> Le Site du Zéro - Informatique > Cours > Articles > Divers > Sensibilisation sur le choix d'un mot de passe > Lecture du tutoriel

Sensibilisation sur le choix d'un mot de passe

Par

Aerhus

Mise à jour : 02/11/2009

Difficulté : Facile Facile

73 visites depuis 7 jours, classé 621/795

Il existe un tas d'articles sur Internet qui traitent du choix d'un bon mot de passe. Ce qui m'a toujours gêné dans le contenu de ces articles, c'est le manque d'exemples. En effet, bien souvent, les auteurs se contentent de dire par exemple « il faut choisir un mot de passe d'au moins 8 lettres » sans dire pourquoi. Personnellement, ce type d'article ne m'a jamais fait changer mon mot de passe et je pense que c'est le cas de bon nombre de personnes.

De par ma curiosité, je me suis lancé dans un système de force brute. En étudiant les différentes façons de trouver un mot de passe, j'ai réellement été surpris de voir à quel point il peut être facile de trouver celui d'une personne.

Dans cet article, je vais principalement expliquer comment fonctionne la méthode par force brute afin de vous sensibiliser sur le choix de votre mot de passe.

Retour en haut

Sommaire du tutoriel :

Méthode par force brute
Conclusion

Retour en haut

Méthode par force brute

J'ai choisi de présenter cette méthode car c'est principalement à cause de celle-ci qu'il faut choisir un bon mot de passe : je vais vous montrer à quel point il peut être facile de récupérer un mot de passe « simple ».
Une attaque par force brute consiste simplement à essayer un ensemble de mots de passe pour vérifier si l'un d'eux fonctionne. Il existe 3 types d'attaque par force brute :

génération de tous les mots de passe possibles ;
dictionnaire ;
dictionnaire hybride.

Je vais vous les détailler, mais avant toute chose je vais vous présenter un pirate fictif qui se nomme Bob Le Pirate (ne me demandez pas pourquoi). Celui-ci va tester la méthode par force brute tout au long de l'article, et on commentera ses résultats.

Génération de tous les mots de passe possibles

Cette attaque consiste à générer tous les mots de passe possibles. Le générateur essaiera toutes les combinaisons possibles de l'alphabet en minuscules et en majuscules, qui peuvent aussi être combinées avec des chiffres (ou encore avec des caractères spéciaux tels que $ ou #). Théoriquement, aucun mot de passe ne pourrait rester caché face à ce type d'attaque car toutes les combinaisons seront essayées. En pratique, on rencontre un problème. D'ailleurs, Bob Le Pirate a fait des tests et nous a dressé un tableau.

Voici donc quelques chiffres qui parlent d'eux-mêmes :

Quelques chiffres illustrant l'attaque par Force Brute
Type de caractère	Nombre de caractères	MDP à 4 caractères	MDP à 6 caractères	MDP à 8 caractères
L'alphabet minuscules (français)	26	456 976	~310 millions	~209 milliards
L'alphabet minuscules et chiffres	36	1 679 616	~2 milliards	~2800 milliards
L'alphabet minuscules, majuscules et chiffres	62	14 776 336	~57 milliards	~218 mille milliards

Je pense que vous avez compris à quoi correspondent les 2 premières colonnes. Les 3 dernières colonnes quant à elles correspondent au nombre d'essais qu'il est possible de faire (le maximum). Le nombre d'essais augmente exponentiellement et donc devient vite énorme. C'est le point faible de cette attaque : elle peut devenir très très longue. :euh:

Pour essayer de trouver un mot de passe sur un ordinateur, cela peut prendre beaucoup de temps, voire trop de temps si le mot de passe est bien choisi (ça dépend de la puissance du processeur utilisé et de la connexion si l'attaque s'effectue à distance). Mais imaginez, pour lancer cette attaque sur un site web par exemple, en admettant que chaque tentative dure 0.2 secondes (le temps de la connexion) et qu'on essaie de trouver un mot de passe à 6 caractères ne contenant que des minuscules et des chiffres (36 caractères possibles), il faudrait environ 13 ans pour essayer toutes les combinaisons possibles ! Et encore, là on sait que le mot de passe contient "juste" des minuscules et des chiffres et qu'il fait 6 caractères, mais si on ne sait pas… Il faut essayer minuscules, majuscules, chiffres, caractères spéciaux, le tout avec un nombre de caractères différent(s) (4 caractères, puis 5, puis 6, …). o_O

Bref, c'est infernal et Bob Le Pirate ne s'en sort plus. C'est alors que notre pirate, qui ne manque pas d'idées, a trouvé un moyen pour diminuer considérablement le temps : le dictionnaire.

