Avertir le modérateur

19/04/2019

Pour : un mot de passe simplifié (II)

Je veux aujourd'hui compléter un billet écrit il y a trois ans déjà à propos du mot de passe, de sa composition et surtout de sa vulnérabilité. A contre-courant de ce que je peux lire ici ou là je persiste à considérer qu'un mot de passe dit compliqué ne protège pas mieux qu'un mot de passe réputé facile à deviner. Je me propose ici d'argumenter cette idée. Commençons par la fin et explorons ensemble comment un hacker s'y prend pour pirater un mot de passe.
a) Il a installé sur l'ordinateur cible un de ces keyloggers, un logiciel qui scrute les frappes au clavier de la victime. En ce cas nous sommes bien obligé de déduire que la composition du mot de passe n'a aucune importance puisque le pirate va le découvrir instantanément.
b) Le pirate a récupéré la base de données des utilisateurs d'un site et avec un logiciel approprié il va tenter de décoder les mots de passe qui y sont stockés. Là aussi nous sommes finalement dans le même cas qu'en a), c'est-à-dire que la capacité du pirate à deviner un mot de passe n'a aucun rapport avec la complexité de ce dernier.
Il ne reste que c) et d), autrement dit la comparaison du mot de passe avec une liste et l'usage de la force brute.
Le cas c) - l'usage d'une liste - est ce que j'appelle du piratage d'opportunisme. Le pirate va essayer les uns après les autres les mots de passe habituellement les plus utilisés et espérer tomber sur le bon. Je dois avouer que j'ai du mal à concevoir que cette méthode soit réellement utilisée car elle est l'équivalent d'une attaque par déni de service, autrement dit d'une connexion directe au site visé suivi d'une suite d'essais de mots de passe tels que passwordadminuser_admin et autre 123456. On pourrait ici répliquer que dans les faits le pirate ne se connecte pas vraiment à la page d'accueil du site mais plutôt au serveur et que de là il "attaquerait" directement la base de données. Oui mais alors cela voudrait dire qu'ici le maillon faible est la sécurité du site et non pas la qualité du mot de passe.
Pour moi il ne reste plus que d), la force brute. Notre pirate va essayer - via un logiciel bien sûr - toutes les combinaisons possibles, une à une, en partant de aaaa et en allant jusqu'à zzzz. Là au moins il est sûr de trouver le mot de passe ; sauf que comme nous allons le voir le temps risque fort de lui manquer.
Nous en arrivons alors à la seconde partie de mon raisonnement, la constitution du mot de passe en lui-même. Imaginons la situation suivante : Je créé un compte sur un site internet et je dois pour cela définir un mot de passe. Je me décide alors pour "ridicule" ; oui, comme l'adjectif. Quels sont les risques pour moi d'être piraté avec un tel mot de passe ?
Des cas a), b) et c) déjà vus je dois surtout craindre c) car après tout "ridicule" est un mot du dictionnaire, un parmi 50 000 certes. Mais comme déjà dit plus haut je n'y crois pas un seul instant.
Par contre j'ai tout à craindre de la force brute car mon mot de passe se situe quelque part entre "aaaaaaaa" et "zzzzzzzz" et avec la méthode d) mon pirate passera forcément à un moment ou à un autre par "r-i-d-i-c-u-l-e". J'ai toutefois ici un allié de poids, les mathématiques combinatoires, car apprenez qu'il est possible de former 417 654 129 152 combinaisons différentes quand un mot de passe a 8 caractères de long. Avouez que c'est beaucoup... Et encore, comment le pirate peut t-il savoir que dans mon mot de passe il n'y a que des minuscules et aucun chiffre ni caractère spécial (tel que @ & _ ou *) ?
N'est-il pas au contraire contraint de présupposer leur présence dans mon mot de passe ? Dès lors ce n'est plus dans une liste de 26 caractères possibles qu'il devra chercher mais dans une liste de 62 caractères*. En effet si ça se trouve j'ai tapé "RiDiCUle" comme mot de passe ou encore "R*d@Cul_". Le seul indice facile dont dispose mon pirate c'est la taille du mot de passe, ici 8 caractères de long.
Mais comme je viens de l'écrire doit-il chercher parmi les seules minuscules, les minuscules et majuscules mélangées ou alors parmi une combinaison de chiffres et de lettres ? Faute d'éléments en sa possession il va devoir prendre en compte le plus grand dénominateur.
Ainsi, le mot de passe "ridicule" est en position 139 051 448 099 si on ne compte que sur les minuscules et en position 96 118 177 285 565 s'il faut prendre en compte chiffres et lettres.
En supposant que son logiciel soit capable d'explorer 40 000 combinaisons à la seconde - ce qui n'est déjà pas si mal** - il lui faudra 96 jours (24h/24 ...) avant d'arriver à mon "ridicule". Et encore ! Il lui faudra avoir parié que je n'utilisais que des minuscules dans mon mot de passe. Faute de ce renseignement il devra attendre 66 015 jours, autrement dit un peu plus de 180 années avant de pouvoir utiliser mon compte à mon insu***.
Dès lors permettez-moi de considérer que mon "ridicule" protège tout autant qu'un mot de passe réputé compliqué à pirater.
CQFD.

