Discussion :

[Stéphane le calme]

86 % des MdP disponibles en texte clair de la société CashCrate avaient déjà été compromis,
Troy Hunt s'indigne des mauvaises pratiques dans l'industrie

Avec la multiplication des fuites de données, il est impératif de choisir des mots de passe capables de résister aux attaques de type force brute.

Pour aider les internautes à trouver un bon mot de passe, les initiatives se sont multipliées : certains services proposent de générer des mots de passe, d’autres d’analyser un mot de passe avant son utilisation et d’en proposer un qui serait meilleur. Mais Troy Hunt, l'expert en sécurité derrière le site Web "Have I Been Pwned” a choisi une approche différente : faire une base de données des mots de passe qui ont été précédemment compromis.

Début août, il a livré la première version d’une fonctionnalité qu’il a baptisé Pwned Passwords, une base de données de 320 millions de mots de passe à éviter car compromis. Il est revenu à la charge en février 2018 avec la seconde version de cette fonctionnalité qui, cette fois-ci, comprend plus d’un demi-milliard de mots de passe compromis.

Le principe est simple. Comme il l’explique aux propriétaires de sites Web : « Une fois qu'un mot de passe est apparu dans une violation de données et qu'il finit par “flotter” sur le Web, étant donc à la merci de toutes sortes de parties malfaisantes, ne laissez pas vos clients utiliser ce mot de passe ! ». Optimiste, il est allé sur l’hypothèse selon laquelle de nombreuses organisations ont pris cette approche et ont utilisé le service pour garder les mauvais mots de passe connus hors de leurs systèmes.

« Mais je me suis toujours demandé : quel pourcentage de mots de passe serait donc bloqué ? Je veux dire que si vous aviez 1 million de personnes dans votre système, est-ce le quart d'entre elles utilisent des mots de passe précédemment compromis ? La moitié ? Plus ? »

Pour apporter une estimation à son interrogation, mais également pour tester son hypothèse de l’approche de liste noire adoptée par les organisations, il a opté pour une méthodologie : « Ce dont j'avais besoin pour tester ma théorie était une violation de données qui contenait des mots de passe en texte clair, avait un volume important de mots de passe, que je n’avais pas encore vue auparavant et qui ne faisait pas partie des sources que j'ai utilisées pour créer la liste Pwned Passwords en premier lieu ».

Bingo !

Fin avril 2018, CashCrate a déclaré avoir été victime d’un piratage en 2016 qui s’est soldé par la compromission de 6,8 millions de données parmi lesquelles les noms, les adresses physiques et mail, et une combinaison de pseudonyme/MdP dont certains étaient en texte clair (2,23 millions sur les 6,8 millions) et d’autres étaient hashés.

Rendu à ce niveau, il était donc possible de répondre à cette question : combien d'abonnés à CashCrate utilisaient des mots de passe déjà connus pour avoir été compromis ?

Hunt assure « Qu’au total, il y avait 1 910 144 mots de passe sur les 2 232 284 qui figuraient dans le jeu de mots de passe Pwned. En d'autres termes, 86% des abonnés utilisaient des mots de passe déjà divulgués dans d'autres violations de données et disponibles aux attaquants en texte clair ».

Par ordre de prévalence, il s’agissait de :

• 123456
• 123456789
• qwerty
• password
• 111111
• 12345678
• abc123
• password1
• 1234567
• 12345

« Vous ne pouvez pas utiliser "12345" - ce n'est pas assez long - et son apparence en position 10 ci-dessus indique probablement qu’une politique de mot de passe encore plus faible a été mise en place par le passé. Évidemment, les critères de mot de passe sont terribles, mais j'apprécie que certaines personnes puissent suggérer que la nature du site prédispose les gens à faire des choix terribles de mot de passe (c'est un site de «cash-for-surveys») », s’est indigné Troy.

Il s’est également intéressé à certains des mots de passe CashCrate qui se trouvaient déjà dans son jeu de données. Il en a trouvé qu’il n’avait jamais remarqué auparavant. Pour protéger le mot de passe source et illustrer ses dires, il a décidé de remplacer plusieurs caractères dans les mots de passe suivant :

• D*lishmars3an0eei3
• 20921147_bronzegoddess
• cookiecocospike3278
• Jonathan.Evans!@34
• anchorage alaska
• nikki i love u
• i like to have sex

« Je n'ai pas substitué de caractères dans les 3 derniers parce que je voulais illustrer que même les phrases de passe peuvent être inutiles une fois exposées. Avoir un bon mot de passe ne suffit pas, l'unicité compte toujours énormément », a insisté Troy.

Alors, quels mots de passe n'étaient pas déjà dans Pwned Passwords ? Comme on pouvait s'y attendre, certains des plus populaires ont été nommés d'après le site lui-même :

• cashcrate123
• CashCrate
• mycashcrate
• cashcreate
• cashcrate.com
• etarchsac

« Parmi ceux qui revenaient souvent figuraient des mots de passe horriblement pensés, par exemple des combinaisons de nombres ou le nom d'une personne suivi d'un nombre (quelques variantes assez uniques sont apparues plusieurs fois suggérant la création possible d'un compte bidon). Tout cela va figurer dans la prochaine version de Pwned Passwords qui sortira une fois qu'il y aura un volume suffisant de nouveaux mots de passe ».

Pourquoi est-il important de le rappeler ?

Tout d’abord pour sensibiliser les utilisateurs, qui pourraient voir leurs données entre les mains de personnes malveillantes.

Ensuite pour rappeler le rôle des administrateurs de site, qui doivent veiller au mieux à la sécurité des données des utilisateurs par exemple avec des règles plus strictes concernant les mots de passe (renouvellement après une certaine période, utilisation d’une liste noire de mots de passe, etc.).

Comme le rappelle Hunt, « Si vous êtes responsable de l'administration d'un site Web, comment allez-vous être résilient contre les attaquants qui viennent sur votre site avec les noms d'utilisateur et les mots de passe légitimes de vos membres ? »

Source : Troy Hunt

Et vous ?

Selon-vous, se servir d'une liste noire dans sa politique relative aux mots de passe est-il plus sécurisant ?
Comment vous-y prenez-vous pour choisir vos mots de passe ?
En tant qu'administrateur, quelles dispositions avez-vous prises pour vous assurer que les mots de passe des utilisateurs soient les plus sécurisés possible ?

Voir aussi :

Un expert en sécurité propose une liste de 320 millions de mots de passe à éviter pour renforcer la sécurité sur le Web
Classement des pires MdP 2017 : « 123456 » en tête et « starwars » refait surface que conseillez-vous pour adopter des MdP difficiles à pirater ?

[Doksuri]

test #1 a faire sur les sites : cliquer sur "mot de passe oublie"
si on recois le mail avec notre mot de passe. on peut supprimer le site de ses favoris et appeler la CNIL ^^

[transgohan]

on peut supprimer le site de ses favoris et appeler la CNIL ^^

Tu peux d'office supprimer Pôle emploi.
C'est aussi le cas d'Ameli il me semble, je me souviens plus trop pour ce dernier...