Avertir le modérateur

19/04/2019

Pour : un mot de passe simplifié (II)

Je veux aujourd'hui compléter un billet écrit il y a trois ans déjà à propos du mot de passe, de sa composition et surtout de sa vulnérabilité. A contre-courant de ce que je peux lire ici ou là je persiste à considérer qu'un mot de passe dit compliqué ne protège pas mieux qu'un mot de passe réputé facile à deviner. Je me propose ici d'argumenter cette idée. Commençons par la fin et explorons ensemble comment un hacker s'y prend pour pirater un mot de passe.
a) Il a installé sur l'ordinateur cible un de ces keyloggers, un logiciel qui scrute les frappes au clavier de la victime. En ce cas nous sommes bien obligé de déduire que la composition du mot de passe n'a aucune importance puisque le pirate va le découvrir instantanément.
b) Le pirate a récupéré la base de données des utilisateurs d'un site et avec un logiciel approprié il va tenter de décoder les mots de passe qui y sont stockés. Là aussi nous sommes finalement dans le même cas qu'en a), c'est-à-dire que la capacité du pirate à deviner un mot de passe n'a aucun rapport avec la complexité de ce dernier.
Il ne reste que c) et d), autrement dit la comparaison du mot de passe avec une liste et l'usage de la force brute.
Le cas c) - l'usage d'une liste - est ce que j'appelle du piratage d'opportunisme. Le pirate va essayer les uns après les autres les mots de passe habituellement les plus utilisés et espérer tomber sur le bon. Je dois avouer que j'ai du mal à concevoir que cette méthode soit réellement utilisée car elle est l'équivalent d'une attaque par déni de service, autrement dit d'une connexion directe au site visé suivi d'une suite d'essais de mots de passe tels que passwordadminuser_admin et autre 123456. On pourrait ici répliquer que dans les faits le pirate ne se connecte pas vraiment à la page d'accueil du site mais plutôt au serveur et que de là il "attaquerait" directement la base de données. Oui mais alors cela voudrait dire qu'ici le maillon faible est la sécurité du site et non pas la qualité du mot de passe.
Pour moi il ne reste plus que d), la force brute. Notre pirate va essayer - via un logiciel bien sûr - toutes les combinaisons possibles, une à une, en partant de aaaa et en allant jusqu'à zzzz. Là au moins il est sûr de trouver le mot de passe ; sauf que comme nous allons le voir le temps risque fort de lui manquer.
Nous en arrivons alors à la seconde partie de mon raisonnement, la constitution du mot de passe en lui-même. Imaginons la situation suivante : Je créé un compte sur un site internet et je dois pour cela définir un mot de passe. Je me décide alors pour "ridicule" ; oui, comme l'adjectif. Quels sont les risques pour moi d'être piraté avec un tel mot de passe ?
Des cas a), b) et c) déjà vus je dois surtout craindre c) car après tout "ridicule" est un mot du dictionnaire, un parmi 50 000 certes. Mais comme déjà dit plus haut je n'y crois pas un seul instant.
Par contre j'ai tout à craindre de la force brute car mon mot de passe se situe quelque part entre "aaaaaaaa" et "zzzzzzzz" et avec la méthode d) mon pirate passera forcément à un moment ou à un autre par "r-i-d-i-c-u-l-e". J'ai toutefois ici un allié de poids, les mathématiques combinatoires, car apprenez qu'il est possible de former 417 654 129 152 combinaisons différentes quand un mot de passe a 8 caractères de long. Avouez que c'est beaucoup... Et encore, comment le pirate peut t-il savoir que dans mon mot de passe il n'y a que des minuscules et aucun chiffre ni caractère spécial (tel que @ & _ ou *) ?
N'est-il pas au contraire contraint de présupposer leur présence dans mon mot de passe ? Dès lors ce n'est plus dans une liste de 26 caractères possibles qu'il devra chercher mais dans une liste de 62 caractères*. En effet si ça se trouve j'ai tapé "RiDiCUle" comme mot de passe ou encore "R*d@Cul_". Le seul indice facile dont dispose mon pirate c'est la taille du mot de passe, ici 8 caractères de long.
Mais comme je viens de l'écrire doit-il chercher parmi les seules minuscules, les minuscules et majuscules mélangées ou alors parmi une combinaison de chiffres et de lettres ? Faute d'éléments en sa possession il va devoir prendre en compte le plus grand dénominateur.
Ainsi, le mot de passe "ridicule" est en position 139 051 448 099 si on ne compte que sur les minuscules et en position 96 118 177 285 565 s'il faut prendre en compte chiffres et lettres.
En supposant que son logiciel soit capable d'explorer 40 000 combinaisons à la seconde - ce qui n'est déjà pas si mal** - il lui faudra 96 jours (24h/24 ...) avant d'arriver à mon "ridicule". Et encore ! Il lui faudra avoir parié que je n'utilisais que des minuscules dans mon mot de passe. Faute de ce renseignement il devra attendre 66 015 jours, autrement dit un peu plus de 180 années avant de pouvoir utiliser mon compte à mon insu***.
Dès lors permettez-moi de considérer que mon "ridicule" protège tout autant qu'un mot de passe réputé compliqué à pirater.
CQFD.

