Elcomsoft retrouve le mot de passe maître de 1Password, DashLane, LastPass et KeePass

Florian Innocente |

1Password, DashLane, LastPass et KeePass, ces quatre gestionnaires de mots de passe (le quatrième est open source et existe sous différentes versions) peuvent voir leur mot de passe principal mis à jour moyennant un peu de patience et le recours à l'utilitaire spécialisé ElcomSoft Distributed Password Recovery.

Elcomsoft a mis à jour son application pour Windows — qui vise plutôt les professionnels ou les administrations (à partir de 600 € pour une licence 5 postes) — afin de prendre en charge ces gestionnaires dans leurs dernières versions, quelles que soient leurs plateformes Mac, PC, iOS ou Android.

L'utilisation de ces trousseaux s'est démocratisée au fur et à mesure qu'il est apparu compliqué de mémoriser et de stocker de plus en plus de mots de passe de sites et de services en plus des licences de logiciels. Les quatre savent protéger l'accès à leurs bases de données par un mot de passe maître, mais il n'est pas inviolable une fois soumis à des centaines sinon milliers de coups de butoir.

D'autant plus que les utilisateurs ne s'embarrassent pas toujours de formalités pour choisir leur sésame. Un utilisateur moyen a environ 20 comptes en ligne, écrit Elcomsoft mais il n'utilisera que 7 mots de passe différents et encore, il n'y en a que 3 de vraiment uniques, les autres étant des déclinaisons de ce trio.

ElcomSoft Distributed Password Recovery utilise des techniques de force brute pour tester autant de combinaisons que possible. L'application s'appuie sur la force de calcul de la carte graphique pour accélérer le processus, car les techniques de protection utilisées par ces gestionnaires vont ralentir plus ou moins fortement cette recherche.

Plus la barre est longue, plus le nombre de mots de passe testés est élevé et plus vite se fera la découverte du bon sésame Cliquer pour agrandir

Pour 1Password, décrit comme l'un des plus sûrs du lot avec LastPass, l'utilitaire peut tester 95 000 mots de passe par seconde (avec une carte Nvidia GTX 1080 en renfort), pour Dashlane ça va plus vite, c'est 129 000 par seconde… Et plus ça va vite plus les chances de finalement trouver le bon s'améliorent. Mais tous sont en retrait face à la protection des documents Office 2016, leur chiffrement plus complexe fait fondre cette moyenne à 7 300 combinaisons par seconde. Ce qui fait dire à l'éditeur qu'un fichier Excel bien protégé n'est pas un mauvais moyen non plus pour stocker ses précieuses données.

avatar Hasgarn | 

Ha…
Pas exactement une grande nouvelle :/

avatar C1rc3@0rc | 

Ben pour tous les naifs qui pensaient que ces trousseaux leurs offraient une protection, si. La nouvelle pour eux c'est que l'integralité de leurs comptes bancaires, acces a des sites et services en ligne, etc sont accessibles... surtout que le trousseau par le truchement de la synchronisation promise via le "cloud" se retrouve sur la place publique Internet.

Ce qui est le plus drole c'est les arguments des protagonistes «oui, ok, on a un soft pour hacker légal et accessible a tous, mais c'est de la force brute donc avec un bon mot de passe maitre faut des annees pour deverouiller le trousseau»... moais avec ce soft la et avec un PC de base! On se rassure comme on peu, hein.

Parce qu'une fois sur le net, y a des petits malins dont les machines de minage de Bitcoin un peu depassées vont retrouver une nouvelle utilisation, et des soft un peu plus elaborés avec disons de bons dictionnaires d'attaque peuvent reduire a quelques jours, voire quelques heures, le deverouillage dudit trousseau... sans parler des vrais mechants criminels ou des agents patentés qui eux disposent de ressources autrement plus importantes.

«Ce qui fait dire à l'éditeur qu'un fichier Excel bien protégé n'est pas un mauvais moyen non plus pour stocker ses précieuses données.»
Ou comment dire de maniere sarcastique mais diplomatique que les trousseaux en question promettent bien du vent en terme de securité et sont des vrais foutage de gueule des naïfs qui les utilisent. (Et quand on connait l'arsenal pour deplomber un fichier Excel...)

Bref une nouvelle plaisanterie de l'encloudage.

