Mots de passe versus Men in Black
28 avril 2020 - 09:48,
Tribune
- Cédric CartauJuste après m’être fait torcher par Bébé Peach sur le circuit Château de Bowser, je tombe sur la fuite de données des comptes des utilisateurs Nintendo[1](160 000 comptes avec les coordonnées Paypal tout de même) en me disant qu’avec la protection que j’ai mise en place pour mes propres mots de passe, je ne cours aucun risque. Quoique : OK, mes comptes sont sécurisés avec des mots de passe longs comme le bras à complexité maximale (il faudrait plus que l’âge de l’Univers pour les casser), mais encore faudrait-il que l’attaquant agisse en mode classique, fair-play, équitable. Que se passerait-il si d’aventure on me mettait un pistolet sur la tempe pour me chiper mes codes ?
De façon générale, les dispositions que l’on conseille traditionnellement de mettre en œuvre pour protéger ses comptes (bancaires, réseaux sociaux, etc.) tournent autour des mêmes thèmes (longueur et complexité des mots de passe, stockage chiffré, sauvegarde chiffrée, etc.) mais présupposent un élément qui n’est jamais explicite : l’attaquant est au même niveau que vous. S’entend par là qu’il dispose d’outils (force brute, dictionnaires, etc.) ou de techniques (phishing, ingénierie sociale, etc.) dont la « force » est de même nature. Contre un attaquant qui vous met un pistolet sur la tempe, votre KeePass sécurisé ne vous sera d’aucune aide : si le malfaisant dispose en sus d’une batterie de voiture et de deux pinces crocodiles, il ne faudra pas dix minutes pour que vous lui donniez accès à votre coffre-fort de mots de passe, avec en prime la recette de l’osso buco à la milanaise tout en lui récitant l’alphabet grec à l’envers. Bref, la question devient : comment protéger un secret face à un adversaire qui dispose d’infiniment plus de pouvoirs que vous ? Il peut s’agir d’un douanier à l’arrivée d’un aéroport, d’un juge, d’un malfrat, etc.
Il existe quatre façons de protéger un secret : le détruire (c’est radical), le chiffrer (technique qui n’est justement pas utilisable ici), noyer l’adversaire sous un flot d’informations inutiles (c’est l’intoxication) ou enfin le noyer au milieu d’informations anodines (c’est l’obfuscation).
Le noyer au milieu d’informations anodines (le thème de La Lettre volée d’Edgar Allan Poe) est très intéressant : il existe une espèce particulière d’araignées qui, pour se prémunir des attaques de son prédateur naturel (la guêpe), parsème sa toile de cocons dont les reflets à la lumière les font apparaître comme le sosie de ladite araignée pour lesdites guêpes. Autre exemple : pour éviter le profilage effectué par les réseaux sociaux de type Facebook, il existe des outils qui inondent le profil d’un utilisateur d’informations, qui plus est contradictoires : a changé quatre fois de religion, multiplie les voyages aux quatre coins de monde, likeà peu près tout ce qui lui passe sous la souris, a fait 15 écoles, etc. Et bien entendu tous les militaires connaissent la technique des leurres utilisés dans l’aviation de combat pour permettre à un avion de chasse d’échapper au missile guidé qui l’a dans son collimateur. Écrire votre mot de passe dans un endroit tellement visible que personne ne songerait à l’y chercher : portez-le en pendentif (je suis sérieux), le gugusse qui va essayer de le découvrir sera tellement obnubilé par le scan de votre disque dur, de votre smartphone et de vos clés USB qu’il passera 20, 100 fois devant sans le repérer.
Enfin, l’intoxication – équivalent d’une attaque DDoS – revient par exemple à envoyer tellement d’informations qu’il devient impossible de les analyser : il s’agit d’une technique bien connue des avocats outre-Atlantique, qui envoient à la partie adverse des dossiers épais comme tous les annuaires réunis pour saturer sa capacité d’analyse. Face aux forces de l’ordre qui vous intimeraient de livrer le MDP de votre KeePass, je suggère la technique suivante : générer des centaines, des milliers de fichiers KeePass, avec tous le même mot de passe, mais dont un seul contient les informations pertinentes. Donnez votre mot de passe, ce n’est pas grave : je souhaite bon courage au pauvre gars qui va devoir les ouvrir un à un à la recherche du poil de jambe de mouche dans la fourrure d’un golden retriever.
Pourquoi ce long développement ? Parce qu’il flotte dans l’air ces dernières semaines un relent de traçage de la population, sous couvert d’arguments de santé publique que je ne discute pas, mais dont tous les commentateurs avisés alertent sur le fait que les libertés supprimées en temps de crise sont très difficiles à recouvrer une fois la situation revenue à la normale. L’appli StopCovid est en train de se vautrer sur les réalités d’usage des smartphones et leurs limitations concernant le fonctionnement du Bluetooth, mais d’ici à ce qu’un bureaucrate au front bas décide de passer à la vitesse supérieure en utilisant la géolocalisation, il n’y a qu’un pas. Lire à ce sujet l’édifiant et instructif article de La Quadrature du Net[2].
[1] https://cyberguerre.numerama.com/4660-nintendo-confirme-le-hack-de-160-000-comptes-mais-estime-ne-pas-etre-responsable.html