* Je dis 62 mais je ne compte pas les caractères spéciaux : 10 chiffres + 26 minuscules + 26 majuscules = 62 caractères différents. Ajoutons les caractères spéciaux et cela ferait 70.
** A la fin de la première seconde notre pirate n'en sera qu'à "aaaachel"...
*** Il est possible de me réclamer le détail complet de mon calcul, histoire de le vérifier et pourquoi pas ? de le contredire.

20/11/2016

Pour : un mot de passe simplifié

On nous le répète pourtant jamais assez, quel que soit le site internet sur lequel nous avons un compte il faut un mot de passe complexe. Au risque de paraître à contre-courant je considère que c'est là une précaution inutile* et que "123456" nous protège tout autant - ou aussi peu - que par exemple "azr**ei59hJiF".
Pourquoi j'affirme cela ? Tout simplement parce que la technique "brutale" consistant à essayer un mot de passe jusqu'à ce que ça marche est une technique qui n'existe pas. Les pirates ont autre chose à faire que de tester au clavier "12345" , "password" ou autre "admin_user".
Dans les faits les hackers - dont je ne nie pas l'existence, bien au contraire - volent la base de données contenant votre login et votre mot de passe et cherchent ensuite à "casser" la base dans son ensemble, autrement dit à la décrypter, la décoder. Et à ce stade peu importe que votre mot de passe soit complexe ou pas car l'algorithme qui va le "deviner" n'est pas construit selon un système de force brute, essayer tous les codes possibles et imaginables jusqu'à tomber sur le bon.
Prenons maintenant un raisonnement inverse et imaginons que vous allez pour la première fois sur un site internet et qu'à l'inscription vous entrez votre e-mail en guise de compte utilisateur et "12345" comme mot de passe. Quels sont les risques ?
Primo, vous avez sans le savoir un "key-logger" dans votre ordinateur, un logiciel espion qui va scruter vos frappes clavier. En ce cas peu importe la complexité du mot de passe que vous venez d'entrer puisque c'est la saisie même qui est en cause.
Deuxio, un pirate essaie de se connecter à votre place sur le site en question. Il faut pour cela déjà supposer qu'il a auparavant "volé" votre adresse e-mail ou pourquoi pas l'essayer au hasard (jean.dupont@gmail.com va sûrement se reconnaître ... ).
Mais même ainsi notre pirate n'a pas d'indices, pas plus sur votre mot de passe que sur les sites sur lesquels vous êtes inscrits. On peut ici argumenter que l'utilisation du lien "mot de passe oublié" est un maillon faible dans la protection. Mais si un pirate utilise cette solution, il devra pour réussir avoir déjà piraté l'accès à vos messages e-mail. Sans compter que de toute façon le site concerné renvoit sur une page de ré-initialisation du mot de passe, ce qui implique que le pirate entre son propre mot de passe avec votre compte et que par conséquent il ne connaîtra toujours pas le mot de passe que vous aviez utilisé....
C'est pour toutes ces raisons que je considère qu'un mot de passe compliqué à deviner n'apporte aucune protection supplémentaire par rapport à un mot de passe simple à deviner.

* Oui, j'adore Beaumarchais.

