766 trillions d’années pour trouver un mot de passe EviTag NFC ou EviCard NFC

C’est le résultat d’un simulateur pour trouver un mot de passe de 20 caractères généré par #EviCard NFC ou #EviTag NFC

L’âge de l’univers est estimé à uniquement 14 milliards d’années, cela vous donne une idée de comparaison.

Comment ai-je trouvé ce résultat que vous pouvez contrôler par vous-même ?

Nous avons utilisé le Password Strength Calculator développé par Bob Beeman [1] dont la dernière mise à jour date du 4 janvier 2013.

Ce simulateur est accessible librement sur le site de www.bee-man.us ainsi que le code source utilisé.

Pourquoi avoir choisi ce simulateur ?

Il y a d’autres simulateurs comme celui de lastbit.com [2], password-checker.online-domain-tools.com [3] et notamment celui de l’ANSSI [4] ssi.gouv.fr. Mais j’ai(AI) est le sigle en anglais de Artificiel Intelligence, et en Français (IA) Intelligence Artificielle.... More opté pour le simulateur de Monsieur Bob BEEMAN pour la transparence de son mode de calcul et l’approche technique face aux attaques brute force.

Dans un premier temps, il faut remercier l’auteur de ce code, Monsieur Bob BEEMAN, qui nous permet d’accéder et de copier librement son code en respectant ses droits d’auteurs, ce qu’il explique sur son site. En espèrant que nous contribuerons à dépasser son record de 15 millisecondes de gloire ;).

Maintenant que vous êtes dans la capacité de vérifier son code, nous allons nous intéresser à sa référence à un ordinateur ultra puissant conçu en 2012 dédié à attaquer les mots de passe.

Cette approche me semblait importante, pour vous faire une idée sur l’état de l’art et de la technologie pour attaquer, en brute force, un mot de passe.

Le simulateur de Bob Beeman prend en compte la capacité de calcul d’un ordinateur, dont celui conçu en 2012, pour réaliser des attaques en force brute sur les mots de passe. Pour cela, il vous suffit de changer les valeurs de Hacker : Haches / seconde. Un point important si vous souhaitez refaire le calcul avec un ordinateur plus puissant. Cela vous donne un point de repère et de comparaison.

Je suis volontairement resté sur l’exemple proposé par défaut par Bob Beeman à 60*109(billion) / seconde.

Pour obtenir le résultat, vous choisissez 94 symboles, nombre de caractères du mot de passe 20 et 50% de probabilité de réussite par rapport au résultat théorique. Vous obtiendrez en années 766.076.000.000.000.000.000 soit 766 trillions [5] d’années.

Cette approche présente aussi l’intérêt de vous donner une idée sur les moyens financiers à mettre en œuvre pour monter un système informatique capable de trouver le mot de passe.

Si on prend en considération l’ordinateur de référence, la configuration de Gosney utilise un pool de 25 GPU AMD virtuels pour forcer des mots de passe même très forts. Avec un seul ordinateur de ce type, il n’est capable de générer que 348 milliards de hachages de mots de passe NTLM par seconde. Cependant, à environ 30 000$ l’unité en 2012, pour un résultat attendu dans 766 trillons d’année. Il faut prévoir d’en acheter plusieurs.

Ainsi, pour trouver uniquement le mot de passe de 20 caractères généré avec la solution EviTag NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More ou EviCard NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More, sur une année, il faudrait investir près de 25 Billiards $ quand on sait que le coût mondial des dépenses militaires [6] est estimé à 1.7 Billions $ !

Vous avez maintenant une idée plus précise du niveau de résistance aux attaques force brute sur les mots de passe générés par nos solutions. Entendu, que ce test est réalisé sans l’activation et l’utilisation de nos autres contre- mesures d’attaques force brute telles que la blockchain physique et le jamming.

Cela fera surement l’objet d’un nouvel article.

Pour finir d’illustrer cet article, j’utilise un autre point de référence. Le site de l’ANSSI [7] dont le simulateur limité à 20 caractères et 90 symboles nous donnera une note de 130 qui est le maximum. Cette note compare ce type de mot de passe à la plus petite taille de clé de l’algorithme de chiffrement standard AES (128 bits). Nos générateurs de mots de passe dépassent ce maximum de 130, puisque nous avons 20 caractères avec 94 symboles [8].

L’objectif de cet article est de vous permettre de vous forger votre propre avis sur le niveau de résistance de nos générateurs de mots de passe face à une attaque brute force.

Bien entendu, nous ne sommes pas les seuls ; d’autres générateurs de mots de passe puissants existent. C’est la raison pour laquelle le test réalisé se situe au même niveau de comparaison que les autres générateurs, à mise en œuvre équivalente.

Le générateur de mots de passe embarqué dans nos solutions est mis à jour pour maintenir un niveau de complexité afin de résister à l’évolution des attaques en force brute, que ce soit au niveau technique ou mathématique et surtout sans changer le confort d’usage. Ce dernier point, le plus important, est le plus complexe à mettre en œuvre.

Pour la mise en œuvre de la création de nos mots de passe nous utilisons à ce jour la norme ISO/CEI 646-02 ou ISO/CEI 646-06 (ASCII) [9] qui comprend 95 caractères. Nos solutions en utilisent 94. Cette norme permet d’avoir la quasi-certitude que ces caractères ASCII d’origine sont présents dans tous les systèmes informatique et imprimables.

Ainsi, nos solutions demeurent le plus nomade possible. En effet, nos solutions sont déjà traduites en 11 langues. Dont certaines vont impliquer prochainement l’intégration d’un ASCII étendu comme la langue Arabe, le Chinois, le Japonais, le Coréen et le Russe.

Nous avons trois possibilités pour la création de mots de passe. La première, l’utilisateur choisit son mot de passe avec les 94 caractères disponibles. La seconde, semi-automatique, l’utilisateur génère un mot de passe, puis le modifie. La dernière, l’utilisateur effectue tout de manière totalement automatique, selon des critères par défaut qu’il peut paramétrer jusqu’à 20 caractères.

L’utilisateur peut choisir le type de génération de mots de passe et/ou d’identifiants, lettres et/ou chiffres sans les symboles. Ceci afin de s’adapter aux contraintes des sites internet qui n’acceptent pas tous les symboles et limite le nombre de caractères.

Nous avons aussi mis en œuvre un générateur hexadécimal pour aider à programmer les digicodes. Ce dernier peut être utilisé dans différents cas, les électroniciens, les électromécaniciens, les services de maintenance pour créer ou modifier les codes d’un digicode. Ainsi, il devient très facile de gérer les codes d’accès d’un immeuble. Changer un code pour qu’il soit toujours unique devient très facile pour Madame MICHU. De plus, il est possible de partager ce code à tous les résidents de l’immeuble, en toute sécurité grâce à la fonction « jamming » de nos solutions.

Cet article n’a volontairement pas un caractère technique. Je souhaitais apporter des informations complémentaires sur un service en particulier, sur nos générateurs de mots de passe et de codes hexadécimaux. Nous n’avons pas abordé par exemple la mise en œuvre du générateur de mots de passe, comme les mises en œuvre de l’entropieSelon la source wikipédia, le terme entropie signifie « transformation ». Il caractérise le degré de désorganisation, ou d'imprédictibilité du... More, du jamming ou de la blockchain physique.

Jacques Gascuel

Pour en savoir plus sur nos solutions :

• https://fullsecure.link/evitag-nfc
• https://fullsecure.link/evicard-nfc

[1] https://www.bee-man.us/computer/password_strength.html

[2] http://lastbit.com/pswcalc.asp

[3] http://password-checker.online-domain-tools.com

[4] https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe

[5] https://www.btb.termiumplus.gc.ca/tpv2guides/guides/clefsfp/index-fra.html?lang=fra&lettr=indx_catlog_m&page=9-nI6-pQZOTM.html

[6] https://www.lesechos.fr/24/04/2017/lesechos.fr/0212007699237_les-depenses-militaires-atteignent-2-2–du-pib-mondial.htm

[7] https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/

[8] Au moment de la publication, 10 mai 2018, nous avions 82 symboles utilisés pour les solutions tout public EviTag NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More et EviCard NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More. La solution professionnelle EviPro NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More utilise la totalité des symboles de la table ASCII, soit 94 symboles. Le lancement commercial d’EviPro NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More est prévu pour la rentrée 2018.

[9] https://fr.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange

---