La taille a de l'importance

Posted by Frédéric Lemoine in Confidentialité, PDF, Sécurité
Friday, June 26. 2009

Nous avons vu qu'il est possible de protéger un fichier PDF à l'aide d'un mot de passe. Comme tous les mots de passe, ceux protégeant les fichiers peuvent être "craqués", c'est-à-dire que l'on peut les rendre lisibles.

Pour craquer un mot de passe, il n'est pas nécessaire d'être un hacker de génie, ni d'être titulaire d'une thèse de doctorat en cryptographie. Ainsi, la société Elcomsoft (http://www.elcomsoft.com/), par exemple, vend des programmes de craquage qui ne sont pas plus compliqués à utiliser que n'importe quelle suite bureautique. Le prix n'est pas un obstacle non plus, il ne vous en coûtera que 49 euros pour la version PDF.

La question n'est donc pas de savoir si un mot de passe peut être craqué, mais combien de temps cela prendra pour le craquer. Cette durée est fonction de trois éléments :

la complexité du mot de passe,

la longeur du mot de passe,

et la puissance informatique à disposition du craqueur.

Alors, que faire ? A quoi bon protéger ses documents s'il est possible de révéler le mot de passe. La solution consiste à choisir un bon mot de passe, c'est-à-dire un dont la longueur et la complexité sont proportionnelles au niveau de protection que l'on veut donner au document.

Qu'est-ce qu'un mot de passe complexe ?

C'est avant tout un mot qui ne se trouve pas dans un dictionnaire. Notez que les dictionnaires de hackers sont intelligents. Ainsi, RoiAlbert2, Juliette4ever, !Super!, ruetartsinimda ("admininistrateur" à l'envers) sont des mots que l'on peut trouver dans des dictionnaires de mot de passe. De tels mots sont craqués en l'espace de quelques secondes, voire de quelques minutes, même sur des ordinateurs peu puissants.

Autrement dit, quelle que soit la suite de caractères (chiffres et/ou lettres), si celle-ci à un sens, ce n'est pas un bon mot de passe. Par le fait même qu'il a un sens, il peut être trouvé bien plus rapidement qu'une suite aléatoire de caractères.

Pour augmenter la complexité, il faut mélanger les lettres, les chiffres, les majuscules, les minuscules et les caractères spéciaux.

Exemple : QUt5('oPb7@

Comment retenir ce mot de passe ? Reportez-vous à l'article "Les gestionnaires de mots de passe : une nécessité", du 23 mai 2009.

Longueur du mot de passe et puissance de calcul

Quel que soit le degré de complexité, les outils de craquage peuvent tester toutes les combinaisons possibles de caractères, jusqu'à trouver la bonne. La parade consiste à allonger la chaîne de caractère. Plus elle est longue, plus cela prend du temps pour craquer. Ce temps dépendra beaucoup de la puissance de l'ordinateur utilisé pour le craquage. Donc, plus vous voulez protéger votre information, plus vous allongerez la chaîne de caractères.

A titre indicatif, si l'on compose le mot de passe à partir de l'ensemble des 96 caractères(1), on obtient, en utilisant un bon PC récent, les durées de craquages suivantes :

6 caractères : 22 heures

7 caractères : 87 jours

8 caractères : 23 ans

Gardez à l'esprit que si votre information intéresse des grosses sociétés ou des gouvernements, ces organisations ont d'autres puissances de traitement à leur disposition. A l'aide de calculateurs en réseau, ou d'un supercalculateur, le mot de 8 caractères peut être craqué en moins de 84 jours, au lieu de 23 ans. D'autre part, créer un réseau de calculateurs est à la portée de n'importe quel bon technicien, et peut être réalisé avec des ordinateurs "normaux". Vous devez donc comparer le coût de votre information, au coût en temps et en moyens nécessaires au craquage du mot de passe. En fonction de cela, vous décidez de la longueur du mot de passe.

(1) 0123456789AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz <SP>!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~

Comments (0) - Trackbacks (0)

Defined tags for this entry: bureautique, confidentialité, encryption, mot de passe, pdf, sécurité

Trackbacks

Trackback specific URI for this entry

No Trackbacks

Comments

Display comments as (Linear | Threaded)

No comments

Add Comment

Name
Email
Homepage
In reply to
Comment	Enclosing asterisks marks text as bold (word), underscore are made via _word_. Standard emoticons like :-) and ;-) are converted to images. To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly. Enter the string from the spam-prevention image above:
	Remember Information?
Submitted comments will be subject to moderation before being displayed.