* Je dis 62 mais je ne compte pas les caractères spéciaux : 10 chiffres + 26 minuscules + 26 majuscules = 62 caractères différents. Ajoutons les caractères spéciaux et cela ferait 70.
** A la fin de la première seconde notre pirate n'en sera qu'à "aaaachel"...
*** Il est possible de me réclamer le détail complet de mon calcul, histoire de le vérifier et pourquoi pas ? de le contredire.

02/03/2019

Un prénom peut en cacher un autre

Le magazine Le Point publie cette semaine un article consacré au dernier livre de Jérôme Fourquet, "l'archipel français". Coïncidence, l'aspect le plus discuté du livre est celui relatif aux prénoms, sujet que j'ai déjà traité ici même mais sous un angle disons, plus léger.
Du coup - chose rare - le lecteur que je suis a les moyens de vérifier les calculs et assertions de l'analyste à l'IFOP et - chose curieuse - je n'arrive pas aux mêmes conclusions.
Première affirmation, "les enfants ayant un prénom arabo-musulman [représentent] 18% des naissances en 2016". Grâce au fichier de l'INSEE sur mon ordinateur je peux aisément vérifier cela. 18% des naissances en 2016 c'est en valeur absolue à peu près 135 000 personnes. Or, le premier prénom que l'on peut facilement qualifier "d'arabo-musulman" - Mohamed* - compte 2 383 naissances pour cette année-là. Quant au second, Rayan**, il a été donné à 1 837 garçons. Du coté des filles "arabo-musulmanes" c'est Yasmine qui arrive en tête avec 1 044 naissances en 2016. Mais tout cela mis bout à bout fait tout juste 5 000. Arriver à la conclusion que 18% des enfants ont un prénom "arabo-musulman" - c'est admettre que les 130 000 autres "arabo-musulmans" sont ventilés sur tous les autres prénoms, ce que j'avoue j'ai du mal à croire à la lecture du fichier de l'INSEE.
N'oublions pas que les 36 premiers prénoms suffisent pour nommer 18% des naissances. Il y a aussi un autre écueil auquel Jérôme Fourquet a du faire face et sur lequel il n'est pas interrogé : Dans quel fichier a t-il trouvé que tel prénom était "arabo-musulman" ? Ce n'est pas à lui que je vais apprendre qu'en 2016 il a été donné 11 849 prénoms différents. A un moment ou à un autre il a donc fallu qualifier d'arabo musulman ou de non-arabo musulman chacun de ces 11 849 prénoms. Autre interrogation "qui" décide que tel prénom est arabo-musulman et tel autre ne l'est pas ? Sur la base de quel critère ?

L'autre point concerne le prénom féminin "Marie", dont Jérôme Fourquet analyse la perte de vitesse comme étant "le symptôme d'une prise de distance progressive avec le catholicisme". Certes, mais cette affirmation ne tient pas chez les garçons, où c'est actuellement "Gabriel" qui est en tête, prénom on ne peut plus catholique puisque selon la Bible Gabriel est le messager de Dieu - rien que ça - celui qui annonce à Marie qu'elle va devenir la mère de Jésus.
Il va falloir ici me répondre que "Gabriel" n'est pas choisi pour ses racines chrétiennes mais pour des raisons sociologique. Oui mais alors tout se complique car d'un coté il n'y aurait aucune relation avec la religion quand on baptise 5 878 Gabriel en 2016 et insister au contraire sur le caractère quasi militant des 2 383 Mohamed*** ? Je dois avouer ne pas comprendre.

 

* Il a été question récemment - toujours à partir d'un fichier INSEE - que Mohamed est maintenant le premier prénom donné en Seine-Saint-Denis. Si je ventile mathématiquement les 2 383 "Mohamed" dans les 95 départements de la métropole j'arrive à 25 "arabo-musulmans" par département...
** J'insiste sur le caractère bien compliqué de qualifier "d'arabo-musulman" tel prénom et pas un autre.
*** Jérôme Fourquet ne s'étend pas sur l'écart de 1 à 3 entre le premier prénom "arabo-musulman" masculin et le premier prénom "arabo-musulman" féminin. Or il y a de quoi légitimement s'interroger sur ce paradoxe relatif. J'avancerais comme explication que le choix du prénom "arabo-musulman" est pris dans une liste bien plus étendue quand il s'agit d'une fille que quand il s'agit d'un garçon. 

