ErsatzPasswords : L’arme ultime contre le piratage de données ?

2
115

Des chercheurs américains annoncent avoir trouvé la méthode qui doit permettre de contrer les pirates, et plus particulièrement les vols de données privées en ligne. Comment ? Grâce à Ersatz Passwords, qui ajouterai des informations dans les hashs des mots de passe stockés dans les bases de données. Explications.

ErsatzPasswords a l’ambition de proposer un système de sécurité pour protéger à tout prix les données sensibles en ligne basé, non plus sur du software pur, comme c’est actuellement le cas pour les serveurs Web, mais sur une protection hardware qui permettrait de contrôler les hashs nécessaires au chiffrement des précieux mots de passe. Sans ce matériel légitime physique, pas moyen de déchiffrer, les données volées par les pirates informatiques ne vaudront plus rien, et seront inexploitables. L’idée semble révolutionnaire et très ambitieuse, le pari est-il tenable ?

Ce projet ambitieux a été développé par une équipe d’étudiants de l’université de Purdue, aux USA, (Christopher N. Gutierrez, Mikhail J. Atallah, Mohammed H. Almeshekah et Eugene H. Spafford). Il se pourrait bien qu’il permette d’atteindre un niveau de sécurité de stockage des mots de passe jamais atteint à ce jour…

Le secret de la force de Ersatz Passwords réside dans l’utilisation d’un matériel physique dont le rôle est d’ajouter des informations dans le hash des mots de passe à sécuriser. Résultat, sans l’équipement, impossible de lire les informations potentiellement piratées à la suite d’une intrusion, par exemple via l’exploitation d’une vulnérabilité de type injection SQL (SQLi), qui font tant de dégâts sur Internet. Les pirates se retrouveront avec des données inutilisables, dont la valeur est nulle.

Schéma de principe de ErsatzPassword
Schéma de principe de ErsatzPassword

Le réflexe de tout pirate informatique après un vol de données sensibles, est de tenter d’identifier le type de hashage utilisé pour protéger les mots de passe et de le cracker (en local sur une machine puissante et des logiciels dédiés ou en ligne sur des grosses bases de données prévues pour cela). Mais voila, si, grâce à Ersatz Passwords, le précieux hash n’est plus complet en base de données, le pirate n’aura pas le “second morceau” de la clé de déchiffrement, aussi appelé “salt” ou “grain de sel” en français. Bilan, impossible à cracker ! Bien entendu, ce fameux morceau serait ajouté par l’équipement physique lui-même, qui pourrait se présenter sous forme de clé USB.

A noter aussi qu’un simple logiciel gratuit et open source est à installer sur le serveur exploitant le système. Le code source est disponible sur GitHub.

Ersatz Passwords sera présenté, début juin 2015 à Los Angeles, à l’ACSAC, l’Annual Computer Security Application Conference. La documentation publique au format PDF est visible ici.

Les commentaires sont fermés.