PS:
Ah oui, y a des fichiers de plus de 3 millions de mots de passe existant qui circulent en toute accessibilité sur le net...(issus des piratages de Yahoo, Ashley Madison,...)
A 90 000 mot de passe par seconde, faut combien de temps pour passer les 3 millions qui contiennent de maniere fort probable le mot de passe maitre d'un trousseau? Pour rappel, avec une attaque par dictionnaire, le nombre de tentatives nécessaire va de 1 tentative a 3 millions dans le cas present!

avatar Ali Ibn Bachir Le Gros | 

La possibilité de déchiffrer un trousseau dépend de la puissance de calcul et de la complexité du mot de passe maître.

S'il est en théorie possible de casser un trousseau 1Password ou d'un autre gestionnaire par la force brute, en fonction du mot de passe maitre l'opération peut nécessiter un temps de calcul totalement irréaliste dans la pratique.

Signé : un naïf.

avatar oomu | 

tout ça pour dire: choisissez un mot de passe maître long (20, 30 caractères) et avec une forte entropie (des mots si cela vous aide à mémoriser, mais totalement aléatoires entre eux, sans logique et quelques transformations de votre cru)

avatar C1rc3@0rc | 

A lire aussi la conclusion pour ceux qui n'y croient pas:
«Password managers become increasingly common, and their forensic support is essential. Our solution provides industry fastest GPU-accelerated, distributed recovery of master passwords that protect password managers’ encrypted vaults, allowing experts to gain access to users’ most sensitive information. The current release of Elcomsoft Distributed Password Recovery supports encrypted vaults produced by the four popular password managers. With the exception of LastPass, which requires using the supplied EDPR Disk Encryption Info tool in order to extract encryption metadata, the additional formats can be attacked by using exactly the same workflow as most other supported formats.»

Et il est question ici d'un soft en vente publique tout ce qu'il y a de plus legal et officiel...

avatar oomu | 

"Et il est question ici d'un soft en vente publique tout ce qu'il y a de plus legal et officiel..."

bien sur, ce n'est après tout qu'un logiciel de cassage par force brute.

On trouve pléthore de solutions sans jolie interface graphique aussi pour tester très rapidement un corpus de mot de passe.

avatar Ali Ibn Bachir Le Gros | 

@jeanpaulpollue : En effet, pour 1Password il est possible que les auteurs de ce Benchmark aient été un peu optimistes.

avatar ckermo80Dqy | 

Intéressant d'aller lire les commentaires de l'article original sur leur site. Ça relativise fortement la légère arrogance d'Elcomsoft.

avatar vache folle | 

@ckermo80Dqy

Entre l'article, le commentaire d'Agilebits et la réponse d'Elcomsoft, y'a un fossé assez prodigieux.

Passez votre chemin, y'a pas grand chose à voir; en tout cas pour 1P.

avatar jerome christopher | 

Ils sont fort les Russes ??

avatar Erravid | 

Comme dit effectivement le premier commentaire sur leur article :

"En utilisant Dashlane et un mot de passe maître de 8 caractères (a-zA-Z0-9 et caractères spéciaux), craquer un mot de passe maître grâce aux services de Elcomsoft prendra toujours 1650 années…"

Ce n'est même plus de la patience à ce niveau-là.

avatar frankm | 

MacG : merci de supprimer mon commentaire (erreur)

avatar lepoulpebaleine | 

@Erravid

Bon avec mes 25-30 caractères incluant des caractères spéciaux, je me sens plutôt rassuré !

avatar oomu | 

tant que la logique derrière votre mot de passe n'est pas une astuce utilisée par 100 millions d'utilisateurs qui ont eu leur mot de passe volé à la source. (style hack yahoo) ;)

avatar marenostrum | 

il suffit que les apps en question limitent le nombre de tentatives ratées alors. comme le fait iOS. pas besoin dans ce cas de compliquer les mots de passe.

avatar C1rc3@0rc | 

«pas besoin dans ce cas de compliquer les mots de passe.»

mdr

T'as pas la moindre idee de comment hacker un fichier Excel hein!

avatar Ali Ibn Bachir Le Gros | 

Non manifestement il n'en sait rien. Toi qui aimes bien t'étaler, tu aurais pu te fendre de quelques paragraphes pour expliquer, avec un ton plus agréable que le mien, pourquoi ce qu'il a dit n'était pas faisable, plutôt que de lui répondre par le sarcasme.

avatar C1rc3@0rc | 

@Ali Ibn Bachir ...

