Le mot de passe, la fameuse suite de caractères que chacun de vous utilise quelque part sur Internet ou sur son ordinateur personnel ou encore sur son ordinateur de travail pour sécuriser l’accès à un compte, en particulier celui qui utilise 8 caractères, n’est plus sûr comme on le croit. Qu’il soit composé d’un mélange de chiffres, de caractères spéciaux, de lettres majuscules ou minuscules, des chercheurs affirment qu’il peut être craqué en moins de 2,5 heures.
De nombreux sites Web et services conseillent d’utiliser un mot de passe d’au moins huit caractères avec un mélange de majuscules et de minuscules, chiffres et caractères spéciaux. C’est la norme pour les mots de passe depuis des années. Malheureusement, ce type de mot de passe soit disant « complexe » peut être piraté en quelques heures.
Les chercheurs viennent d’y parvenir en utilisant HashCat, un outil de récupération de mot de passe open source, et ont pu montrer qu’il est possible de cracker un mot de passe Windows NTLM de huit caractères en moins de 2,5 heures, aussi peu de temps qu’on ne pouvait imaginer.
La force d’un mot de passe est un facteur de la sécurité informatique qui prend de plus en plus de l’importance ces derniers temps où le nombre de comptes par personne explose. Mais malheureument, les utilisateurs n’y prêtent pas assez attention. Certains utilisent un même mot de passe pour tous leurs comptes. Une étude menée au Royaume-Uni en 2013 a démontré que 55 % des utilisateurs se servaient d’un même mot de passe, la plupart du temps « faible », pour se connecter à de multiples sites Internet.
Au cours de la même année, Robert Siciliano de McAfee, a trouvé que ce chiffre établi par des chercheurs au Royaume-Uni doit être revu à la hausse. Selon lui, au moins 74 % des utilisateurs se serviraient du même mot de passe pour avoir accès à tous leurs services en ligne. Et le pire, c’est que ces mots de passe sont facilement cassables en utilisant une « attaque par dictionnaire ». Un classement des mots de passe les plus utilisés publié en janvier 2017, selon keeper, mettait en première place le mot de passe « 123456 », en seconde place « 123456789 » et en troisième place « azerty ».
Le temps de piratage d’un mot de passe a considérablement diminué. En 2011, Steven Myer, chercheur en sécurité, a démontré qu’un mot de passe de huit caractères (53 bits) pouvait être forcé en 44 jours, ou en 14 secondes si vous utilisez un GPU et des tables arc-en-ciel – des tables pré-calculées pour inverser des fonctions de hachage. Et le développeur Jeff Atwood a affirmé en 2015 que la longueur moyenne des mots de passe était d’environ huit caractères, et rien n’indique que les choses aient beaucoup changé depuis lors.
L’un des chercheurs en cybersécurité à l’origine de la découverte a posté sur Twitter le 14 février, les détails de la mise au point de leur système personnalisé de craquage de mots de passe. Ils ont utilisé une version bêta de HashCat 6.0.0, couplée à huit GPU Nvidia GTX 2080Ti dans une attaque hors ligne. Avec ce système construit à la main, les chercheurs ont pu dépasser le seuil de vitesse de piratage du NTLM qui était de 100 GH/s (gigahashes par seconde).
« Les benchmarks actuels de craquage de mot de passe montrent que le mot de passe minimum de huit caractères, aussi complexe soit-il, peut être craqué en moins de 2,5 heures » en utilisant ce matériel, explique un hacker qui se fait appeler Tinker sur Twitter dans une conversation directe avec un site Web. « Le mot de passe à huit caractères est mort. », a-t-il dit dans un post sur Twitter.
NTLM est un ancien protocole d’authentification Windows qui a depuis été remplacé. Cependant, Tinker affirme qu’il est toujours utilisé pour stocker les mots de passe Windows localement ou dans le fichier NTDS.dit dans Active Directory Domain Controllers.
Lorsque Troy Hunt, chercheur en sécurité, a examiné la longueur minimale des mots de passe sur divers sites Web l’an dernier, il a constaté que si Google, Microsoft et Yahoo ont fixé la barre à huit caractères, Facebook, LinkedIn et Twitter n’en exigeaient que six. Selon Tinker, le mot de passe de huit caractères a été utilisé comme référence parce que c’est ce que de nombreuses organisations recommandent comme longueur minimale de mot de passe et que de nombreuses politiques informatiques d’entreprise reflètent cette orientation.
« Parce que nous avons poussé l’idée d’utiliser la complexité (lettres majuscules, minuscules, chiffres et symboles), il est difficile pour les utilisateurs de se rappeler les mots de passe individuels, » a déclaré Tinker. « Cela amène, entre autres, les utilisateurs à choisir la longueur minimale autorisée, afin de pouvoir se souvenir de leur mot de passe complexe. En tant que tel, un grand pourcentage d’utilisateurs choisissent les exigences minimales de huit caractères. »
Selon Tinker, un meilleur mot de passe serait constitué de cinq mots aléatoires (environ quatre ou cinq caractères chacun) enchaînés ensemble pour devenir un mot de passe de 20 caractères. Tinker recommande que le mieux est d’utiliser un gestionnaire de mots de passe fiable et de choisir la longueur maximale autorisée pour le mot de passe avec une authentification à deux facteurs activée.
Par ailleurs, en mai 2013, à l’occasion de la « journée du mot de passe » de McAfee, Robert Siciliano a incité à utiliser des « passephrase » faciles à retenir, plutôt que des mots de passe compliqués et difficiles à retenir. En effet, selon lui, le secret d’un mot de passe fort ne réside pas dans sa complexité, mais dans sa longueur. Pour lui, une phrase comme « Je suis 1 élève de Terminale S » constituerait un excellent mot de passe.
Source : India Times
