Mots de passe et attaques vélo

Les attaques à vélos en cybersécurité consistent en des fuites données causées par une faiblesse de sécurité en lien avec la longueur des mots de passe via le trafic crypté. Cette terminologie, inventée par Vranken (2016), a été créée suite à l’observation réalisée par ce chercheur que le trafic SSL (non rembourré) peut permettre la divulgation d’informations à propos de la longueur des mots de passe. Il a nommé ce phénomène comme étant l’attaque à vélo (« bicycle attack » en anglais) faisant référence au principe qu’un bicycle emballé comme un cadeau conserve malgré tout sa forme initiale. Bref, ce principe s’applique à certaines faiblesses observées chez quelques langages de cryptages par exemple ciphertext. En effet, certaines informations sensibles comme le type et la longueur des textes avant d’être cryptées peuvent être déduites dans le document une fois crypté.

Pour cette raison, les chercheurs Harsha et al. (2021) se posent précisément deux questions de recherche : 1) combien de pages Internet sont potentiellement à risque et ainsi vulnérables aux attaques à vélo? 2) Comment la fuite de l’information sur la longueur d’un mot de passe peut-elle affecter la fraction de mots de passe qu’un pirate informatique craquerait lors d’une attaque en ligne ou hors ligne? Sommairement, les chercheurs visent à quantifier autant la prévalence des fuites d’informations sur la longueur des mots de passe ainsi que le préjudice que cela peut poser aux utilisateurs de ces sites Internet.

Après avoir réalisé différentes analyses, tout en prenant en considération différents types d’attaquants (pirate informatique, criminel et État-nation), ils arrivent à la conclusion suivante : dans tous les cas observés, les chercheurs constatent qu’un attaquant qui connaît la longueur de chaque mot de passe obtient un avantage considérable en comparaison avec un attaquant n’a pas cette information.

Pour contrer ce risque important qui nuit à la sécurité primordiale des utilisateurs, les auteurs proposent une nouvelle norme nommée W3C qui vise à sécuriser la façon dont les champs d’entrées des caractères de mots de passe sont traités par les administrateurs des pages Internet. Cela a pour but d’éliminer activement la plupart des fuites d’informations sur la longueur des mots de passe.

Cet article a une contribution importante autant pour son aspect empirique que pratique. En effet, la fuite de données et le vol d’identités sont encore à ce jour souvent perpétrés grâce aux vols de mots de passe. Le fait que les malfaiteurs puissent avoir des avantages dont, i.e la longueur initiale du mot de passe à voler, donne un avantage sur le reste de décodage à réaliser. Les auteurs, en plus d’illustrer l’importance de la problématique, fournissent des solutions afin de contrer cette problématique.

Pour citer l’article: Harsha, B., Morton, R., Blocki, J., Springer, J., Dark, M. (2021). Bicycle attacks considered harmful: Quantifying the damage of widespread password length leakage. Computers & Security, 100. https://doi.org/10.1016/j.cose.2020.102068