La plupart des mots de
passe peuvent être craqués en moins d'une
minute : une grande partie des entreprises négligent
ce problème crucial. Pourtant, un mot de passe
craqué peut ouvrir la voie à la totalité
d'un réseau, laissant un pirate détruire
toutes les informations qui y sont contenues ou, plus
grave, les rapatrier très discrètement
sur sa machine. Pour Gerard Peliks, expert sécurité
qui travaille au marketing d'EADS, "les utilisateurs
de terminaux informatiques sont encore trop nombreux
à choisir des mots de passe inefficaces. Quant
aux administrateurs, la plupart sont sensibilisés,
mais certains ne le sont pas encore".
Pourtant, un mauvais
mot de passe peut être craqué très
rapidement
par tout pirate moyen. Plusieurs logiciels comme "John
the Ripper" attaquent la cible à raison
de plusieurs dizaines - voir centaines - de mots de
passe à la seconde. Ils doivent leur efficacité
à leur principe d'action, plus raffiné
que la force brute : ces logiciels n'explorent
pas chaque combinaison possible. Ils s'appuient sur
une bibliothèque de mots de passe courants, ce
qui leur permet dans certaines conditions d'en casser
plus d'un à la seconde.
Complicité
involontaire
Mais ces logiciels
ne pourraient rien faire sans l'aide des utilisateurs :
c'est le choix de mots de passe conçus autour
du prénom d'un proche, du nom d'un animal domestique,
ou de tout autre mot de passe trop courant qui leur
ouvre la porte d'une machine. Les logiciels de crackage
s'appuient en effet sur des bases de données
répertoriant la plupart de ces mots de passe
usuels. Et inutile d'espérer que quelques chiffres
ajoutés à la fin d'un prénom changeront
la donne : John the Ripper recense la plupart de
ces petites astuces et dispose d'outils pour les contrer.
Résultat :
une étude
réalisée par Robert Morris et Ken Thompson
intitulée "password security, a case history"
fait état de chiffres très inquiétants.
Sur 3 300 mots de passe analysés, les auteurs
ont en trouvé 17% qui comportaient trois caractères
ou moins, 15% qui en comportaient 4, 50% de mots de
passe étant déchiffrables en moins de
six minutes. Or, selon Gerard Peliks, "le niveau
de sécurité d'un réseau se mesure
à la force de résistance de son maillon
le plus faible : à partir d'un compte utilisateur
situé en périphérie d'un système
d'information, un bon pirate pourra peu à peu
remonter au compte de l'administrateur central".
De quoi donner des inquiétudes sur l'état
de protection des réseaux dans le monde.
Dans la plupart des
cas, le mot de passe n'est heureusement pas la seule
protection d'un réseau. Pour parvenir jusqu'à
une machine, et pour tester sur elle quelques dizaines
de milliers de mots de passe, il faut souvent
déjouer la surveillance d'un Firewall. Il faut
aussi parfois réussir à tromper la sonde
de détection d'intrusion qui repère les
tentatives à répétition. Mais selon
Gerard Peliks, "lorsque l'ont sait que certains
administrateurs se contentent du mot de passe par défaut
de leurs serveurs, ce même mot de passe très
simple qui figure dans la notice du logiciel, on peut
douter que les firewalls bien configurés et les
sondes de détection soient systématiquement
utilisés. D'ailleurs, les firewalls sont à
mon sens souvent inutiles, car la plupart des attaques
réussies viennent de l'intérieur, ou bénéficient
d'une complicité interne".
Conséquences
graves
Si un pirate parvient à
rentrer dans le compte administrateur du serveur central,
tout le réseau lui appartient : "Tous
les mots de passe du réseau sont stockés
sur une machine, et il est relativement facile de les
décrypter une fois qu'on y est entré.
A partir de ce moment là, le pirate peut donc
se connecter sur n'importe quel poste, et récupérer
ou détruire les informations qui l'intéressent".
Ce qui est arrivé à quelques fournisseurs
de services internet dont les mots de passe ont été
récupérés par dizaines de milliers
par des pirates, et qui n'ont pas demandé à
leurs abonnés de changer leurs comptes.
Pour éviter
ce type de désagréments, les administrateurs
ont tout intérêt à soigner leur
gestion des mots de passe. Des solutions relativement
simples existent : nous les listons dans un deuxième
article réalisé avec l'aide de Gerard
Peliks et aussi de Serge Druais, responsable des systèmes
d'information chez Thalès, le groupe de défense
français.
|