Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

À 11 ans, elle vend des mots de passe forts moyennant deux dollars
En se servant de la méthode Diceware

Le , par Stéphane le calme

0PARTAGES

8  2 
La vie privée numérique. Un sujet qui revient souvent sur le tapis, boosté par des révélations comme celles d’Edward Snowden, par des découvertes sur des failles critiques de sécurité sur Android, Flash ou ailleurs, mais aussi par des rapports qui montrent la recrudescence des attaques à l’instar de la campagne de publicité malveillante dont a été victime Yahoo! Les guides ou conseils sur la façon d’améliorer sa sécurité numérique se multiplient. L’un des points qui sont souvent évoqués est l’utilisation d’un mot de passe fort.

C’est sur cette vague que va surfer Mira Modi, une jeune fille âgée d’à peine 11 ans, qui va développer une petite activité économique : moyennant 2 dollars, elle va créer et envoyer à ses clients des mots de passe sécurisés en se servant de la méthode Diceware. Cette méthode consiste à jeter des dés, afin de générer des nombres aléatoires. Ces nombres sont ensuite rapportés à un dictionnaire numéroté de 7776 mots et Mira peut en tirer une suite de mots qui constitueront son mot de passe. Ces chaînes de mots étant générées de manière totalement aléatoire, le mot de passe est très difficile à deviner, mais facile à retenir pour les utilisateurs.

Concrètement, Mira lance un dé cinq fois en notant à chaque fois le résultat. Puis elle convertit la combinaison de chiffres en un mot en consultant le dictionnaire des mots et abréviations conçu spécialement pour cette méthode. Elle recommence l’opération cinq fois pour obtenir un total de six mots qui est, selon le concepteur de la méthode, le minimum requis pour un mot de passe sécurisé (ou alors cinq mots et un caractère). Le concepteur estime qu’un mot de passe constitué de cinq mots pourrait être trouvé avec un millier de PC équipés de processeurs graphiques haut de gamme (des botnets de PC infectés par exemple). Une fois toutes ces opérations terminées, elle obtient une phrase qui n’a pas de sens littéral et aura la faculté d’être difficile à deviner bien que facile à mémoriser.

L’idée lui est venue de sa mère, Julia Angwin, une journaliste d’investigation pour ProPublica spécialisée dans les questions de vie privée, et auteur de « ;Dragnet Nation ;», un ouvrage sur la technologie de la surveillance aux États-Unis. Pendant ses recherches, elle a sollicité sa fille pour l’aider à générer des mots de passe grâce à la méthode Diceware développée par Arnold G. Reinhold.

« J’ai commencé ce business parce que ma maman avait la flemme de lancer autant de fois des dés, alors elle m’a payée pour le faire et donc pour lui créer des phrases de passe. J’ai réalisé ensuite que d’autres gens voudraient la même chose », va-t-elle expliquer sur son site web.

Mais Mira n’a pas conclu assez de ventes à son goût. « ;Je voulais en faire quelque chose de public parce que je ne gagnais pas assez d’argent ;», dit-elle. « ;Je pensais que ce serait amusant d’avoir mon propre site web ;». Raison pour laquelle elle a déporté son activité sur le net : l’utilisateur passe une commande sur son site web, Mira se charge de lancer les dés et envoie le mot de passe obtenu par la poste. Elle rappelle que l’enveloppe ainsi envoyée ne peut être ouverte par le gouvernement sans mandat de perquisition. Elle précise également qu’une fois que vous entrez en possession de votre mot de passe, vous pouvez effectuer des changements comme mettre des lettres en majuscules ou ajouter des symboles comme un point d’exclamation afin d’être certain que le mot de passe ne soit plus le même que celui qu’elle vous a donné.

Et qu’en pense Arnold Reinold ? Lors d’une interview avec ARS Technica, il a expliqué que « dans une perspective de sécurité, il est préférable de générer derechef votre propre mot de passe Diceware, mais il est peu probable qu’elle travaille pour les méchants, et tout effort pour faire connaître l’importance des mots de passe forts doit être loué ».

Source : Diceware Passewords, ARS Technica

Et vous ?

Que pensez-vous de cette méthode ?

