Accueil » Ashley Madison : les mots de passe sont menacés
High-Tech

Ashley Madison : les mots de passe sont menacés

Répandus dans la nature à la suite du piratage d’Ashley Madison, les mots de passe utilisés par les membres du site de rencontres extraconjugales sont plus menacés qu’on ne le pense. Un groupe de hackers a en effet trouvé une méthode pour en déchiffrer plus de 11 millions.


L’affaire du piratage du site Ashley Madison, qui propose de faire des rencontres extraconjugales, continue de provoquer des remous. Alors que de nombreuses informations sensibles ont d’ores et déjà été publiées (incluant les données des membres, leurs fantasmes et les courriers de la direction), voilà que la politique de sécurité du service est de nouveau mise en cause.

Ars Technica relate en effet les découvertes de CynoSure Prime, un collectif s’intéressant au déchiffrement des mots de passe. En se basant sur les informations qui ont été publiées par le ou les hackers à l’origine du piratage d’Ashley Madison, le groupe assure avoir réussi à en retrouver plus de 11,2 millions alors qu’ils étaient stockés sous une forme chiffrée dans la base de données.

Comment CynoSure Prime a-t-il procédé ?

C’est simple : après avoir analysé les archives d’Ashley Madison, le collectif a découvert dans la base de données l’existence d’un sous-ensemble contenant 15,26 millions de mots de passe utilisant MD5 comme algorithme de hachage. Or, le MD5 n’est plus considéré comme une fonction de hachage suffisamment sûre depuis 2004, date à laquelle les premières faiblesses ont été découvertes.

Le MD5 “a été conçu pour être rapide et efficace plutôt que pour ralentir les crackers“, note Ars Technica. Pour cela, il vaut mieux s’orienter vers des fonctions de hachage beaucoup plus solides, comme celles de la famille SHA-2, dont l’utilisation est encouragée par l’ANSS), qui note que celles-ci ont “jusqu’à aujourd’hui bien résisté aux tentatives de cryptanalyse“, selon un document datant d’octobre 2012.

Pour CynoSure Prime, il a été beaucoup plus facile de passer par la vulnérabilité que constitue MD5 plutôt que d’attaquer de front bcrypt est une fonction de hachage particulièrement ingénieuse.

Comme l’explique Wikipédia, elle utilise “un sel pour se protéger des attaques par table arc-en-ciel (rainbow table)“, et est capable de s’adapter “c’est-à-dire que l’on peut augmenter le nombre d’itérations pour la rendre plus lente. Ainsi elle continue à être résistante aux attaques par recherche exhaustive malgré l’augmentation de la puissance de calcul“.

Ainsi, le décryptage n’a pas duré des dizaines ou des centaines d’années, mais à peine quelques jours. Cela étant dit, CynoSure Prime explique qu’il n’a présenté que les grandes lignes de son approche. Le groupe n’a pas l’intention de publier les détails de sa méthode, même si les explications qu’il a données représentent de fait un indice pour des personnes moins bien intentionnées.

Si vous avez trouvé une erreur d’orthographe, veuillez nous en aviser en sélectionnant le mots et en appuyant sur Ctrl+Enter.

A propos de l'auteur

Sébastien Tondelier

Sébastien T.

Passionné depuis toujours par l'informatique et les jeux vidéos, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux.

Ajouter un commentaire

Cliquez ici pour poster un commentaire

OuiHeberg - L'Hébergement accessible à tous !

Suivez nous sur les réseaux sociaux !

FR | GeekParadizeHub ➜ Communauté Multigaming

20 User(s) Online Join Server
  • Kzerka
  • Zento
  • Marlon29
  • Alan Miller
  • Zorkadi
  • Frédéric | OuiHeberg.com
  • ScreaX21
  • Anthonio_Loucass
  • Leon Hartstrife

Abonnez-vous à notre newsletter

Recevez par email toute l'actualité High-Tech chaque matin
Abonnez-vous à notre newsletter et rejoignez les 951 autres abonnés.

2 - Entrer votre adresse email :

Tester votre débit

Acheter moins cher avec i-Comparateur

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :