Elcomsoft retrouve le mot de passe maître de 1Password, DashLane, LastPass et KeePass
1Password, DashLane, LastPass et KeePass, ces quatre gestionnaires de mots de passe (le quatrième est open source et existe sous différentes versions) peuvent voir leur mot de passe principal mis à jour moyennant un peu de patience et le recours à l'utilitaire spécialisé ElcomSoft Distributed Password Recovery.
Elcomsoft a mis à jour son application pour Windows — qui vise plutôt les professionnels ou les administrations (à partir de 600 € pour une licence 5 postes) — afin de prendre en charge ces gestionnaires dans leurs dernières versions, quelles que soient leurs plateformes Mac, PC, iOS ou Android.
L'utilisation de ces trousseaux s'est démocratisée au fur et à mesure qu'il est apparu compliqué de mémoriser et de stocker de plus en plus de mots de passe de sites et de services en plus des licences de logiciels. Les quatre savent protéger l'accès à leurs bases de données par un mot de passe maître, mais il n'est pas inviolable une fois soumis à des centaines sinon milliers de coups de butoir.
D'autant plus que les utilisateurs ne s'embarrassent pas toujours de formalités pour choisir leur sésame. Un utilisateur moyen a environ 20 comptes en ligne, écrit Elcomsoft mais il n'utilisera que 7 mots de passe différents et encore, il n'y en a que 3 de vraiment uniques, les autres étant des déclinaisons de ce trio.
ElcomSoft Distributed Password Recovery utilise des techniques de force brute pour tester autant de combinaisons que possible. L'application s'appuie sur la force de calcul de la carte graphique pour accélérer le processus, car les techniques de protection utilisées par ces gestionnaires vont ralentir plus ou moins fortement cette recherche.
Pour 1Password, décrit comme l'un des plus sûrs du lot avec LastPass, l'utilitaire peut tester 95 000 mots de passe par seconde (avec une carte Nvidia GTX 1080 en renfort), pour Dashlane ça va plus vite, c'est 129 000 par seconde… Et plus ça va vite plus les chances de finalement trouver le bon s'améliorent. Mais tous sont en retrait face à la protection des documents Office 2016, leur chiffrement plus complexe fait fondre cette moyenne à 7 300 combinaisons par seconde. Ce qui fait dire à l'éditeur qu'un fichier Excel bien protégé n'est pas un mauvais moyen non plus pour stocker ses précieuses données.
Ha…
Pas exactement une grande nouvelle :/
Ben pour tous les naifs qui pensaient que ces trousseaux leurs offraient une protection, si. La nouvelle pour eux c'est que l'integralité de leurs comptes bancaires, acces a des sites et services en ligne, etc sont accessibles... surtout que le trousseau par le truchement de la synchronisation promise via le "cloud" se retrouve sur la place publique Internet.
Ce qui est le plus drole c'est les arguments des protagonistes «oui, ok, on a un soft pour hacker légal et accessible a tous, mais c'est de la force brute donc avec un bon mot de passe maitre faut des annees pour deverouiller le trousseau»... moais avec ce soft la et avec un PC de base! On se rassure comme on peu, hein.
Parce qu'une fois sur le net, y a des petits malins dont les machines de minage de Bitcoin un peu depassées vont retrouver une nouvelle utilisation, et des soft un peu plus elaborés avec disons de bons dictionnaires d'attaque peuvent reduire a quelques jours, voire quelques heures, le deverouillage dudit trousseau... sans parler des vrais mechants criminels ou des agents patentés qui eux disposent de ressources autrement plus importantes.
«Ce qui fait dire à l'éditeur qu'un fichier Excel bien protégé n'est pas un mauvais moyen non plus pour stocker ses précieuses données.»
Ou comment dire de maniere sarcastique mais diplomatique que les trousseaux en question promettent bien du vent en terme de securité et sont des vrais foutage de gueule des naïfs qui les utilisent. (Et quand on connait l'arsenal pour deplomber un fichier Excel...)
Bref une nouvelle plaisanterie de l'encloudage.
PS:
Ah oui, y a des fichiers de plus de 3 millions de mots de passe existant qui circulent en toute accessibilité sur le net...(issus des piratages de Yahoo, Ashley Madison,...)
A 90 000 mot de passe par seconde, faut combien de temps pour passer les 3 millions qui contiennent de maniere fort probable le mot de passe maitre d'un trousseau? Pour rappel, avec une attaque par dictionnaire, le nombre de tentatives nécessaire va de 1 tentative a 3 millions dans le cas present!
La possibilité de déchiffrer un trousseau dépend de la puissance de calcul et de la complexité du mot de passe maître.
S'il est en théorie possible de casser un trousseau 1Password ou d'un autre gestionnaire par la force brute, en fonction du mot de passe maitre l'opération peut nécessiter un temps de calcul totalement irréaliste dans la pratique.
Signé : un naïf.
tout ça pour dire: choisissez un mot de passe maître long (20, 30 caractères) et avec une forte entropie (des mots si cela vous aide à mémoriser, mais totalement aléatoires entre eux, sans logique et quelques transformations de votre cru)
benchmark 1Password en cours de révision :
https://blog.elcomsoft.com/2017/08/one-password-to-rule-them-all-breakin...
A lire aussi la conclusion pour ceux qui n'y croient pas:
«Password managers become increasingly common, and their forensic support is essential. Our solution provides industry fastest GPU-accelerated, distributed recovery of master passwords that protect password managers’ encrypted vaults, allowing experts to gain access to users’ most sensitive information. The current release of Elcomsoft Distributed Password Recovery supports encrypted vaults produced by the four popular password managers. With the exception of LastPass, which requires using the supplied EDPR Disk Encryption Info tool in order to extract encryption metadata, the additional formats can be attacked by using exactly the same workflow as most other supported formats.»
Et il est question ici d'un soft en vente publique tout ce qu'il y a de plus legal et officiel...
"Et il est question ici d'un soft en vente publique tout ce qu'il y a de plus legal et officiel..."
bien sur, ce n'est après tout qu'un logiciel de cassage par force brute.
On trouve pléthore de solutions sans jolie interface graphique aussi pour tester très rapidement un corpus de mot de passe.
@jeanpaulpollue : En effet, pour 1Password il est possible que les auteurs de ce Benchmark aient été un peu optimistes.
Intéressant d'aller lire les commentaires de l'article original sur leur site. Ça relativise fortement la légère arrogance d'Elcomsoft.
@ckermo80Dqy
Entre l'article, le commentaire d'Agilebits et la réponse d'Elcomsoft, y'a un fossé assez prodigieux.
Passez votre chemin, y'a pas grand chose à voir; en tout cas pour 1P.
Ils sont fort les Russes ??
Comme dit effectivement le premier commentaire sur leur article :
"En utilisant Dashlane et un mot de passe maître de 8 caractères (a-zA-Z0-9 et caractères spéciaux), craquer un mot de passe maître grâce aux services de Elcomsoft prendra toujours 1650 années…"
Ce n'est même plus de la patience à ce niveau-là.
MacG : merci de supprimer mon commentaire (erreur)
@Erravid
Bon avec mes 25-30 caractères incluant des caractères spéciaux, je me sens plutôt rassuré !
tant que la logique derrière votre mot de passe n'est pas une astuce utilisée par 100 millions d'utilisateurs qui ont eu leur mot de passe volé à la source. (style hack yahoo) ;)
il suffit que les apps en question limitent le nombre de tentatives ratées alors. comme le fait iOS. pas besoin dans ce cas de compliquer les mots de passe.
«pas besoin dans ce cas de compliquer les mots de passe.»
mdr
T'as pas la moindre idee de comment hacker un fichier Excel hein!
Non manifestement il n'en sait rien. Toi qui aimes bien t'étaler, tu aurais pu te fendre de quelques paragraphes pour expliquer, avec un ton plus agréable que le mien, pourquoi ce qu'il a dit n'était pas faisable, plutôt que de lui répondre par le sarcasme.
@Ali Ibn Bachir ...
Certes mais face a la bêtise insondable de son propos, tu m'accorderas qu'un niveau de réponse élaboré n'aurait eu aucun sens et encore moins de portée. On me reproche, ici, souvent de ne pas me mettre a porté de l’interlocuteur, alors si on me le reproche lorsque je le fais, que faire, sinon ne rien en faire...
Vois tu les gens que -allergiques a l'effort minimal ou a la responsabilisation de base,qu'ils qualifient de prise de tete- ça me fait la meme impression que ceux qui disent qu'on peut rouler la nuit avec des lunettes de soleil et apres avoir pris 3 bieres en plus des 2 aperos precedants... le mot de passe complexe et faire attention ou on met les pieds et ses données aujourd'hui c'est le seul moyen fiable de se proteger.
@C1rc3@0rc
« On me reproche, ici, souvent de ne pas me mettre a porté de l’interlocuteur, »
Tu as une lecture très personnelle des reproches qui te sont faites.
Celle)là, je dois que je m’y attendais pas trop.
« On me reproche, ici, souvent de ne pas me mettre a porté de l’interlocuteur, »
Ah non, on dit pas mal de choses sur toi, mais pas c'est pas ça qui vient spontanément.
:-)
Etrangement, ton intervention precedente contient ce reproche... comme quoi.
Ego d'Alpha Geek détecté.
Un peu déçu par le ton de votre article MacG, un brin racoleur alors qu'en pratique rien de nouveau sous le soleil.
C'est de l'attaque par force brute, donc avec tout mot de passe digne de ce nom, cela mettra des mois, des années, voire plus, avant de craquer ces coffres.
Il serait de bon ton de le rappeler, non ? :-)
@ric_anto
On parle ici d'attaque par force-brute, oui, mais d'attaque legale et tout ce qu'il y a de plus legal et accesible a n'importe qui. Et ce qui est attaqué, c'est pas une machine, un compte ou sont disseminés des données, dont certaines sont chiffrées, qui demande du temps et de l'opiniatreté pour trouver l'element interressant... on parle ici de hacker un fichier qui contient une platee de mots de passe qui sont sensés protégés les données d'une personne, d'une famille, d'une entreprise....
Et tu imagines bien que si un soft tout ce qu'il y a de plus legal et accessible le fait de maniere aussi "primitive", dans l'espace criminel, de l'espionnage et dans celui du hacking, il y a d'autres softs bien plus efficaces et moins legaux!
Pages