Piratage de Sony Pictures : les mots de passe volés analysés par un expert
par SoulmatUn expert a analysé finement une partie de la base de données de mots de passe volée à Sony Pictures et extrapole des conclusions plus qu'édifiantes : nous ne sécurisons pas nos comptes, tous nos comptes.
Voyons une autre étude qu'il a pu réaliser et qui est tout aussi intéressante, à savoir la comparaison de tous ces mots de passe avec les entrées du dictionnaire. Résultat "plutôt" mitigé, car 1/3 des mots de passe ont une correspondance exacte avec un mot du dictionnaire :
Troy Hunt précise que le réel problème résidant dans ces identifiants est qu'ils ne sont pas issus du hasard, mais sont "calculés".
Cela ne veut pas dire qu'ils ne sont pas suffisamment longs ou qu'ils ne contiennent pas suffisamment de types de caractères, en fait, les mots de passe "1qazZAQ!" et "dallascowboys" ont été trouvés dans la base de données, ceux-ci sont simplissimes et calculés, pour autant le premier possède quatre types de caractères incluant même un caractère spécial et le second est un mot de passe long de 13 caractères. La seule chose, c'est qu'ils n'ont pas été pris au hasard.
La réutilisation du mot de passe sur un autre système est aussi relativement significatif du comportement des utilisateurs à l'égard de la sécurité de leurs comptes. Pour cela, Troy a comparé les deux bases d'utilisateurs contenues dans le torrent, à savoir "BEAUTY_USERS" et "DELBOCA_USERS" (voir premières impressions d'écran des fichiers). Il a recoupé les adresses mail de l'ensemble des comptes trouvés et a identifié 2 000 comptes dont les adresses mails étaient identiques sur les deux systèmes, c'est-à-dire par logique des utilisateurs ayant créés un compte respectif sur chaque système. Pour ces 2 000 comptes, il a donc comparé les mots de passe respectifs définis :
Constat une nouvelle fois difficile pour l'expert : seuls 8 % des mots de passe sont uniques entre les deux systèmes, et donc 92 % sont identifiques. Là, il était question de deux systèmes très proches, tous les deux issus de la branche Sony Pictures. Mais entre deux systèmes complètement différents, tels Sony Pictures et Gawker Media Network ? Il faut savoir que ce dernier inclut des sites connus tels Lifehacker, Gizmodo, Jezebel, io9, Jalopnik, Kotaku, Deadspin, Fleshbot et Gawker, et a vu son réseau piraté par le groupe Gnosis en début d'année. Plus généreux que son compère, le groupe avait publié une base de 188 000 comptes sur la Toile, qui a permis à Troy de faire un comparatif entre les deux bases. 88 comptes ont été trouvés en commun (adresses mails identiques), et voici les résultats de comparaison des mots de passe respectifs :
Seulement un tiers d'entre eux étaient uniques, les 2/3 restant avaient donc un mot de passe identique sur les deux systèmes.
Pour finir cette analyse, l'expert a voulu vérifier quels seraient les risques de l'utilisation d'une table rainbow sur cette base de données de mots de passe si un hash de ceux-ci avait été effectué. À titre indicatif, un hash de mot de passe permet de transcrire ce dernier en une liste de caractères numériques pour faciliter son traitement par un système, mais aussi de le protéger contre des attaques de brute force pour le récupérer, car la chaîne peut atteindre des longueurs très importantes (un mot de passe de 8 caractères peut être transcrit en plus de 100 après hash). L'utilisation d'une table rainbow permet justement d'inverser ce hash pour retrouver le mot de passe original. Voici le résultat de son analyse à ce sujet :
82 % des mots de passe contenus dans la base de données de 37 608 comptes pourraient aisément être trouvés par l'utilisation d'une table rainbow.
Troy Hunt n'est pas plus étonné que cela de ces résultats, car bien conscient de la problématique latente de non- sécurisation des mots de passe par les utilisateurs finaux, et conclut cette étude très simplement en indiquant que :
Le seul mot de passe réellement sécurisé est celui dont vous ne pouvez pas vous souvenir.
Conclusion que nous ne pouvons qu'acquiescer bien évidemment, même si la théorie est comme toujours bien plus aisée que la pratique. Mais l'aparté que nous souhaitions réellement faire en vous relayant cette étude sur une base de données Sony est bien sûr celui vis-à-vis du piratage du PlayStation Network. Nous serions effectivement avides d'avoir la même étude sur ladite base de données du PSN, qui regorge probablement d'aussi belles "surprises" et donnerait lieu à des conclusions tout aussi édifiantes, notamment avec des mots de passe identiques pour des comptes ouverts sur les deux plateformes...
Étonnés ? Choqués ? Ou au contraire pas du tout ? Donnez-nous votre avis sur la question, cela nous intéresse.
Commenter 12 commentaires
À mes débuts d'internaute j'ai essayé de mettre un caractère européen dans mon mot de passe : un i trématé majuscule (Ï), ça marchait lors de l'inscription, mais pas pour ce connecté. Ça m'a causé beaucoup de problème et depuis j'ose plus mettre de caractère dans mes MDP.
Article intéressent.
*Une quinzaine sur les sites ou de l'argent est en jeux, genre le PSS, PayPal, etc.
Fake.
Mais qui est-ce que prend ''cookie'' comme mot de passe ?
Moi je change de mot de passe sur le PSN tous les mois parce que quand je l'ai besoin je ne le sait plus
Ceux important (psn et autres)
Ceux très important (paypal et autres)
Ceux capital (email)
Ca permet de limiter la faille, sachant que leur complexité va de pair avec leur importance et de pas devoir rentrer sur ps3gen un mot de passe hyper compliqué ^^
Ca ce n'est pas vraiment nouveau,quand on veut trouver un mot de passe de la mort qui tue,faut le noter car très dur à retenir.
Où as-tu vu cette taille en Ko ?
@Dahevos Exact, c'est une super bonne manière de faire. ^^
Moi au cas ou qu'un jour je ne me souvienne plus du tout de mes MDP (on sait jamais, je peut devenir Alzheimer, tomber sur la tête, ou subir un lavage de cerveau ), j'ai mis tout mes mots de passes dans un document texte sur ma clé usb perso. À moins que ma maison crame ou que je me fasse cambrioler ma ptite chambre d'ado, mes mdp sont en sécurité.
Moui c'est ce que j'ai penssé au début mais avec le temps j'ai découvert que j'avais une super capacité à me souvenir d'une suite de chiffres. J'ai juste eu à taper le numéro de ma carte bleu sur quelques sites et voilà, maintenant je le connai par cœur.