ne peut pas vérifier leurs dires, on est bien obligés de leur faire...confiance.
avatar Leehalt | 
@Xalio Ca se suffit pas. Ce n'est pas tant l'exploit technique qui consiste à casser un algo de chiffrement fort que le fait de tromper le système de sécurité en se faisant passer pour l'utilisateur légitime qui intéresse aujourd'hui les petits malins qui voudraient exploiter tes données. Quelque soit la complexité et le blindage de ton coffre-fort, si la combinaison est "1234" le coffre s'ouvrira. Ainsi durant mes vacances, en manque d'internet, j'ai déjà réussi à me connecter à un réseau wifi chiffré WPA-2 dont le mot de passe était, je te le donne dans le mille, "12345" ! Et j'ai trouvé le password au 1er essai (j'avais hésité avec 0000 :). Autant laisser son wifi en réseau ouvert dans ce cas-là !
avatar Armas | 
Excellent article. Merci pour l'instant culture
avatar Miniwilly | 
Tomber de Charybde en Scylla : Charybde et Scylla auraient été deux dangers du détroit de Messine, entre l'Italie et la Sicile, le premier étant un tourbillon, le second un écueil. Les marins qui cherchaient à éviter le premier allaient périr en s'écrasant sur le second.
avatar jeffgene | 
C'est bon quasiment tous les sites que j'utilise ont été modifier avec un passeport aléatoire grâce a un 1passeword !
avatar Passares | 
Et que dire des banques qui contraignent à n'utiliser que 6 chiffres comme code ?
avatar lecoeur | 
Bientôt on fera sa déclaration d'impôts sur le net avec ses identifiants de Facebook, et les gens seront très contents !
avatar Lemmings | 
@passares : cf mon message + haut :)
avatar shadokart | 
Est-il vrai qu'un ensemble de caractères avec majuscules, chiffres et ainsi de suite, protège moins bien que deux ou trois mots communs, comme semble le dire le dessin illustrant cet article ?!! Il me semblait que c'était l'inverse : qu'un logiciel utilisé pour craquer un mot de passe aura une base de données de dictionnaires, alors qu'une combinaison complexe ne se trouve nul part et demande un temps de calcul infini.
avatar Anonyme (non vérifié) | 
Seul oubli à mon sens, la nécessité d'utiliser une carte virtuelle (e-card, payweb card...) pour payer en ligne en lieu et place de sa carte bancaire. Apple est la seule société à laquelle j'ai filé mes véritables coordonnées bancaire, les cartes virtuelles n'étant pas acceptées...
avatar Lemmings | 
@shadokart : il y a deux grandes méthodes pour "trouver" un code : 1) soit utiliser un dictionnaire, et donc tester toutes les combinaisons courantes connues, genre 0000, 1234, abcd et j'en passe... C'est là ou un mot "commun" est très faible comme protection car rapidement trouvé. 2) soit passer par un système dit de "force brute" qui va tester une à une chaque combinaison possible, par exemple pour un code numérique à 4 chiffres, il va tester de 0000 à 9999 en essayant chaque possibilité intermédiaire. C'est plus long mais tu as un résultat garanti. Avec la seconde méthode, aucun code n'est inviolable, seulement chaque caractère supplémentaire ajouté augmente le nombre d'essai nécessaires à trouver le bon code, et donc le temps. Ainsi, un mot de passe de 10 lettres est énormément plus sécurisé qu'un mot de passe de 8. L'association de multiples mots communs pour faire un mot de passe assez long est une technique valable, tant que les algo ne seront pas mis à jour pour tester en simili force brute en associant les mots des dictionnaires... Ce qui évidement existe déjà ;) En gros, un mot de passe suffisamment long (8 caractères gros minimum) et qui ne soit pas dans un dictionnaire est la moins mauvaise des protection. Si tu as un mot de passe "complexe" de 16 ou 20 caractères, évidement c'est mieux... Mais moins pratique lol Encore une fois, je le redis, la règle DE BASE c'est un mot de passe par service !
avatar .matt | 
(Vous confondez chiffrement et hashage. Pour stocker les mots de passe dans les bases de données, on utilise du hashage, et pas du chiffrement.) Le défi n'est pas [i]intenable[/i] à proprement parler. C'est plutôt un défi [i]constant[/i] : un jeu du chat et de la souris. Le tout est de ne pas s'endormir sur ses lauriers : chaque faille amène un correctif, et une nouvelle faille arrive ensuite, ou alors le correctif lui-même présente une faille. Exemples : - Bruteforce -> limitations des connexions par intervalle de temps - Mots de passe communs -> forcer les utilisateurs à utiliser un mot de passe unique - Mots de passe idiots -> forcer les utilisateurs à utiliser chiffres/lettres et une longueur minimale - Failles inhérentes aux bases de données -> hasher les mots de passe au moins avec des tours de SHA1 - Tables arc-en-ciel, redoutables -> utiliser des vecteurs d'initialisation publics puis privés Le problème ne vient quasiment jamais des technologies utilisées, mais des techniciens qui les mettent en place et n'assurent pas leur fonction de "veille technologique" après.
