Accueil > Dossiers divers > Piratage de Sony Pictures : les mots de passe ... Devenir membre - Se connecter

Piratage de Sony Pictures : les mots de passe volés analysés par un expert

Écrit le 10 juin 2011 à 14h43 par Soulmat | 4915 lectures | Publié par Pieroket | Source : Troy Hunt's Blog
Piratage de Sony Pictures : les mots de passe volés analysés par un expert Un expert a analysé finement une partie de la base de données de mots de passe volée à Sony Pictures et extrapole des conclusions plus qu'édifiantes : nous ne sécurisons pas nos comptes, tous nos comptes.
Sommaire :
  1. 1 - Analyse des mots de passe volés : longueur, complexité et hasard
  2. 2 - Analyse des mots de passe volés : originalité, utilisation multiple et conclusions

Le site de Sony Pictures a récemment été piraté par le groupe LulzSec et un architecte logiciel de MVP Microsoft, Troy Hunt, a pu récupérer une partie la base de données de mots de passe via un torrent associé mis sur la Toile, qui était stockés en clair par Sony dans la base de données (NDLR : tous ceux du site l'étaient, c'est-à-dire 1 million de mots de passe stockés sans aucun cryptage...). Voici le contenu du torrent qu'il a téléchargé :

analyse-mot-de-passe-sony-pictures-09062011-007

analyse-mot-de-passe-sony-pictures-09062011-003

Après navigation dans ces fichiers, dédoublonnage et filtre dans SQL Server, il a pu extraire 37 608 mots de passe. Il en a fait une analyse complète et a pu produire des statistiques sur les comportements des utilisateurs par rapport à la définition de leurs mots de passe (longueur, complexité, etc.), en imageant cela par des graphiques plus qu'édifiants.

Il a tout d'abord commencé son analyse par la longueur des mots de passe. Voici ce qu'il nous confie :

Aucune règle n'est établie réellement sur le sujet et les avis divergent, mais un mot de passe de 8 caractères est acceptable.

Sur ce point, les utilisateurs respectent une longueur acceptable pour leurs mots de passe, avec 93 % d'entre eux qui ont défini entre 6 et 10 caractères, mais 50 % au total ont tout de même un mot de passe de moins de 8 caractères. Une poignée avait utilisé un mot de passe de 20 caractères ou plus.

analyse-mot-de-passe-sony-pictures-09062011-006

La longueur du mot de passe est une chose, mais sa complexité est tout aussi importante, voire davantage. Troy a donc ensuite réalisé un comparatif sur les types de caractères et en étudiant 4 critères :

  1. Les mots de passe contenant des chiffres ;
  2. Les mots de passe contenant des majuscules ;
  3. Les mots de passe contenant des minuscules ;
  4. Les mots de passe contenant toute autre chose.

Voici le résultat obtenu :

analyse-mot-de-passe-sony-pictures-09062011-004

Bonne pratique donc pour ces utilisateurs, qui utilisent majoritairement une variation dans le type de caractères utilisés, avec une forte proportion ayant utilisé des chiffres et majuscules, mais une chose plus qu'étonnante nous frappe : très peu ont utilisé des minuscules dans leur mot de passe. Voyons ensuite si ces types de caractères ont été mélangés ou s'ils sont uniques dans les mots de passe, ce qui là aussi est un critère essentiel : 

analyse-mot-de-passe-sony-pictures-09062011-005

Et c'est là que le bât blesse, car les résultats montrent que 50 % des mots de passe en la possession de l'expert ont un seul type de caractères : 45 % n'ont que des majuscules, 4 % que des chiffres et 1 % que des minuscules, contre 50 % qui ont donc au moins deux types de caractères dans leur mot de passe. Parmi les types de caractères qui sortent de l'ordinaire, il y a bien évidemment les caractères spéciaux, dits "non alphanumériques". Nous trouvons la ponctuation et les symboles entre autres. Une étude est également faite sur leur proportion dans les mots de passe obtenus, et là encore, le constat est édifiant :

analyse-mot-de-passe-sony-pictures-09062011-001

Seul 1 % des mots de passe contiennent ce type de caractères, qui pourtant devraient être devenus monnaie courante dans la définition d'un mot de passe, au vu de la surenchère de complexité mise en exergue et recommandée par la presse spécialisée, les experts et autres éminences dans le domaine de la sécurité informatique.

Autre test effectué sur cette base de données mots de passe : vérifier s'ils ont réellement été définis au hasard ou s'ils sont issus de mots connus. Troy a établi un top 25 des mots de passe les plus trouvés, certains vous feront assurément sourire. Voici le top 25 des mots de passe compris dans les 92 % restants, du plus répété au moins souvent trouvé :

seinfeld ; password ; winner ; 123456 ; purple ; sweeps ; contest ; princess ; maggie ; 9452 ; peanut ; shadow ; ginger ; michael ; buster ; sunshine ; tigger ; cookie ; george ; summer ; taylor ; bosco ; abc123 ; ashley ; bailey.

Certains étonnent particulièrement (9452, cookie, etc.), d'autres apparaissent liés à une sorte de concours qui a pu avoir lieu sur le site (winner, contest et sweeps), tandis que d'autres méritent aisément leur "no comment". Pour autant, l'expert précise tout de même que la majorité des mots de passe retrouvés en double ou plus l'étaient pour des raisons anodines, et que ceux précités dans le top 25 ne concernent que 2,5 % des statistiques.

Page suivante Analyse des mots de passe volés : originalité, utilisation multiple et conclusions
Commentez ou lisez les 12 commentaires de ce dossier

Catégories : Dossiers : Divers, Divers

Mots-clés : Piratage, Sony Pictures, Analyse des mots de passe, Expert informatique

Unchained Blades
Dernier jeu référencé : Unchained Blades Consulter la fiche du jeu

Actualité PSP

Exploitez votre PSP

Aide et information

Sondage

La nouvelle PSP-E1000 vous intéresse-t-elle ?

Voir les sondages

Top recherche