Yahoo piraté une deuxième fois

[Enthalpy]

Bonjour tout le monde...

Cette autre attaque a réussi en 2013, mais Yahoo (en cours de vente à Verizon) vient de la révéler :
http://money.cnn.com/2016/12/14/tech...ers/index.html
http://tecnologia.elpais.com/tecnolo...68_540005.html
un milliard de comptes piratés, y compris des mots de passe.

Cela suscite une question immédiate : pourquoi Yahoo connaît-il les mots de passe de ses usagers ?

La bonne pratique de sûreté informatique était depuis toujours que l'ordinateur de l'usager calcule une trace du mot de passe au moyen d'une fonction de hachage et ne transmette à l'ordinateur distant, ici celui de Yahoo, que cette trace et jamais le mot de passe. L'ordinateur distant mémorise la trace lorsque l'usager s'inscrit et ignore le mot de passe original.

La fonction de hachage (hash function, one-way function, vous savez : md5, sha1, sha256) est conçue pour qu'un pirate ne puisse pas déduire le mot de passe s'il connaît la trace. Grâce à cela, un pirate écoutant la transmission et arrivant à trouver la trace ne peut pas taper le mot de passe original pour se faire passer pour l'usager légitime. La méthode est facile, efficace, recommandée par tous les livres de sûreté informatique, et il y a une décennie, elle était universellement utilisée.

Mais les pirates ont quand même trouvé les mots de passe chez Yahoo, et dans une autre attaque, chez Orange.

J'y vois une explication : depuis une petite décennie (environ depuis Loppsi en France), les gouvernements obligent les opérateurs comme Yahoo à révéler aux barbouzes les mots de passe de leurs usagers sur simple demande, ce qui impose aux opérateurs de connaître eux-mêmes ces mots de passe, donc à effondrer la sûreté des connexions et authentifications des usagers.

On revient toujours à la même conclusion : pour espionner ses citoyens, l’État affaiblit la défense du pays. Exposer les comptes de courriel de tous les citoyens, c'est donner à un service ennemi des moyens fabuleux pour attaquer le pays. Affaiblir le cryptage des cartes bancaires comme en France, où un pirate peut fabriquer de fausses cartes bancaires, est encore pire.

Mais si quelqu'un arrive à proposer une autre explication crédible au vol des mots de passe, merci à lui !
-----

[JPL]

La bonne pratique de sûreté informatique était depuis toujours que l'ordinateur de l'usager calcule une trace du mot de passe au moyen d'une fonction de hachage et ne transmette à l'ordinateur distant, ici celui de Yahoo, que cette trace et jamais le mot de passe. L'ordinateur distant mémorise la trace lorsque l'usager s'inscrit et ignore le mot de passe original.

Tu n'as pas entendu parler des tables arc-en-ciel (rainbow tables) ?
https://fr.wikipedia.org/wiki/Rainbow_table

Ce n'est pas pour rien que les meilleurs programmes de cryptage symétrique itèrent des milliers de fois le hachage des mots de passe (à savoir le premier hachage est haché à nouveau, etc.).

La seule garantie est l'utilisation d'un mot de passe totalement aléatoire et suffisamment long (au moins 20 caractères).

[Enthalpy]

Tu n'as pas entendu parler des tables arc-en-ciel (rainbow tables) ?
https://fr.wikipedia.org/wiki/Rainbow_table

Merci !

La table arc-en-ciel nécessite des collisions dans la fonction de hachage. Dès lors, les cryptographes sérieux disent que cette fonction est morte, indépendamment de la méthode utilisée pour créer une collision, et cessent d'utiliser cette fonction.

La table arc-en-ciel est donc une méthode un peu plus pratique pour attaquer une fonction de hachage très faible qui devrait déjà être abandonnée. La bonne parade n'est pas de choisir mieux le mot de passe - ce qui protège peut-être contre la table arc-en-ciel, mais peut-être pas, ni contre des méthodes non connues, ni contre les progrès du matériel - mais de choisir une fonction de hachage pas encore brisée et mieux conçue.

Hélas, beaucoup de fonctions de hachage sont dérivées de md2 et md5 et sont brisées, md5 et sha efficacement, sha-1 de manière difficile à exploiter, sha-256 pas que je sache mais sa conception est similaire. Je préférerais qu'on s'éloignât des modèles md2 et md5 et utilisât d'autres modèles qui existent déjà. L'un d'eux applique un petit nombre de fois un algorithme de chiffrement symétrique en se servant du texte en clair comme clef pour produire la trace. Au moins, ces chiffrements symétriques offrent une diffusion correcte des bits à cacher (chaque bit en clair influence un très grand nombre de fois chaque bit de la trace, grâce à des multiplications ou grandes tables), ce qui n'est pas le cas de md5 et de ses descendants (qui font des opérations bit-à-bit).

Maintenant, si tu veux suggérer que les opérateurs comme Yahoo ne mémorisent que la trace et déduisent un mot de passe à chaque demande de l’État, par une table arc-en-ciel ou autre, je n'y crois pas.
- Tous les opérateurs en France sont légalement obligés de révéler les mots de passe aux barbouzes, or certains opérateurs utilisent sha-256 qui résiste aux collisions, que je sache, et souvent sha-1 contre qui les attaques fonctionnent mal.
- La table arc-en-ciel prend longtemps sur du gros matériel sans aucune garantie de résultat. Les versions anglaise et allemande du wiki cité donnent des exemples chiffrés suggérant que seuls les mots et fonctions très faibles sont menacés. Cela ne répond pas aux exigences de l’État.
- Les pirates on trouvé un milliard de mots de passe, donc pas par une opération individuellement difficile.
Pour moi, la seule solution légale pour les opérateurs est de mémoriser le mot de passe en clair ou sans protection décente, et c'est ce qui a permis le piratage.

[Enthalpy]

Vous pouvez trouver des informations sur la mauvaise protection des cartes bancaires françaises en googlant :
"Carte bancaire" "320 bits"
et c'est à pleurer.

En 1984, le GIE cartes bancaires (en France) avait choisi une clef (pour RSA) de 320 bits. Ou plus probablement, l’État français lui avait imposé cette longueur ridicule. Les autres pays ont pris des clefs de longueur correcte, que les cartes à puce savaient traiter, et n'ont pas eu de soucis. Pire : le GIE garde certaines informations secrètes, ce qui gêne les lanceurs d'alerte mais pas les ennemis.

En 1988, les experts académiques mettent en garde : la clef est trop courte. Le GIE et l’État ne réagissent pas.
En outre, le chiffrement symétrique a une clef de 56 bits, déjà trop courte aussi. Brisé de manière concrète en 1998.

En 1998, le record de factorisation est à 430 bits, mais le GIE n'a toujours rien fait. Serge Humpich factorise avec un PC les 320 bits de la carte bancaire française et montre au GIE qu'il peut produire de fausses cartes qui seraient utilisables dans un but malhonnête. L’État embastille Humpich, censure la Presse qui voudrait parler de l'affaire - comme si les vrais ennemis pouvaient ignorer cette faiblesse - mais ne prend pas de mesure technique sérieuse.

Actuellement (fin 2016), la clef des cartes bancaires françaises est longue de 768 bits, ouaouh. À l'époque de cette décision, on factorisait déjà 512 bits, et les cryptographes exhortaient à ne pas rester indéfiniment à 1024 bits.

Le record actuel de factorisation est de 768 bits aussi
https://en.wikipedia.org/wiki/RSA_numbers#RSA-768
une fois que les grosses machines ont factorisé l'unique clef du GIE, n'importe quelle puce de fausse carte bancaire sait utiliser les facteurs.

Ce pays est vraiment indécrottable.

[A voir en vidéo sur Futura]