De la cryptologie aux mots de passe

auroratexicoSecurity

Jun 19, 2012 (4 years and 11 months ago)

334 views



De l a c r y p t o l o g i e a u x
mo t s d e p a s s e


"

Cryptologie = science du secret
"

Art très ancien mais science nouvelle
"

Plus vieux document chiffré : gravure d'un potier avec consonnes
manquantes et orthographe modifiée, utilisation de la scytale par
les grecs, ...
I n t r o d u c t i o n


De l a c r y p t o l o g i e a u x
mo t s d e p a s s e
I.
Cryptologie : présentation
1. Cryptographie
2. Cryptanalyse
II.
Comment « craquer » un mot de passe ?
1. Force brute
2. Par dictionnaires
3. Compromis temps/mémoire
4. Autres
III. Choisir le mot de passe le plus sûr possible
1. Quelques chiffres
2. Les règles à respecter...
3. Création d'un mdp facile à retenir


I. La c r y p t o l o g i e
1. Cryptographie
$

Chiffrement faible : facilement cassable
$

Cryptographie symétrique : à clé secrète
$

Cryptographie asymétrique : à clé publique et privée


I. La c r y p t o l o g i e
1. Cryptographie
$

Chiffrement faible : facilement cassable
"
Substitution
"
Transposition
"
Vigenère
$

Cryptographie symétrique : à clé secrète
$

Cryptographie asymétrique : à clé publique et privée


Système de César :
ROT13 = rotation de 13
caractères dans l'ordre de
l'alphabet
expl :
SALUT -> FNYHG -> SALUT
http://www.bibmath.net/crypto/substi/cryptcesar.php3
La s u b s t i t u t i o n


http://pagesperso-
orange.fr/carrez.christophe/chiffre_cesar.ht
ml
La s u b s t i t u t i o n
Table de César avec la clé 13
Inconvénient : une lettre est toujours cryptée de
la même manière


"

Transposition par matrice :
expl : matrice (4,4)
message cache -> maceega sec s h
"

Autre méthode : découper le texte en morceaux et appliquer une
permutation
expl : clé = 4, permutation : 1->4, 2->1, 3->2, 4->3.
message cache -> mess agec ache -> essm geca chea ->
essmgecachea
La t r a n s p o s i t i o n
M
E
S
S
A
G
E
C
A
C
H
E


Découpage et permutation circulaire différente pour chaque lettre
du bloc
Ch i f f r e me n t d e V i g e n e r e
http://www.ncottin.net/download/Cryptographie.pd
f


2. La cryptanalyse
"
Déchiffrer = essayer de comprendre la clé


cryptanalyse = passer à travers la clé
"
Algorithme cassé lorsque le nombre d'attaque pour retrouver
la clé est inférieur au nombre d'opérations par force brute
"
Nombreuses techniques : cryptanalyse linéaire, différentielle,
...
"
Cassage des mots de passe fait partie cryptanalyse
I. La c r y p t o l o g i e


"

Objets type carte à puce : mdp stocké et protégé dans l'objet
"

Reste : mdp non stocké mais son empreinte cryptographique =
valeur caractéristique du mot de passe calculée avec une fonction
de hachage
I I. Co mme n t «  c r a q u e r  » u n mo t d e p a s s e?


Principe : tester toutes les combinaisons possibles
Conséquence : plus le mdp est long, plus le temps moyen pour le
trouver est long
1 ) Fo r c e Br u t e
http://www.auscert.org.au/render.html?it=2260


!
La force brute est de moins en moins efficace quand :
"

La longueur du mot de passe augmente
"

Le nombre de caractères augmente
1 ) Fo r c e Br u t e
http://www.auscert.org.au/render.html?it=2260


"

Principe : tester tous les mots d'un dictionnaire
"
Internet : dictionnaires nom communs, propres, prénoms,
marques, personnes célèbres, ...
"

Inconvénient (pour le pirate) : demande beaucoup de mémoire
sur l'ordinateur
"

Solution : utiliser un mdp sans signification
"

MAIS : dictionnaires ac mdp déjà craqués, tient compte des
remplacements par majuscules, caractères spéciaux, chiffres
début et fin de mot, ...
"

Dictionnaires pré-calculés ie mdp avec empreinte associée
2) At t a q u e p a r d i c t i o n n a i r e


"

Méthode intermédiaire entre force brute et attaque par
dictionnaires
"

Utilise des tables calculées à l'avance qui diminuent le temps de
recherche
3) Co mp r o mi s t e mp s / mé mo i r e


"

Table arc-en-ciel : amélioration du compromis temps/mémoire
"

Utilisation de keylogger
"
...
4) Au t r e s


En théorie, un compte n'est pas sécurisé si vous répondez « oui »
à l'une de ces questions :
I I I. Tr o u v e r u n md p l e p l u s s û r p o s s i b l e
http://www.bugbrother.com/security.tao.ca/pswdhygn.htm
l


1. Avez vous écrit sur un bout de papier votre mot de passe ?
I I I. Tr o u v e r u n md p l e p l u s s û r p o s s i b l e


1. Avez vous écrit sur un bout de papier votre mot de passe ?
2. Votre mot de passe est il un mot commun que l'on peut trouver
dans le dictionnaire ?
I I I. Tr o u v e r u n md p l e p l u s s û r p o s s i b l e


