Comment les sites Web protègent-ils vos mots de passe ?
Nous passons maintenant rarement un mois sans entendre parler d'une sorte de violation de données. Il peut s'agir d'un service populaire comme Gmail ou de quelque chose que la plupart d'entre nous ont oublié, comme MySpace.
L'une des pires choses qu'un pirate puisse découvrir est votre mot de passe. Cela est particulièrement vrai si vous allez à l'encontre des conseils standard et utilisez les mêmes identifiants de connexion sur différentes plateformes. Mais s'occuper de votre mot de passe n'est pas uniquement votre responsabilité.
Alors, comment les sites Web stockent-ils vos mots de passe ? Comment gardent-ils vos identifiants de connexion en sécurité ? Et quelle est la méthode la plus sûre qu'ils peuvent utiliser pour s'occuper de votre mot de passe ?
Le pire des cas : texte brut
Considérez ceci : un site Web majeur a été piraté. Les cybercriminels ont franchi toutes les mesures de sécurité de base qu'ils prennent, profitant peut-être d'une faille dans leur architecture. Vous êtes client. Ce site a stocké vos coordonnées. Heureusement, vous avez été assuré que votre mot de passe est sécurisé.
Sauf que ce site stocke votre mot de passe en texte brut.
Les mots de passe en texte brut n'attendent que d'être pillés. Ils n'utilisent aucun algorithme pour les rendre illisibles. Les pirates peuvent le lire aussi simplement que vous lisez cette phrase.
Peu importe la complexité de votre mot de passe : une base de données en texte brut est une liste des mots de passe de tout le monde, clairement énoncés, y compris les chiffres et les caractères supplémentaires que vous utilisez.
Et même si les pirates ne piratent pas le site, voulez-vous vraiment qu'un administrateur de site Web sans visage puisse voir vos informations de connexion confidentielles ?
Vous pensez peut-être qu'il s'agit d'un problème très rare, mais environ 30% des sites de commerce électronique utilisent cette méthode pour "sécuriser" vos données. En fait, il existe un site entier dédié à la mise en évidence de ces contrevenants !
Un moyen simple de savoir si un site l'utilise est si, juste après votre inscription, vous recevez un e-mail de leur part indiquant vos informations de connexion. Dans ce cas, vous souhaiterez peut-être modifier tous les sites avec ce même mot de passe et contacter l'entreprise pour les alerter que leur sécurité est mauvaise.
Cela ne signifie pas nécessairement qu'ils les stockent sous forme de texte brut, mais c'est un bon indicateur.
Et de toute façon, ils ne devraient pas envoyer ce genre de choses par e-mail. Ils peuvent prétendre qu'ils ont des pare-feu et d'autres précautions de sécurité pour se protéger contre les cybercriminels, mais rappelez-leur qu'aucun système n'est parfait et faites miroiter la perspective de perdre des clients devant eux. Ils vont bientôt changer d'avis. Avec un peu de chance…
Pas aussi bon que ça en a l'air : le cryptage
Traitez votre mot de passe comme votre brosse à dents, changez-le régulièrement et ne le partagez pas !
– Anti-Bullying Pro (de la charité The Diana Award) (@AntiBullyingPro) 13 août 2016
Alors, que font bon nombre de ces sites Web pour sécuriser vos mots de passe ?
Beaucoup se tourneront vers le cryptage. Cela brouille vos informations, les rendant illisibles jusqu'à ce que deux clés, l'une détenue par vous (ce sont vos informations de connexion) et l'autre par l'entreprise en question, soient présentées.
Vous devriez également utiliser le cryptage ailleurs. Face ID sur les iPhones est une forme de cryptage. N'importe quel mot de passe est. Internet fonctionne avec le cryptage : le HTTPS que vous pouvez voir dans les URL signifie que le site sur lequel vous vous trouvez utilise les protocoles SSL ou TLS pour vérifier les connexions et brouiller les données.
Mais malgré ce que vous avez pu entendre, le cryptage n'est pas parfait.
Cela devrait être sûr, mais ce n'est aussi sûr que l'endroit où les clés sont stockées. Si un site Web protège votre clé (c'est-à-dire votre mot de passe) en utilisant la sienne, un pirate pourrait exposer cette dernière afin de trouver la première et la déchiffrer. Il faudrait relativement peu d'efforts à un voleur pour trouver votre mot de passe ; c'est pourquoi les bases de données clés sont une cible massive.
Si leur clé est stockée sur le même serveur que le vôtre, votre mot de passe pourrait tout aussi bien être en texte brut. C'est pourquoi le site PlainTextOffenders susmentionné répertorie également les services qui utilisent un cryptage réversible.
Étonnamment simple (mais pas toujours efficace) : le hachage
Maintenant, nous arrivons quelque part. Le hachage des mots de passe ressemble à du jargon, mais c'est simplement une forme de cryptage plus sûre.