05/08/2016

Pour : la reconnaissance des échecs comme discipline olympique.

La devise des Jeux Olympique est presque aussi célèbre que son drapeau : "Citius, Altius, Fortius". Plus vite, plus haut, plus fort.
Je veux pourtant prendre ce propos à rebours en vous invitant à rechercher parmi les disciplines olympiques celle qui fait le moins appel aux valeurs de cette devise. Pour ma part je considère que c'est le tir au pistolet à 10 mètres qui nécessite le moins d'utiliser sa force physique pour triompher.
Partant de ce constat comparons ce sport avec un autre qui a priori n'en est pas un, en l'occurence le jeu d'échecs*. Ce dernier avait fait l'objet (dans un anonymat quasi complet certes) d'une démonstration aux J.O. de Sydney en 2000 et la FIDE - Fédération Internationale des Echecs - avait déposé une demande de reconnaissance auprès du CIO, restée sans suite depuis.
Mais à la réflexion en quoi le tir au pistolet à 10 mètres serait t-il plus sportif que les échecs ? On ne peut tout de même pas sérieusement arguer que l'un est plus physique que l'autre et que l'écart est tel qu'il permet d'inscrire l'un et pas l'autre. On ne pourra qu'aller sur le terrain de la "concentration", de la "préparation mentale" voire de la "résistance au stress", bref que des qualités que ne renierait pas un hypothétique champion olympique du jeu des rois.
Alors à quand une médaille olympique aux échecs** ? Très vite j'espère, surtout que nous tenons avec notre actuel n°1 français un prétendant à la plus haute marche du podium ...

* Les échecs ont été reconnu comme fédération sportive en Juin 2000, ce qui d'un point de vue formel autorise à dire que c'est un sport.
** Il n'est pas inutile de rappeler que les échecs ont déjà leur Olympiade, un tournoi par équipe nationale organisée tous les 4 ans - l'année des J.O. - avec pour seules récompenses des médailles en or, en argent et en bronze...

17:59 Publié dans Pour | Lien permanent | Commentaires (0)

21/12/2013

Pour un juste prix du livre numérique (II)

Le livre de poche a eu 60 ans et se porte bien. Mais au moment où le e-book prend enfin son envol il est temps de s'interroger sur le modèle économique qui se met en place. Je n'ai de cesse de dénoncer sur ce blog le prix exhorbitant du e-book, et je continuerai de le faire tant que ce sera nécessaire. Mais revenons un instant sur le livre de poche. S'il a été inventé c'était pour deux raisons : Primo offrir un format unique au livre - alors qu'il variait d'un éditeur à un autre - et secundo réduire au maximum le coût afin d'offrir le meilleur prix possible au lecteur. La contrepartie étant bien sûr un décalage entre la date de sortie du livre chez l'éditeur et sa publication en poche. Mais reconnaissez que l'écart de prix (près de 50%) entre les deux versions est justifiée.
Aujourd'hui aucun éditeur - je dis bien aucun - ne propose d'e-book à 50% du prix papier(*). Le plus gros écart que j'ai vu est de tout juste 20%. Pire encore, la plupart du temps le e-book est vendu au même prix que la version papier, preuve par l'absurde qu'un des deux est vendu beaucoup trop cher. Je défends ici l'e-book à 4 Euros selon le détail suivant : 1 Euro pour l'éditeur, 1 Euro pour la plateforme de vente et 2 Euros pour l'auteur au titre du droit d'auteur. Je pense que c'est là le prix idéal du e-book. Je vais même aller plus loin : Le droit actuel m'interdit de monter une telle plateforme quand bien même pour chaque exemplaire vendu du dernier Mussau ou du dernier Marc Levy je reversais 1€ à l'éditeur et 2 à l'auteur. Or je pense être fiable économiquement en ne prenant qu'1€ par achat effectué.
Ce que je veux démontrer c'est que tel qu'il est construit, le modèle économique actuel ne permet pas l'invention du 'e-book de poche', ce qui est bien regrettable.

(*) La meilleure performance revient au Journal Officiel, publication austère s'il en est. Alors que l'abonnement "papier" coûte 132€ l'an la consultation au jour le jour de la version numérique est totalement gratuite.

