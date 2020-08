Vous souvenez-vous du premier mot de passe oublié de votre vie? D’accord, désolé, formulé comme ça, ça peut paraître absurde puisque, si tu l’oublies, comment peux-tu t’en souvenir maintenant? Je veux dire si tu te souviens de la première fois que tu as oublié un mot de passe. Parce que, bien sûr, oublier un mot de passe pour un service en ligne maintenant n’est pas un problème majeur, puisque vous avez la fonction de récupération de mot de passe, mais que s’est-il passé si vous avez oublié le mot de passe pour accéder au premier service de messagerie, où vous avez-vous été renvoyé dans les années 90? Je ne dis pas que c’est mon cas, mais un exemple de problème grave avec un mot de passe oublié.

Par contre, quand on parle de mots de passe, on a tendance à les associer à des services en ligne, oubliant qu’il existe de nombreux autres domaines d’application, et que l’on peut résumer en un seul mot: les fichiers. Et, bien sûr, dans ce cas, dans le cas d’un mot de passe oublié et c’est celui qui nous a donné accès à son contenu, nous n’aurons pas la fonction de récupération de clé qu’ils nous offrent des services en ligne. En d’autres termes, nous aurons un problème dont l’évaluation quantitative dépendra directement de la valeur du contenu dudit fichier.

Ars Technica publie aujourd’hui un article intéressant à ce sujet, dans lequel il fait écho à un cas réel, dans lequel un mot de passe oublié, et cet accès protégé à un fichier au format zip, aurait pu coûter 300000 $ à son propriétaire. Et c’était la valeur, en échange, des bitcoins qui avaient été enregistrés dans le fichier compressé.

L’histoire commence en janvier 2016, lorsque une personne acquiert des bitcoins d’une valeur de 10000 $ et, pour les protéger, enregistrez-les dans un fichier compressé sur votre ordinateur portable. Un fichier compressé qui protège efficacement avec un mot de passe. Le temps passe, la valeur de la cyber-monnaie augmente considérablement et, lorsque le propriétaire des bitcoins tente de les récupérer, il découvre que vous avez oublié le mot de passe que vous avez utilisé pour protéger le fichier zip.

Consciente que le mot de passe oublié peut être très, très coûteux, et loin d’abandonner, cette personne rechercher des informations sur Internet et trouver un essai rédigé par l’expert en sécurité Michael Stay, publié aujourd’hui il y a une vingtaine d’années, et dans lequel l’expert affirme qu’il est possible de connaître le mot de passe pour ces types de fichiers. Un rayon de lumière et un câble à tirer, alors le propriétaire des bitcoins, ni court ni paresseux, contacte Stay et lui explique sa situation, et le coût que le mot de passe perdu peut avoir pour lui.

Au fil des ans, les fonctionnalités de sécurité des mots de passe ont considérablement évolué. Selon Stay, les premières implémentations de la même chose n’étaient pas très sécurisées, certaines pouvaient être déchiffrées presque immédiatement. Au fil des années, cependant, l’industrie a misé sur des normes de plus en plus sécurisées, au point où, avec la technologie actuelle, et sauf dans le cas du choix de mots de passe facilement déductibles, casser le cryptage d’un fichier de ce le genre peut être une tâche impossible.

Suite à un échange de messages et à la collecte de certaines informations, le propriétaire des bitcoins et Stay est parvenu à un accord sur la base duquel l’expert en sécurité facturerait 100 000 dollars, sur les 300 000 que valaient les bitcoins à l’époque, s’il réussissait enfin à retrouver le mot de passe oublié. Et, après avoir fait quelques recherches, en plus de vérifier que son contact était le propriétaire légitime du fichier, il a pu savoir avec quelle application le zip a été créé et, surprise, l’implémentation de la fonction de cryptage dans celui-ci était « attaquable » .

Pour y parvenir, le travail a été divisé en deux phases, une première de définition de l’attaque et de collecte des éléments pour celle-ci, et une seconde dans laquelle tout ce matériel serait utilisé, sur une plateforme composée de plusieurs systèmes de cloud computing, pour essayer de trouver le mot de passe oublié. Un travail de plusieurs mois qui a néanmoins été une tâche amusante et stimulante pour Stay.

Et qu’est-il arrivé à la fin du mot de passe oublié? La chance était de la part du chercheur et du propriétaire des bitcoins, car non seulement il était possible de le récupérer, mais aussi, grâce à l’excellente planification de Stay, cela pourrait être fait dans un délai beaucoup plus court que prévu initialement. Quelque chose que les deux parties ont apprécié, car à mi-chemin du processus, le bitcoin est entré dans une tendance à la baisse qui les a grandement effrayés tous les deux.

La fin heureuse de cette histoire aurait pu, sans aucun doute, être très différente. Si le propriétaire des bitcoins avait utilisé une application avec une meilleure implémentation des fonctions de cryptage, ou si le fichier avait été créé plus récemment, il est probable que le mot de passe oublié n’aurait jamais pu être récupéré (Eh bien, je qualifie cela jamais, en le changeant en « jusqu’à l’arrivée réelle de l’informatique quantique »). Et c’est pourquoi, de temps en temps, il est utile de se rappeler à quel point les gestionnaires de mots de passe sont utiles.

Si vous voulez connaître l’histoire complète du mot de passe oublié, dans cette vidéo (en anglais), vous pouvez l’entendre de la bouche de Michael Stay lui-même

Image: Santeri Viinamäki