Actualité
Sony Make Believe logo head

Piratage de Sony Pictures : les mots de passe volés analysés par un expert

par

Un expert a analysé finement une partie de la base de données de mots de passe volée à Sony Pictures et extrapole des conclusions plus qu'édifiantes : nous ne sécurisons pas nos comptes, tous nos comptes.

Voyons une autre étude qu'il a pu réaliser et qui est tout aussi intéressante, à savoir la comparaison de tous ces mots de passe avec les entrées du dictionnaire. Résultat "plutôt" mitigé, car 1/3 des mots de passe ont une correspondance exacte avec un mot du dictionnaire :







analyse-mot-de-passe-sony-pictures-09062011-008

Troy Hunt précise que le réel problème résidant dans ces identifiants est qu'ils ne sont pas issus du hasard, mais sont "calculés".

Cela ne veut pas dire qu'ils ne sont pas suffisamment longs ou qu'ils ne contiennent pas suffisamment de types de caractères, en fait, les mots de passe "1qazZAQ!" et "dallascowboys" ont été trouvés dans la base de données, ceux-ci sont simplissimes et calculés, pour autant le premier possède quatre types de caractères incluant même un caractère spécial et le second est un mot de passe long de 13 caractères. La seule chose, c'est qu'ils n'ont pas été pris au hasard.

La réutilisation du mot de passe sur un autre système est aussi relativement significatif du comportement des utilisateurs à l'égard de la sécurité de leurs comptes. Pour cela, Troy a comparé les deux bases d'utilisateurs contenues dans le torrent, à savoir "BEAUTY_USERS" et "DELBOCA_USERS" (voir premières impressions d'écran des fichiers). Il a recoupé les adresses mail de l'ensemble des comptes trouvés et a identifié 2 000 comptes dont les adresses mails étaient identiques sur les deux systèmes, c'est-à-dire par logique des utilisateurs ayant créés un compte respectif sur chaque système. Pour ces 2 000 comptes, il a donc comparé les mots de passe respectifs définis :

analyse-mot-de-passe-sony-pictures-09062011-009

Constat une nouvelle fois difficile pour l'expert : seuls 8 % des mots de passe sont uniques entre les deux systèmes, et donc 92 % sont identifiques. Là, il était question de deux systèmes très proches, tous les deux issus de la branche Sony Pictures. Mais entre deux systèmes complètement différents, tels Sony Pictures et Gawker Media Network ? Il faut savoir que ce dernier inclut des sites connus tels Lifehacker, Gizmodo, Jezebel, io9, Jalopnik, Kotaku, Deadspin, Fleshbot et Gawker, et a vu son réseau piraté par le groupe Gnosis en début d'année. Plus généreux que son compère, le groupe avait publié une base de 188 000 comptes sur la Toile, qui a permis à Troy de faire un comparatif entre les deux bases. 88 comptes ont été trouvés en commun (adresses mails identiques), et voici les résultats de comparaison des mots de passe respectifs :

analyse-mot-de-passe-sony-pictures-09062011-010

Seulement un tiers d'entre eux étaient uniques, les 2/3 restant avaient donc un mot de passe identique sur les deux systèmes.

Pour finir cette analyse, l'expert a voulu vérifier quels seraient les risques de l'utilisation d'une table rainbow sur cette base de données de mots de passe si un hash de ceux-ci avait été effectué. À titre indicatif, un hash de mot de passe permet de transcrire ce dernier en une liste de caractères numériques pour faciliter son traitement par un système, mais aussi de le protéger contre des attaques de brute force pour le récupérer, car la chaîne peut atteindre des longueurs très importantes (un mot de passe de 8 caractères peut être transcrit en plus de 100 après hash). L'utilisation d'une table rainbow permet justement d'inverser ce hash pour retrouver le mot de passe original. Voici le résultat de son analyse à ce sujet :

analyse-mot-de-passe-sony-pictures-09062011-011

82 % des mots de passe contenus dans la base de données de 37 608 comptes pourraient aisément être trouvés par l'utilisation d'une table rainbow.

Troy Hunt n'est pas plus étonné que cela de ces résultats, car bien conscient de la problématique latente de non- sécurisation des mots de passe par les utilisateurs finaux, et conclut cette étude très simplement en indiquant que :

Le seul mot de passe réellement sécurisé est celui dont vous ne pouvez pas vous souvenir.

Conclusion que nous ne pouvons qu'acquiescer bien évidemment, même si la théorie est comme toujours bien plus aisée que la pratique. Mais l'aparté que nous souhaitions réellement faire en vous relayant cette étude sur une base de données Sony est bien sûr celui vis-à-vis du piratage du PlayStation Network. Nous serions effectivement avides d'avoir la même étude sur ladite base de données du PSN, qui regorge probablement d'aussi belles "surprises" et donnerait lieu à des conclusions tout aussi édifiantes, notamment avec des mots de passe identiques pour des comptes ouverts sur les deux plateformes...