Certes mais face a la bêtise insondable de son propos, tu m'accorderas qu'un niveau de réponse élaboré n'aurait eu aucun sens et encore moins de portée. On me reproche, ici, souvent de ne pas me mettre a porté de l’interlocuteur, alors si on me le reproche lorsque je le fais, que faire, sinon ne rien en faire...

Vois tu les gens que -allergiques a l'effort minimal ou a la responsabilisation de base,qu'ils qualifient de prise de tete- ça me fait la meme impression que ceux qui disent qu'on peut rouler la nuit avec des lunettes de soleil et apres avoir pris 3 bieres en plus des 2 aperos precedants... le mot de passe complexe et faire attention ou on met les pieds et ses données aujourd'hui c'est le seul moyen fiable de se proteger.

avatar Bigdidou | 

@C1rc3@0rc

« On me reproche, ici, souvent de ne pas me mettre a porté de l’interlocuteur, »
Tu as une lecture très personnelle des reproches qui te sont faites.
Celle)là, je dois que je m’y attendais pas trop.

avatar Ali Ibn Bachir Le Gros | 

« On me reproche, ici, souvent de ne pas me mettre a porté de l’interlocuteur, »

Ah non, on dit pas mal de choses sur toi, mais pas c'est pas ça qui vient spontanément.

:-)

avatar C1rc3@0rc | 

Etrangement, ton intervention precedente contient ce reproche... comme quoi.

avatar oomu | 

Ego d'Alpha Geek détecté.

avatar ric_anto_ | 

Un peu déçu par le ton de votre article MacG, un brin racoleur alors qu'en pratique rien de nouveau sous le soleil.
C'est de l'attaque par force brute, donc avec tout mot de passe digne de ce nom, cela mettra des mois, des années, voire plus, avant de craquer ces coffres.
Il serait de bon ton de le rappeler, non ? :-)

avatar C1rc3@0rc | 

@ric_anto

On parle ici d'attaque par force-brute, oui, mais d'attaque legale et tout ce qu'il y a de plus legal et accesible a n'importe qui. Et ce qui est attaqué, c'est pas une machine, un compte ou sont disseminés des données, dont certaines sont chiffrées, qui demande du temps et de l'opiniatreté pour trouver l'element interressant... on parle ici de hacker un fichier qui contient une platee de mots de passe qui sont sensés protégés les données d'une personne, d'une famille, d'une entreprise....

Et tu imagines bien que si un soft tout ce qu'il y a de plus legal et accessible le fait de maniere aussi "primitive", dans l'espace criminel, de l'espionnage et dans celui du hacking, il y a d'autres softs bien plus efficaces et moins legaux!

avatar Bigdidou | 

@C1rc3@0rc

« On parle ici d'attaque par force-brute, oui, mais d'attaque legale et tout ce qu'il y a de plus legal »
Absolument pas.
Aller décrypter un fichier qui ne vous appartient pas qu’on va chercher forcément dans un endroit qui ne vous appartient pas plus et où vous n’avez rien n’à faire (mon compte Dropbox, par exemple) en le piratant, n’a strictement rien de légal.
Vous confondez tout, comme d’habitude, et ici vous confondez l’outil et l’action.
Posséder un tourne vis est tout à fait légal, ou même un passe partout, l’utiliser pour entrer chez le voisin ne l’est pas.

avatar C1rc3@0rc | 

@Bigdidou

Ta reponse n'a rien a voir avec ce que j'ecris.
je souligne le fait que cet outils est bel est bien legal et en vente libre, accessible pour n'importe qui.
@ ric_anto, comme beaucoup tente de se rassurer en évoquant un risque reputé faible d'un fichier (il a lui compris de quoi on parle, contrairement a d'autres) correctement chiffré qui soit dechiffré avec ce logiciel. S'il a raison a condition que le mot de passe soit robuste, il n'en demeure pas moins que le libre accès a cet outil ne puisse qu'augmenter la menace de manière extraordinaire.

«Aller décrypter un fichier qui ne vous appartient pas qu’on va chercher forcément dans un endroit qui ne vous appartient pas plus et où vous n’avez rien n’à faire (mon compte Dropbox, par exemple) en le piratant, n’a strictement rien de légal.»

Oui rentrer dans une maison dont la porte est grande ouverte et prendre le portefeuille qui est laissé sur la table a l'entree est illegal. De meme que prendre l'argent d'un portefeuille gisant par terre en pleine rue est totalement illegal.

