Plus qu’un terme de cuisine, le hachage (inspiré du terme anglais hash, pagaille, désordre, mélanger) est aussi utilisé dans le monde secret des hackers. D’abord utilisé par les grosses entreprises du net pour protéger les mots de passe de ses utilisateurs – tout en les gardant accessibles, la fonction de hachage peut se révéler inefficace. Le principe est simple : les entreprises ne peuvent conserver les mots de passe de leurs utilisateurs tels quels. Elles hachent le mot de passe pour créer une empreinte d’origine qu’elles conservent, puis la comparent avec l’empreinte du mot de passe utilisé à chaque connexion. Une technique pas infaillible, puisque l’empreinte est la même pour tout de mot de passe identique. Si le hacker en découvre une, elle s’applique à tous les caractères semblables. Dès lors, à coups d’attaques par force brute (un logiciel teste toutes les combinaisons possibles), le hacker peut vite décrypter tous les codes hachés. Schéma basique de la fonction de hachage Pour contrer ces attaques faciles, les développeurs ajoutent un composant appelé « sel ». Chaque mot de passe se voit attribuer un « sel », qui ajoute une composante aléatoire lors de la création de l’empreinte. Deux mots de passe identiques ne seront plus dès lors stockés de la même manière, empêchant les attaques de base. Le problème, c’est que plus les hackers collectent de mots de passe, plus ils disposent de données pour comprendre les systèmes et en cracker d’autres. Récemment, le réseau social professionnel LinkedIn a révélé s’être fait subtiliser plus de 177 millions de mots de passe en 2012. Une semaine après, c’est Tumblr et Myspace qui annonçaient des fuites massives. Mises aux enchères sur le dark net, ces listes de mots de passe mal protégées permettent aux hackers de les tester sur d’autres sites. Pour exemple, Mark Zuckerberg, le patron de Facebook, s’est fait pirater ses comptes Pinterest et Twitter suite à ce procédé… Mark Zuckerberg fait moins le malin, comme quoi même un génie de l’informatique peut se faire avoir. Le meilleur moyen d’être sûr de ne pas se faire piquer son mot de passe est donc d’en établir un complexe qui sera plus difficile à décrypter. Il est aussi crucial de varier les mots de passe entre ses différents comptes, au cas ou l’un d’entre eux serait volé. Source : Wired 14 ans, traqué par le FBI. ↓