Base de donnée piratée que comprendre/entendre
Aujourd’hui dans l’actualité : Le site de location de voitures de Système U victime d’un piratage.
Que faut il comprendre derrière ces annonces (trop) fréquentes ?
• Dans les communiqués des entreprises s’étant fait dérober des données on lit toujours un message rassurant du type
Aucune donnée de paiement n’a été piratée
Dans les fait c’est normal.
Les données liées aux moyens de paiement ne sont jamais stockées.
Faire autrement serait criminel.
• On lit souvent également
Les pirates n’ont pas eu accès aux mots de passe
Là aussi c’est normal.
Dans les faits votre mot de passe n’est pas stocké dans la base de données.
Votre mot de passe est chiffré avec un protocole à sens unique qui ne peut pas être déchiffré, ce qui vient à dire qu’on ne stocke pas votre mot de passe mais qu’on stocke son empreinte.
Exemple.
Votre mot de passe est « cheval« .
Dans la base de donnée on enregistrera « 9f87ec4fda4a91dd564f6bdf1ab301c8 » qui est l’empreinte MD5 (nom du protocole de chiffrement) de votre mot de passe.
À chaque connexion le système chiffrera votre mot de passe pour comparer son empreinte avec celle enregistrée dans la base de donnée.
Mais il existe une faiblesse.
Il existe des bases de données qui enregistrent les concordances mots de passe/empreinte.
Ces bases de données s’appelle des Rainbow table.
Ainsi en cherchant sur Google vous trouverez des rainbow table vous indiquant que l’empreinte « 9f87ec4fda4a91dd564f6bdf1ab301c8 » équivaut au mot de passe « cheval« .
Il est donc très important de ne jamais entrer votre mot de passe dans un site qui vous promet d’analyser la sécurité de votre mot de passe. Il y a de forte chance que ce sitee serve à nourrir une rainbow table.
Donc on met en place une parade et on rajoute un peu plus d’infos dans votre mot de passe sans que vous ne le voyiez ou sachiez.
On dit qu’on sale l’enregistrement.
Par exemple le mot de passe que vous indiquez est toujours « cheval« , mais le système avant d’en faire l’empreinte, ajoute un peu de texte (ou un fichier, car le chiffrage fonctionne aussi avec les fichiers comme une image par exemple !) avant, après ou même dans votre mot de passe.
Dans l’exemple on va ajouter « bonjourbonjour » après la seconde lettre de votre mot de passe avant de stocker l’empreinte de tout ça.
On va donc faire l’empreinte de « chbonjourbonjoureval« .
L’empreinte deviendra « 5f50d426d2fd7c41fa9eba3293104f96« , et la les rainbow table sont tout de suite incapables de retrouver le cheval initial.
Les développeurs qui ne salent pas leurs enregistrement de mot de passe sont eux aussi criminels.
• Mais ce qu’on ne lit jamais, c’est à quoi vont bien servir ces données si le pirate ne peut accéder ni à votre carte bleue ni à votre mot de passe.
Dans la plus part des cas ces données seront utilisées pour faire du phishing.
Le phishing c’est le fait de vous envoyer des emails (issue de la base de donnée dérobée), avec tous les éléments pour vous mettre en confiance (toujours issue de la base de donnée), en se faisant passer pour ceux qui se sont fait voler la base de donnée.
Par exemple, avec la base de donnée du site de location de Système U, nous pourrions envoyer un emails à toutes les personnes ayant loué quelque choses ces trois derniers mois, pour leur indiquer qu’ils leur reste à payer quelques euros;
Ou à ceux qui ont une location de prévue dans les prochains jours/semaines, qu’il est nécessaire de payer avant le jour de la location, sur tel site (qui reprend idéalement l’interface du site de location de Système U).
Pour aller plus loin, il serait intéressant que les développeurs chiffrent avec des systèmes de chiffrage à double sens, qui peut être déchiffré, tous les éléments stockés en base de donnée.
Ainsi même en cas d’intrusion dans la base de donnée le pirate n’aura accès qu’à des données inutilisables sans la clés de déchiffrage.
Pour aller encore plus loin, si les données n’ont pas a être lues sans l’accord de l’internaute, cette clés de déchiffrage pourrait même être le mot de passe de l’internaute !
PS : Si vous souhaitez savoir si vous figurez dans des bases de données piratées et mises en ligne sur internet, vous pouvez rentrer votre email sur le site HaveIBeenPwned.com