Poivre, Sel et Cyberattaque : La Recette du Hashage Sécurisé des Mots de Passe

Temps de lecture estimé : 8 minutes

Dans le monde de la cybersécurité, protéger les mots de passe, c’est un peu comme cacher un trésor en espérant que les pirates ne le trouvent jamais. Malheureusement, les hackers ont plus d’un tour dans leur sac et, au fil des années, de nouvelles méthodes d’attaque ont vu le jour pour tenter de casser ces protections.

Pour éviter que nos mots de passe ne tombent entre de mauvaises mains, les experts en sécurité ont dû s’adapter en améliorant les techniques de hashage (voir article précédent). C’est un jeu du chat et de la souris où chaque avancée défensive entraîne une riposte offensive… et vice versa.

Voyons ensemble comment cette bataille a évolué, et comment des ingrédients aussi anodins que du sel et du poivre (salt & pepper) sont devenus des armes essentielles dans la protection des mots de passe.

Le hashage est une technique permettant de transformer un mot de passe en une empreinte unique et irréversible. Si un site stocke les mots de passe en clair (c'est-à-dire tels quels), il suffit qu’un pirate mette la main sur la base de données pour obtenir les accès de tous les utilisateurs.

Grâce au hashage, même si un hacker accède à cette base de données, il ne verra qu’une liste de chaînes de caractères incompréhensibles. Mais cela ne suffit pas.

Premier problème : les mêmes mots de passe génèrent les mêmes empreintes hashées.  

Si un utilisateur choisit "123456", et que ce mot de passe correspond au hash "e10adc3949ba59abbe56e057f20f883e", alors un pirate peut comparer cette empreinte avec d’autres bases et retrouver le mot de passe original. Les hackers ont donc développé une première technique pour contourner cette protection : les tables précalculées.

Une table précalculée est simplement un énorme dictionnaire contenant des millions de mots de passe courants et leurs équivalents hashés. Lorsqu’un pirate obtient une base de données de mots de passe hashés, il n’a plus qu’à comparer ces empreintes avec celles de sa table.

Si une correspondance est trouvée, le mot de passe d’origine est révélé. Cette méthode permet de casser rapidement des mots de passe faibles comme "password", "azerty" ou "admin123".

La Riposte : L’Introduction du Sel (Salt)

Pour contrer ces attaques, les experts en sécurité ont ajouté du sel : un petit élément aléatoire ajouté à chaque mot de passe avant d’être hashé.

Exemple :

- Sans sel : `hash("password") → e10adc3949ba59abbe56e057f20f883e`
- Avec sel : `hash("password+AB5F") → 8c6976e5b5410415bde908bd4dee15df`

Le même mot de passe génère maintenant des résultats totalement différents pour chaque utilisateur. Ainsi, les tables précalculées deviennent inutiles, car il faudrait en créer une différente pour chaque combinaison possible de sel… ce qui est beaucoup trop coûteux.

Mais les hackers n’ont pas dit leur dernier mot !

Les pirates ont amélioré leur technique en créant des tables arc-en-ciel (Rainbow Tables). Plutôt que de stocker chaque mot de passe et son hash, ces tables utilisent un système de réduction qui leur permet de générer des chaînes d’empreintes plus légères, facilitant leur exploitation.

Grâce à cette méthode, ils peuvent toujours casser des mots de passe hashés, même si un sel court est utilisé.

La Riposte : Utiliser un sel unique et long

Face à cette menace, la réponse des experts a été simple : renforcer le sel. Plutôt que d’utiliser une petite chaîne aléatoire, les sites ont commencé à générer des sauts aléatoires longs et uniques pour chaque utilisateur. Cela rend les Rainbow Tables beaucoup trop lourdes pour être exploitables.

Mais encore une fois, les hackers ont trouvé une parade : l’attaque par brute force optimisée.

Avec les progrès technologiques, les pirates ont commencé à utiliser des cartes graphiques (GPU) et des clusters de machines pour tester des milliards de combinaisons par seconde.

Même avec un hashage renforcé, si un utilisateur choisit un mot de passe trop simple, un pirate pourra le retrouver par force brute (en testant toutes les possibilités jusqu'à trouver la bonne).

La Riposte : L’Ajout du Poivre (Pepper)

C’est ici qu’intervient le poivre, un deuxième ingrédient secret. Contrairement au sel, qui est stocké avec le mot de passe dans la base de données, le poivre est un secret global stocké ailleurs (dans le code ou un autre serveur).

Ainsi, même si un hacker accède à la base de données, il lui manque une partie de l’information pour casser les mots de passe. Cette technique complique considérablement les attaques.

En plus du sel et du poivre, les experts utilisent maintenant des algorithmes de hashage lents et adaptés aux mots de passe, comme :

- bcrypt
- scrypt
- Argon2 (le plus récent et recommandé)

Ces algorithmes demandent beaucoup plus de temps de calcul, rendant les attaques par brute force bien moins efficaces.

Mais la protection ultime reste le choix de mots de passe forts et uniques par les utilisateurs. C’est pourquoi les gestionnaires de mots de passe sont aujourd’hui des outils incontournables.

L’histoire du hashage des mots de passe est un perpétuel jeu du chat et de la souris. Chaque amélioration défensive entraîne une riposte offensive, et inversement.

Aujourd’hui, un bon système de protection combine : 

Mais demain, qui sait ? Avec l’arrivée du quantique, les hackers auront peut-être de nouveaux outils… et la cybersécurité devra une fois de plus s’adapter.

En attendant, la meilleure défense reste une bonne hygiène numérique : utilisez des mots de passe uniques et longs, et adoptez un gestionnaire de mots de passe.

Protégez vos accès, car sur Internet, il y a toujours un pirate qui rêve de mettre la main sur votre trésor !

Avez-vous déjà été victime d’un vol de mot de passe ? Utilisez-vous un gestionnaire pour sécuriser vos accès ? Partagez votre expérience en commentaire ! 😊