Attaque par dictionnaire

L'attaque par dictionnaire est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Elle consiste à tester une série de mots de passe potentiels, les uns à la suite des autres, en espérant que le mot de passe utilisé pour le chiffrement soit contenu dans le dictionnaire. Si ce n'est pas le cas, l'attaque échouera.

Cette méthode repose sur le fait que de nombreuses personnes utilisent des mots de passe courants (par ex : un prénom, une couleur, le nom d'un animal…). C'est pour cette raison qu'il est toujours conseillé de ne pas utiliser de mot de passe comprenant un mot ou un nom (voir l'article Mot de passe pour connaitre les précautions d'usage lors du choix d'un mot de passe).

L'attaque par dictionnaire est une méthode souvent utilisée en complément de l'attaque par force brute qui consiste à tester, de manière exhaustive, les différentes possibilités de mots de passe. Cette dernière est particulièrement efficace pour des mots de passe n'excédant pas 5 ou 6 caractères.

Sommaire

Contenu du dictionnaire et règles

Outre le contenu habituel d'un dictionnaire qui renferme un ensemble de mots, le dictionnaire peut être rendu plus efficace en combinant les mots ou en y appliquant certaines règles, qui correspondent aux habitudes de choix des mots de passe actuels. Pour citer quelques exemples courant, pour chaque mot, on peut essayer de changer la casse de certaines lettres ou les remplacer par leurs équivalents en leet speak. Une autre astuce consiste à répéter deux fois le mot (par exemple « secretsecret »). On peut aussi générer des dictionnaires correspondant à l'ensemble des numéros de plaque, des numéros de sécurité sociale, des dates de naissance, etc. De tels dictionnaires permettent de casser assez facilement des mots de passes d'utilisateurs faisant appel à ces méthodes peu sûres pour renforcer leurs mots de passe.

Logiciels

Le logiciel John the Ripper, le plus connu dans ce domaine, est fourni avec une liste de règles qui permettent d'étendre l'espace de recherche et explorer les failles classiques dans l'élaboration des mots de passe ou des clés par les utilisateurs. Il existe des dictionnaires qui contiennent plusieurs millions de mots et qui ne sont pas fournis avec le logiciel. Citons encore L0phtcrack et Cain & Abel qui fournissent des services similaires.

Toutefois, ce type de logiciels n'est pas forcément utilisé dans un but malicieux. Ces outils peuvent être utiles pour les administrateurs qui veulent sécuriser les mots de passe et alerter les utilisateurs sur les risques encourus.

Détection

Il est possible de détecter les attaques de force brute en limitant la durée entre deux tentatives d’authentification ce qui augmente considérablement la durée de déchiffrage. Autre possibilité, le système des cartes à puces (exemple carte bancaires) ou les cartes SIM qui bloque le système au bout de 3 tentatives infructueuses ce qui rend impossible toute attaque par force brute.

Salage de mot de passe

Dans les applications, les mots de passe sont souvent stockés sous forme de hash à partir desquels il est très difficile de retrouver le contenu du mot de passe. Certains dictionnaires utilisés pour les attaques comportent le résultat des signatures des mots de passe les plus communs. Une personne malveillante ayant accès aux résultats du hachage des mots de passe pourrait donc deviner le mot de passe originel. Dans ce cas on peut utiliser le "salage" du mot de passe. C'est-à-dire l'ajout d'une séquence de bit servant à modifier la séquence finale. Prenons par exemple le mot de passe ‘Wikipedia’, qui utilisé avec l’algorithme SHA-1 produit : ‘664add438097fbd4307f814de8e62a10f8905588’. Nous allons maintenant utiliser un salage du mot de passe en y ajoutant ‘salé’. En hachant « Wikipediasalé » nous obtenons le hashage : ‘1368819407812ca9ceb61fb07bf293193416159f’ rendant tout dictionnaire inutile.

Une bonne pratique est de ne pas utiliser une clé de salage unique mais de la générer aléatoirement pour chaque enregistrement[1]. Même si la clé de salage est lisible il faudra pour chaque mot de passe régénérer un dictionnaire salé complet. On peut aussi intégrer une partie dynamique et une partie intégrée au code source de l’application pour une sécurité maximum. Les systèmes d’exploitation de type UNIX utilisent un système de mots de passe hachés salés.

Références

Articles connexes

Liens externes

Liste de Dictionnaires de mots courants sur AuthSecu.com

Dictionnaire de hash MD5


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Attaque par dictionnaire de Wikipédia en français (auteurs)

Regardez d'autres dictionnaires:

  • Attaque Par Dictionnaire — L attaque par dictionnaire est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Elle consiste à tester une série de mots de passe potentiels, les uns à la suite des autres, en espérant que le mot de passe utilisé pour …   Wikipédia en Français

  • Attaque Par Force Brute — Deep Crack, circuit dédié à l attaque par force brute de DES. L attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s agit de tester, une à une, toutes les combinaisons possibles. Cette… …   Wikipédia en Français

  • Attaque par brute force — Attaque par force brute Deep Crack, circuit dédié à l attaque par force brute de DES. L attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s agit de tester, une à une, toutes les… …   Wikipédia en Français

  • Attaque par biais statistique — Cryptanalyse La cryptanalyse s oppose, en quelque sorte, à la cryptographie. En effet, si déchiffrer consiste à retrouver le clair au moyen d une clé, cryptanalyser c est tenter de se passer de cette dernière. Même si on décrit les cryptanalystes …   Wikipédia en Français

  • Attaque par rencontre au milieu — Cryptanalyse La cryptanalyse s oppose, en quelque sorte, à la cryptographie. En effet, si déchiffrer consiste à retrouver le clair au moyen d une clé, cryptanalyser c est tenter de se passer de cette dernière. Même si on décrit les cryptanalystes …   Wikipédia en Français

  • Attaque par force brute — Deep Crack, circuit dédié à l attaque par force brute de DES. L attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s agit de tester, une à une, toutes les combinaisons possibles. Cette… …   Wikipédia en Français

  • Attaque Par Faute — En cryptanalyse, les attaques par faute sont une famille de techniques qui consistent à produire volontairement des erreurs dans le cryptosystème. Ces attaques peuvent porter sur des composants matériels (cryptoprocesseur) ou logiciels. Elles ont …   Wikipédia en Français

  • Attaque par perturbation — Attaque par faute En cryptanalyse, les attaques par faute sont une famille de techniques qui consistent à produire volontairement des erreurs dans le cryptosystème. Ces attaques peuvent porter sur des composants matériels (cryptoprocesseur) ou… …   Wikipédia en Français

  • Attaque Par Canal Auxiliaire — Les attaques par canaux auxiliaires font partie d une vaste famille de techniques cryptanalytiques qui exploitent des propriétés inattendues d un algorithme de cryptographie lors de son implémentation logicielle ou matérielle. En effet, une… …   Wikipédia en Français

  • Attaque par canaux auxiliaires — Attaque par canal auxiliaire Les attaques par canaux auxiliaires font partie d une vaste famille de techniques cryptanalytiques qui exploitent des propriétés inattendues d un algorithme de cryptographie lors de son implémentation logicielle ou… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”