Ces dernières années n’ont pas été les meilleures pour la sécurité de l’information. Les violations de données semblent faire la une des journaux un jour sur deux. Il n’est donc pas étonnant que des rapports soient régulièrement publiés concernant de graves faiblesses en matière de sécurité dans certaines des plus grandes entreprises technologiques du monde.
En 2019, deux géants de la technologie ont admis l’existence d’importantes failles de sécurité dans leurs systèmes. Facebook a reconnu avoir stocké des millions de mots de passe d’utilisateurs d’Instagram en texte brut. Quelques mois plus tard, Google a révélé la même chose à propos des utilisateurs de G Suite. Mais pourquoi est-ce si grave de conserver des mots de passe en texte brut ? Et comment devraient-ils être conservés ?
Si les mots de passe sont conservés en texte brut, toute personne ayant un accès interne peut les voir. Sans compter qu’en cas de violation de la base de données, les pirates informatiques ont également accès aux identifiants disponibles à la vue de tous. Par conséquent, toute entreprise qui respecte à minima les pratiques de sécurité de base ne conservera jamais vos mots de passe en texte brut.
Au contraire, votre mot de passe doit être converti en une chaîne de caractères compliquée à l’aide d’algorithmes de hachage de mots de passe. Ensuite, lorsque vous vous connectez à votre compte, le mot de passe haché est comparé à d’autres mots de passe hachés dans la base de données de l’entreprise. Si le hachage du mot de passe correspond, vous avez accès à votre compte.
Mais comment fonctionne le hachage exactement ? Le hachage est une fonction à sens unique qui permet de brouiller les données. Il transforme un texte lisible en une chaîne de caractères complètement différente d'une longueur déterminée.
Toutefois, contrairement aux autres algorithmes de chiffrement qui modifient les données, le hachage est presque impossible à inverser. Donc, si des hackers mettent la main sur une base de données où figurent des mots de passe hachés, le décodage du hachage est un effort futile. Malgré tout, il existe d'autres moyens pour les cybercriminels de trouver le mot de passe original.
Craquer le hachage
Le plus gros problème du hachage de mots de passe est que si l’on soumet un mot spécifique comme « vert » à un algorithme de hachage, le résultat du hachage pour ce mot sera toujours le même. Supposons que des cybercriminels s’emparent d’une base de données contenant des mots de passe hachés. Personne ne les empêche de deviner des millions de mots de passe et de les soumettre au même algorithme pour identifier à quoi correspond le hachage d’un mot spécifique.
De nos jours, les pirates informatiques ne se contentent plus de simples attaques par force brute. Ils ont désormais augmenté la sophistication de leur approche et emploient une stratégie plus furtive et plus sournoise connue sous le nom d’« attaque par dictionnaire ». Plutôt que d’essayer de deviner le mot de passe au hasard, ils s’appuient sur des combinaisons prévisibles et des mots fréquemment utilisés, comme « password123 », pour déchiffrer les mots de passe.
Certains pirates informatiques sont allés plus loin en utilisant une technique de pointe appelée « rainbow tables » (littéralement, tables arc-en-ciel). Il s’agit principalement de tables de valeurs de hachage précalculées pour les mots de passe et les combinaisons les plus couramment utilisés, ce qui leur permet de déchiffrer rapidement les hachages de mots de passe les plus complexes. C’est comme s’ils avaient une clé secrète et qu’ils l’utilisaient sans aucune hésitation.
Hachage fort contre hachage faible
C’est pourquoi il existe différents types de hachage. Par exemple, les algorithmes de hachage tels que SHA-1 et MD5 sont largement considérés comme dépassés et assez simples à craquer. Des algorithmes plus récents comme bcrypt et SHA2 sont plus sûrs, mais restent vulnérables à certains types d’attaques. Actuellement, l’algorithme recommandé pour le hachage des mots de passe est Argon2id, qui est conçu pour être gourmand en mémoire et coûteux en calcul, ce qui le rend très résistant aux types courants d’attaques par force brute. Il se peut qu’Argoin2id ne hache un mot de passe qu’à quelques reprises. Toutefois, en raison de la complexité de ses opérations, Argoin2id est considéré comme une option plus sûre que l’algorithme PBKDF2, qui exécute des milliers, voire des millions d’itérations de hachage simple. C’est pourquoi NordPass utilise Argoin2id pour hacher les données d’identification lorsque vous vous connectez : c’est l’un des algorithmes de hachage les plus sûrs qui existent.
Pour rendre le processus de hachage encore plus sûr, il y a l’assaisonnement, ou plus précisément « salts » et « peppers ». Les « sels » sont des chaînes de caractères aléatoires qui sont générées et ajoutées au mot de passe avant qu’il ne soit haché. L’objectif du salage est de rendre le processus de hachage plus complexe, ce qui, par extension, rend encore plus difficile pour les attaquants potentiels l’utilisation de Rainbow Tables ou de bases de données de hachage précalculées pour déchiffrer les mots de passe. Dans la plupart des cas, les « sels » sont stockés dans une base de données avec le mot de passe haché.
De même, le « poivre » est une valeur secrète qui est ajoutée au mot de passe avant le processus de hachage. Cependant, contrairement au « sel », le « poivre » est généralement codé en dur dans le système qui effectue le hachage du mot de passe, ce qui rend encore plus difficile le déchiffrage du mot de passe par des attaquants potentiels.
Limites des fonctions de hachage
Les fonctions de hachage présentent quelques limites, telles que les collisions de hachage. C’est le cas lorsque deux entrées différentes produisent le même résultat de hachage. Toutefois, la probabilité d’une collision est extrêmement faible dans la plupart des algorithmes de hachage, en particulier dans les fonctions actuelles, de sorte que cela ne devrait pas poser de problème majeur.
Conclusion
En conclusion, il n’est pas toujours possible de savoir si la fonction utilisée par votre fournisseur de services est forte, alors assurez-vous d’utiliser des mots de passe forts. Vous pouvez générer un mot de passe sécurisé avec le générateur de mots de passe NordPass. Cependant, comme le montrent les incidents de Google et de Facebook, il arrive que vos données d’identification soient affichées au grand jour en texte brut ; veillez donc à ne jamais dupliquer vos mots de passe. Nous savons qu’il est pratiquement impossible de se souvenir de tous ces mots de passe, c’est pourquoi vous pouvez toujours utiliser le gestionnaire de mots de passe NordPass.