la sécurité des comptes universitaires... inquiétant

Il y a un truc qui m’a frapper sur la sécurité des comptes en lignes de l’univ…

je suis étudiant et toutes mes données (notes, mails, horaires ,) sont protégés par un seul et unique mot de passee donc j’aimerais savoir ce que vous en pensez.

Un extrait public de ce qu’on peut lire si on veut changer son mdp:

1) j’aimerais calculer le nombre de combinaisons possibles et sachez qu’il ne protège rien par un captcha (oui !!)

selon mes calculs on a 2,04x10¹⁵ combinaisons possibles pour un mdp à 8 caractères

Avez vous la même chose? est-ce beaucoup?

2) que pensez-vous de cette pseudo sécurité??? je considère que mes comptes unif ne sont pas sécurisés (en 2019 !)…

Salut,

En effet, 8 caractères c’est court (la CNIL en recommande au moins 12, et on peut voir des bornes un peu plus hautes comme 15 sur des sites de gestionnaires de mots de passes par exemple). Cela dit, ton nombre de possibilités est bon (on trouve 2.07e15 en ajoutant les mdp à 7 caractères), pour se faire une idée il faudrait en tester 66 millions par secondes pour être sûr de le trouver en moins d’un an par brute force. Ça fait beaucoup de requêtes pour un serveur de fac, donc si ils sont protégés contre ce genre d’attaques et que tu changes ton mdp tous les ans, le risque est très faible.

1) je laisse quelqu’un d’autre faire ca

2) Niveau sécurité, la moitié des règles sont inutiles (ou révèlent des soucis dans leur infrastructure, comme interdire les accents ou les espaces…) du genre mettre un max (acceptable si le max est 32 ou 64 caractères, pas 8…)

Vouloir rajouter trop de sécurité a un effet contre productif, c’est ce qu’on a ici, mettre trop de règles et/ou demander une rotation trop régulière de mot de passe c’est ce qui pousse le plus les utilisateurs à noter leur mdp quelque part… Ca laisse à désirer niveau sécurité.

Après un des dangers de l’authentification centralisée (surtout sur des plateformes pas hyper rigoureuses, comme souvent les établissements qui laissent parfois leurs certificats de sécurité expirer…) est à mon avis le phishing. Si t’es habitué à taper ton mot de passe pour tout et pour rien, à la première page de phising beaucoup vont tomber dans le panneau. Donc de ce coté là je pense que l’humain sera un plus gros problème niveau sécurité que ces règles. C’est surtout illusoire de croire qu’avec un petit set de règles la sécurité est assurée.

Ça ressemble à des restrictions d’un autre âge (pas plus de 8 caractères ?) donc effectivement, soit c’est du code repris d’un système assez ancien où à l’époque ces contraintes faisaient du sens, soit ces directives ont été choisies par des gens qui n’ont pas de formation en sécurité. Dans tous les cas le fait qu’elles soient toujours obsolètes aujourd’hui montre que la sécurité des comptes informatiques n’est pas une priorité dans cette université — ce qui ne surprend pas grand monde.

Certaines restrictions peuvent se comprendre d’un point de vue de la sécurité (nombre minimum de caractères, forcer au moins une minuscule/majuscule/…), certaines peuvent se comprendre pour des risque de problèmes techniques (encodage pour les caractères accentués, même si j’ai jamais vu ce genre de problème en pratique). En revanche, le nombre maximum de caractères et les limites sur certains caractères spéciaux qui n’ont aucunes chances de causer des problèmes d’encodage donnent plutôt l’impression que les mots de passe sont très mal gérés dans le code, voir qu’ils sont stockés en clair.

Un moyen de savoir si les mots de passe sont stockés en clair est de faire une demande d’accès à tes données personnelles. Je ne suis pas un spécialiste, mais je suis quasiment sûr que ton mot de passe en fait partie.

Edit: apparemment, une entreprise s’est déjà fait condamné pour avoir stocké des mots de passe en clair¹. La limite minimum de 12 caractères semble aussi être plus qu’une simple recommandation, mais une nécessité².

Un moyen de savoir si les mots de passe sont stockés en clair est de faire une demande d’accès à tes données personnelles. Je ne suis pas un spécialiste, mais je suis quasiment sûr que ton mot de passe en fait partie.

Alors j’ai été voir et il semblerait que ce soit ok si tu clique sur mdp perdu, ils te proposent d’en faire un nouveau et si tu télécharges toutes tes données le mdp n’est pas inclus.

Ça fait beaucoup de requêtes pour un serveur de fac, donc si ils sont protégés contre ce genre d’attaques et que tu changes ton mdp tous les ans, le risque est très faible.

Je ne comprends pas puisque ils testent toutes les possibilités, quels intérêt de changer son mdp?

Déjà il me parait difficile de tous les tester en un an, ensuite si tu changes de mot de passe, ben c’est comme aucun mdp n’avait encore été testé…

je vois pas, voici comment je vois les choses :

si ton mdp c’est un nombre, par exemple 41523. Le pirate teste 0, 1 puis 2, puis 3… si le pirate est à 23006 et que tu changes ton mdp avec 35920, le pirate te trouveras plus vite, non?

Mettons que l’on ait le temps de tester $k$ mots de passes sur $nk$ possibilités le temps que le mot de passe soit changé. Supposons qu’à chaque changement, le mot de passe est tiré uniformément dans les possibilités. Alors la probabilité que le mot de passe soit trouvé après avoir testé tous les mots de passes un par un est $1-(1-1/n)^n$ : la probabilité de ne pas trouver le mot de passe à une étape donnée est $1-1/n$, et donc la probabilité de ne jamais trouver est $(1-1/n)^n$. Cette quantité est toujours supérieure à $1-e^{-1} \approx 0.63$.

1. on s’en moque complètement de la sécurité des données des étudiants. (Les mesures de sécurité doivent être adapté au risque)
2. il suffit que l’accès soit bloqué après 3 erreurs et c’est safe. Peu importe la taille du pass dans ce cas.

si ton mdp c’est un nombre, par exemple 41523. Le pirate teste 0, 1 puis 2, puis 3… si le pirate est à 23006 et que tu changes ton mdp avec 35920, le pirate te trouveras plus vite, non?

C’est un cas particulier construit dans ce sens, mais si tu changes ton mot de passe à 23006 ou moins, le pirate le trouvera pas. Si tu changes de mot de passe, les essais précédents sont inutiles : tu ne sais pas si le nouveau mdp est dans cet ensemble ou pas. Donc si tu veux trouver un mdp par brute force, il faut recommencer en permanence pour contrer les changements. Si les changements se produisent à une fréquence plus rapide que celle de balayage des possibilités, t’es cuit et tu pourras pas le trouver. Si le mdp change jamais, en revanche, t’es sûr de finir par tomber dessus.

Une autre façon de voir pourquoi changer son mdp permet de limiter les risques d’attaques par brute force est de prendre les deux cas limites :

• un mdp que tu ne changes jamais sera forcément détecté par une attaque brute force (si celle-ci peut se produire en temps humain bien sûr) ;
• un mdp qui à l’inverse changerait au moins aussi vite que les tests par brute force est beaucoup plus dur à trouver par brute force, dans le cas du sujet tu n’as qu’une chance sur 2e15 de le trouver à chaque essai, indépendamment de ce que tu as testé avant.

Si le nombre de mots de passes est suffisamment petit pour qu’il soit possible de tout essayer en "temps raisonnable", alors quel que soit la manière dont on gère son mot de passe (changement ou pas), l’attaquant peut en "temps raisonnable" avoir une probabilité de plus de 63% de trouver le mot de passe (par essais aléatoires au pire)…

on s’en moque complètement de la sécurité des données des étudiants. (Les mesures de sécurité doivent être adapté au risque)

j’explique mon -1, car je suis pas sûr, si tu chopes mon mdp, tu peux avoir accès à:

• toutes mes coordonées persos (adresse réelle, nom, téléphone, mail,etc…)
• tu peux me désincrire de l’unif et signer des abandons de notes (mon année en l’air)
• usurper mon identité
• avoir accès à mes mails de l’unif

puis dans ces conditions, tu pourrais gravement nuire à une personne psychologiquement.

il suffit que l’accès soit bloqué après 3 erreurs et c’est safe. Peu importe la taille du pass dans ce cas.

hélas j’ai testé c’est pas le cas. Puis même si quelqu’un veut bloquer mon compte et m’empêcher de me connecter il fait un programme pour tester 3 possibilités/min et ça y est je peux plus me connecter.

