Trop de mots
de passe inefficaces sur les réseaux
Par le JDNet
Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0205/020527_prob_password.shtml
Vendredi 24 mai 2002
La plupart des mots de passe peuvent
être craqués en moins d'une minute : une grande
partie des entreprises négligent ce problème crucial.
Pourtant, un mot de passe craqué peut ouvrir la voie à
la totalité d'un réseau, laissant un pirate détruire
toutes les informations qui y sont contenues ou, plus grave, les
rapatrier très discrètement sur sa machine. Pour Gerard
Peliks, expert sécurité qui travaille au marketing
d'EADS, "les utilisateurs de terminaux informatiques sont encore
trop nombreux à choisir des mots de passe inefficaces. Quant
aux administrateurs, la plupart sont sensibilisés, mais certains
ne le sont pas encore".
Pourtant, un mauvais mot de passe
peut être craqué très
rapidement
par tout pirate moyen. Plusieurs logiciels comme "John the
Ripper" attaquent la cible à raison de plusieurs dizaines
- voir centaines - de mots de passe à la seconde. Ils doivent
leur efficacité à leur principe d'action, plus raffiné
que la force brute : ces logiciels n'explorent pas chaque combinaison
possible. Ils s'appuient sur une bibliothèque de mots de
passe courants, ce qui leur permet dans certaines conditions d'en
casser plus d'un à la seconde.
Complicité
involontaire
Mais ces logiciels ne pourraient
rien faire sans l'aide des utilisateurs : c'est le choix de
mots de passe conçus autour du prénom d'un proche,
du nom d'un animal domestique, ou de tout autre mot de passe trop
courant qui leur ouvre la porte d'une machine. Les logiciels de
crackage s'appuient en effet sur des bases de données répertoriant
la plupart de ces mots de passe usuels. Et inutile d'espérer
que quelques chiffres ajoutés à la fin d'un prénom
changeront la donne : John the Ripper recense la plupart de
ces petites astuces et dispose d'outils pour les contrer.
Résultat : une étude
réalisée par Robert Morris et Ken Thompson intitulée
"password security, a case history" fait état de
chiffres très inquiétants. Sur 3 300 mots de
passe analysés, les auteurs ont en trouvé 17% qui
comportaient trois caractères ou moins, 15% qui en comportaient
4, 50% de mots de passe étant déchiffrables en moins
de six minutes. Or, selon Gerard Peliks, "le niveau de sécurité
d'un réseau se mesure à la force de résistance
de son maillon le plus faible : à partir d'un compte
utilisateur situé en périphérie d'un système
d'information, un bon pirate pourra peu à peu remonter au
compte de l'administrateur central". De quoi donner des inquiétudes
sur l'état de protection des réseaux dans le monde.
Dans la plupart des cas, le mot
de passe n'est heureusement pas la seule protection d'un réseau.
Pour parvenir jusqu'à une machine, et pour tester sur elle
quelques dizaines de milliers de mots de passe, il faut souvent
déjouer la surveillance d'un Firewall. Il faut aussi parfois
réussir à tromper la sonde de détection d'intrusion
qui repère les tentatives à répétition.
Mais selon Gerard Peliks, "lorsque l'ont sait que certains
administrateurs se contentent du mot de passe par défaut
de leurs serveurs, ce même mot de passe très simple
qui figure dans la notice du logiciel, on peut douter que les firewalls
bien configurés et les sondes de détection soient
systématiquement utilisés. D'ailleurs, les firewalls
sont à mon sens souvent inutiles, car la plupart des attaques
réussies viennent de l'intérieur, ou bénéficient
d'une complicité interne".
Conséquences
graves
Si un pirate parvient à rentrer
dans le compte administrateur du serveur central, tout le réseau
lui appartient : "Tous les mots de passe du réseau
sont stockés sur une machine, et il est relativement facile
de les décrypter une fois qu'on y est entré. A partir
de ce moment là, le pirate peut donc se connecter sur n'importe
quel poste, et récupérer ou détruire les informations
qui l'intéressent". Ce qui est arrivé à
quelques fournisseurs de services internet dont les mots de passe
ont été récupérés par dizaines
de milliers par des pirates, et qui n'ont pas demandé à
leurs abonnés de changer leurs comptes.
Pour éviter ce type de
désagréments, les administrateurs ont tout intérêt
à soigner leur gestion des mots de passe. Des solutions relativement
simples existent : nous les listons dans un deuxième
article réalisé avec l'aide de Gerard Peliks et
aussi de Serge Druais, responsable des systèmes d'information
chez Thalès, le groupe de défense français.
[Nicolas Six, JDNet]
Pour tout problème de consultation, écrivez au Webmaster
Copyrights
et reproductions . Données
personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE
|
|
|