L’affaire du piratage du site Ashley Madison, qui propose de faire des rencontres extraconjugales, continue de provoquer des remous. Alors que de nombreuses informations sensibles ont d’ores et déjà été publiées (incluant les données des membres, leurs fantasmes et les courriers de la direction), voilà que la politique de sécurité du service est de nouveau mise en cause.
Ars Technica relate en effet les découvertes de CynoSure Prime, un collectif s’intéressant au déchiffrement des mots de passe. En se basant sur les informations qui ont été publiées par le ou les hackers à l’origine du piratage d’Ashley Madison, le groupe assure avoir réussi à en retrouver plus de 11,2 millions alors qu’ils étaient stockés sous une forme chiffrée dans la base de données.
Comment CynoSure Prime a-t-il procédé ?
C’est simple : après avoir analysé les archives d’Ashley Madison, le collectif a découvert dans la base de données l’existence d’un sous-ensemble contenant 15,26 millions de mots de passe utilisant MD5 comme algorithme de hachage. Or, le MD5 n’est plus considéré comme une fonction de hachage suffisamment sûre depuis 2004, date à laquelle les premières faiblesses ont été découvertes.
Le MD5 « a été conçu pour être rapide et efficace plutôt que pour ralentir les crackers« , note Ars Technica. Pour cela, il vaut mieux s’orienter vers des fonctions de hachage beaucoup plus solides, comme celles de la famille SHA-2, dont l’utilisation est encouragée par l’ANSSI), qui note que celles-ci ont « jusqu’à aujourd’hui bien résisté aux tentatives de cryptanalyse« , selon un document datant d’octobre 2012.
Pour CynoSure Prime, il a été beaucoup plus facile de passer par la vulnérabilité que constitue MD5 plutôt que d’attaquer de front bcrypt qui est est une fonction de hachage particulièrement ingénieuse.
Comme l’explique Wikipédia, elle utilise « un sel pour se protéger des attaques par table arc-en-ciel (rainbow table)« , et est capable de s’adapter « c’est-à-dire que l’on peut augmenter le nombre d’itérations pour la rendre plus lente. Ainsi elle continue à être résistante aux attaques par recherche exhaustive malgré l’augmentation de la puissance de calcul« .
Ainsi, le décryptage n’a pas duré des dizaines ou des centaines d’années, mais à peine quelques jours. Cela étant dit, CynoSure Prime explique qu’il n’a présenté que les grandes lignes de son approche. Le groupe n’a pas l’intention de publier les détails de sa méthode, même si les explications qu’il a données représentent de fait un indice pour des personnes moins bien intentionnées.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !