Article de référence | Réf : TE7725 v1

Conclusion
Audit Sécurité - Casser du « hash » avec intelligence

Auteur(s) : Laurent LEVIER

Relu et validé le 29 sept. 2021

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

L’omniprésence des mots de passe dans le monde de l’Information et leur fréquente pauvreté permettant le piratage des droits d’accès rendent nécessaire l'audit de ceux-ci. Mais un mot de passe est souvent stocké sous une forme cryptographique (un «hash») qui ne se décode pas. La seule approche consiste alors à tester chaque possibilité, on parle d’attaque par force brute (Brute Force Attack=BFA).Cet article présente comment monter une telle solution évolutive à base de processeurs graphiques performants bon marché et optimiser son attaque pour en augmenter l’efficacité, mais également comment améliorer la qualité des mots de passe.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Security audit. Breaking hash smartly

A password is now the only protection for a user’s data privacy in the IT world, and its often poor quality is a security risk that has to be audited. But such passwords are most often stored as a cryptographic ’hash’ that cannot be decoded. The only solution is then to test each combination. This is called a Brute Force Attack (BFA). This article explains how to build a flexible solution of this type using cost-effective graphic processors, and how to optimize the attack for higher efficiency. It also explains how to improve password quality.

Auteur(s)

  • Laurent LEVIER : Officier de Sécurité - Opérateur de Télécommunications international

INTRODUCTION

Notre histoire commence dans les années 1970. Le mot de passe était alors un petit rien, considéré comme une contrainte inutile que chacun devait subir et traitait avec négligence, voire dédain. En ces temps lointains, il était le plus souvent vide ou identique au login ou prénom de l’utilisateur et rarement plus élaboré. Avec la digitalisation galopante et la progression des techniques et tentatives de piratage, il est à présent de plus en plus convoité, omniprésent qu’il est devenu, et ne pouvant plus rester simpliste par le pouvoir qu’il véhicule. D’un mot de passe pour tout, nous sommes arrivés à l’ère d’un pour chaque utilisation, avec un minimum obligatoire de qualité.

Dans les premières années des réseaux locaux puis d’Internet, le mot de passe était encodé dans les unités de stockage avec des algorithmes qui, de nos jours, feraient sourire. Mais, à l’époque, les techniques d’attaques cryptographiques réclamaient une puissance de calcul indisponible au grand public. De plus, ces mots de passe étaient si simples, personne ne comprenant encore l’importance de ceux-ci, que souvent une simple attaque de dictionnaire, même faite manuellement, suffisait. De nos jours, les processeurs graphiques (GPU) spécialisés permettent, pour un coût restant modeste, de disposer d’une puissance de calcul largement suffisante pour attaquer la plupart des algorithmes cryptographiques dans des délais raisonnables. La technologie logicielle suit également, permettant de pouvoir fabriquer sa propre machine « à casser du mot de passe » ou, plus généralement, des hash.

Par ailleurs, et au-delà de ces aspects purement techniques, ce mot de passe est défini le plus souvent par des individus régis par des comportements psychologiques stéréotypés découlant de leur parcours personnel, qu’il soit éducatif, culturel ou émotionnel. Ces facteurs d’influence vont considérablement modeler les mots choisis au départ ainsi que les transformations éventuelles qui pourraient être imposées par une politique de sécurité, selon les termes mêmes de cette politique et sa présentation dans le formulaire de saisie. Une étude sur des milliers d’utilisateurs internationaux a permis d’établir des hypothèses, dont la validation progresse rapidement, quant à la forme finale qu’aura le mot de passe, permettant ainsi de grandement améliorer les performances de l’attaque par force brute.

De nos jours, le mot de passe est toujours le mal-aimé du monde informatique et il n’existe pas pléthores de moyens de garantir sa qualité et donc la protection des accès à l’information.

En amont, au moment de la saisie, il est possible d’indiquer des contraintes de qualité et de contrôler les mots de passe proposés, les propositions inacceptables étant alors purement et simplement bloquées.

Une autre solution, consiste en aval à s’assurer de la qualité du mot de passe choisi. Malheureusement cette solution pose problème car l’algorithme cryptographique utilisé pour le stockage du mot de passe n’est pas réversible. En effet l’algorithme ne permet pas de décoder le hash pour retrouver le texte clair. Il faut alors utiliser des techniques dites de « cassage ».

