La cryptographie intelligente peut aider à limiter les dommages causés par la mégabrèche MyFitnessPal

ZDNet





Cela ne semble pas bon pour Under Armour. Le géant de l'habillement et propriétaire de l'application de suivi de régime MyFitnessPal vient de souffrir l'une des plus importantes violations de données de l'histoire de la cybersécurité, les pirates s'enfuyant avec des informations telles que les noms d'utilisateur, les adresses e-mail et les mots de passe associés à environ 150 millions de comptes.

Mais tous les piratages ne sont pas aussi désastreux, et celui-ci pourrait s'avérer moins dommageable que d'autres énormes fuites grâce à l'utilisation par Under Armour d'une technologie appelée bcrypt pour protéger de nombreux mots de passe volés.

Pour comprendre pourquoi bcrypt est important, quelques informations sur les défenses cryptographiques sont utiles. L'approche de base pour protéger les mots de passe implique le hachage, qui les convertit en chaînes de caractères aléatoires stockées dans une base de données. Lorsqu'une personne se connecte avec un mot de passe en clair, la version hachée de celui-ci est vérifiée par rapport au hachage de son mot de passe extrait de la base de données ; s'il y a une correspondance, l'accès est accordé. Si des pirates pénètrent dans la base de données, ils n'obtiennent que les hachages, pas les mots de passe réels.



Les hachages ne sont pas conçus pour être inversés en texte brut, mais cela n'empêche pas les méchants d'essayer. Parmi les tactiques qu'ils utilisent figurent les attaques par dictionnaire, qui consistent à hacher des mots de passe et des phrases communs pour voir s'ils correspondent aux données cryptées qui ont été volées, et les attaques par force brute, qui essaient toutes les combinaisons possibles de caractères jusqu'à une longueur donnée pour démêler un hachage .

Pour rendre la vie des pirates plus difficile, les défenseurs intelligents utilisent souvent le salage, qui est un langage cryptographique pour ajouter des caractères générés aléatoirement à un mot de passe en texte brut avant qu'il ne soit haché. Cela garantit que deux mots de passe ne peuvent pas avoir le même hachage. Bien que le salage soit un fléau pour les pirates, ils peuvent toujours essayer de casser des chiffrements individualisés en utilisant des attaques par force brute et par dictionnaire.

C'est là que bcrypt entre en jeu. En plus d'utiliser le salage, il prolonge le temps nécessaire pour exécuter une fonction de hachage en nécessitant plusieurs cycles de calcul pour obtenir un résultat. Il est délibérément conçu pour être extrêmement lent, explique Paul Kocher, conseiller technologique senior chez Rambus et expert bien connu en cryptographie.



Lent ici est toujours mesuré en millisecondes, de sorte que l'impact sur l'expérience de l'utilisateur de se connecter à une application ou à un site est à peine perceptible. Mais même de très petits retards peuvent frustrer les pirates utilisant du matériel informatique haut de gamme pour essayer de parcourir des milliards de hachages par seconde. Des technologies comme bcrypt donnent aux entreprises plus de temps pour réagir à une violation et aux utilisateurs plus de temps pour changer leurs mots de passe. Under Armour était intelligent pour utiliser bcrypt, mais pourquoi il ne l'a pas appliqué à tous les mots de passe associés à MyFitnessApp reste un mystère. (Ceux qui n'étaient pas couverts par celui-ci étaient protégés à l'aide d'une fonction de hachage plus faible connue sous le nom de SHA-1.)

Le fait que bcrypt ne peut que retarder les pirates, pas les contrecarrer complètement, signifie qu'il est toujours très important de changer rapidement les mots de passe si vous êtes averti qu'un service que vous utilisez a été piraté, et d'éviter d'utiliser le même mot de passe dans plusieurs applications. C'est aussi pourquoi il est avantageux d'utiliser des mots de passe difficiles à deviner plutôt que des mots de passe courants qui peuvent être rapidement décochés par des hackers.

cacher