Le Blog de Pierre VERGÈS

 Cette année, plus de 90% des mots de passe seront vulnérables d’après le cabinet Deloitte.

La faute aux utilisateurs, aux progrès en termes de puissance de calcul et aux terminaux mobiles.

Ce problème de sécurité n’a pourtant rien de neuf.

C’est le branle-bas de combat au sein de la presse généraliste.

Celle-ci vient de tomber sur le rapport annuel de Deloitte : TMT Predictions 2013

http://www.deloitte.com/view/en_GX/global/industries/technology-media-telecommunications/tmt-predictions-2013/index.htm.

Passons sur le fait que contrairement à ce qui est indiqué ici ou là, la publication de ce rapport ne remonte pas à quelques jours, mais à quelques semaines.

L’information n’est pas là.

Non, ce qui interpelle la presse, c’est la gravité de la situation : les mots de passe sont des passoires et pratiquement tous pourraient être cassés.

Ce sont donc de nombreux internautes qui pensent avoir verrouillé leur porte quand celle-ci est en vérité entrouverte.

Frisson assuré.

Toujours les mêmes mauvaises pratiques 

Car Deloitte l’annonce, en 2013, plus de 90% des mots de passe générés par les utilisateurs, y compris ceux considérés comme forts par les services informatiques, seront vulnérables au hacking.

La faute aux utilisateurs et à leurs limites.

Sur 6 millions de mots de passe passés au crible, il en ressort que 10.000 suffisent pour accéder à 98,1% des comptes protégés par ces derniers.

Les utilisateurs tendent en effet à recourir très (trop) souvent aux mêmes

http://www.zdnet.fr/actualites/les-10-mots-de-passe-a-ne-surtout-jamais-employer-39711315.htm.

Et pas les plus solides.

D’après Deloitte, l’utilisateur moyen a 26 comptes protégés par mot de passe, mais seulement cinq mots de passe différents.

L’explication est simple : un individu ne peut généralement mémoriser que cinq mots de passe distincts.

En clair, la grande majorité des mots de passe sont les mêmes, y compris d’un utilisateur à un autre, et ceux-ci ouvrent l’accès à une multitude d’applications.

Une aubaine pour les pirates pour qui des attaques par dictionnaire suffisent pour les casser.

Mais les utilisateurs ont un autre fâcheux défaut : ils se bornent à n’utiliser que quelques caractères.

Si un clavier en compte 32, seulement une demi-douzaine d’entre eux se retrouve généralement dans les mots de passe selon Deloitte.

Taper un mot de passe sur mobile, c’est pénible 

Ce constat n’a cependant rien de neuf. 

Plusieurs études ces dernières années ont rappelé la faiblesse des mots de passe.

Pourquoi donc en faire le sujet d’une prédiction pour 2013 ?

Car selon Deloitte, deux autres facteurs, la technologie et le mobile, changent la donne.

Et pas dans le bon sens.

Le mobile d’abord.

Ces terminaux, de plus en plus tactiles, se développent rapidement.

Problème : les mots de passe définis depuis ces appareils sont moins sécurisés que depuis un PC, pour la simple raison qu’ils sont plus compliqués à taper.

Pour se simplifier la vie, les utilisateurs optent pour des mots de passe moins robustes.

Deuxième facteur : la technologie.

Le cabinet estime ainsi que les progrès dans le domaine du hardware rendent plus efficaces désormais les attaques de type « brute-force », c’est-à-dire exploiter de la puissance de calcul pour découvrir un mot de passe. .

Une machine assez puissante permettant de casser un mot de passe de 8 caractères en un peu moins de six heures coûtait 30.000 dollars en 2012 d’après Deloitte.

Mais pour le cabinet, plus besoin pour les pirates d’investir une telle somme.

La solution c’est désormais le calcul distribué appliqué au hacking, le crowd-hacking.

Des milliers d’ordinateurs connectés pour casser les mots de passe, et ce plus rapidement qu’avec une seule machine plus puissante.

Les botnets* et la loi de Moore** ne datent toutefois pas d’hier.

Un tel procédé n’est cependant pas à la portée du premier pirate venu.

Par ailleurs, des techniques bien plus simples permettent déjà de récupérer des mots de passe.

Et cela n’a rien d’une prédiction pour 2013, puisqu’il s’agit du phishing et du spear-phishing http://www.zdnet.fr/actualites/campagnes-de-phishing-ciblees-contre-gmail-hotmail-et-yahoo-mail-39761383.htm, bref de l’ingénierie sociale.

Christophe Auffray

http://www.zdnet.fr/

http://www.zdnet.fr/actualites/authentification-par-mot-de-passe-une-necrologie-39783060.htm

* Un botnet est un ensemble de bots informatiques qui sont reliés entre eux.

Un bot informatique est un agent logiciel automatique ou semi-automatique qui interagit avec des serveurs informatique.

Un bot se connecte et interagit avec le serveur comme un programme client utilisé par un humain, d’où le terme « bot », qui est la contraction de « robot ».

On les utilise principalement pour effectuer des tâches répétitives que l’automatisation permet d’effectuer rapidement.

Ils sont également utiles lorsque la rapidité d’action est un critère important, avec par exemple les robots de jeu ou les robots d’enchères, mais aussi pour simuler des réactions humaines, comme avec les bots de messagerie instantanée. (Source wikipédia)

** Les lois de Moore sont des lois empiriques qui ont trait à l’évolution de la puissance des ordinateurs et de la complexité du matériel informatique. (Source wikipédia).