Vos mots de passe sont peut-être bien choisis, mais sont-ils vraiment à l’abri ? Face à la puissance croissante des machines, le hashage moderne joue la montre pour enrayer des attaques de plus en plus performantes.
Un bon mot de passe, c’est bien. Un bon mot de passe correctement protégé, c’est encore mieux. Car une fois saisi dans un formulaire de connexion, il ne disparaît pas dans le néant : il transite, il est stocké, et parfois, il se retrouve exposé. Mais les pirates le savent : un mot de passe, aussi complexe soit-il, n’a de valeur que s’il est exploitable. Et pour ça, il faut pouvoir le lire. Le hashage est justement là pour empêcher cette lecture, en transformant une simple chaîne de caractères en une empreinte unique et illisible. Reste à savoir si ce procédé tient toujours la route face aux avancées des pirates et à la montée en puissance des capacités de calcul.
Du mot de passe au hash : ce qui se passe vraiment quand vous vous connectez
Le principe du hashage repose sur une idée simple : convertir un mot de passe en une suite de caractères incompréhensible, unique, de longueur fixe, et impossible à restituer sous sa forme originale. Lorsqu’un mot de passe est enregistré dans une base de données, si les règles de sécurité sont respectées, ce n’est pas sa version en clair qui est stockée, mais son empreinte numérique, ou hash. Lors d’une tentative de connexion, le système ne compare donc pas les mots de passe directement, mais les hash correspondants.
Cet intermédiaire cryptographique présente un avantage majeur : même en cas de fuite de données, un pirate ne pourra pas exploiter immédiatement ces empreintes. Mais voilà le hic : aucun algorithme de hashage n’est infaillible, et certains, comme MD5 ou SHA-1 qui faisaient autrefois office de références, ont aujourd’hui pris un sérieux coup de vieux. Trop légers, trop prévisibles, ils ont fini par céder face à la puissance de calcul des machines modernes.
Pire, des collisions ont été découvertes, permettant à deux entrées différentes de produire le même hash. Résultat : un pirate équipé d’une carte graphique suffisamment puissante pourrait casser un mot de passe simple haché en MD5, par force brute ou par collision, extrêmement rapidement. Pas vraiment rassurant.
Ralentir les pirates : le vrai rôle du hashage
Dans l’équation, c’est donc le temps qui joue le rôle le plus important. De manière générale, considérez que plus un algorithme est solide et complexe, plus il ralentit les tentatives de piratage. C’est cette logique qui a conduit à l’émergence d’algorithmes dits de nouvelle génération comme bcrypt, scrypt ou encore Argon2, pensés pour compliquer sérieusement la tâche aux attaquants.
Sans entrer dans les détails techniques propres à chacun, gardez en tête que leur atout principal réside dans leur caractère adaptatif. En d’autres termes, ils peuvent être configurés pour alourdir progressivement la charge de calcul nécessaire à chaque tentative de piratage. Par conséquent, plus la puissance des machines augmente, plus les attaques sont longues, complexes et coûteuses.
Et face à des hackers équipés de GPU surpuissants ou d’ASICs optimisés, capables de lancer des millions de tentatives par seconde, ces algorithmes opposent une résistance de taille. À titre d’exemple, scrypt ne se contente pas de ralentir le processus : il exige aussi de grosses quantités de mémoire. Autant dire que même les équipements les plus performants peuvent s’y casser les dents.
Ce n’est donc pas le hashage en soi qui rend un mot de passe inviolable, mais bien le délai qu’il impose aux attaquants. En multipliant les obstacles temporels et techniques, ces algorithmes rendent chaque tentative de piratage suffisamment coûteuse pour décourager la plupart des attaques, forçant ainsi les hackers à revoir leurs stratégies.
Pirates et hashage : contourner plutôt que craquer
Casser un bon algorithme de hashage est aujourd’hui trop long et trop coûteux pour les pirates. Alors, plutôt que de s’acharner à tester des milliards de combinaisons, ils préfèrent contourner le problème. Dans la grande majorité des cas, les attaques ne ciblent pas le hashage lui-même, mais les points faibles connexes.
Première faille évidente : les mots de passe trop simples. Peu importe la solidité d’un algorithme, il faut moins d’une seconde à n’importe quel hacker équipé d’un dictionnaire logiciel basique pour craquer un mot de passe type « azerty » ou « 123456 ».
Pas besoin non plus de trop forcer le système quand l’internaute suit des règles de complexité prévisibles. Un mot de passe qui commence par une majuscule et se termine par un chiffre est logiquement plus vulnérable aux attaques de type mask – tentatives de piratages basées sur des schémas de combinaisons courants – qu’une chaîne de caractères réellement aléatoires. En clair, « Azerty123 » ne vaut pas bien mieux que « azerty » tout court.
La réutilisation d’un même mot de passe sur plusieurs services reste aussi un classique. Pourquoi s’acharner sur un hash ultra-sécurisé quand il suffit de traquer des identifiants déjà compromis sur le dark web ? Une fois récupérés, ces mots de passe sont testés en masse sur d’autres plateformes, car sait-on jamais. Dans le jargon, c’est ce qu’on appelle du credential stuffing, et c’est plutôt efficace.
Enfin, quand ce ne sont pas les internautes qui commettent des erreurs, ce sont quelques fois les plateformes elles-mêmes qui exposent leurs données. Certaines stockent encore des mots de passe en clair ou s’appuient sur des algorithmes obsolètes. D’autres appliquent mal les procédures de hashage : absence de salage pour les algorithmes plus anciens – étape qui consiste à ajouter des données aléatoires avant le hashage pour rendre chaque empreinte unique – ou configurations inadéquates.
Parfois, les failles sont plus subtiles. Une mauvaise gestion des sessions peut suffire à affaiblir l’efficacité du hashage, comme l’absence de réinitialisation des tokens d’authentification après un changement de mot de passe. Il arrive aussi que des données sensibles apparaissent dans les journaux système ou que des configurations mal sécurisées laissent fuiter des informations critiques.
Au final, ce n’est pas la technologie qui fait défaut, mais la manière dont elle est déployée. Les pirates savent que casser un mot de passe bcrypté de 12 caractères est pratiquement impossible. Mais récupérer une combinaison basique, réutilisée sur un site mal sécurisé, c’est une autre histoire.
Et demain, l’informatique quantique ?
Si les algorithmes de hashage modernes offrent aujourd’hui une résistance solide face aux attaques, la donne pourrait évoluer avec l’avènement de l’informatique quantique. Des algorithmes comme celui de Grover pourraient réduire de moitié le temps nécessaire pour casser un hash par force brute. En clair, ce qui nécessitait des années de calcul pourrait, avec un ordinateur quantique suffisamment puissant, se faire en quelques mois, voire semaines.
Pas de panique pour autant : des solutions post-quantiques sont déjà en cours de développement. Des équipes de recherche et des institutions comme le NIST travaillent activement à la standardisation de nouveaux algorithmes capables de résister aux capacités de calcul des ordinateurs quantiques. En parallèle, des approches hybrides, combinant des techniques classiques et post-quantiques, émergent pour faciliter la transition vers des systèmes de sécurité plus résilients.
En attendant, la meilleure protection reste la rigueur dans la gestion de vos mots de passe : privilégiez des combinaisons longues, complexes et uniques, idéalement générées par des gestionnaires de confiance, et utilisez des algorithmes comme bcrypt, scrypt ou Argon2, configurés avec des paramètres de sécurité élevés. De quoi tenir encore pour les années à venir.
27 janvier 2025 à 08h51