avatar poco | 
Excellent article et réactions très intéressantes! Merci à toutes et à tous ;-) Juste mon petit grain de sel. On voit qu'on a affaire ici à des "amoureux" du soft. Au delà de çà, comme il est dit dans l'article, les autres protections incluant du hard (rétine, empreintes, clé USB etc.) ont leurs pendants dans les cracks possibles. Par exemple il est possible "d'écouter" à distance ce que vous écrivez sur votre clavier. Un rayon Laser et un interféromètres sur la vitre de ton logement et on "entend" très bien les bruits à l'intérieur de l'appartement. Mais je laisse expliquer celà par les spécialistes si il y en a ici.
avatar padbrest | 
On dirait qu'Apple vient de se réveiller : à ma dernière connexion sur l'appstore iphone, j'ai été réorienté vers l'enregistrement de 3 questions personnelles et de leurs réponses (le nom de mon chat, etc.), ainsi que l'enregistrement d'une adresse mail secondaire qui est tenue informée de tous les changements demandés sur le compte iCloud.
avatar padbrest | 
@rototo104 "Le seul,risque que je pense encourir, c'est de tomber sur un hackeur qui ne ferai pas ça pour l'argent mais simplement pour le plaisir ("tiens, si j'effaçais 200 comptes iCloud aujourd'hui, rien que pour les faire chier...")" C'est bien ce qui est arrivé au journaliste de Wired, qui a pu entrer en contact avec son pirate : il lui a simplement dit qu'il avait trouvé son identifiant sut twitter particulièrement cool, et qu'il voulait juste lui piquer. Il a effacé tout le compte iCloud en passant, mais "ça n'avait rien de personnel". Trop cool, le gars :-)
avatar Leehalt | 
@shadokart Oui, le dessin de xkcd a raison, c'est une question d'entropie : il faut plus de temps à hackeur (humain ou machine) pour trouver une passphrase (càd plusieurs mots côte-à-côte, et tant qu'à faire une phrase que l'on ne peut pas oublier, qu'elle ait un sens ou non) plutôt qu'un password (même contenant des caractères exotiques, et conséquemment difficile à retenir). En effet l'ensemble de combinaisons (en fait d'arrangements) que l'on peut générer avec l'ensemble des mots (existants ou non, dans une langue ou plusieurs à la fois) + le caractère "espace" est largement (mais LARGEMENT) plus grand que l'ensemble des passwords que l'on peut générer avec tous les caractères d'un alphabet ou de plusieurs (majuscules, minuscules et caractères spéciaux compris). En résumant grossièrement, l'entropie du cas "passphrase" est systématiquement plus élevée que celle du cas "password" (au pire elles sont égales quand la passphrase est composée d'un seul mot, un password en somme). Or plus l'entropie d'un système de sécurité est élevée (càd moins le système de sécurité délivre des infos permettant au hackeur cibler son attaque), plus il est couteux en temps pour le hackeur de trouver la passphrase qui lui permettra de pénétrer ce système, et d'ailleurs il n'a pas d'autre choix que de faire des attaques "brute force". Or les attaques "brute force" coûtent cher en temps et plus le temps passe, plus la valeur des informations stockées sur le système sécurisé diminue, et donc l'intérêt de pénétrer ce système. Vous me voyez venir : les failles et autre bugs des systèmes de sécurité réduisent l'entropie du système puisque ce sont des infos que le hackeur peut exploiter pour réduire drastiquement le temps nécessaire à son attaque (ces infos diminuent le nombre de combinaisons possibles).
avatar Leehalt | 
@Lemmings "En gros, un mot de passe suffisamment long (8 caractères gros minimum) et qui ne soit pas dans un dictionnaire est la moins mauvaise des protection. Si tu as un mot de passe "complexe" de 16 ou 20 caractères, évidement c'est mieux..." Oui mais non, ou plutôt oui et non. La théorie de l'entropie montre que ce n'est pas la taille du password qui le rend plus sûr, mais plutôt la taille de l'alphabet utilisé pour former ce password. Plus cet alphabet est grand, plus le password est sûr (d'où la recommandation d'utiliser des caractères d'imprimerie en plus des caractères de l'alphabet latin classique pour augmenter un peu plus l'entropie d'un système de sécurité à base de password).
avatar Lemmings | 
@Leehalt : exact, c'était ce que j'essayais de dire avec "et qui ne soit pas dans un dictionnaire" :)
avatar patogaz1 | 
et un keylogger pour les briser tous !

Pages

CONNEXION UTILISATEUR