On retiendra que pour contrer ce type d'attaque, il y a 2 choses :

le mot de passe doit contenir un grand nombre de caractères (on conseille toujours au moins 8 caractères).
Il doit contenir plusieurs « types » de caractères (minuscules, majuscules, chiffres et caractères spéciaux).

Force brute par dictionnaire

L'attaque précédente consistait en une génération de tous les mots de passe possibles. L'attaque par dictionnaire va utiliser un dictionnaire de mots, c'est-à-dire un fichier qui contient beaucoup de mots tels que « mouchoir » ou « maxime ». Cela permet au pirate de n'essayer que des mots de passe qui ont un sens : eh oui, des études montrent que beaucoup de gens utilisent des mots communs pour leurs mots de passe.

Quand je parle de mots communs, je regroupe également les noms propres.

Citation : Burçin Gerçek

Une autre étude, menée cette fois-ci par l'université de Hertfordshire en Grande Bretagne, donne des résultats inquiétants : 47 % des utilisateurs choisissent le prénom d'un membre de leur famille, le nom de leur animal ou leur date de naissance comme mot de passe. 32 % préfèrent les stars du showbiz, 11 % des mots à connotation sexuelle. Or, tous ces mots sont recensés par les logiciels de craquage. Un pirate les tentera en premier lieu pour s'introduire dans votre système informatique.

source (au passage, c'est un article intéressant qui traite du même sujet)

Il y a donc de grandes chances pour que votre mot de passe (s'il s'agit d'un mot commun) soit recensé dans les dictionnaires des pirates.

À titre de comparaison, le Petit Robert contient environ 60 000 mots (et donc autant de tentatives). Cela vous donne une petite idée du temps gagné par rapport à l'ancienne méthode (pour le chiffre, il suffirait de 3 heures et 20 minutes avec 0.2 secondes par tentative pour tester les 60 000 mots).

Cependant, notre petit Bob s'est rendu compte qu'un certain nombre de mots de passe rajoutent des chiffres en plus (comme « maxime78 ») ou encore qu'ils associent plusieurs mots (par exemple « maximedu78 »). Pour pallier ce problème, il utilise une attaque hybride.

On ne va donc retenir qu'une chose pour cette attaque :

le mot de passe ne doit pas être un mot commun.

Force brute hybride

Ce type d'attaque n'est qu'une sorte d'amélioration de la précédente attaque. Elle va combiner plusieurs mots d'un dictionnaire ou encore ajouter des chiffres à celui-ci, ce qui permet de recouvrir un plus grand nombre de mots de passe potentiels. Pour reprendre l'exemple précédent, cela pourrait permettre de retrouver un mot de passe du type « maximedu78 ». Avec cette attaque, en supposant que notre Bob possède un excellent dictionnaire et que le mot de passe ne soit composé que de mots communs (avec des chiffres ou pas), même s'il doit mettre plus de temps, il finira par trouver le mot de passe.

Pas grand-chose à dire de plus sur cette attaque, donc :

Le mot de passe ne doit pas être composé que de mots communs (+chiffres).

Finalement, après avoir laissé tourner son ordinateur pendant 7 jours, Bob Le Pirate n'a pas réussi à trouver le mot de passe et il sait qu'il ne lui reste que 2 options : soit il attend des années en essayant absolument toutes les combinaisons possibles sur le site en question (premier type d'attaque qu'on a vu), soit il abandonne.

Et comme c'est une feignasse, il abandonne.

(Il faut savoir qu'un pirate, s'il est assez fort, arrive toujours à ses fins mais cela peut prendre du temps et donc on essaie de lui barrer la route le plus possible pour qu'il finisse par abandonner.)

J'aimerais dire une dernière chose sur les chiffres donnés sur la durée de chaque attaque : ce n'est qu'à titre d'information. En effet, cela peut être largement variable (selon si l'attaque se fait par Internet ou pas). Il y a beaucoup de facteurs à prendre en compte. De plus, je pense qu'il est possible de diviser le temps en faisant plusieurs attaques à la fois qui vont tester différentes combinaisons chacune.

Retour en haut

Conclusion

En récapitulant tout, il faut choisir votre mot de passe selon ces quatre règles :

le mot de passe doit contenir un grand nombre de caractères (on conseille toujours au moins 8 caractères).
*Il doit contenir plusieurs « types » de caractères (minuscules, majuscules, chiffres et caractères spéciaux).
Le mot de passe ne doit pas être un mot commun.
Le mot de passe ne doit pas être composé que de mots communs (+chiffres).

* Je le précise ici, ajouter des caractères spéciaux participe grandement à la sécurité : il en existe beaucoup (des « connus » comme +,"%&/ et des moins connus comme ¢©Ø¶ […]) et le pirate ne peut pas deviner lesquels vous avez pu utiliser, ce qui implique qu'il doit prendre en compte un nombre bien plus grand de caractères possibles… Bien évidemment, le problème qui se pose est l'accessibilité sur les différents types de clavier.

