Gravatar couramment utilisé Blog perso de Paul Da Silva

Pourquoi le décret d’application de la LCEN devrait être inutile

Posted on | mars 4, 2011 | 8 Comments

C’est une des infos chaudes du moment (pour les initiés, madame Michu s’en tamponne joyeusement le coquillard) : plusieurs années après la promulgation de la loi pour la confiance en l’économie numérique, son décret d’application vient de paraitre et il est relativement scandaleux sur un point (au moins). En effet il est prévu que les plateformes techniques protégées par le fameux article 4 (hébergeurs et FAI inclus donc) aient à sauver un certain nombre de données personnelles parmi lesquelles le mot de passe (ou son hash) et un historique du changement de celui-ci.

Pour les autres cela me scandalise, pour moi-même je m’en tamponne autant que madame Michu. Pas parce que cela ne me gêne pas que l’on conserve les hash de mes mots de passe, mais parce que ça fait bien longtemps que j’ai adopté un mode de fonctionnement qui rend cette mesure inintéressante au possible pour atteindre son but.

L’idée est en effet de pouvoir retracer quelqu’un qui masque son IP et utilise de fausses infos dans son profil (pseudo, adresse mail, …) en comparant son mot de passe à celui collecté sur d’autres sites.

Dans la pratique c’est déjà très drôle : j’imagine bien la quantité de données à crawler en espérant que la personne utilise un mot de passe suffisamment évolué pour qu’il soit le seul dans ce cas… Mais là où cela devient encore plus critique c’est que si la personne a pris soin de masquer son IP et de fournir de fausses informations je doute qu’elle utilise le même mot de passe que sur son compte Facebook (auquel les autorités n’auraient de toutes façons pas accès, Facebook étant à l’étranger toussa toussa, il faut passer par le FAI !).

Comment alors fonctionnent ces gens dont je fais parti pour avoir un mot de passe unique par site et / ou service ?

Il suffit d’avoir un jeu de mots de passe initiaux, le plus vous en avez, le mieux vous vous portez ! Est-il besoin de préciser que le nom de votre petit dernier, votre date de naissance, … ne sont pas de bons mots de passes ? L’idéal est d’utiliser un outil sur votre machine pour générer le mot de passe, typiquement l’outil présent dans PHPMyAdmin est assez intéressant si vous y ajoutez des caractères spéciaux.

Ces mots de passes sont ensuite déclinés en fonction d’un élément du site ou service sur lequel vous vous enregistrez selon un ou plusieurs schéma.

L’exemple souvent pris est de prendre la première et dernière lettre du nom du site, de les ajouter au mot de passe initial et bingo, vous avez un mot de passe différent par site, en général suffisamment couillu pour résister à du bruteforce…

Petite précaution intéressante à prendre aussi : dès votre inscription à un site, utilisez le formulaire de récupération du mot de passe. Si celui-ci vous retourne votre mot de passe au lieu de vous faire suivre une procédure pour le changer, demandez la suppression de toutes vos données personnelles et fuyez ! Les mots de passes ne doivent pas pouvoir être récupérés depuis l’information stockée en base de données ! J’ai aussi vu des sites interdisant les caractères spéciaux dans le mot de passe, c’est une hérésie et si vous avez vraiment besoin d’utiliser ce service suivez le conseil suivant.

Dernière petite chose : si vous utilisez des services juste pour les essayer, des choses dans lesquelles vous n’avez pas confiance, utilisez un mot de passe différent de ceux que vous utilisez pour vos mails par exemple…

Sur le motif de ce stockage par contre je suis dubitatif : si un hash de mot de passe peut constituer une piste (son sérieux sera évalué par des juges hein !) sa sacralisation au niveau de preuve m’inquiète autant que ce qui est arrivé à l’adresse IP dans le cadre de la Hadopi…

Enfin, en tant que développeur, je n’utilise jamais un hash MD5 (obsolète) ou sha1 pur pour stocker les empruntes des mots de passe. Il suffit de « saler » le mot de passe (y ajouter une chaine connue) et le hash devient unique. Cela, aussi, rend cette mesure débile – mais nous n’en sommes pas à la première mesure prise sans consulter un seul spécialiste !

Commentaires

8 Responses to “Pourquoi le décret d’application de la LCEN devrait être inutile”

  1. Okhin
    mars 4th, 2011 @ 12 h 12 min

    N’oublions pas que le sjuges ne sont pas les seuls à pouvoir demander ces informations.

    Les services de police et de gendarmerie peuvent le faire également, pour le cas de la lutte anti-terroriste notamment (précisé dans la LCEN), et là, d’un coup, on comprend mieux l’intérêt pour eux de pouvoir récupérer les mots de passe.

