Piratage de Sony Pictures : les mots de passe volés analysés par un expert
par SoulmatUn expert a analysé finement une partie de la base de données de mots de passe volée à Sony Pictures et extrapole des conclusions plus qu'édifiantes : nous ne sécurisons pas nos comptes, tous nos comptes.
Le site de Sony Pictures a récemment été piraté par le groupe LulzSec et un architecte logiciel de MVP Microsoft, Troy Hunt, a pu récupérer une partie la base de données de mots de passe via un torrent associé mis sur la Toile, qui était stockés en clair par Sony dans la base de données (NDLR : tous ceux du site l'étaient, c'est-à-dire 1 million de mots de passe stockés sans aucun cryptage...). Voici le contenu du torrent qu'il a téléchargé :
Après navigation dans ces fichiers, dédoublonnage et filtre dans SQL Server, il a pu extraire 37 608 mots de passe. Il en a fait une analyse complète et a pu produire des statistiques sur les comportements des utilisateurs par rapport à la définition de leurs mots de passe (longueur, complexité, etc.), en imageant cela par des graphiques plus qu'édifiants.
Il a tout d'abord commencé son analyse par la longueur des mots de passe. Voici ce qu'il nous confie :
Aucune règle n'est établie réellement sur le sujet et les avis divergent, mais un mot de passe de 8 caractères est acceptable.
Sur ce point, les utilisateurs respectent une longueur acceptable pour leurs mots de passe, avec 93 % d'entre eux qui ont défini entre 6 et 10 caractères, mais 50 % au total ont tout de même un mot de passe de moins de 8 caractères. Une poignée avait utilisé un mot de passe de 20 caractères ou plus.
La longueur du mot de passe est une chose, mais sa complexité est tout aussi importante, voire davantage. Troy a donc ensuite réalisé un comparatif sur les types de caractères et en étudiant 4 critères :
- Les mots de passe contenant des chiffres ;
- Les mots de passe contenant des majuscules ;
- Les mots de passe contenant des minuscules ;
- Les mots de passe contenant toute autre chose.
Voici le résultat obtenu :
Bonne pratique donc pour ces utilisateurs, qui utilisent majoritairement une variation dans le type de caractères utilisés, avec une forte proportion ayant utilisé des chiffres et majuscules, mais une chose plus qu'étonnante nous frappe : très peu ont utilisé des minuscules dans leur mot de passe. Voyons ensuite si ces types de caractères ont été mélangés ou s'ils sont uniques dans les mots de passe, ce qui là aussi est un critère essentiel :
Et c'est là que le bât blesse, car les résultats montrent que 50 % des mots de passe en la possession de l'expert ont un seul type de caractères : 45 % n'ont que des majuscules, 4 % que des chiffres et 1 % que des minuscules, contre 50 % qui ont donc au moins deux types de caractères dans leur mot de passe. Parmi les types de caractères qui sortent de l'ordinaire, il y a bien évidemment les caractères spéciaux, dits "non alphanumériques". Nous trouvons la ponctuation et les symboles entre autres. Une étude est également faite sur leur proportion dans les mots de passe obtenus, et là encore, le constat est édifiant :
Seul 1 % des mots de passe contiennent ce type de caractères, qui pourtant devraient être devenus monnaie courante dans la définition d'un mot de passe, au vu de la surenchère de complexité mise en exergue et recommandée par la presse spécialisée, les experts et autres éminences dans le domaine de la sécurité informatique.
Autre test effectué sur cette base de données mots de passe : vérifier s'ils ont réellement été définis au hasard ou s'ils sont issus de mots connus. Troy a établi un top 25 des mots de passe les plus trouvés, certains vous feront assurément sourire. Voici le top 25 des mots de passe compris dans les 92 % restants, du plus répété au moins souvent trouvé :
seinfeld ; password ; winner ; 123456 ; purple ; sweeps ; contest ; princess ; maggie ; 9452 ; peanut ; shadow ; ginger ; michael ; buster ; sunshine ; tigger ; cookie ; george ; summer ; taylor ; bosco ; abc123 ; ashley ; bailey.
Certains étonnent particulièrement (9452, cookie, etc.), d'autres apparaissent liés à une sorte de concours qui a pu avoir lieu sur le site (winner, contest et sweeps), tandis que d'autres méritent aisément leur "no comment". Pour autant, l'expert précise tout de même que la majorité des mots de passe retrouvés en double ou plus l'étaient pour des raisons anodines, et que ceux précités dans le top 25 ne concernent que 2,5 % des statistiques.
Commenter 12 commentaires
À mes débuts d'internaute j'ai essayé de mettre un caractère européen dans mon mot de passe : un i trématé majuscule (Ï), ça marchait lors de l'inscription, mais pas pour ce connecté. Ça m'a causé beaucoup de problème et depuis j'ose plus mettre de caractère dans mes MDP.
Article intéressent.
*Une quinzaine sur les sites ou de l'argent est en jeux, genre le PSS, PayPal, etc.
Fake.
Mais qui est-ce que prend ''cookie'' comme mot de passe ?
Moi je change de mot de passe sur le PSN tous les mois parce que quand je l'ai besoin je ne le sait plus
Ceux important (psn et autres)
Ceux très important (paypal et autres)
Ceux capital (email)
Ca permet de limiter la faille, sachant que leur complexité va de pair avec leur importance et de pas devoir rentrer sur ps3gen un mot de passe hyper compliqué ^^
Ca ce n'est pas vraiment nouveau,quand on veut trouver un mot de passe de la mort qui tue,faut le noter car très dur à retenir.
Où as-tu vu cette taille en Ko ?
@Dahevos Exact, c'est une super bonne manière de faire. ^^
Moi au cas ou qu'un jour je ne me souvienne plus du tout de mes MDP (on sait jamais, je peut devenir Alzheimer, tomber sur la tête, ou subir un lavage de cerveau
Moui c'est ce que j'ai penssé au début mais avec le temps j'ai découvert que j'avais une super capacité à me souvenir d'une suite de chiffres.