Voici un exemple de bon mot de passe : Qoaua,oaasb!. Ça fait peur hein ? Mais sachez que je n'ai pas écrit ce mot de passe par hasard, c'est tout simplement les premières lettres d'une phrase que je connais bien : Quand On Aime Un Arbre, On Aime Aussi Ses Branches !. Joli proverbe, vous ne trouvez pas ?
C'est donc un très bon moyen mnémotechnique pour avoir un mot de passe correct (le tout en remplaçant certains mots par des caractères spéciaux, comme le mot « et » par « & »).
Je vous donne un second exemple : 4gf/ki-2KL@[23](mot de passe repris du tutoriel d'ebola sur l'anti brute-force). Ce mot de passe est encore mieux : alternance entre chiffres, lettres (minuscules et majuscules) et caractères spéciaux. Cependant il est plus difficile à retenir. Vous pouvez facilement obtenir ce genre de mot de passe avec des générateurs de mot de passe (merci hyperion66).
Sinon, il existe beaucoup d'autres façons de créer un mot de passe complexe qui se retienne facilement ; allez lire les commentaires, certains membres nous livrent des méthodes intéressantes

Pour terminer, je vous donne quelques conseils qui n'ont pas de rapport direct avec le choix du mot de passe :

Apprenez votre mot de passe par cœur (ne l'écrivez pas sur un post-it ou sur un fichier que vous conservez sur votre ordinateur), ça serait bête que quelqu'un le voie.
Attention avec les caractères spéciaux. Si vous choisissez un caractère qui n'existe pas sur un clavier d'un autre pays et que vous vous retrouvez devant celui-ci, vous êtes mal ! (bien qu'il peut y avoir la présence d'une table de caractères selon le système sur lequel vous vous trouvez).
Changer votre mot de passe de temps en temps est aussi une manière de vous protéger (tous les 2 jours, toutes les semaines ou encore tous les mois… C'est à vous de voir ).
Si vous pouvez choisir un mot de passe différent selon les sites, c'est aussi un plus (imaginez qu'un des sites sur lequel vous êtes se fasse pirater, hop le pirate peut accéder à votre compte sur tous les autres sites !);
Certains sites proposent un identifiant différent du pseudonyme sous lequel tout le monde vous voit : profitez-en ! C'est un peu comme si vous aviez deux mots de passe, sauf que l'identifiant n'a pas besoin d'être aussi complexe que le mot de passe.

Hum, attends là ! J'ai pas bronché jusque là, mais t'as pas l'impression d'en demander un peu trop là ? Le mot de passe compliqué, c'est déjà… compliqué à gérer. :colere2:

Oui, tout ça c'est très contraignant. Mais vous n'êtes pas obligé de suivre à la lettre ce que je vous dis. :lol:

Tout dépend de ce que vous devez protéger : si c'est un projet top-secret qui concerne la sécurité interplanétaire, alors il faudra effectivement être très vigilant (même si c'est contraignant), dans le cas contraire si le mot de passe ne protège « que » vos données personnelles et que vous n'êtes pas une personne connue mondialement, pas la peine de suivre toutes ces procédures (un bon mot de passe que vous connaissez par cœur suffit).

Retour en haut

J'espère vous avoir fait comprendre grâce à cet article pourquoi il y a ces « règles » pour faire un bon mot de passe.

Toutefois, sachez que de nos jours les systèmes sur lesquels vous vous enregistrez sont plutôt sécurisés : au-delà de 3 tentatives de connexion, le système bloque l'utilisateur (ce qui évite l'attaque par force brute) ou encore tous les mots de passe ne sont pas acceptés (parfois, ils obligent à avoir au minimum 8 caractères). Mais par mesure de sécurité et parce que tous les systèmes ne sont pas protégés, mieux vaut éviter de prendre n'importe quel mot de passe.

Aujourd'hui, les mots de passe suffisent encore à protéger nos systèmes. Mais demain, qu'arrivera-t-il ? La puissance des ordinateurs augmente de jour en jour, ce qui rend la méthode par force brute plus rapide. La connexion elle aussi devient plus « puissante », avec les futurs câbles optiques qui permettent d'atteindre des taux de transfert énormes… Les mots de passe constitueront-ils toujours une sécurité suffisante ? Seul l'avenir nous le dira.

