211service.com
Honey Encryption va bousculer les attaquants avec de faux secrets
Ari Juels , un chercheur indépendant qui était auparavant scientifique en chef de la société de sécurité informatique RSA, pense qu'il manque quelque chose d'important à la cryptographie protégeant nos données sensibles : la supercherie.
Les leurres et la tromperie sont des outils vraiment sous-exploités dans la sécurité informatique fondamentale, dit Juels. Ensemble avec Thomas Ristenpart de l'Université du Wisconsin, il a développé un nouveau système de cryptage avec une tendance sournoise. Il offre aux données cryptées une couche de protection supplémentaire en fournissant de fausses données en réponse à chaque estimation incorrecte du mot de passe ou de la clé de cryptage. Si l'attaquant finit par deviner correctement, les données réelles devraient être perdues parmi la foule de données frauduleuses.
La nouvelle approche pourrait être utile étant donné la fréquence à laquelle de grandes réserves cryptées de données sensibles tombent entre les mains de criminels. Quelque 150 millions de noms d'utilisateur et mots de passe ont été récupérés sur les serveurs d'Adobe en octobre 2013, par exemple.
Après avoir capturé des données cryptées, les criminels utilisent souvent un logiciel pour deviner à plusieurs reprises le mot de passe ou la clé cryptographique utilisé pour les protéger. La conception des systèmes cryptographiques conventionnels permet de savoir facilement quand une telle supposition est correcte ou non : la mauvaise clé produit un désordre brouillé, pas une donnée brute reconnaissable.
L'approche de Juels et Ristenpart, connue sous le nom de Honey Encryption, rend plus difficile pour un attaquant de savoir s'il a deviné correctement ou non un mot de passe ou une clé de cryptage. Lorsque la mauvaise clé est utilisée pour déchiffrer quelque chose de protégé par leur système, le logiciel Honey Encryption génère une fausse donnée ressemblant aux vraies données.
Si un attaquant utilisait un logiciel pour faire 10 000 tentatives de décryptage d'un numéro de carte de crédit, par exemple, il récupérerait 10 000 faux numéros de carte de crédit différents. Chaque décryptage va sembler plausible, dit Juels. L'attaquant n'a aucun moyen de distinguer a priori ce qui est correct. Juels a précédemment travaillé avec Ron Rivest, le R de RSA, pour développer un système appelé Mots de miel pour protéger les bases de données de mots de passe en les bourrant également de faux mots de passe.
Juels et Ristenpart présenteront un article sur Honey Encryption au Eurocrypt conférence de cryptographie plus tard cette année. Juels travaille également à la construction d'un système basé sur celui-ci pour protéger les données stockées par les services de gestion de mots de passe tels que Dernier passage et Dashlane . Ces services stockent tous les différents mots de passe d'une personne sous une forme cryptée, protégés par un seul mot de passe principal, afin que le logiciel puisse les saisir automatiquement sur les sites Web.
Les gestionnaires de mots de passe sont une cible savoureuse pour les criminels, déclare Juels. Il pense que de nombreuses personnes utilisent un mot de passe principal non sécurisé pour protéger leur collection. La façon dont ils sont construits décourage l'utilisation d'un mot de passe fort car vous devez constamment le saisir, même sur un appareil mobile dans de nombreux cas.
Juels prédit que si les criminels mettaient la main sur une grande collection de coffres-forts de mots de passe cryptés, ils pourraient probablement en déverrouiller bon nombre sans trop de problèmes en devinant les mots de passe principaux. Mais si ces coffres étaient protégés par Honey Encryption, chaque tentative incorrecte de déchiffrement d'un coffre en produirait un faux à la place.
Hristo Bojinov, PDG et fondateur de la société de logiciels mobiles Anfacto , qui a déjà travaillé sur le problème de la protection des coffres-forts de mots de passe en tant que chercheur en sécurité, affirme que Honey Encryption pourrait aider à réduire leur vulnérabilité. Mais il note que tous les types de données ne seront pas faciles à protéger de cette façon, car il n'est pas toujours possible de connaître les données cryptées avec suffisamment de détails pour produire des contrefaçons crédibles. Tous les systèmes d'authentification ou de cryptage ne se prêtent pas à être « maisonnés ».
Juels est d'accord, mais est convaincu qu'à l'heure actuelle, suffisamment de vidages de mots de passe ont été divulgués en ligne pour permettre de créer des faux qui imitent avec précision des collections de vrais mots de passe. Il travaille actuellement à la création du faux générateur de coffre-fort de mots de passe nécessaire pour que Honey Encryption soit utilisé pour protéger les gestionnaires de mots de passe. Ce générateur s'appuiera sur les données d'une petite collection de coffres-forts de gestionnaires de mots de passe divulgués, de plusieurs grandes collections de mots de passe divulgués et d'un modèle d'utilisation des mots de passe dans le monde réel intégré à un puissant craqueur de mots de passe.