Les mots de passe…

Publié le par Bernard Sady

Le jeudi 15 octobre, Linternaute donnait une analyse des mots de passe utilisés sur Hotmail, suite à la publication sur Internet de 20 000 ou 30 000 comptes et de leurs mots de passe début octobre.

 

« La société de sécurisation des données Acunetix a analysé les mots de passe des internautes qui possèdent une adresse électronique sur le service de messagerie Hotmail. »

 

Quelques jours avant, solutions-logiciels.com expliquait dans un article du 12 octobre que « récemment des comptes Hotmail, environ 10 000, ont été piratés. Diverses hypothèses ont circulé à la suite de cet événement. Pourtant il se pourrait que cet exploit n'en soit pas vraiment un. Ainsi sur le site d'Acunetix, qui dit avoir eu accès au la liste des comptes piratés, pouvons-nous lire que les mots de passes concernés n'étaient pas vraiment des mots de passe, mais plutôt des invitations au piratage. Un de ces mots de passe n'a qu'un seul caractère de longueur. »


Puisque les deux articles faisaient référence à la société Acunetix, je suis allé voir ce qu’il en était réellement sur Internet.

Le billet auquel se réfèrent ces deux articles est sur le blog du site d’Acunetix. Il date du 06 octobre et a comme titre « Statistics from 10,000 leaked Hotmail passwords ». Il est en anglais.

Les principales informations qu’on peut en tirer, c’est qu’un « utilisateur anonyme » a publié une liste de 10 000 profils et mots de passe provenant d’Hotmail sur le site PasteBin. (« An anonymous user posted usernames and passwords for over 10,000 Windows Live Hotmail accounts to web site PasteBin. »)

Le site de PastBin est en maintenance et n’est donc pas consultable, mais l’auteur de l’article certifie qu’il a pu se procurer la liste des comptes et des mots de passe…

 

L’origine de cette publication n’est pas clairement définie. Elle pourrait être due à une opération de phishing : les internautes sont invités sur un faux site et y saisissent leurs mots de passe. Ou serait une attaque par botnets ayant infecté des PC avec des keyloggers (enregistreurs de frappes au clavier) ou des Troyens spécialisés dans le vol de données.

 

Mais au-delà du fait d’alerter une fois de plus sur le danger de répondre à des mails inconnus, d’ouvrir des pièces attachées à ces mails d’origine inconnue, ou de cliquer sur des liens inconnus, il est intéressant de voir l’analyse des mots de passe que l’auteur de l’article sur le blog d’Acunetix a faite.

 

Après nettoyage de la liste d’origine qui contenait 10 028 comptes, il lui en restait 9848 et il en a fait des statistiques.

 

Il y a 8 931 (90%) mots de passe uniques dans cette liste, ce qui veut dire que les autres ont été définis par plusieurs utilisateurs.

 

Le mot de passe le plus court fait 1 caractère : (

Le mot de passe le plus long fait 30 caractères : lafaroleratropezoooooooooooooo

 

Voici la liste des 20 noms les plus utilisés.

 

  1. 123456 - 64
  2. 123456789 - 18
  3. alejandra - 11
  4. 111111 - 10
  5. alberto - 9
  6. tequiero - 9
  7. alejandro - 9
  8. 12345678 - 9
  9. 1234567 - 8
  10. estrella - 7
  11. iloveyou  - 7
  12. daniel  - 7
  13. 000000  - 7
  14. roberto  - 7
  15. 654321  - 6
  16. bonita  - 6
  17. sebastian  - 6
  18. beatriz  - 6
  19. mariposa  - 5
  20. america  - 5

La majorité se situe entre 6 et 9 caractères, avec une moyenne à 8. Cela correspond à ce qui est préconisé en général : un vrai mot de passe doit comporter au moins 8 caractères.

 

Et voici maintenant la manière dont les mots de passe sont composés :

 

42 % (3 713) sont composés uniquement de lettres minuscules – ex : iloveyou

3 % (291) sont constitués de lettres majuscules et minuscules – ex : ILoveYou

19 % (1707) sont composés uniquement à partir de chiffres – ex : 123456

30 % (2655) combinent des lettres majuscules ou minuscules et des chiffres – ex : Iloveyou12

6 % (565) combinent des lettres, des chiffres et des caractères spéciaux – ex : 1Love You$%@


L’auteur en conclue qu’une forte majorité d’utilisateurs utilise des mots de passe « très pauvres » (very poor password) (60 % n’utilisent que des lettres ou que des chiffres), alors qu’il n’y en a que 6% qui utilisent des mots de passe combinant des lettres, des chiffres et des caractères spéciaux.


Un commentaire de ce billet renvoie à une autre étude de mots de passe, l’auteur ayant pu accéder à 24 546 comptes (21 686 après nettoyage). Et ceci sur le même site pasebin.com…

Cette liste ne concerne plus uniquement Hotmail, mais également yahoo, aol, gmail, etc.

Si cela vous intéresse, vous pouvez aller consulter cet article, il donne non pas les 20, mais les 100 premiers mots de passe les plus utilisés. Cependant, les conclusions de cet article sont à peu près les mêmes.


 

Mes conclusions :

Soyez vigilant envers le phénomène du phishing. N’ouvrez jamais les mails dont vous ne connaissez pas l’origine, ouvrez encore moins les pièces détachées et ne cliquez pas sur les liens qui vous seraient proposés.

Créez des vrais mots de passe (voir mes billets à ce sujet, ici et ici) et ne les divulguez jamais.

Pour être informé des derniers articles, inscrivez vous :

Commenter cet article