Promo % Promo Promo de Noël Promo Promo % Promo Promo Promo de Noël Promo Promo % Promo Promo Promo de Noël

Qu’est-ce que le hachage de mot de passe ?

Lukas Grigas
Rédacteur en cybersécurité
cover password hashing

Ces dernières années n’ont pas été très bonnes pour la sécurité de l’information. Les fuites de données semblent faire les gros titres tous les deux jours. Il n’est donc pas étonnant que des rapports soient régulièrement publiés concernant de graves faiblesses de sécurité dans certaines des plus grandes entreprises technologiques du monde.

En 2019, deux géants de la technologie ont admis l’existence d’importantes failles de sécurité dans leurs systèmes. Facebook a reconnu avoir stocké des millions de mots de passe d’utilisateurs d’Instagram en texte brut. Quelques mois plus tard, Google a révélé la même chose à propos des utilisateurs de G Suite. Mais pourquoi est-ce si grave de conserver des mots de passe en texte brut ? Et comment devraient-ils être conservés ?

Si les mots de passe sont conservés en texte brut, toute personne ayant un accès interne peut les voir. Sans compter qu’en cas de piratage de la base de données, les pirates ont également accès aux identifiants disponibles à la vue de tous. Par conséquent, toute entreprise qui respecte à minima les pratiques de sécurité de base ne conservera jamais vos mots de passe en texte brut.

Au contraire, votre mot de passe est converti en une chaîne de caractères compliquée à l’aide d’algorithmes de hachage de mots de passe. Ensuite, lorsque vous vous connectez à votre compte, le mot de passe haché est comparé à d’autres mots de passe hachés dans la base de données de l’entreprise. Si le hachage du mot de passe correspond, vous avez accès à votre compte.

Mais comment fonctionne exactement le hachage ? Le hachage est une fonction à sens unique qui permet de brouiller les données. Il transforme un texte lisible en une chaîne de caractères complètement différente d’une longueur déterminée.

Toutefois, contrairement aux autres algorithmes de chiffrement qui modifient les données, le hachage est presque impossible à inverser. Donc, si des pirates mettent la main sur une base de données où figurent des mots de passe hachés, le décodage du hachage est impossible. Malgré tout, il existe d’autres moyens pour les cybercriminels de trouver le mot de passe original.

inner asset password hashing

Craquer le hachage

Le plus gros problème du hachage de mots de passe est que si l’on soumet un mot spécifique, par exemple « vert », à un algorithme de hachage, le résultat du hachage pour ce mot sera toujours le même. Supposons que des cybercriminels s’emparent d’une base de données contenant des mots de passe hachés. Personne ne les empêche de deviner des millions de mots de passe et de les soumettre au même algorithme pour identifier à quoi correspond le hachage d’un mot spécifique.

De nos jours, les pirates informatiques ne se contentent plus de simples attaques par force brute. Ils ont désormais augmenté la sophistication de leur approche et emploient une stratégie plus furtive et plus sournoise connue sous le nom d’« attaques par dictionnaire ». Plutôt que d’essayer de deviner le mot de passe au hasard, ils s’appuient sur des combinaisons prévisibles et des mots fréquemment utilisés, comme « password123 », pour déchiffrer les mots de passe.

Certains pirates informatiques sont allés plus loin en utilisant une technique de pointe appelée « rainbow tables » (littéralement, tables arc-en-ciel). Il s’agit de tables de valeurs de hachage précalculées pour les mots de passe et les combinaisons les plus couramment utilisés, ce qui permet de déchiffrer rapidement les hachages de mots de passe les plus complexes. C’est comme si les pirates avaient une clé secrète et qu’ils l’utilisaient sans aucune hésitation.

Le hachage fort comparé au hachage faible

C’est pourquoi il existe différents types de hachage. Par exemple, les algorithmes de hachage tels que SHA-1 et MD5 sont largement considérés comme dépassés et assez faciles à percer. Des algorithmes plus récents comme bcrypt et SHA2 sont plus sûrs, mais restent vulnérables à certains types d’attaques. De nos jours, l’algorithme recommandé pour le hachage des mots de passe est Argon2id, qui est conçu pour être gourmand en mémoire et coûteux en calcul, ce qui le rend très résistant aux types courants d’attaques par force brute. Il se peut qu’Argoin2id ne hache le mot de passe qu’à quelques reprises. Toutefois, en raison de la complexité de ses opérations, Argoin2id est considéré comme une option plus sûre que l’algorithme PBKDF2, qui exécute des milliers, voire des millions d’itérations de hachage simple. C’est pourquoi NordPass utilise Argoin2id pour hacher les données d’identification lorsque vous vous connectez : c’est l’un des algorithmes de hachage les plus sûrs qui existent.

Pour rendre le processus de hachage encore plus sûr, il y a l’assaisonnement, ou plus précisément le « sel » et le « poivre ». Le sel est constitué de chaînes de caractères aléatoires qui sont générées et ajoutées au mot de passe avant qu’il ne soit haché. L’objectif du salage est de rendre le processus de hachage plus complexe, ce qui, par extension, rend encore plus difficile pour les attaquants potentiels l’utilisation de Rainbow Tables ou de bases de données de hachage précalculées pour déchiffrer les mots de passe. Dans la plupart des cas, les « sels » sont stockés dans une base de données avec le mot de passe haché.

De même, le « poivre » est une valeur secrète qui est ajoutée au mot de passe avant le processus de hachage. Cependant, contrairement au « sel », le « poivre » est généralement codé en dur dans le système qui effectue le hachage du mot de passe, ce qui rend encore plus difficile le déchiffrage du mot de passe par des attaquants potentiels.

Limites des fonctions de hachage

Les fonctions de hachage présentent quelques limites, telles que les collisions de hachage. C’est le cas lorsque deux entrées différentes produisent le même résultat de hachage. Toutefois, la probabilité d’une collision dans la plupart des algorithmes de hachage est extrêmement faible, en particulier dans les fonctions actuelles, de sorte que cela ne devrait pas poser de problème majeur.

Conclusion

En conclusion, il n’est pas toujours possible de savoir si la fonction utilisée par votre fournisseur de services est forte, alors assurez-vous d’utiliser des mots de passe forts. Vous pouvez générer un mot de passe sécurisé avec le générateur de mots de passe. Cependant, comme le montrent les incidents de Google et de Facebook, il arrive que vos identifiants de connexion soient affichées au grand jour en texte brut ; veillez donc à ne jamais dupliquer vos mots de passe. Nous savons qu’il est pratiquement impossible de se souvenir de tous ces mots de passe, c’est pourquoi vous pouvez toujours utiliser le gestionnaire de mots de passe NordPass.

S’abonner aux actualités de NordPass

Recevez les dernières actualités et astuces de NordPass directement dans votre boîte de réception.