Cet article s’adresse au lecteur désireux de connaître la version en texte clair d’un mot de passe (particulièrement) sans avoir les moyens de le décoder. Il a pour objectif de fournir les éléments théoriques et pratiques permettant au lecteur de construire sa propre solution de « cassage » de mots de passe, selon les moyens dont il dispose, et de la mettre en œuvre pour auditer (en aval) la qualité des mots utilisés pour sécuriser ses accès ou ses données. Le premier chapitre présente simplement le fonctionnement de la technique de cassage cryptographique et les schémas psychologiques mis en œuvre par l’individu lors du choix d’un mot de passe, ce qui a pour avantage d’optimiser la méthode. Le second chapitre présente une solution matérielle à base de cartes graphiques du marché avec l’utilisation de logiciel pour retrouver les mots de passe définis au départ par les individus, et évaluer leur qualité a posteriori. À partir de là, il est possible de placer des contraintes de qualité bloquantes pour augmenter cette qualité et ainsi réduire le risque de piratage.

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

audit   |   hash   |   password   |   brute force attack

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7725


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

4. Conclusion

L’avènement des processeurs graphiques à coût relativement faible et montés sur des cartes utilisables en parallèle offre une puissance de calcul permettant de nouvelles possibilités d’étude et de cassage des algorithmes cryptographiques ou de hachage. L’utilisateur n’étant qu’un être humain, il reste faible et prédictible et cela peut être utilisé pour augmenter la probabilité de trouver ses mots de passe. Utilisés à bon escient, des outils gratuits, maintenus, performants et fiables existent pour s’appuyer sur ces matériels afin d’étudier la qualité des mots de passe sur lesquels repose encore trop souvent la sécurité de nos données et de nos accès.

Avec l’utilisation de tels matériels et logiciels de manière distribuée, il ne fait nul doute que la puissance va se démultiplier davantage, augmentant également le risque d’avoir ces mots de passe décodés par des personnes mal intentionnées. Les approches plus efficaces comme pousser les utilisateurs vers de bonnes pratiques tels que le gestionnaire et l’unicité des mots de passe ou l’authentification forte sont plus que jamais critiques.

Il est donc primordial de réduire l’efficacité de ces techniques en complexifiant la qualité des mots de passe. La définition d’une politique (longueur, variété) et la réduction de la probabilité de trouver tout ou partie du mot dans un dictionnaire est un choix d’entreprise, mais cela peut aussi être un choix personnel. Comme en sécurité informatique, la prévention et l’éducation restent donc les moteurs essentiels de la réduction du risque, d’autant qu’il existe moult moyens et axes d’améliorations. Par exemple :

  • la définition d’une politique et sa demande d’application sur les outils et application dans le respect des principes indiqués dans le chapitre 1.1.2. À ce jour, un mot de passe d’une longueur inférieure à 13 caractères est insuffisant ;

  • le...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

TEST DE VALIDATION ET CERTIFICATION CerT.I. :

Cet article vous permet de préparer une certification CerT.I.

Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.

Obtenez CerT.I., la certification
de Techniques de l’Ingénieur !
Acheter le module

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Conclusion
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - MUJTABA (H.) -   NVIDIA Pascal GP100 GPU Benchmarks Unveiled – Tesla P100 Is The Fastest Graphics Card Ever Created For Hyperscale Computing.  -  Wccftech (2016). http://wccftech.com/nvidia-gp100-gpu-tesla-p100-benchmarks/

DANS NOS BASES DOCUMENTAIRES

1 Outils logiciels

Passmark – Videocard Benchmarks- Over 800,000 Video Cards Benchmarked

http://www.videocardbenchmark.net

Hashcat – Advanced password recovery

https://hashcat.net/hashcat/

bcrypt

https://www.bcrypt.fr/

HAUT DE PAGE

2 Sites Internet

NVIDIA – Carte graphique GTX 1080

http://www.nvidia.fr/graphics-cards/geforce/pascal/gtx-1080/

UBUNTU

https://www.ubuntu.com/

HAUT DE PAGE

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Sommaire

QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE

1/ Quiz d'entraînement

Entraînez vous autant que vous le voulez avec les quiz d'entraînement.

2/ Test de validation

Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.

Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS