Sécurité 101 : ne pas se fier aux mots de passe


Nelson Dumais - 11/10/2011

Croyez-vous que vos données informatiques sont suffisamment protégées? Si oui, risqueriez-vous de me prêter le disque qui les contient pendant une heure ou deux? Non? Oui? Je viens de vous insinuer un doute à l’esprit? Auquel cas, lisez ce qui suit.

Si vous le faites, je vous préviens, il est possible que vos ulcères d’estomac recommencent à vous torturer. Car j’entends vous démontrer comment il est simple de « hacker » un ordinateur de bureau et de voler toute l’information qui s’y trouve. C’est un vrai jeu d’enfant et je vous parle en connaissance de cause.

Je viens effectivement d’aider quelqu’un à qui un liquidateur mandaté venait de vendre un iMac sous OS X Leopard et un mini sous OS X Server. Or ces ordis étaient solidement protégés par mots de passe et n’étaient pas accompagnés des DVD système. Ce qu’on me demandait était de voir à ressusciter ces machines sans remplacer leurs disques durs, s’évitant ainsi l’achat d’une licence du Mac OS X.

À l’allumage, dès le début de la séquence de démarrage des Mac, un panneau s’affichait où il fallait entrer son nom d’utilisateur et son mot de passe pour pouvoir continuer. Après avoir perdu deux minutes à taper les conneries habituelles, les « admin », « users », « toto » et autres « psword » ou « passwd », je me suis souvenu d’un truc à odeur de soufre qui fonctionne très bien dans le cas de PC sous Windows, soit un CD autonome de Linux.   On démarre le PC avec, par exemple, un CD d’Ubuntu et le disque C, celui où réside Windows, apparaît sur le Bureau en tant que disque secondaire. Normalement, on a alors accès à tout son contenu, mot de passe ou non.   Mais dans le cas des deux Mac, cette pratique n’était pas possible. Même la commande normale pour signifier à l’ordi que l’on veut démarrer avec un CD ou un DVD, soit le jeu de touches « Commande – s » ne donnait aucun résultat; on aurait dit que tout était verrouillé à quadruple tour. De toute façon, l’idée n’était pas de pirater des données, mais d’accéder au Bureau afin de pouvoir faire sien cet ordi acheté sans les DVD de restauration.

C’est alors que je me suis souvenu d’une séquence de commandes Unix qui pouvait y arriver. Le Mac n’est-il pas apparenté à cette noble famille? Google a mis moins de cinq minutes pour me la débusquer. Portez attention, vous conviendrez que par-delà les termes arides, rien n’est plus simple.   Si on allume le Mac verrouillé en appuyant sur les touches « Commande – s », une console noire s’ouvre à plein écran; c’est là que l’on va travailler. En premier lieu, on vérifie la cohérence du système de fichiers en tapant la commande « fsck –fy ». Ensuite on demande au système de charger le «répertoire root » (celui qui compte vraiment), cela en mode écriture, d’où la commande « mount –uw ». Cela fait, on navigue pour se rendre dans « Users » en tapant « cd users »; c’est à cet endroit que se trouvent les noms d’utilisateurs. Pour avoir cette info, il suffit d’inscrire « ls » (list shortnames).

C’est précisément là que j’ai repéré le sobriquet « dieu2011 ». J’ai ensuite tapé sur la ligne suivante : « dieu2011 passwd ». Autrement dit, j’ai informé le système qu’il y avait un problème avec le mot de passe de l’utilisateur « dieu2011 » et qu’il fallait le modifier. À deux reprises, le système m’a alors répondu de lui fournir un nouveau mot de passe en affichant « new password ». À chaque fois, je le lui ai indiqué.

Au redémarrage, tout a été parfait. On a ainsi pu constater que les données avaient été « détruites ». Comme elles ne nous intéressaient pas, nous n’avons pas pris de mesures pour les récupérer, une opération qui, somme toute, aurait été assez simple. Pire, je ne crois pas que le geste aurait été criminel; les Mac en question avaient été légalement achetés, facture à l’appui. Et j’inclus là-dedans les logiciels trouvés dans les deux machines, dont Office:mac2011, FileMaker et Photoshop CS5. Ce qui importait était d’avoir l’usage des Mac, à défaut d’avoir les DVD système.

Du côté PC, l’équivalent est une opération simplissime; ne le dit-on pas moins bardé de protections que le Mac? Je vous parle de la modification d’un mot de passe inscrit dans le BIOS (les instructions de base qui guident le PC avant qu’il ne donne le contrôle de l’ordinateur à Windows).

Pour y arriver, les criminels disposent d’outils efficaces, des utilitaires que l’on peut trouver sur Internet parfois sous forme de gratuiciel. Mais pour vous et moi qui ne sommes pas des malfaiteurs, on peut généralement s’en sortir en consultant des listes de mots probables classés par marque de BIOS, p. ex. American Megatrends, Award/ Phoenix ou IBM, par exemple sur le site Password Crackers.

Ne reste plus qu’à tromper Windows, un jeu d’enfant (encore là) dont je vous ferai grâce des explications. Des quantités étonnantes de sites Web expliquent comment modifier le mot de passe, celui que réclame Windows au démarrage.

En février 2009, je publiais , un article qui avait fait frémir plus d’un utilisateur de PC. J’expliquais avoir testé les versions gratuites et « Home» du logiciel Identity Finder dans un PC familial normalement protégé. Il n’avait fallu que 32 secondes à ce logiciel pour trouver une vingtaine de mots de passe, une dizaine de « saved forms » de Firefox et une vingtaine de documents Microsoft Office comportant des numéros de cartes de crédit, des numéros d’assurance sociale et ainsi de suite.

Ce que je suis en train de vous écrire, c’est que vos données personnelles ou d’entreprise ne sont pas vraiment protégées si vous vous ne vous fiez qu’aux systèmes de mots de passe. Par exemple du temps où je prenais plaisir à visiter les chiffonniers informatiques, l’un d’eux m’avait raconté un de ses plaisirs inavouables. Il s’amusait à parcourir les données qu’il trouvait dans les disques durs récupérés dans des carcasses de PC mis aux rebus.

Si vous tenez vraiment à vous garantir une vraie sécurité, recherchez des produits qui chiffrent les données et entrez sans hésiter dans cet univers (ne délaissez pas pour autant vos mots de passe; plus c’est compliqué à craquer, plus les voleurs seront rebutés). On en est de nos jours à du chiffrement de 256 bits, ce qui est considéré comme largement suffisant pour décourager le criminel, à tout le moins, cela est considéré comme étant de calibre militaire. Quant aux logiciels pour y arriver, ils sont nombreux et certains sont même distribués gratuitement. En voici quelques-uns :   Truecrypt Anchor Free Kruptos 2 Professional USB Secure Universal Shield Symantec Endpoint Encryption   Un logiciel de chiffrement (encryption software), c’est comme un système d’archivage (back-up). Règle générale, ça ne sert pas. Mais en cas de malheur, ce que je ne vous souhaite pas, il est réconfortant de pouvoir compter sur eux.

Pour consulter l’édition numérique du magazine de septembre de Direction informatique, cliquez ici

Nelson Dumais est journaliste indépendant, spécialisé en technologies de l’information depuis plus de 20 ans.




Tags: , , , , , ,