Répandus dans la nature à la suite du piratage d’Ashley Madison, les mots de passe utilisés par les membres du site de rencontres extraconjugales sont plus menacés qu’on ne le pense. Un groupe de hackers a en effet trouvé une méthode pour en déchiffrer plus de 11 millions.

L’affaire du piratage du site Ashley Madison, qui propose de faire des rencontres extraconjugales, continue de provoquer des remous. Alors que de nombreuses informations sensibles ont d’ores et déjà été publiées (incluant les données des membres, leurs fantasmes et les courriers de la direction), voilà que la politique de sécurité du service est de nouveau mise en cause.

Ars Technica relate en effet les découvertes de CynoSure Prime, un collectif s’intéressant au déchiffrement des mots de passe. En se basant sur les informations qui ont été publiées par le ou les hackers à l’origine du piratage d’Ashley Madison, le groupe assure avoir réussi à en retrouver plus de 11,2 millions alors qu’ils étaient stockés sous une forme chiffrée dans la base de données.

Comment CynoSure Prime a-t-il procédé ?

C’est simple : après avoir analysé les archives d’Ashley Madison, le collectif a découvert dans la base de données l’existence d’un sous-ensemble contenant 15,26 millions de mots de passe utilisant MD5 comme algorithme de hachage. Or, le MD5 n’est plus considéré comme une fonction de hachage suffisamment sûre depuis 2004, date à laquelle les premières faiblesses ont été découvertes.

Le MD5 « a été conçu pour être rapide et efficace plutôt que pour ralentir les crackers« , note Ars Technica. Pour cela, il vaut mieux s’orienter vers des fonctions de hachage beaucoup plus solides, comme celles de la famille SHA-2, dont l’utilisation est encouragée par l’ANSSI), qui note que celles-ci ont « jusqu’à aujourd’hui bien résisté aux tentatives de cryptanalyse« , selon un document datant d’octobre 2012.

Pour CynoSure Prime, il a été beaucoup plus facile de passer par la vulnérabilité que constitue MD5 plutôt que d’attaquer de front bcrypt qui est est une fonction de hachage particulièrement ingénieuse.

Comme l’explique Wikipédia, elle utilise « un sel pour se protéger des attaques par table arc-en-ciel (rainbow table)« , et est capable de s’adapter « c’est-à-dire que l’on peut augmenter le nombre d’itérations pour la rendre plus lente. Ainsi elle continue à être résistante aux attaques par recherche exhaustive malgré l’augmentation de la puissance de calcul« .

Ainsi, le décryptage n’a pas duré des dizaines ou des centaines d’années, mais à peine quelques jours. Cela étant dit, CynoSure Prime explique qu’il n’a présenté que les grandes lignes de son approche. Le groupe n’a pas l’intention de publier les détails de sa méthode, même si les explications qu’il a données représentent de fait un indice pour des personnes moins bien intentionnées.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !