Actualité
Sony Make Believe logo head

Piratage de Sony Pictures : les mots de passe volés analysés par un expert

par

Un expert a analysé finement une partie de la base de données de mots de passe volée à Sony Pictures et extrapole des conclusions plus qu'édifiantes : nous ne sécurisons pas nos comptes, tous nos comptes.

Le site de Sony Pictures a récemment été piraté par le groupe LulzSec et un architecte logiciel de MVP Microsoft, Troy Hunt, a pu récupérer une partie la base de données de mots de passe via un torrent associé mis sur la Toile, qui était stockés en clair par Sony dans la base de données (NDLR : tous ceux du site l'étaient, c'est-à-dire 1 million de mots de passe stockés sans aucun cryptage...). Voici le contenu du torrent qu'il a téléchargé :



analyse-mot-de-passe-sony-pictures-09062011-007

analyse-mot-de-passe-sony-pictures-09062011-003

Après navigation dans ces fichiers, dédoublonnage et filtre dans SQL Server, il a pu extraire 37 608 mots de passe. Il en a fait une analyse complète et a pu produire des statistiques sur les comportements des utilisateurs par rapport à la définition de leurs mots de passe (longueur, complexité, etc.), en imageant cela par des graphiques plus qu'édifiants.

Il a tout d'abord commencé son analyse par la longueur des mots de passe. Voici ce qu'il nous confie :

Aucune règle n'est établie réellement sur le sujet et les avis divergent, mais un mot de passe de 8 caractères est acceptable.

Sur ce point, les utilisateurs respectent une longueur acceptable pour leurs mots de passe, avec 93 % d'entre eux qui ont défini entre 6 et 10 caractères, mais 50 % au total ont tout de même un mot de passe de moins de 8 caractères. Une poignée avait utilisé un mot de passe de 20 caractères ou plus.

analyse-mot-de-passe-sony-pictures-09062011-006

La longueur du mot de passe est une chose, mais sa complexité est tout aussi importante, voire davantage. Troy a donc ensuite réalisé un comparatif sur les types de caractères et en étudiant 4 critères :

  1. Les mots de passe contenant des chiffres ;
  2. Les mots de passe contenant des majuscules ;
  3. Les mots de passe contenant des minuscules ;
  4. Les mots de passe contenant toute autre chose.

Voici le résultat obtenu :

analyse-mot-de-passe-sony-pictures-09062011-004

Bonne pratique donc pour ces utilisateurs, qui utilisent majoritairement une variation dans le type de caractères utilisés, avec une forte proportion ayant utilisé des chiffres et majuscules, mais une chose plus qu'étonnante nous frappe : très peu ont utilisé des minuscules dans leur mot de passe. Voyons ensuite si ces types de caractères ont été mélangés ou s'ils sont uniques dans les mots de passe, ce qui là aussi est un critère essentiel : 

analyse-mot-de-passe-sony-pictures-09062011-005

Et c'est là que le bât blesse, car les résultats montrent que 50 % des mots de passe en la possession de l'expert ont un seul type de caractères : 45 % n'ont que des majuscules, 4 % que des chiffres et 1 % que des minuscules, contre 50 % qui ont donc au moins deux types de caractères dans leur mot de passe. Parmi les types de caractères qui sortent de l'ordinaire, il y a bien évidemment les caractères spéciaux, dits "non alphanumériques". Nous trouvons la ponctuation et les symboles entre autres. Une étude est également faite sur leur proportion dans les mots de passe obtenus, et là encore, le constat est édifiant :

analyse-mot-de-passe-sony-pictures-09062011-001

Seul 1 % des mots de passe contiennent ce type de caractères, qui pourtant devraient être devenus monnaie courante dans la définition d'un mot de passe, au vu de la surenchère de complexité mise en exergue et recommandée par la presse spécialisée, les experts et autres éminences dans le domaine de la sécurité informatique.

Autre test effectué sur cette base de données mots de passe : vérifier s'ils ont réellement été définis au hasard ou s'ils sont issus de mots connus. Troy a établi un top 25 des mots de passe les plus trouvés, certains vous feront assurément sourire. Voici le top 25 des mots de passe compris dans les 92 % restants, du plus répété au moins souvent trouvé :

seinfeld ; password ; winner ; 123456 ; purple ; sweeps ; contest ; princess ; maggie ; 9452 ; peanut ; shadow ; ginger ; michael ; buster ; sunshine ; tigger ; cookie ; george ; summer ; taylor ; bosco ; abc123 ; ashley ; bailey.

Certains étonnent particulièrement (9452, cookie, etc.), d'autres apparaissent liés à une sorte de concours qui a pu avoir lieu sur le site (winner, contest et sweeps), tandis que d'autres méritent aisément leur "no comment". Pour autant, l'expert précise tout de même que la majorité des mots de passe retrouvés en double ou plus l'étaient pour des raisons anodines, et que ceux précités dans le top 25 ne concernent que 2,5 % des statistiques.

