Début octobre, on apprenait que 290.000 comptes d'Hookers.nl, un site web contenant des commentaires de dames de petite vertu, avaient été piratés. Au nombre des données dérobées, on trouvait des noms, adresses e-mail et adresses IP d'utilisateurs. Les mots de passe en question étaient hachés. Le hachage consiste à déployer une couche de cryptage afin de ne pas pouvoir lire ou deviner facilement les mots de passe, au cas où ils tomberaient entre des mains indélicates.

57 pour cent de déchiffrement

Or on apprend que cette solution ne semble pas aussi efficiente qu'imaginé. L'équipe à l'initiative de Scattered Secrets, un service comparable à HaveIbeenPwned qui vous indique si votre mot de passe a déjà fait l'objet d'une fuite quelque part, sont en effet parvenus à accéder aux données. Dans un rapport étoffé posté sur un blog, ils présentent leurs résultats. Ils ont ainsi réussi en l'espace de trois jours à déchiffrer 57 pour cent des mots de passe.

Les pirates y sont parvenus, parce que le site existe depuis 2002 déjà et qu'un tas d'anciens comptes étaient cryptés au moyen d'une technologie de hachage désuète. Tel était le cas pour 82,5 pour cent des mots de passe, alors que 16,8 pour cent utilisaient le plus récent bcrypt et que 0,7 pour cent des comptes étaient associés à des adresses mail non valables.

Ce qui est d'autant plus intéressant, c'est que l'équipe de Scattered Secrets insiste sur le fait que le déchiffrage des mots de passe cryptés avec bcrypt s'avère jusqu'à pas moins de 16 millions de fois plus malaisé avec une carte graphique ordinaire ('high end'), ce qui représenterait une durée de quelque 27 ans pour les quelque 50.000 mots de passe bcrypt.

L'équipe n'a cependant pas utilisé de cartes graphiques, mais des FPGA, à savoir du matériel très spécifique de décryptage. Elle a ainsi réussi à 'craquer' en trois jours la majorité des mots de passe. 'Nous avons sans trop d'efforts et avec des techniques basiques pu décrypter 154.653 mots de passe hérités (64%) et 11.675 mots de passe bcrypt (24%), ce qui représentait 166.328 des 290.871 mots de passe', affirme l'équipe de Scattered Secrets.

Mots de passe souvent utilisés

D'une analyse des mots de passe en question, l'équipe a pu déduire quelques tendances singulières. C'est ainsi que c'est le mot de passe 'vRbGQnS997' qui revient le plus souvent (1.320 fois). Selon les chercheurs, il s'agit là d'une grande quantité de comptes de spam utilisant le même mot de passe.

On trouve ensuite notamment '123456', 'qwerty' (clavier néerlandais) ou 'azerty' (clavier belge/français) ou des noms de ville. Selon les chercheurs, il y a également quasiment cent utilisateurs possédant un mot de passe correspondant à un numéro de téléphone néerlandais.

Le risque est grand que quelqu'un qui détienne la base de données de mots de passe d'Hookers.nl, les utilise pour rançonner les membres du forum concerné. Les chercheurs conseillent par conséquent d'utiliser à l'avenir un long mot de passe de 12 caractères/signes au plus. Il convient aussi de recourir à un mot de passe unique pour chaque service. Si unique du reste que vos mots de passe ne puissent idéalement pas être reliés les uns aux autres. Pensons ici à quelqu'un qui utiliserait le mot de passe '1x2z87pizza' pour un site de commande de repas et '1x2z87gmail' pour sa boîte mail'.