    Ça va dans la lignée de la LOPPSI 2 aussi, qui autorise ces mêmes force de police à pouvoir mettre un mouchard dans le domicile d’un suspect sans prévenir celui-ci (il me semble qu’ils ont quand même besoin d’un mandat quelconque).

    Les prestataires techniques doivent égalment conserver l’ensemble des transactions bancaires associées (ainsi que les montants).

    Bon, ben du coup, je vais aller me faire héberger ailleurs moi.

    Okhin

  2. Romain
    mars 4th, 2011 @ 12 h 39 min

    Enfin pour le coup si les mecs veulent vérifier que tu as le même mot de passe, ils sont pas suffisamment con pour ne pas voir que tu as le même mot de passe sur tous les sites à 2 caractères près.
    Si ils comparent les hashs ok, mais s’ils ont les psswd en clair, ça ne change rien. l’astuce est surtout d’avoir un ou plusieurs mdp fondamentalement différents de ceux utilisés sur les autres sites.

  3. Aleric
    mars 4th, 2011 @ 13 h 35 min

    @Okhin : en France il n’existe pas de mandats, mais des commissions rogatoires, qui fonctionnent complètement différemment du système étasunien.

    Pour mes mots de passe, j’utilise pwgen, un très bon générateur de pass en ligne de commande.

    Et pour ne pas me paumer dans tous mes pw, je les regroupe par genre. Tous les forums par exemple sur lesquels je suis membre ont le même mot de passe, mais il est totalement différents de ceux de mes boîtes courriel ou d’administration serveur. Comme ça j’ai 5 ou 6 pass à retenir ce qui reste raisonnable.

  4. Okhin
    mars 4th, 2011 @ 14 h 05 min

    @Aleric: Merci pour l’info (j’avait le nom,mais je pensait que c’était deux choses différentes en fait).

    Okhin – et la LOPPSI 2 n’est pas encore appliquée, il me semble qu’il leur faut un décret d’application (celui de la LCEN ayant mis 7 ans à venir)

  5. T1T3R
    mars 4th, 2011 @ 17 h 02 min

    Pour ma part je ne peux que conseiller l’excellent KeePass. Ce logiciel stocke et organise tous vos mots de passe, et permet d’en générer un aléatoirement pour chaque site.
    Ça peut paraître très handicapant, mais en fait c’est super-pratique et ça va presque aussi vite que de taper un mot de passe ordinaire.

  6. Il Palazzo-sama
    mars 4th, 2011 @ 17 h 07 min

    Personnellement, j’utilise PasswordMaker, logiciel libre, multi-plateforme et multi-browser. Un seul mot de passe « principal » à retenir, un mot de passe généré différent pour chaque site. (pour encore renforcer la sécurité, on peut configurer son compte de diverses manières — à faire avant première utilisation, par contre, pour pouvoir retrouver ses propres mots de passe 😉 —)

    Avec ce système, les mots de passe qu’on utilise ne se ressemblent pas les uns les autres. (sauf pour ce qui est de la longueur, mais celle-ci fait partie des diverses choses qui peuvent être configurées)

  7. Olivier Mehani
    mars 7th, 2011 @ 6 h 12 min

    > Enfin, en tant que développeur, je n’utilise jamais un hash MD5 (obsolète) ou sha1 pur pour stocker les empruntes des mots de passe.

    Un point à ce sujet, que j’ai réalisé en suivant lisant un article de Bruce Schneier [0]. Je ne me souvians malheureusement pas de la référence exacte, mais un point intéressant est que ces hashes sont conçus pour leur rapidité d’éxécution. De ce fait, ils sont plus rapides à brute-forcer, ce qui va à l’encontre de l’objectif initial. Oui, je sais, on ne parle ici que de brute-force, donc ça peut encore aller, mais d’autres hashes sont plus adaptés pour cet usage.

    La Wikipédia a une ligne à ce sujet [1], j’essaie de retrouver l’article de Schneier.

    Tout ça pour dire: MD5 non, SHA1 à défaut de mieux, mais il y a mieux.

    [0] http://www.schneier.com/
    [1] https://secure.wikimedia.org/wikipedia/en/wiki/Password_cracking#Prevention

  8. Jeremy
    mars 12th, 2011 @ 10 h 31 min

    @Olivier
    Moi quand je dois stocker des mdp j’aime bien combiner les methodes, du genre $hash = md5(md5(sha1(md5(sha1($pwd))))) ou n’importe quelle autre combinaison. J’ai jamais joint ca a du salage des mdp mais c’est surement une bonne idee.

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo
1GZnMQ9wXyifxCnDEqg8CSGdngWcKWptHv

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Best Bitcoin debit card

Zcash Mining