15/12/2018

Mon petit exercice de pensée et mes réponses.

Nous considérons que la circonférence de la Terre à l'équateur est de 40 000 km.

Soit une route rectiligne tracée exactement suivant le plan de l'équateur et un trait T en travers de cette route servant de repère.
Soit deux robots R1 et R2. Le robot R1 est orienté vers l'Est - donc dans le sens de la rotation de la Terre - alors que le robot R2 est orienté lui vers l'Ouest et par conséquent en sens inverse de la rotation de la Terre.
Soit encore 3 horloges aussi précises que nécessaire : une horloge H1 embarquée avec le robot R1, une horloge H2 embarquée avec le robot R2 et une horloge H3 positionnée au niveau du trait T.
Nous lançons les deux robots en même temps, au jour J1 à midi, à une vitesse identique, uniforme et constante de 25 mètres par seconde.

Questions :

a) Combien de temps faudra t-il au premier des deux robots pour revenir au trait T après avoir fait le tour de la Terre ?

Réponse : 25 mètres par seconde représente 90 kilomètres par heure. Comme il y a 444,44 "tranches" de 90 km dans les 40 000 km de la circonférence de la Terre, Il faut 444,44 heures pour faire le trajet soit 18 jours 12 heures 26 minutes et 40 secondes, à une seconde près.

b) Est-ce qu'un robot arrive avant l'autre robot ? Si oui lequel ?

Réponse : Les deux robots arrivent en même temps au trait T car le fait d'aller dans le sens de la rotation de la Terre ou dans le sens inverse de la rotation de la Terre n'influe pas sur la vitesse absolue des robots.

c) Quels sont les temps affichés par les différentes horloges H1, H2 et H3 au moment de l'arrivée du premier robot au trait T ?

Réponse : Pour l'horloge H3 (celle restée au point T) le temps affiché est de 18 jours, 12 heures 26 minutes et 40 secondes.
Pour l'horloge H2 (embarquée avec le robot h2) le temps affiché est d'exactement un jour de plus que H3 (19 jours, etc.)
Pour l'horloge H1 (embarquée avec le robot h1)le temps affiché est d'exactement un jour de moins que H3. (17 jours, etc.)


Je remercie au passage Jules Verne qui m'a inspiré cet exercice.

11/12/2018

Ecrire "De la Terre à la Lune" de nos jours ? Impossible !

"De la Terre à la Lune" est un roman assez célèbre pour ne pas avoir besoin ici d'en raconter l'histoire. A force de le relire j'en ai je crois une connaissance assez fine, ce qui m'a amené à me dire que si ce que Jules Verne a imaginé se passait à notre époque le boulet ne serait pas près de partir pour la Lune.
Pour commencer l'implantation de la Columbiad* à Stone's Hill aurait fait l'objet de nombreux recours auprès des juridictions compétentes, par les séminoles d'abord pour cause d'occupation illégale d'une terre qui leur appartient, par les habitants de Tampa Town ensuite pour cause de trouble manifeste à l'ordre public et enfin par les écologistes de tout le pays pour cause de destruction de l'environnement. Ce coin de Floride serait vite devenu une ZAD, à n'en pas douter.
Pour continuer dans la même veine nul doute que la maison Goldspring - pour toute honorable qu'elle soit - aurait rogné au maximum sur la qualité des matériaux et les nombreuses non-conformités avec le cahier des charges initial auraient rendu l'expérience bien plus dangereuse que ce que Jules Verne le voulait. Il est tout aussi évident que l'entreprise aurait fait appel à de la sous-traitance mal payée au lieu de recruter "l'élite des mécaniciens, des chauffeurs, des fondeurs, des chaufourniers, des mineurs, des briquetiers, et des manoeuvres de tout genre (...)."
Ensuite, comment le président du Gun-Club pourrait rester insensible à l'incroyable succès du "crowfunding" qu'il a lui-même lancé ? Une investigation poussée conduirait certainement à conclure a un détournement de fonds manifeste.
Je pourrais aussi ajouter à ce tableau déjà bien sombre la bronca des défenseurs des animaux face à l'expérience consistant à enfermer ensemble un chat et un écureuil dans un boulet de canon avant de lancer le tout à la mer.
Enfin, contrairement à ce qu'a scénarisé Jules Verne le capitaine Nicholl aurait trouvé un soutien populaire indéniable** dans sa volonté de décrédibiliser cette "petite expérience".
Tout ça pour vous dire que c'est une preuve - s'il en fallait encore - que les temps ont bien changé depuis Jules Verne...

