Quelques semaines de délai après les énormes leaks ayant touchés le site de rencontres extraconjugales Ashley Madison, un groupe de hackers affirme avoir trouvé une méthode efficace pour déchiffrer plus de 11 millions de mots de passe membres. Explications.
C’est Ars Technica qui relate les récentes découvertes de CynoSure Prime, un collectif de hackers s’intéressant de près au déchiffrement des mots de passe (cracking). En se basant sur les informations qui ont été publiées à la suite du piratage d’Ashley Madison, le groupe assure avoir réussi à en retrouver plus de 11,2 millions alors qu’ils étaient stockés sous une forme chiffrée dans la base de données (à l’aide de bcrypt).
La technique de CynoSure décortiquée
Après analyse des archives provenant des leaks d’Ashley Madison, le collectif CynoSure Prime a découvert dans la base de données l’existence d’un sous-ensemble contenant 15,26 millions de mots de passe utilisant MD5 comme algorithme de hachage, MD5 qui est, rappelons-le, considéré comme une fonction vulnérable suite à de nombreuses faiblesses mises en avant depuis 2004 par divers chercheurs.
“Le MD5 a été conçu pour être rapide et efficace plutôt que pour ralentir les crackers“, note Ars Technica.
Pour un usage sûre sur le Web, mieux vaut s’orienter vers des fonctions de hachage plus robustes, notamment le SHA-1 et le SHA-2, dont l’utilisation est encouragée par l’ANSSI, qui note que celles-ci ont “jusqu’à aujourd’hui bien résisté aux tentatives de cryptanalyse“, selon un document datant d’octobre 2012.
Pour CynoSure Prime, il a été beaucoup plus facile de passer par la vulnérabilité que constitue MD5 plutôt que d’attaquer de front bcrypt, qui est réputé être une fonction de hachage particulièrement ingénieuse, comme l’explique Wikipédia, puisqu’elle utilise “un sel pour se protéger des attaques par table arc-en-ciel (rainbow table)“, et est capable de s’adapter “c’est-à-dire que l’on peut augmenter le nombre d’itérations pour la rendre plus lente. Ainsi elle continue à être résistante aux attaques par recherche exhaustive malgré l’augmentation de la puissance de calcul“.
Ainsi, le cracking n’a pas nécessité des dizaines ou des centaines d’années, mais à peine quelques jours grâce à la vulnérabilité exploitée. Par contre, CynoSure Prime ne s’en tient qu’aux grandes lignes de sa technique, sans rentrer dans les détails, même si les explications actuellement publiées représentent de fait un indice pour des personnes moins bien intentionnées.
Source : Numerama
Les commentaires sont fermés.