Mot de passe : la taille compte plus que la complexité

En matière de cybersécurité, les mots de passe sont l’objet de nombreux débats. Sont-ils amenés à disparaître ? Si oui, qu’est ce qui les remplacera ? Aujourd’hui, ils sont en tous cas toujours présents dans notre quotidien numérique. Malheureusement, la sécurité d’un mot de passe est difficilement quantifiable, et les indicateurs de force sont souvent obsolètes. Pour pallier à cela, Maurizio Filippone d’Eurecom et Matteo Dell’Amico de Symantec — ancien chercheur d’Eurecom également — ont mené des travaux sur l’optimisation de ces indicateurs en prenant en compte l’état de l’art en matière de cyberattaque.

Lequel de « Bjpdf54 » ou de « welovemacron » est le meilleur mot de passe ? Si vous pensez que les chiffres et les majuscules sont un paramètre garantissant la sécurité de votre mot de passe, il vous faudra peut-être changer d’avis. Plus important, vous devrez probablement apprendre à ne plus faire confiance aux indicateurs de sécurité d’un mot de passe que vous pouvez trouver sur les sites web. En octobre dernier, Maurizio Filippone et Matteo Dell’Amico ont en effet présenté leurs travaux sur les calculs de force d’un mot de passe à la 22^ème conférence ACM sur la sécurité des ordinateurs des communications. La publication qui s’en est suivie a par ailleurs été relayée par la prestigieuse MIT Tech Review. En utilisant des grandes bases de données de mots de passe diffusés, les deux chercheurs en sciences informatiques ont testé plusieurs types d’attaque afin d’évaluer quels mots de passe avaient le plus de probabilité d’être découverts, et lesquels résistaient le mieux.

Maurizio Filippone.

Pour Maurizio Filippone, récemment arrivé à Eurecom, et Matteo Dell’Amico (aujourd’hui à Symantec après 6 ans à Eurecom), il s’agissait avant tout d’optimiser les indicateurs de force pour qu’ils donnent à l’utilisateur une idée juste de la sécurité offerte par le mot de passe. Ceux-ci sont en effet jugés obsolètes aujourd’hui, renvoyant à des indications uniquement pertinentes lorsqu’il s’agit d’attaques « brutales » — brute force en anglais — c’est à dire des attaques où un logiciel teste toutes les combinaisons possibles de caractères.

Mais actuellement « les meilleures techniques pour percer un mot de passe adoptent une approche probabiliste » écrivent les deux chercheurs. Ces modèles de cassage de code se basent sur des listes de milliers de mots de passe, et leur attribuent une probabilité d’être utilisés d’après leur occurrence. À partir de là, chaque mot de passe est testé, en partant de ceux ayant la plus grande probabilité d’être choisis par l’utilisateur. Chaque modèle probabiliste attribue des probabilités différentes aux mots de passe, de sorte que la force d’un mot de passe n’est calculable que pour un type d’attaque donné.

Filippone et Dell’Amico ont ainsi démontré que certaines attaques sont plus performantes pour les mots de passe puissants, mais sont moins efficaces que d’autres pour les petits mots de passe. Cependant, il existe bien pour les chercheurs une « corrélation évidente, suggérant que la force d’un mot de passe contre une attaque est indicative de sa force contre une autre attaque ». Dans leur publication, ils présentent notamment une méthode d’évaluation de la force d’un mot de passe face à l’ensemble des attaques possibles, moins coûteuse que celle actuelle d’émulation d’attaques.

Un mot de passe performant

Leurs résultats permettent également de mettre à l’épreuve les conseils donnés aux utilisateurs, tels que l’insertion de chiffres ou de lettres capitales. L’une de leurs premières conclusions ? « La longueur du mot de passe augmente de façon homogène sa force ». À l’exception notable des mots de passe à 8 caractères qui sont parmi les plus faibles, du fait que « beaucoup de mots de passe communs ont 8 caractères ».

Plus surprenant, les logiciels conseillant « des mots de passe avec à la fois des chiffres et des lettres ne permettent d’augmenter que très peu la sécurité ». Pour Filippone et Dell’Amico, « cela pourrait venir du fait que ces mots de passe ont une structure prévisible, c’est à dire avec les chiffres à la fin ». Les lettres capitales fonctionnent mieux pour l’augmentation de la sécurité, à l’exception des petits mots de passe, pour lesquels là aussi il est facile de prévoir une lettre capitale au début de la série de caractères.

Certes, « welovemacron » est donc plus faible que « Bjpdf54 », qui nécessite dix fois plus de tentatives avant d’être trouvé. Mais le second mot de passe est cependant loin d’être optimal. Matteo Dell’Amico en profite d’ailleurs pour sensibiliser les francophones sur un point : « les anglophones non natifs tendent à utiliser des mots anglais dans leurs mots de passe, mais comme ils ont un vocabulaire moins développé, leurs choix sont plus prévisibles ».

Selon les chercheurs, le paramètre d’amélioration le plus performant est l’intégration dans le mot de passe de symboles. Ceux-ci sont en effet « moins prévisibles et placés à des positions différentes dans le mot de passe ». Des mots de passe courts intégrant des symboles seraient ainsi « aussi forts que des mots de passe de 12 caractères sans symboles ». Finalement, il vaut donc peut-être donc mieux troquer « Bjpdf54 » pour quelque chose ressemblant à « maYtHe4tHBeW/Y0u ».

À lire sur le blog : Cybersécurité : la recherche prend les devants

[box type= »shadow » align= »aligncenter » class= » » width= »95% »]

Maurizio Filippone : biographie

« J’ai grandi à Gênes. À 14 ans j’ai commencé l’athlétisme, activité que j’ai continuée jusqu’à un niveau semi-professionnel. À 16 ans je me suis acheté ma première guitare. J’ai intégré un groupe avec lequel j’ai joué jusqu’à ce que je quitte l’Italie. Au collège et au lycée, j’ai toujours été attiré par les matières scientifiques, d’où ma décision de faire des études de physique. C’est comme cela qu’a début mon intérêt pour l’apprentissage automatique (machine learning). »

Découvrir la biographie plus complète de Maurizio Filippone sur le site d’Eurecom.

[/box]