1. Avez vous écrit sur un bout de papier votre mot de passe ?
2. Votre mot de passe est il un mot commun que l'on peut trouver
dans le dictionnaire ?
3. Votre mot de passe est il un mot commun suivi de 2 chiffres ?
I I I. Tr o u v e r u n md p l e p l u s s û r p o s s i b l e


1. Avez vous écrit sur un bout de papier votre mot de passe ?
2. Votre mot de passe est il un mot commun que l'on peut trouver
dans le dictionnaire ?
3. Votre mot de passe est il un mot commun suivi de 2 chiffres ?
4. Votre mot de passe est il un nom de personne, de lieu ou
d'animal ?
I I I. Tr o u v e r u n md p l e p l u s s û r p o s s i b l e


1. Avez vous écrit sur un bout de papier votre mot de passe ?
2. Votre mot de passe est il un mot commun que l'on peut trouver
dans le dictionnaire ?
3. Votre mot de passe est il un mot commun suivi de 2 chiffres ?
4. Votre mot de passe est il un nom de personne, de lieu ou
d'animal ?
5. Quelqu'un d'autre connait il votre mot de passe ?
I I I. Tr o u v e r u n md p l e p l u s s û r p o s s i b l e


1. Avez vous écrit sur un bout de papier votre mot de passe ?
2. Votre mot de passe est il un mot commun que l'on peut trouver
dans le dictionnaire ?
3. Votre mot de passe est il un mot commun suivi de 2 chiffres ?
4. Votre mot de passe est il un nom de personne, de lieu ou
d'animal ?
5. Quelqu'un d'autre connait il votre mot de passe ?
6. Utilisez vous le meme mot de passe pour plusieurs comptes et
pour une longue période ?
I I I. Tr o u v e r u n md p l e p l u s s û r p o s s i b l e


1. Avez vous écrit sur un bout de papier votre mot de passe ?
2. Votre mot de passe est il un mot commun que l'on peut trouver
dans le dictionnaire ?
3. Votre mot de passe est il un mot commun suivi de 2 chiffres ?
4. Votre mot de passe est il un nom de personne, de lieu ou
d'animal ?
5. Quelqu'un d'autre connait il votre mot de passe ?
6. Utilisez vous le meme mot de passe pour plusieurs comptes et
pour une longue période ?
7. Utilisez vous le mot de passe par défaut du constructeur ou de
l'éditeur ?
I I I. Tr o u v e r u n md p l e p l u s s û r p o s s i b l e


Résultats d'une étude anglaise :

#
91% des mdp sont fragiles, la majorité à 6 caractères
#
2 % utilisent
password

#
7% ont un lien avec une
date clé

#
14 % le
prénom
d'un membre de leur famille
#
15 % leur date de naissance ou d'
anniversaire

#
15 % les noms de leurs
animaux

#
21 % utilisent leur
prénom
ou celui d'un membre de la famille
#
30 % des personnes
partagent
leur mot de passe avec leur
partenaire
#
50 % seulement affirment être
les seuls à connaître
leur mot de
passe
1 ) Qu e l q u e s c h i f f r e s
http://www.fisheo.com/web_20/2007/11/le-password-
est.html


2) Le s r è g l e s à r e s p e c t e r...
"

Ne pas choisir un mot du langage courant
"

Ne pas choisir un mdp « proche » de soi : nom d'un membre de
la famille, d'un animal, date de naissance, numéro de téléphone,
de sécu, ...
"

Choisir un mdp de plus 6 ou 8 caractères
"

Utiliser un maximum de « types » de caractères : minuscules,
majuscules, chiffres, caractères spéciaux
"

Ne pas l'écrire



Dans l'idéal, un mdp est
"

unique : utilisé pour une seule application
"

Changé régulièrement : tous les 2 à 3 mois
==> problèmes de mémorisation
2) Le s r è g l e s à r e s p e c t e r...


"

Méthode mnémotechnique : initiales d'une phrase, poème,
chanson, ... en remplaçant certaines lettres par des chiffres ou des
caractères spéciaux
Expl : e -> 3, o -> 0, a -> &, i -> !, ...
"

Méthode phonétique : création aléatoire d'un « mot » avec
alternance de consonnes et voyelles
3) Cr é a t i o n d'u n md p f a c i l e à r e t e n i r


http://www.passwordfinder.fr/mnemotechniqu
e_phonetique.php
3) Cr é a t i o n d'u n md p f a c i l e à r e t e n i r
http://www.henri-
ruch.ch/Utilitaires/generateurMP/generate
urMP.asp


"

Importance du choix de tous les mdp (même une session
windows par expl)
"

Grand nombre d'outils disponibles sur le net pour craquer un mdp
-> ophcrack, ultimate zip cracker, atomix mailbox cracker,...
"

Et pour finir, une petite histoire : Rediar Djupedal, créateur
norvégien d'une base de donnée recensant 11 000 titres est mort
sans communiquer son mdp -> appel aux internautes -> mdp
trouvé en qq heures : Ladepujd.
Co n c l u s i o n


!

http://fr.wikipedia.org/wiki/Accueil
!

http://securinet.free.fr/index.html
!

http://www.passwordfinder.fr/
!
http://www.securite-informatique.gouv.fr/autoformations/motdepasse/co/Mots_de_Passe_CH01.html
!

http://www.bugbrother.com/security.tao.ca/pswdhygn.html
!
...
Bi b l i o g r a p h i e