L’illusion de la sécurité est pire que la conscience de son absence car elle conduit à des décisions prises sur des prémisses fausses. Les informations transmises par des institutions de confiance publique telles que « Nous protégeons vos données personnelles » créent souvent cette illusion de sécurité. Étudions deux exemples de cela en utilisant des fichiers PDF protégés par mot de passe.
- J’ai reçu un e-mail de PZU avec une proposition d’assurance, en soulignant « Nous protégeons les données personnelles » :
2. La pièce jointe était un fichier PDF protégé par un mot de passe :
3. Supposons que je ne connais pas le mot de passe. Cependant, je sais par le contenu de l’e-mail que le mot de passe se compose de 4 chiffres. Voyons combien de temps il faut pour le craquer en utilisant un ordinateur domestique moderne.
4. En ouvrant le PDF en mode texte, nous pouvons lire l’en-tête du fichier (par exemple, en utilisant le Bloc-notes). Cela nous permettra d’identifier la version du standard dans laquelle il a été créé :
5. L’étape suivante consiste à extraire le hachage du mot de passe que nous voulons craquer. Pour cela, l’outil pdf2john.py nous est utile.
6. Pour craquer le hachage obtenu, nous utiliserons hashcat en mode force brute. 10500 indique le mode de craquage des hachages pour les fichiers PDF versions 1.4-1.6 :
Comme on le voit ci-dessous, le craquage d’un mot de passe composé de quatre chiffres a pris 10 secondes :
Il est donc évident qu’un mot de passe à 4 chiffres est une forme de protection illusoire et ne protège pas les données personnelles.
Examinons maintenant le PDF « sécurisé » de NN Investment Partners.
- Ici, il a été « protégé » avec une chaîne de caractères légèrement plus longue – le numéro PESEL.
2. L’en-tête du fichier joint – « %PDF-1.2 » indique que le fichier a été créé en utilisant le standard de 1996 :
3. Le hachage du mot de passe extrait indique la même chose :
4. Nous lançons une attaque brute-force avec hashcat. Brute-force, car nous ne prenons en compte aucune autre hypothèse qui réduirait le nombre de combinaisons possibles, à part le fait que le PESEL est un nombre de 11 chiffres :
Que faire, comment vivre ?
Pour chiffrer les données, il faut utiliser des mots de passe longs – de plus de 12 caractères, avec un large espace de caractères , c’est-à-dire contenant des lettres majuscules/minuscules, des chiffres et des caractères spéciaux. Un tel mot de passe doit être envoyé au client par un deuxième canal de communication, par exemple par SMS. De plus, les institutions doivent utiliser des algorithmes de chiffrement forts qui ralentissent considérablement les tentatives de brute-force. Un exemple pourrait être l’utilisation d’une archive 7zip avec l’algorithme AES-256.
