À l'Utah Valley University, 120 ordinateurs s'emploient actuellement à décoder les mots de passe cryptés, révélés à la suite du piratage de la société de sécurité Stratfor Global Intelligence au moment de Noël. Cette intrusion avait entrainé l'une des plus importantes violations de données de l'année 2011, les pirates, soupçonnés d'être affiliés à Anonymous, ayant publié les noms, adresses email, numéros de carte de crédit et mots de passe cryptés de toutes les personnes enregistrées auprès de Stratfor. Après le piratage, les chercheurs l'Utah ont mis en route un programme pour voir quels types de mots de passe avaient été utilisés par les personnes inscrites au think tank, dont le siège est situé à Austin, Texas, et si ceux étaient suffisamment compliqués pour déjouer les hackers les plus déterminés.

Le vol de données est important, compte tenu de la clientèle haut de gamme de Stratfor. Le think tank compte parmi ses membres beaucoup de gradés de l'armée américaine, des personnels des administrations, dont certains appartiennent au Département d'État américain, travaillent pour des banques internationales, dont Bank of America et JP Morgan Chase, ou pour des géants de la technologie comme IBM et Microsoft. Si les cybercriminels ont eu peu de temps pour profiter des données bancaires des affiliés, sans compter que certaines informations n'étaient sans doute plus à jour, les adresses e-mail et mots de passe cryptés sont beaucoup plus précieux sur le long terme pour les pays qui cherchent à infiltrer les administrations. « Les centaines de milliers d'adresses email rendues publiques permettent de cibler les titulaires de ces comptes avec un logiciel malveillant, » a déclaré Kevin Young, directeur informatique et professeur-adjoint qui enseigne la sécurité de l'information à l'Utah Valley University.

Une puissance de calcul modeste pour cet exercice

Selon l'enseignant-chercheur, la deuxième menace majeure résultant du piratage de Stratfor concerne les mots de passe. « Combien de mots de passe étaient assez simples et faciles à décoder, » a-t-il ajouté. C'est un danger important, parce qu'il est probable que certaines personnes réutilisent le même mot de passe pour se connecter à d'autres systèmes, et certains peuvent donner accès à des informations sensibles. Plutôt que de stocker les mots de passe en texte clair, une méthode considérée comme dangereuse, Stratfor a enregistré un équivalent crypté des mots de passe de ses adhérents, connu sous le terme de hash MD5. En matière de sécurité, cette pratique est généralement considérée comme intelligente. Avec ses 120 ordinateurs, Kevin Young a voulu tester la difficulté du décodage du hash MD5 des mots de passe disséminés par les pirates. Avec une puissance de calcul modeste et des programmes spécialisés dans le cassage de mots de passe, il a réussi à décoder un grand nombre de hash MD5 et retrouver de nombreux mots de passe originaux. Plus la séquence est courte et simple, plus le mot de passe est rapide à retrouver.

Avec cette méthode, Kevin Young affirme être parvenu à décoder plus de 160 000 mots de passe de Stratfor, dont un certain nombre appartenant à des militaires du corps des Marines américain, qui «devraient normalement être plus vigilants. » L'universitaire n'a pas l'intention de rendre publics ces mots de passe « pour des raisons éthiques, » mais il compte les utiliser dans le cadre d'une étude sur la manière dont les gens choisissent leurs mots de passe et pour tester la résistance de ces séquences aux tentatives de crack. Au regard des outils utilisés par Kevin Young, on voit à quel point il est important de choisir des mots de passe complexes, des séquences comprenant au moins 8 ou 9 caractères, mélangeant majuscules et minuscules avec des chiffres et même de la ponctuation.

[[page]]

Pour casser les mots de passe cryptés, le chercheur a utilisé l'application bien connue « John the Ripper », qui tourne sur un PC ordinaire, et « oclhashcat », un programme qui permet d'utiliser la vitesse de calcul des processeurs graphiques. « Comparativement, John the Ripper est capable de générer environ 8 à 10 milliards de mots de passe par seconde, tandis que oclhashcat, avec la puissance du processeur graphique, peut produire jusqu'à 62 milliards de combinaisons par seconde, » a-t-il précisé. Les deux applications calculent un hash MD5 à partir d'une liste de mots. La personne qui cherche à déchiffrer le mot de passe définit elle-même les permutations.

Kevin Young a également utilisé des listes de mots de passe divulguées à l'occasion d'autres violations de données, comme celle de Sony (17 000 mots de passe divulgués), RockYou (14 millions de mots de passe), phpBB (278 000) et MySpace (36 000). Les listes de mots de passe sont très utiles, car la probabilité que les gens aient déjà choisi les plus faciles est assez bonne. De ce point de vue, les données de Stratfor n'ont pas été décevantes : l'universitaire a révélé que beaucoup de mots de passe étaient déjà sur les listes de données récupérées de précédentes violations, comme «jasper10», «swordfish» et « green101 ».

L'universitaire est conscient que son équipe, qui dispose d'un tout petit budget, pourra trouver les mots de passe de 8 caractères maximum. Pour aller au-delà, il lui faudrait plus de puissance informatique : « pour calculer toutes les combinaisons possibles d'un mot de passe de 10 caractères en minuscules commençant par la lettre A, il faudrait traiter quelque 2,2 To de données, » a expliqué Kevin Young. Les gouvernements peuvent facilement disposer de beaucoup plus de puissance informatique. « 120 ordinateurs, ce n'est rien, comparés aux attaques que pourraient mener la NSA, la Chine ou la Corée du Nord aujourd'hui.»