___________________________________

Je tiens à remercier les membres pour leurs critiques. Je n'ai pas ajouté les détails que les membres ont pu apporter à ce sujet afin de ne pas rendre l'article trop lourd. C'est pourquoi je vous invite, lecteurs, à aller lire les commentaires : les informations peuvent vous intéresser

Retour en haut

Retour en haut

60 commentaires pour "Sensibilisation sur le choix d'un mot de passe"

Note moyenne : 3.68 / 4 (19 votes)

Pseudo	Commentaire
ludo971	# Posté le 16/02/2011 à 17:34:09
Paresse: habitude prise de se	Bon tuto, les exemples donnés en commentaires sont très bon aussi
Séb@s	# Posté le 20/05/2011 à 21:20:45
	Pas mal comme article mais je dois avouer qu'il ne m'aura pas convaincu de changer mes MDP, oui mes mots de passe car je change pour chaque site, ce qui ne m'empêche pas de les retenir (ceux que j'utilise fréquemment comme celui du sdz , de PSNetwork , de mon adresse m@il...). Pour informations, plus le site est important et plus mon mdp est complexe, comme celui de mon adresse m@il (largement plus de 8 caractères) car à partir de n'importe quel site, il suffit simplement de cliquer sur mdp oublié et hop, si on a celui de mon adresse m@il, on lit le message qui a été envoyé et qui contient le plus souvent le mdp du site en question et c'est foutu pour moi. Je disais donc qu'il ne m'aura pas convaincu à changer de mdp car j'ai toujours eu l'habitude de faire des mots de passe complexes du style : (ce n'est qu'un exemple fictif...) oJ4nS1s2QcC6 C'est bien mais comment le retenir ? Comme ça ! o : "Ouais !" J : "J'" 4 : 4 pour le A de "Adore" n : "naviguer" S : "sur" 1 : "un" s : "site" 2 : "de" Q : "qualité" c : "comme" C : "celui" 6 : "ci" Ce qui donne une phrase à la c** : "Ouais ! J'adore naviguer sur un site de qualité comme celui-ci", mais qui a l'avantage de pouvoir retenir le mot de passe facilement par habitude.
Tangeek	# Posté le 26/07/2011 à 23:42:48
Ville : Bruxelles Pays : Belgique	Excellent tutoriel. Il présente les faits avec des exemples concrets, et bien que très court, il est assez complet (faits + problèmes + solutions + astuces + commentaires astucieux). J'ai déjà adopté la technique de la phrase réduite, en lui enlevant quelques mots au hasard, pour rendre le mot de passe plus sûr. Citation : Land3r Un dernier petit conseil a ceux qui stockent leurs mots de passes dans Firefox ou IE : ne le faites plus ! Ne laissez jamais votre ordinateur géré vos mots de passe a votre place ! (dans la mesure du possible ) Ouais enfin, pour les paranoïaques, je rappelle que Firefox permet de protéger les mots de passes enregistrés par un mot de passe principal. Bon, au final, ça fait un mot de passe à taper à chaque fois, donc le côté automatique est détruit, mais ça permet d'avoir plusieurs mots de passes différents pour chaque site, tout en n'en retenant qu'un seul (et il faudrait pirater votre ordi au lieu du site pour faire un bon coup). Après, faut pas être aussi parano si t'as un ordinateur privé. Je veux dire, oui, les mots de passes enregistrés sont un risque, mais quand personne d'autre que toi ne va sur cet ordinateur (ou rarement, quand t'es à côté), et qu'en plus il y a un mot de passe au démarrage, le risque diminue déjà pas mal, et permet le confort de l'automatisme. When I see a bird that walks like a duck and swims like a duck and quacks like a bird, I call that bird a duck.
Stigma	# Posté le 30/09/2011 à 09:26:12
Ville : Margny les compiègne Pays : France métropolitaine	J'ai une méthode qui ressemble un peu à la phrase donnée plus haut. Je prends chaque lettre d'une phrase suivie du nombre de lettre de chaque mot et je mets une majuscule dans l'avant-dernière lettre (par exemple). Ce qui donne. "je suis une bille en informatique" = j2s4u3b5E2i11 Pas facile à trouver pour un pirate et très facile à reternir L'eau en poudre : Il suffit de rajouter de l'eau pour avoir de l'eau !
Nek'	# Posté le 27/12/2011 à 21:45:42
LPL FTW Blog Twitter close Ville : Reims Pays : France métropolitaine Études : IUT Reims-Châlons-Charleville	Je trouve cette sensibilisation plutôt nulle dans le sens où elle ne parle pas du tout - y compris dans les commentaires que j'ai pu lire - de cette méthode: http://www.developpez.com/actu/36199/U [...] ee-en-dessin/ Rejoignez nous sur le chat #siteduzero J'aide ceux qui codent leurs scripts eux même, inutile de me demander de coder pour vous. Liens utiles (ou pas): Mon wiki (Symfony2) \| JqueryForm \| Mon site \| Minecraft