Commenter 12 commentaires

Avatar de l’utilisateur
Studios 5107
Tout mes mots de passe sont composé d'au moins 10* caractères, où j'y mélange minuscules, majuscules, et chiffres. Je pense donc que j'ai pas de soucis à me faire. 8)
À mes débuts d'internaute j'ai essayé de mettre un caractère européen dans mon mot de passe : un i trématé majuscule (Ï), ça marchait lors de l'inscription, mais pas pour ce connecté. Ça m'a causé beaucoup de problème et depuis j'ose plus mettre de caractère dans mes MDP. :(

Article intéressent. ;)

*Une quinzaine sur les sites ou de l'argent est en jeux, genre le PSS, PayPal, etc.
Signaler Citer
Daviid174
C'est du gros n'importe quoi, cet expert peut allé refaire ces études ou alors arrêté de nous mentir, je crois pas que une base de donnée en langage sql sous format texte prennent une place de quelques KB sur le disque dur, comparé à la mienne, un site amateur, elle fais plus de 5MB, alors que là il s'agit d'une entreprise mondiale, on peut estimé la taille de sa base de donnée à plusieurs GB ...
Fake.
Signaler Citer
Avatar de l’utilisateur
C@RLOS
Le mot de passe qui m'a fait le plus rire --> cookie
Mais qui est-ce que prend ''cookie'' comme mot de passe ? :D
Moi je change de mot de passe sur le PSN tous les mois parce que quand je l'ai besoin je ne le sait plus ;D
Signaler Citer
Dahevos
La technique que j'utilise est de définir des niveaux de password : ceux que j'utilise et qui ne sont pas primordiaux (ps3gen etc...)
Ceux important (psn et autres)
Ceux très important (paypal et autres)
Ceux capital (email)

Ca permet de limiter la faille, sachant que leur complexité va de pair avec leur importance et de pas devoir rentrer sur ps3gen un mot de passe hyper compliqué ^^
Signaler Citer
Aizen
Le seul mot de passe réellement sécurisé est celui dont vous ne pouvez pas vous souvenir


Ca ce n'est pas vraiment nouveau,quand on veut trouver un mot de passe de la mort qui tue,faut le noter car très dur à retenir. ;)
Signaler Citer
Avatar de l’utilisateur
Soulmat
Daviid174 a écrit:C'est du gros n'importe quoi, cet expert peut allé refaire ces études ou alors arrêté de nous mentir, je crois pas que une base de donnée en langage sql sous format texte prennent une place de quelques KB sur le disque dur, comparé à la mienne, un site amateur, elle fais plus de 5MB, alors que là il s'agit d'une entreprise mondiale, on peut estimé la taille de sa base de donnée à plusieurs GB ...
Fake.


Où as-tu vu cette taille en Ko ?
Signaler Citer
Oxide-60
Moi perso, mon mot de passe sur le PSN fait 22 caractère ^^ Avec minuscules, majuscule, chiffres, et de la ponctuation x) Donc pas vraiment de soucis à me faire la dessus. Par contre le nombre de personnes qui prennent des mot de passe de moins de 6 caractère sont assez nombreux quand même :-\
Signaler Citer
Avatar de l’utilisateur
Studios 5107
@Soulmat Sur les 2 premier screens de l'article.
@Dahevos Exact, c'est une super bonne manière de faire. ^^

Moi au cas ou qu'un jour je ne me souvienne plus du tout de mes MDP (on sait jamais, je peut devenir Alzheimer, tomber sur la tête, ou subir un lavage de cerveau :-X ), j'ai mis tout mes mots de passes dans un document texte sur ma clé usb perso. À moins que ma maison crame ou que je me fasse cambrioler ma ptite chambre d'ado, mes mdp sont en sécurité.

Aizen a écrit:Ca ce n'est pas vraiment nouveau,quand on veut trouver un mot de passe de la mort qui tue,faut le noter car très dur à retenir. ;)
Moui c'est ce que j'ai penssé au début mais avec le temps j'ai découvert que j'avais une super capacité à me souvenir d'une suite de chiffres. 8) J'ai juste eu à taper le numéro de ma carte bleu sur quelques sites et voilà, maintenant je le connai par cœur. 8)
Signaler Citer
Avatar de l’utilisateur
Soulmat
Ah ok ! Bah c'est uniquement un fichier de comptes utilisateurs. Sachant qu'il y a 37 000 comptes et 3 fichiers distincts, ça représente 10 000 lignes, rien d'énorme je trouve. Quoi qu'il en soit, je ne pense pas que ce soit un fake.
Signaler Citer