Étonnés ? Choqués ? Ou au contraire pas du tout ? Donnez-nous votre avis sur la question, cela nous intéresse.

Commenter 12 commentaires

Avatar de l’utilisateur
Studios 5107
Tout mes mots de passe sont composé d'au moins 10* caractères, où j'y mélange minuscules, majuscules, et chiffres. Je pense donc que j'ai pas de soucis à me faire. 8)
À mes débuts d'internaute j'ai essayé de mettre un caractère européen dans mon mot de passe : un i trématé majuscule (Ï), ça marchait lors de l'inscription, mais pas pour ce connecté. Ça m'a causé beaucoup de problème et depuis j'ose plus mettre de caractère dans mes MDP. :(

Article intéressent. ;)

*Une quinzaine sur les sites ou de l'argent est en jeux, genre le PSS, PayPal, etc.
Signaler Citer
Daviid174
C'est du gros n'importe quoi, cet expert peut allé refaire ces études ou alors arrêté de nous mentir, je crois pas que une base de donnée en langage sql sous format texte prennent une place de quelques KB sur le disque dur, comparé à la mienne, un site amateur, elle fais plus de 5MB, alors que là il s'agit d'une entreprise mondiale, on peut estimé la taille de sa base de donnée à plusieurs GB ...
Fake.
Signaler Citer
Avatar de l’utilisateur
C@RLOS
Le mot de passe qui m'a fait le plus rire --> cookie
Mais qui est-ce que prend ''cookie'' comme mot de passe ? :D
Moi je change de mot de passe sur le PSN tous les mois parce que quand je l'ai besoin je ne le sait plus ;D
Signaler Citer
Dahevos
La technique que j'utilise est de définir des niveaux de password : ceux que j'utilise et qui ne sont pas primordiaux (ps3gen etc...)
Ceux important (psn et autres)
Ceux très important (paypal et autres)
Ceux capital (email)

Ca permet de limiter la faille, sachant que leur complexité va de pair avec leur importance et de pas devoir rentrer sur ps3gen un mot de passe hyper compliqué ^^
Signaler Citer
Aizen
Le seul mot de passe réellement sécurisé est celui dont vous ne pouvez pas vous souvenir


Ca ce n'est pas vraiment nouveau,quand on veut trouver un mot de passe de la mort qui tue,faut le noter car très dur à retenir. ;)
Signaler Citer
Avatar de l’utilisateur
Soulmat
Daviid174 Wrote:C'est du gros n'importe quoi, cet expert peut allé refaire ces études ou alors arrêté de nous mentir, je crois pas que une base de donnée en langage sql sous format texte prennent une place de quelques KB sur le disque dur, comparé à la mienne, un site amateur, elle fais plus de 5MB, alors que là il s'agit d'une entreprise mondiale, on peut estimé la taille de sa base de donnée à plusieurs GB ...
Fake.


Où as-tu vu cette taille en Ko ?
Signaler Citer
Oxide-60
Moi perso, mon mot de passe sur le PSN fait 22 caractère ^^ Avec minuscules, majuscule, chiffres, et de la ponctuation x) Donc pas vraiment de soucis à me faire la dessus. Par contre le nombre de personnes qui prennent des mot de passe de moins de 6 caractère sont assez nombreux quand même :-\
Signaler Citer
Avatar de l’utilisateur
Studios 5107
@Soulmat Sur les 2 premier screens de l'article.
@Dahevos Exact, c'est une super bonne manière de faire. ^^

Moi au cas ou qu'un jour je ne me souvienne plus du tout de mes MDP (on sait jamais, je peut devenir Alzheimer, tomber sur la tête, ou subir un lavage de cerveau :-X ), j'ai mis tout mes mots de passes dans un document texte sur ma clé usb perso. À moins que ma maison crame ou que je me fasse cambrioler ma ptite chambre d'ado, mes mdp sont en sécurité.

Aizen Wrote:Ca ce n'est pas vraiment nouveau,quand on veut trouver un mot de passe de la mort qui tue,faut le noter car très dur à retenir. ;)
Moui c'est ce que j'ai penssé au début mais avec le temps j'ai découvert que j'avais une super capacité à me souvenir d'une suite de chiffres. 8) J'ai juste eu à taper le numéro de ma carte bleu sur quelques sites et voilà, maintenant je le connai par cœur. 8)
Signaler Citer
Avatar de l’utilisateur
Soulmat
Ah ok ! Bah c'est uniquement un fichier de comptes utilisateurs. Sachant qu'il y a 37 000 comptes et 3 fichiers distincts, ça représente 10 000 lignes, rien d'énorme je trouve. Quoi qu'il en soit, je ne pense pas que ce soit un fake.
Signaler Citer