Qui cela va arrêter? L’honnête et intègre, bienveillant, qui lorsqu'on le gifle présente l'autre joue?

Parce que mine de rien si on developpe des tresors d'intelligence pour chiffrer des données, c'est que peut etre il faut considerer que les gens ne respectent pas la legalité et que ce genre d'information peut etre utilisées de maniere tres nuisible...

Des fois, il faut de poser la question de la raison des choses...

de plus, il faut aussi penser que dans le cadre du travail, les données présentes sur une machine appartiennent au propriétaire de l'entreprise et que ce genre d'outils est aussi destiné au IT qui vont sur ordre de la direction dechiffrer les données des machines... peut importe que l'on ait mis ses informations privées dans la machine ou pas...

avatar Bigdidou | 

@C1rc3@0rc

« je souligne le fait que cet outils est bel est bien legal et en vente libre, accessible pour n'importe qui. « 
Mais, non, pas du tout.
Tu parles d’attaque légale (sic!), relis toi, avant de m’expliquer que ma réponse « n’a aucun rapport etc ».

avatar Bigdidou | 

@C1rc3@0rc

« Qui cela va arrêter? L’honnête et intègre, bienveillant, qui lorsqu'on le gifle présente l'autre joue? »
Peut importe, ce n’est pas la question. Tu parles d’attaque légale, j’explique à,quel point c’est absurde.

avatar oomu | 

le logiciel facilite la mise en oeuvre

mais il n'est pas nouveau
il n'est pas seul
la situation n'a pas changé

et c'est déjà comme ça depuis toujours.

avatar C1rc3@0rc | 

La pertinence de cet article c'est de demontrer la dangerosité de ces "gesitionnaires" de mots de passe et encore plus lorsqu'ils balancent leurs listes sur le net sous x pretextes fallacieux a commencer par la synchron entre appareils. Il n'y a aucune justification technique a ce que les fichiers de ses soft se retrouvent sur Internet et a fortiori sur un cloud, aucune.

avatar LolYangccool | 

Exact, c'est mon cas. J'utilise ce genre de mots de passe, j'en ai plusieurs comme ça, entre 8 et 24 caractères.
Je retiens tout de tête alors que comme tu l'as dis les caractères ne forment absolument pas des mots. ;)

avatar C1rc3@0rc | 

Oui, mais tu fais partie d'une infime minorité.

La liste des 25 mots de passe les plus utilisés par les americains (par ordre de frequence):

1. 123456
2. password
3. 12345
4. 12345678
5. qwerty
6. 123456789
7. 1234
8. baseball
9. dragon
10. football
11. 1234567
12. monkey
13. letmein
14. abc123
15. 111111
16.mustang
17. access
18. shadow
19. master
20. michael
21. superman
22. 696969
23. 123123
24. batman
25. trustno1

La majorité des utilisateurs emploient le meme mot de passe pour quasi tous leurs comptes.

Pour rappel un bon mot de passe c'est
- plus de 16 caracteres
- utilisation de minuscule+majuscule+chiffre+signe
- n'existe pas dans un dictionnaire
- ne contient pas de donnees trouvable sur soi par Internet (pas de date de naissance, d'adresse, de nº de telephone, de lieux frequentés, de prenoms connus,...)
- est changé regulierement

Un mot de passe "maitre" (servant a acceder a d'autre ou des données sensibles) c'est au minimum tout ça, et idealement genere de maniere aleatoire (donc n'ayant pas le moindre sens)

avatar oomu | 

"Oui, mais tu fais partie d'une infime minorité."

mais ici, nous sommes le 0,1% ! On est sur un forum ORANGE !

avatar RedMak | 

Et le trousseau iCloud Apple ?

avatar YuYu | 

@RedMak

Le trousseau iCloud est forcément protégé derrière un mot de passe d’au moins 8 caractères dont au moins 1 majuscule et 1 chiffre. Si en plus l’authentification à 2 facteurs est activée ça laisse peu de chance d’y arriver ;)
Je crois qu’une sécurité en plus est demandée pour activer le trousseau sur un nouvel appareil : le code de déverrouillage de l’un des appareils autorisé

avatar C1rc3@0rc | 

«Si en plus l’authentification à 2 facteurs est activée ça laisse peu de chance d’y arriver ;)»
arf...