15:19 Publié dans Pour | Lien permanent | Commentaires (0) | Tags : livre, livre numérique, e-book

02/12/2011

Pour un juste prix du livre numérique

A quelques semaines de Noël je ne trouve pas inutile de rappeler ici ma position sur le livre numérique en général et sur son prix en particulier. J'ai déjà eu l'occasion de le dire, le concept de livre numérique est une belle idée et l'usage que j'en fais me conforte chaque jour davantage dans cette opinion. Néanmoins je persiste à dire que le consommateur est le premier lésé dans cette affaire.

En effet le prix de revient d'un livre numérique - je parle là de son coût de fabrication ex-nihilo - est quasiment nul, et de plus inversement proportionnel au chiffre des ventes. Dit autrement plus un livre numérique se vend et moins il devrait coûter cher à acheter. Il n'existe pas de retirage dans l'édition numérique, pas de réassort à organiser. Une fois le premier exemplaire validé, tous les autres ne sont rien d'autre qu'un banal "copier-coller". Bref j'estime que cette étape ne revient pas à plus d'1 Euro l'exemplaire et encore suis-je sans doute encore assez cher.

Autre source de coût, la marge de la plateforme. Ici ce n'est qu'un aspect commercial et même avec une marge déjà conséquente de 100%, cela ajoute un autre Euro au prix de notre livre.

Reste alors le droit d'auteur. Je l'ai déjà dit, le droit d'auteur devrait être le même quel que soit le support, numérique ou papier. Je ne suis pas spécialiste de la question mais j'imagine qu'un auteur touche environ 2 euros par exemplaire vendu(1). C'est donc cette valeur que je prends pour ma démonstration. Au bout du compte vous voyez comme moi que le livre numérique ne devrait jamais coûter plus de 4 euros, or ce n'est (presque) jamais le cas...

On m'opposera certainement que l'intérêt du livre numérique réside dans son enrichissement par rapport à la version papier : liens hypertexte, "bonus", dictionnaire ou que sais-je d'autre encore. Mais si d'un coté je ne suis pas convaincu que ces ajouts justifient le faible écart de prix qu'on rencontre en ce moment entre les versions papier et numérique, d'un autre coté je suis étonné(2) qu'il n'existe pas à la vente de version numérique "low cost" proposé au consommateur, sans lien, sans dico, sans artifice, une sorte de "livre de poche numérique" qui au bout du compte ne serait rien d'autre que ce qu'on trouve en papier(3).

Alors quoi ? La récente loi sur le prix unique du livre numérique est à mes yeux un non-sens et un piège pour le consommateur qui sans vraiment en avoir conscience paye 200, 300 ou même 400% de plus que ce qu'il ne devrait(4). N'oublions pas que nous vivons en ce moment un paradoxe qui voit arriver sur ce marché des versions numériques de romans plus chers que leur version papier(5).

(1) A la réflexion cette estimation me semble bien optimiste. Mais il n'en demeure pas moins que je ne suis pas choqué d'imaginer payer un roman numérique 4 Euros et savoir que deux iront dans les poches de l'auteur.
(2) Je devrais plutôt écrire "indigné" mais je répugne maintenant à utiliser ce mot...
(3) N'oublions pas qu'au départ le but du livre numérique est d'être lu, un truisme que je ne trouve pas inutile de rappeler. 
(4) Je fais volontairement abstraction des ouvrages scientifiques, qui je veux bien le concéder ont un coût de fabrication plus élevé. Hélas ils servent aussi d'alibis fort opportuns pour justifier le fait qu'il ne devrait exister qu'une faible différence de prix entre papier et numérique.
(5) On voit aussi se développer la vente de "classiques" tombés dans le domaine public et qui par conséquent devraient être gratuits. Je signale à ce titre les sites Feedbooks ou Projet Gutenberg qui proposent de tels ouvrages sans bourse délier.

 
Toute l'info avec 20minutes.fr, l'actualité en temps réel Toute l'info avec 20minutes.fr : l'actualité en temps réel | tout le sport : analyses, résultats et matchs en direct
high-tech | arts & stars : toute l'actu people | l'actu en images | La une des lecteurs : votre blog fait l'actu