Si le nombre de mots de passes est suffisamment petit pour qu’il soit possible de tout essayer en "temps raisonnable", alors quel que soit la manière dont on gère son mot de passe (changement ou pas), l’attaquant peut en "temps raisonnable" avoir une probabilité de plus de 63% de trouver le mot de passe (par essais aléatoires au pire)

inquiétant car si je change régulièrement mon mdp, il ne faudrait qu’un an à un pirate pour trouver mes mdp avec 63% de chance et comme je suis parti pour l’unif pour plus de 6 ans…..

Alors ce qui me fait rire c’est que l’unif donne aussi des cours de s"curité informatique, cherchez l’erreur ??

inquiétant car si je change régulièrement mon mdp, il ne faudrait qu’un an à un pirate pour trouver mes mdp avec 63% de chance et comme je suis parti pour l’unif pour plus de 6 ans…..

Mais quel est l’ordre de grandeur du nombre de requêtes faisables par seconde ?

Et puis ok c’est pas bien mais franchement est-ce que quelqu’un va faire ça ? edit Bon ok, au vu de ce que tu dis sur les conséquences potentielles ça incite à se poser des questions.

À part ça, je me demande vraiment ce qui a pu produire de telles contraintes. "Ne pas basé sur blabla" : Mais qui a rédigé ça ??

À part ça, je me demande vraiment ce qui a pu produire de telles contraintes. "Ne pas basé sur blabla" : Mais qui a rédigé ça ??

c’est la bonne question à se poser mais aussi pourquoi aujourd’hui ces règles sont elles toujours en vogue ?

Le nombre de possibilités est à peu près $10^{15}$, plutôt que $2×10^{15}$ si on ne prend pas en compte les contraintes "au moins". Dans tous les cas je ne crois pas que ce soit possible de faire une attaque par brute force, les serveurs ne pourraient pas répondre à assez de requêtes ou ça se verrait au moins. Il faudrait de l’ordre du million de requêtes par seconde pour une proba non négligeable en une durée de l’ordre de l’année, et apparemment c’est l’ordre de grandeur des serveurs les plus performants (en nombre de requêtes HTTP par seconde). Mais ce n’est que l’attaque la plus bête…

De manière général, il est facile de s’infiltrer dans le réseau d’une université. C’est un constat assez alarmant sur lequel les universités ne sont pas sensibilisées. Il en va pourtant de la sécurité des recherches qui y sont faites. gbdivers a assez raison sur l’état actuel porté à la sécurité des universités.

De l’intérieur avec une bonne étude, tu ne devrais pas avoir de mal à accéder aux mots de passes des autres étudiants/professeurs.

Les politiques de mots de passes sont assez mal pensées. Souvent, les mots de passes des utilisateurs sont trop contraints (comme l’OP le montre), et les utilisateurs sont contraints de changer leur mot de passes tous les 3–4-6mois. Ce qui conduit à l’utilisation de mot de passes extrêmement simples "pikAchu1!" "pikAchu2!" avec une alternance entre les 2 (ou tout autre variante "iloveJesus<3" vs "IloveJesus<3", …).

Au niveau extérieur, la pluralité des services permettant de tester un mot de passes est assez grande. Souvent, un attaquant peu tester un mot de passes sur le serveur POP/IMAP/intranet/Changement de mot de passe/… Et bien souvent, depuis un ordinateur en libre accès (BU par exemple), il n’y a aucune limite sur le nombre de tentative de connexion.

Le portail Wifi est parfois auto-signé voir en HTTP seulement. Ce qui constitue un risque assez important de fishing.

Le principal problème est souvent que les universités restent sourdes quand on leur signale une faille.

comme toujours il faudra attendre qu’une unif se fasse complètement piratée pour que la sécurité soit revue dans les unifs, faudra attendre que quelque chose de mal se passe pour que les gens se conscientisent à la sécurité….

même si je comprends pas car que fait le directeur de la section informatique face a ça? Rien, dira-t-on, il n’est pas payé pour ça…..

Il faudra surtout attendre d’avoir du budget pour ça. Les universités ont du mal à avoir les fonds pour faire leur coeur de métier, alors les tâches annexes, il faut pas trop rêver. Les universités sont globalement consciente que leurs infrastructures sont en dessous du besoin (que ce soit dans l’utilisabilité ou la sécurité), mais il y a pas d’argent pour ça.