Au lieu de stocker votre mot de passe sous forme de texte brut, un site l'exécute via une fonction de hachage, comme MD5, Secure Hashing Algorithm (SHA)-1 ou SHA-256, qui le transforme en un ensemble de chiffres entièrement différent. Il peut s'agir de chiffres, de lettres ou de tout autre caractère.
Votre mot de passe pourrait être IH3artMU0. Cela pourrait se transformer en 7dVq$@ihT, et si un pirate informatique s'introduit dans une base de données, c'est tout ce qu'il peut voir. Et cela ne fonctionne que dans un sens. Vous ne pouvez pas le décoder en retour.
Malheureusement, ce n'est pas si sûr. C'est mieux que du texte brut, mais c'est quand même assez standard pour les cybercriminels.
La clé est qu'un mot de passe spécifique produit un hachage spécifique. Il y a une bonne raison à cela : chaque fois que vous vous connectez avec le mot de passe IH3artMU0, il passe automatiquement par cette fonction de hachage et le site Web vous permet d'accéder si ce hachage et celui de la base de données du site correspondent.
Cela signifie également que les pirates ont développé des tables arc-en-ciel. Considérez-les comme des feuilles de triche : ce sont des listes de hachages, déjà utilisés par d'autres comme mots de passe, qu'un système sophistiqué peut rapidement utiliser comme attaque par force brute .
Si vous avez choisi un très mauvais mot de passe, il figurera en bonne place sur les tables arc-en-ciel et pourrait être facilement déchiffré. Les plus obscures (en particulier les combinaisons étendues) prendront plus de temps.
Aussi bon que possible maintenant : salage et hachage lent
Rien n'est imprenable : les pirates s'efforceront de cracker tout nouveau système de sécurité. Mais les techniques les plus puissantes mises en œuvre par les sites les plus sécurisés sont des hachages plus intelligents.
Les hachages salés sont basés sur la pratique d'un nonce cryptographique, un ensemble de données aléatoires généré pour chaque mot de passe individuel, généralement très long et très complexe.
Ces chiffres supplémentaires sont ajoutés au début ou à la fin d'un mot de passe (ou des combinaisons email-mot de passe) avant qu'il ne passe par la fonction de hachage, afin de lutter contre les tentatives faites à l'aide de tables arc-en-ciel.
Cela n'a généralement pas d'importance si les sels sont stockés sur les mêmes serveurs que les hachages ; déchiffrer un ensemble de mots de passe peut prendre énormément de temps pour les pirates, ce qui est encore plus difficile si votre mot de passe est déjà compliqué.
C'est pourquoi vous devez toujours utiliser un mot de passe fort, peu importe à quel point vous faites confiance à la sécurité d'un site.
Les sites Web qui prennent leur sécurité, et par extension la vôtre, particulièrement au sérieux utilisent également des hachages lents comme mesure supplémentaire. Les fonctions de hachage les plus connues (MD5, SHA-1 et SHA-256) existent depuis un certain temps et sont largement utilisées car elles sont relativement faciles à mettre en œuvre et appliquent des hachages en un rien de temps.
Tout en appliquant toujours des sels, les hachages lents sont encore meilleurs pour combattre les attaques qui dépendent de la vitesse. En limitant les pirates à considérablement moins de tentatives par seconde, il leur faut plus de temps pour craquer, ce qui rend les tentatives moins intéressantes, compte tenu également du taux de réussite réduit.
Les cybercriminels doivent évaluer s'il vaut la peine d'attaquer des systèmes de hachage lents et chronophages plutôt que des « solutions rapides » : les établissements médicaux ont généralement une sécurité moindre, par exemple, de sorte que les données obtenues à partir de là peuvent toujours être vendues pour des sommes surprenantes.
C'est aussi très adaptatif : si un système est soumis à une pression particulière, il peut ralentir encore plus. Coda Hale , l'ancien développeur de logiciels de principe de Microsoft, compare MD5 à la fonction de hachage lent peut-être la plus notable, bcrypt (d'autres incluent PBKDF-2 et scrypt) :
"Au lieu de craquer un mot de passe toutes les 40 secondes [comme avec MD5], je les craquerais tous les 12 ans environ [quand un système utilise bcrypt]. Vos mots de passe n'ont peut-être pas besoin de ce type de sécurité et vous pourriez avoir besoin d'une comparaison plus rapide algorithme, mais bcrypt vous permet de choisir votre équilibre entre vitesse et sécurité."
Et comme un hachage lent peut toujours être implémenté en moins d'une seconde, les utilisateurs ne devraient pas être affectés.
Pourquoi le stockage des mots de passe est-il important ?
Lorsque nous utilisons un service en ligne, nous concluons un contrat de confiance. Vous devez être sûr de savoir que vos informations personnelles sont protégées.
Il est particulièrement important de stocker votre mot de passe en toute sécurité. Malgré de nombreux avertissements, beaucoup utilisent toujours le même mot de passe pour différents sites, donc si, par exemple, votre Facebook est piraté, les informations de connexion pour tout autre site utilisant le même mot de passe pourraient également être un livre ouvert pour les cybercriminels.