Ces mêmes personnes ont dû remarquer que le site est indisponible depuis un certain temps maintenant aussi.
Apparemment mon site a été désactivé par Free pour la raison suivante : système de cache à revoir.
En parcourant le net, je me suis aperçu que pour débloquer la situation, il fallait passer par une demande sur les newsgroups de Free.
Donc je fais ma demande de déblocage sur le newsgroup (d'ailleurs un petit google sur moi affiche ma demande sur le newsgroup (ici), c'est pas tip top, mais on fait avec ...). Je n'ai acces à plus rien sur le site (plus d'acces à ma console d'admin joomla / pas de FTP), donc la seule chose que j'ai pu faire était de changer mes mots de passe. Et j'engageais à passer sur du statique (pour éviter d'avoir des données dynamiques à mettre en cache)(voir ici).
Dans mon second lien, on voit que je fais une référence à la politique de sécurité concernant les mots de passe chez Free : un maximum de 8 caractères ASCII sur un mot de passe, potentiellement cela peut faire beaucoup de possibilités, mais en réalité la majorité des utilisateurs ne vont utiliser que 60% des 95 caractères affichés (les minuscules a-z, les majuscules A-Z, et les chiffres 0-9), et avec un peu de chance les mots de passe utilisés sont des mots usuels du dictionnaire, résultat sur on a réussi a réduire le champs de recherche à une centaine de milliers de possibilités. (moi même j'avais mis des mots de passe disponibles dans un dictionnaire, c'est pas une best practice mais passons).Toujours est-il qu'une phrase contient plusieurs mots, et qu'il est difficile d'écrire une "passphrase" de 8 caractères (c'est un peu short).
Mais venons en au coeur du sujet : le stockage des mots de passe chez Free.
L'administrateur (Yohan) a répondu le 19 septembre :"Bof je n'apelle pas ca un password". Comment a-t-il fait pour voir le mot de passe?
Premièrement sur quel support est stocké le mot de passe?
- sur un support matériel : un mot de passe écrit sur un post-it par exemple,
- sur un support "dématérialisé": le mot de passe est stocké sous forme dite dématérialisé (si quelqu'un a déjà pu toucher un fichier .txt ou une base de données), ça peut être un fichier texte, une base de données, ou ... n'importe quel fichier (abstraction des types de fichiers sous unix / par utilisation de stéganographie).
Nous supposerons que les mots de passe sont stockés sur des supports dématérialisés (on suppose que Free soit une entreprise écolo), un mot de passe peut être enregistré en clair ou non:
- en "clair" : si le mot de passe est "toto", n'importe qui qui lit le fichier contenant le mot de passe lira "toto"
- si le mot de passe n'est pas enregistré en "clair", on peut penser qu'il a été enregistré sous forme de hash. Le mot de passe "toto" sera enregistré sous une autre forme défini par une méthode non réversible, appelé algorithme de hashage (MD5 ou SHA-1 par exemple) pour obtenir un hash (par exemple f71dbe52628a3f83a77ab494817525c6 est le hash MD5 du mot de passe "toto"), il est normalement impossible de deviner le mot de passe à partir du hash.
Je ne considère pas que chiffrer le fichier de mots de passe soit une possibilité ici: si on devine la clé de chiffrement, on obtient les mots de passe en clair, de plus les algorithmes de chiffrement symétrique/asymétrique sont à mon sens plus utilisé pour garantir une confidentialité au niveau des communication. Et je ne traite que du stockage et non de la communication des mots de passe.
Revenons à nos moutons, comme expliqué un peu plus haut, soit le mot de passe est en clair soit il ne l'est pas, et là 2 possibilités:
- soit c'est en clair, et n'importe qui pourra lire les mots de passe sans le moindre effort ... et bon je suis très très rassuré (ou pas) ... ca fait quand même potentiellement un peu plus de 3 millions de mots de passe en clair (Free a dépassé les 3 millions d'abonnés, et bon si les mots de passe pour les pages perso sont en clair, rien ne garantie que les mots de passe des comptes clients soit mieux sécurisé ...)
- soit ce n'est pas en clair, et l'administrateur s'amuse à faire une attaque sur le hash (avec ce qui se trouve sur le net, ce n'est plus très difficile de retrouver le mot de passe à partir d'un hash ...), peut-être mieux utiliser ce temps.
Enfin bref, quoi qu'il arrive, ma page perso Free c'est de l'histoire ancienne. Et j'en profite pour dire que l'algorithme de hashage SHA-1 est (enfin?) plus cité que l'algorithme MD5 au niveau des RFCs.
No comments:
Post a Comment