Piratage de Stratfor par Anonymous : 160 000 mots de passe décodés

Le site de Stratfor est toujours en berne suite à l'attaque présumée des Anonymous

Les premiers résultats ne sont pas très surprenants : les mots de passe utilisés par les abonnés aux publications de Stratfor étaient trop simples et trop faibles

À l'Utah Valley University, 120 ordinateurs s'emploient actuellement à décoder les mots de passe cryptés, révélés à la suite du piratage de la société de sécurité Stratfor Global Intelligence au moment de Noël. Cette intrusion avait entrainé l'une des plus importantes violations de données de l'année 2011, les pirates, soupçonnés d'être affiliés à Anonymous, ayant publié les noms, adresses email, numéros de carte de crédit et mots de passe cryptés de toutes les personnes enregistrées auprès de Stratfor. Après le piratage, les chercheurs l'Utah ont mis en route un programme pour voir quels types de mots de passe avaient été utilisés par les personnes inscrites au think tank, dont le siège est situé à Austin, Texas, et si ceux étaient suffisamment compliqués pour déjouer les hackers les plus déterminés.

Le vol de données est important, compte tenu de la clientèle haut de gamme de Stratfor. Le think tank compte parmi ses membres beaucoup de gradés de l'armée américaine, des personnels des administrations, dont certains appartiennent au Département d'État américain, travaillent pour des banques internationales, dont Bank of America et JP Morgan Chase, ou pour des géants de la technologie comme IBM et Microsoft. Si les cybercriminels ont eu peu de temps pour profiter des données bancaires des affiliés, sans compter que certaines informations n'étaient sans doute plus à jour, les adresses e-mail et mots de passe cryptés sont beaucoup plus précieux sur le long terme pour les pays qui cherchent à infiltrer les administrations. « Les centaines de milliers d'adresses email rendues publiques permettent de cibler les titulaires de ces comptes avec un logiciel malveillant, » a déclaré Kevin Young, directeur informatique et professeur-adjoint qui enseigne la sécurité de l'information à l'Utah Valley University.

Une puissance de calcul modeste pour cet exercice

Selon l'enseignant-chercheur, la deuxième menace majeure résultant du piratage de Stratfor concerne les mots de passe. « Combien de mots de passe étaient assez simples et faciles à décoder, » a-t-il ajouté. C'est un danger important, parce qu'il est probable que certaines personnes réutilisent le même mot de passe pour se connecter à d'autres systèmes, et certains peuvent donner accès à des informations sensibles. Plutôt que de stocker les mots de passe en texte clair, une méthode considérée comme dangereuse, Stratfor a enregistré un équivalent crypté des mots de passe de ses adhérents, connu sous le terme de hash MD5. En matière de sécurité, cette pratique est généralement considérée comme intelligente. Avec ses 120 ordinateurs, Kevin Young a voulu tester la difficulté du décodage du hash MD5 des mots de passe disséminés par les pirates. Avec une puissance de calcul modeste et des programmes spécialisés dans le cassage de mots de passe, il a réussi à décoder un grand nombre de hash MD5 et retrouver de nombreux mots de passe originaux. Plus la séquence est courte et simple, plus le mot de passe est rapide à retrouver.

Avec cette méthode, Kevin Young affirme être parvenu à décoder plus de 160 000 mots de passe de Stratfor, dont un certain nombre appartenant à des militaires du corps des Marines américain, qui «devraient normalement être plus vigilants. » L'universitaire n'a pas l'intention de rendre publics ces mots de passe « pour des raisons éthiques, » mais il compte les utiliser dans le cadre d'une étude sur la manière dont les gens choisissent leurs mots de passe et pour tester la résistance de ces séquences aux tentatives de crack. Au regard des outils utilisés par Kevin Young, on voit à quel point il est important de choisir des mots de passe complexes, des séquences comprenant au moins 8 ou 9 caractères, mélangeant majuscules et minuscules avec des chiffres et même de la ponctuation.