* Je me dois de rappeler que c'est la NASA qui s'est inspiré du roman de Jules Verne pour baptiser sa première navette spatiale Columbiad. Pour ma part je l'ai toujours regretté, préfèrant de loin voir attribuer un nom original et non pas copié.
** Dans le roman le Capitaine Nicholl a certes le soutien de journaux mais à aucun moment il n'est question d'un quelconque soutien populaire.

22:53 Publié dans Actu | Lien permanent | Commentaires (0) | Tags : terre, lune, verne, roman

02/12/2018

Tout ce que je veux savoir sur le Bitcoin mais que je n'ai encore jamais oser demander.

Arrivée recemment, le Bitcoin fait de plus en plus souvent parler de lui ; ainsi les buralistes pourront en vendre dès le 1er Janvier prochain. En vendre ? Voire, car dans les faits il s'agira seulement d'un "droit à acheter du Bitcoin" ce qui vous en conviendrez n'est pas précisément la même chose. Mais tout le monde est-il au même niveau de connaissance vis-à-vis du Bitcoin ? Sans doute pas et moi le premier, c'est pourquoi j'ai décidé de lister ici toutes mes incompréhensions et mes ignorances sur le sujet.

a) De ce que j'ai compris le Bitcoin est indissociable de la Blockchain auquel il appartient. Dès lors je ne comprends pas comment une transaction peut être à la fois sécurisée quand j'achète du Bitcoin en toute légalité et garantir mon anonymat quand je suis un pirate informatique spécialisé dans le Ransomware, pour lequel donc je me fais payer en Bitcoins.

b) Existe t-il en France un organisme officiel qui achète - et non pas qui vend - du Bitcoin ? Imaginons un instant que je sois possesseur d'un Bitcoin : dans quel établissement puis-je me rendre pour le vendre contre des Euros ? Attention je ne parle pas ici de plateforme d'échanges sur Internet entre particuliers mais d'une vente physique, au guichet. Car à ma connaissance il n'y en a pas.

c) Comment fait-on pour voler des Bitcoins ? J'avoue n'avoir toujours pas compris le mode opératoire. Quand on est un particulier et qu'on achète du Bitcoin ce dernier est fatalement stocké dans un "wallet" - un portefeuille virtuel - puisque la monnaie l'est tout autant. Alors est-ce que les pirates prennent le contrôle de ce "wallet" ? Si oui c'est que nous sommes face à une technique de piratage somme toute classique, en tout cas pas plus différente ni plus complexe que par exemple la prise en mains d'un compte Facebook.

c bis) Au moment du vol existe t-il une interaction quelconque avec la Blockchain ? Selon ma question a) toute transaction portant sur un Bitcoin est inscrite dans la Blockchain. Cela voudrait dire qu'en cas de vol ce dernier est aussi inscrit dedans, ce qui est à tout le moins paradoxal. Du coup je ne comprends toujours pas l'intérêt du vol de Bitcoin. Les Bitcoins volés changeraient donc de propriétaires sans que pour autant ce soit inscrit dans la BlockChain ? Il y a là quelque chose qui m'échappe. Du coup le blanchiment de Bitcoins deviendrait possible puisque je pourrais acheter un Bitcoin sans savoir qu'il provient d'un "wallet" volé. J'avoue que je m'y perds.

d) Admettons que je décide d'acheter un Bitcoin : Est-ce que j'achèterai un Bitcoin indifférencié ou bien est-ce que j'achèterai le Bitcoin numéroté y dont je deviendrai le propriétaire sur la foi de la Blockchain ?

e) Il existe des machines automatiques (ATM) de distribution de Bitcoins. Comment fonctionnent-elles ? Comment la transaction est-elle enregistrée ? Qui décide du taux de change auquel l'achat se fait ? Au vu de la volatilité du Bitcoin, ce taux doit changer toutes les heures ou presque ...

f) Finalement le Bitcoin ne contient-il pas en lui-même sa propre perte ? Par définition un Bitcoin "perdu" ne peut plus être reconstitué. Alors même si le terme est lointain il est logique d'imaginer que plus le temps passera et moins il y aura de Bitcoins en circulation...

 
Toute l'info avec 20minutes.fr, l'actualité en temps réel Toute l'info avec 20minutes.fr : l'actualité en temps réel | tout le sport : analyses, résultats et matchs en direct
high-tech | arts & stars : toute l'actu people | l'actu en images | La une des lecteurs : votre blog fait l'actu