Tu sais que si le trousseau en question est "synchronisé" il se retrouve sur Internet a la porté de tous le monde qui s'en donne la peine? Et l'authentification a 2 bidules, elles ne vaut que pour l'acces a un site en directe, elle n'existe pas pour le deverouillage d'un fichier qui contient tous tes mots de passe...

en gros, kevin, le hacker debutant, recupere ton fichiers session.keychain lorsqu'il voyage entre ton ordinateur et ton iPhone via Internet, ou plus drole lorsque tu fait un backup TimeMachine de ton Mac via Dropbox ou autre service d'encloudage. Une fois qu'il a le fichier session.keychain, il le passe a la moulinette, avec un bon dictionnaire de mots de passe entre, 5 minutes et quelques jours il déverrouille le fichier et a alors acces a tous tes mots de passe, cela sans jamais que tu le sache ni Apple.

Soyons clair: si le fichier .keychain (se trouvant dans le dossier librairie du compte de session utilisateur...) sort sur un reseau, il peut etre considere comme lisible par tout le monde.

avatar Bigdidou | 

« Soyons clair: si le fichier .keychain (se trouvant dans le dossier librairie du compte de session utilisateur...) sort sur un reseau, il peut etre considere comme lisible par tout le monde. »

Bien sûr, avec ton scénario à peu près aussi probable que de mourrir d’un morsure d’hippopotame venimeux à tête rouge en changeant de ligne de métro à Strasbourg Saint Denis.

avatar C1rc3@0rc | 

Auras tu le courage de faire un backup timemachine sur un Dropbox-like?

avatar Bigdidou | 

@C1rc3@0rc

« Auras tu le courage de faire un backup timemachine sur un Dropbox-like? »
Quel rapport ?

avatar françois bayrou | 

Kevin le hacker lit un flux SSL comme dans un livre ouvert. Meme Neo il sait pas faire. Trop fort le Kevin.

avatar C1rc3@0rc | 

Oh si Neo sait le faire... heartbleed ça te dit quelque chose? Un de pris, combien courent encore? Et combien sont patché au fait.

avatar françois bayrou | 

heartbleed oui je connais. Goto fail aussi je connais. aussi bien que toi et que tes hackers en mousse, c'est à dire que je les connais depuis qu'ils sont patchés et corrigés partout où il faut.

Mais plutôt que de raconter partout qu'il est très facile de lire les mots de passe qui transitent sur le net, prouves le !
Tiens, macg.co : un bête drupal, une vraie passoire ce truc. Sors moi mon mot de passe et mon mail s'il te plait !
Dis-moi si tu as besoin que je me logge à un moment précis, que tu puisse lancer ta machine de guerre au bon moment, et faire la démonstration éblouissante que tu ne racontes pas de conneries à longueur de temps !

avatar Moonwalker | 

Hum…

"partout où il faut"

Je ne suis pas sûr.

Les récents ransomwares qui ont sévit sur Windows ont montré combien les mises à jour de sécurité n'étaient pas appliquées et combien de vieux système sont encore en action, souvent dans des secteurs très critiques.

Tu as beau être protégé, si ton vis-à-vis ne l'est pas suffisamment, tu t'exposes à des risques d'autant plus dangereux que tu te crois sécurisé.

avatar oomu | 

mais nous ne sommes pas forcément concernés.

avatar AirForceTwo | 

Il faudrait déjà qu'il soit sur le même sous-réseau que toi, pour commencer.

avatar Shew | 

À quel point est-il possible de protéger un fichier Excel ?

avatar C1rc3@0rc | 

1ere reponse: Google est ton ami: howto hack excel file ;)

2eme reponse: au meme niveau qu'un fichier .PDF

3eme reponse: de maniere tres fiable, du moment que le fichier est uniquement sur un CD enfermé dans un coffre dans une banque au Lichtenstein (oui parce qu'en Suisse, on sait bien que les banques laisse sortir n'importe quoi du moment que les autorités etrangeres le demandent gentiment ou que le technicien de surface fraichement employé copie malancontreusement la liste des comptes des etrangers sur une cle UBS qui tombe malancontreusement dans sa poche et atterrie on ne sait trop comment sur le bureau d'un ministre des finances).

avatar MacGyver | 

Sinon, ya le post it

Aucun hackeur y aura acces. Peut etre un parent mais bon, il suffit de truquer le truc (omettre un caractere a la fin par exemple)

Pages

CONNEXION UTILISATEUR