Sécurité
Trop de mots de passe inefficaces sur les réseaux
Beaucoup trop d'administrateurs les négligent. Résultat : 50% des mots de passe sont "craquables" en moins de 6 minutes. (Vendredi 24 mai 2002)
     

La plupart des mots de passe peuvent être craqués en moins d'une minute : une grande partie des entreprises négligent ce problème crucial. Pourtant, un mot de passe craqué peut ouvrir la voie à la totalité d'un réseau, laissant un pirate détruire toutes les informations qui y sont contenues ou, plus grave, les rapatrier très discrètement sur sa machine. Pour Gerard Peliks, expert sécurité qui travaille au marketing d'EADS, "les utilisateurs de terminaux informatiques sont encore trop nombreux à choisir des mots de passe inefficaces. Quant aux administrateurs, la plupart sont sensibilisés, mais certains ne le sont pas encore".

Pourtant, un mauvais mot de passe peut être craqué très
rapidement par tout pirate moyen. Plusieurs logiciels comme "John the Ripper" attaquent la cible à raison de plusieurs dizaines - voir centaines - de mots de passe à la seconde. Ils doivent leur efficacité à leur principe d'action, plus raffiné que la force brute : ces logiciels n'explorent pas chaque combinaison possible. Ils s'appuient sur une bibliothèque de mots de passe courants, ce qui leur permet dans certaines conditions d'en casser plus d'un à la seconde.

Complicité involontaire
Mais ces logiciels ne pourraient rien faire sans l'aide des utilisateurs : c'est le choix de mots de passe conçus autour du prénom d'un proche, du nom d'un animal domestique, ou de tout autre mot de passe trop courant qui leur ouvre la porte d'une machine. Les logiciels de crackage s'appuient en effet sur des bases de données répertoriant la plupart de ces mots de passe usuels. Et inutile d'espérer que quelques chiffres ajoutés à la fin d'un prénom changeront la donne : John the Ripper recense la plupart de ces petites astuces et dispose d'outils pour les contrer.

Résultat : une étude réalisée par Robert Morris et Ken Thompson intitulée "password security, a case history" fait état de chiffres très inquiétants. Sur 3 300 mots de passe analysés, les auteurs ont en trouvé 17% qui comportaient trois caractères ou moins, 15% qui en comportaient 4, 50% de mots de passe étant déchiffrables en moins de six minutes. Or, selon Gerard Peliks, "le niveau de sécurité d'un réseau se mesure à la force de résistance de son maillon le plus faible : à partir d'un compte utilisateur situé en périphérie d'un système d'information, un bon pirate pourra peu à peu remonter au compte de l'administrateur central". De quoi donner des inquiétudes sur l'état de protection des réseaux dans le monde.

Dans la plupart des cas, le mot de passe n'est heureusement pas la seule protection d'un réseau. Pour parvenir jusqu'à une machine, et pour tester sur elle quelques dizaines de milliers de mots de passe, il faut souvent déjouer la surveillance d'un Firewall. Il faut aussi parfois réussir à tromper la sonde de détection d'intrusion qui repère les tentatives à répétition. Mais selon Gerard Peliks, "lorsque l'ont sait que certains administrateurs se contentent du mot de passe par défaut de leurs serveurs, ce même mot de passe très simple qui figure dans la notice du logiciel, on peut douter que les firewalls bien configurés et les sondes de détection soient systématiquement utilisés. D'ailleurs, les firewalls sont à mon sens souvent inutiles, car la plupart des attaques réussies viennent de l'intérieur, ou bénéficient d'une complicité interne".

Conséquences graves
Si un pirate parvient à rentrer dans le compte administrateur du serveur central, tout le réseau lui appartient : "Tous les mots de passe du réseau sont stockés sur une machine, et il est relativement facile de les décrypter une fois qu'on y est entré. A partir de ce moment là, le pirate peut donc se connecter sur n'importe quel poste, et récupérer ou détruire les informations qui l'intéressent". Ce qui est arrivé à quelques fournisseurs de services internet dont les mots de passe ont été récupérés par dizaines de milliers par des pirates, et qui n'ont pas demandé à leurs abonnés de changer leurs comptes.

Pour éviter ce type de désagréments, les administrateurs ont tout intérêt à soigner leur gestion des mots de passe. Des solutions relativement simples existent : nous les listons dans un deuxième article réalisé avec l'aide de Gerard Peliks et aussi de Serge Druais, responsable des systèmes d'information chez Thalès, le groupe de défense français.

[Nicolas Six, JDNet]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY