Si vis pacem para bellum: Fonctions de hachage et mots de passe complexes sur Duckduckgo

lundi 15 juin 2015

Fonctions de hachage et mots de passe complexes sur Duckduckgo

Même s'il est possible que nombre d'entre vous ne le sachiez déjà, j'avoue n'avoir découvert que récemment les fonctions cryptographiques intégrées à Duckduckgo. Pour les autres, Duckduckgo est l'un des moteurs de recherches sur Internet dont le slogan nous dit qu'il est "le moteur de recherche qui ne vous espionne pas". Sa philosophie générale est de préserver le plus possible la vie privée des internautes en ne stockant aucune information personnelle. Pour les plus ~~affûtés~~ paranos, il propose une enclave de sortie Tor [1] depuis 2010 soit des siècles [2] avant l'affaire Snowden. Des fonctions qui, bien qu'appréciables, ne garantissent cependant pas les requêtes des autorités fédérales américaines ou les intrusions discrètes mais néanmoins puissantes de la NSA. Mais revenons à l'une des originalités qui fait de ce moteur l'une des alternatives agréables à Google [3] : les fonctions de génération de mots de passe notamment forts, de hachage [4] et de récupération de mots de passe à partir des hashés !

Concernant les mots de passe, et même si une ~~mode d'incultes~~ certaine contre-culture est de les considérer comme devenus parfaitement inutiles, répétons qu'ils demeurent encore la première ligne de défense face à certains types de cyberattaques : faibles, triviaux, facilement décelables et cassables en force brute ou par dictionnaire, ils demeurent nécessaires [5] tant que des évolutions robustes n'auront pas émergé [6]. C'est dans ce cadre que peut être utilisée une fonction proposée par Duckduckgo. Si vous saisissez "password 12 strong" aussitôt un mot de passe fort aléatoire de 12 caractères vous est proposé. Il suffit ensuite de moduler le chiffre qui, vous l'aurez compris, plus élevé il sera [7] plus le mot de passe résistera.

Une seconde fonction intéressante concerne la possibilité de hasher son mot de passe ce qui compliquerait alors un tantinet un attaquant décidé à pénétrer à tout prix votre système d'information grâce à votre mot de passe. Si vous saisissez par exemple "sha256 si vis pacem para bellum" le résultat du palmipède numérique nous donne "9dffacae7b3735f824217c62b37676221ebb38c2812f92cf651eac70610cc019". Inversement, il est possible de savoir que "3f177cf138fdb407b51239a3c4442673" est le hashé MD5 de "si vis pacem para bellum". Cette astuce marche évidemment avec l'ensemble des fonctions de hachage de SHA-1 à SHA-2/SHA-3 (sha256, sha512) en passant par MD5, Whirlpool (512 bits) et même (Microsoft) NTLM [8].

Par ailleurs, et c'est sans doute l'élément qui intéressera les plus curieux d'entre vous, il est également possible de récupérer un mot de passe en clair d'après son hashé ! A la condition qu'il fasse partie du wall of fame des mots de passe notamment leakdb [9], autrement dit l'une des bases de données mondiales qui recense les mots de passe et les mails ayant fait l'objet de cyberattaques (et de fuites) réussies. Par exemple, si est saisi "leakdb e10adc3949ba59abbe56e057f20f883e" on apprend qu'il s'agit d'un hashé MD5 qui s'écrit aussi "ba3253876aed6bc22d4a6ff53d8406c6ad864195ed144ab5c87621b6c233b548baeae6956df346ec8c
17f5ea10f35ee3cbc514797ed7ddd3145464e2a0bab413" en sha512 et qui signifie en texte clair "123456". Soit l'un des mots de passe parmi les plus couramment utilisés au monde [10]. Finalement, ces fonctions amusantes proposées par Duckduckgo sont aussi une bonne façon de se familiariser avec quelques fondamentaux de la cryptographie [11] et de la constitution d'un mot de passe fort et résistant.

Note : cet article s'inspire honteusement :) de celui-ci

[1] http://arstechnica.com/business/2012/05/private-the-search-engines-that-make-money-by-not-tracking-users/

[2] A l'échelle numérique

[3] On recommandera alors Ixquick qui est localisé aux Pays-Bas donc non soumis aux lois étasuniennes

[4] https://fr.wikipedia.org/wiki/Fonction_de_hachage