Voir Aussi

le dictionnaire Diceware (au format PDF)

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de fabiin
Nouveau membre du Club https://www.developpez.com
Le 28/10/2015 à 9:28
https://xkcd.com/936/
9  0 
Avatar de ticNFA
Membre confirmé https://www.developpez.com
Le 28/10/2015 à 10:24
Je prends la remarque d'Issam pour de l'humour. Car je ne sais pas ce qui est le plus inquiétant, la mère qui monétise cela avec sa fille parce qu'elle n'est pas foutue d'automatiser cela ou sa fille qui pense tout de suite au pognon qu'elle pourrait retirer de cela ou encore les gens prêts à payer pour cela (en plus c'est migon c'est une petite fille !). Donc point de génie ici mais de l'âpreté au gain... Pauvre monde.
8  2 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 28/10/2015 à 1:38
J'espère ni l'un ni l'autre, personellement. {'^_^}
5  2 
Avatar de Voïvode
Membre émérite https://www.developpez.com
Le 28/10/2015 à 10:46
À ce rythme, on va faire vendre des mots de passe basés sur l’entropie du placenta par des nouveau-nés.
3  0 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 28/10/2015 à 14:20
Je ne sais pas trop ce qui m’effraie le plus là dedans:
- Le fait que les gens (et les "concepteurs" de sites qui te demandent un mot de passe entre 8 et 10 caractères (jamais compris pourquoi ils mettaient un maximum O_o) avec des chiffres, des majuscules, des caractères spéciaux, etc.) qu'un mot de passe simple mais long étaient beaucoup mieux.
- Le fait qu'une gamine de 11 ans se f**te de la gueule des gens de cette manière (parce que oui, se faire payer pour jeter un dé, j'appel pas ça autrement)
- Le fait qu'il y en ai qui paie pour ça -_-'

@Issam: Si c'est un troll, Billou et Stevie ont, qu'on le veuille ou non, bien participer au domaine de l'informatique (n'en déplaise aux haters). Si c'en est pas un... Je te rajoute à ma liste du dessus.
3  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 31/10/2015 à 9:11
Citation Envoyé par Town Ground Voir le message
Pour ce qui est du "chiffrement" (je conseillerai de voir la signification de "chifro" en portugais et donc de "chifrudo")
??

Citation Envoyé par Town Ground Voir le message
un caractère est un octet.
Non. On l'associe à un ou plusieurs octets suivant le code utilisé (Latin1, UTF-8, UTF-16, ASCII, …).

Tout algorithme aussi complexe soit-il fonctionne par le remplacement d'un octet par un autre en fonction d'une suite d'octets nommés "code".
Non, non, non.

Le code (codage de caractère), c'est associer à un caractère une suite d'octet (=un ou plusieurs), ie la représentation informatique de ton caractère (ex. Latin-1, UTF-8).
Bon, on a aussi le codage de canal (résistant aux altérations) et le codage de source (compression), mais rien à voir avec le chiffrement.
Le codage, c'est juste une problématique de représentation.

Pour chiffrer, on a généralement deux types :
  • par flux, on chiffre bit par bit, c'est généralement un xor avec une suite de bit pseudo-aléatoire ;
  • par bloc, on chiffre bloc d'octet par bloc d'octet, 16 octet pour l'AES.


Inversement donc un algorithme complexe
Cela veut dire quoi un "algorithme complexe" ?

car si un informaticien maîtrise de facto les algos il ne connaît pas forcément les mathématiques
N'exagérons pas non plus, il y a des cours de maths dans le cursus d'ingénieur informatique et de master informatique.
Peut-être moins avancé que des fac de maths, mais de là dire qu'un "informaticien ne connaît pas forcément les mathématique"…
Il faudra me dire comment un informaticien est censé calculer la complexité en temps et en mémoire de l'algorithme, prouver qu'il termine, prouver qu'il fait ce qu'on lui demande sans les maths.
Il faudra me dire comment un informaticien fait pour utiliser des algorithmes probabilistes sans maths.
Il faudra me dire comment un informaticien fait pour faire des manipulations d'images ou de signal sans maths.

Je bouffe déjà suffisamment de maths, alors ne venez pas dire qu'on ne "connaît pas forcément les mathématique"

Cela signifie de facto qu'il n'y a pas, avec ces algorithmes, que mon mot de passe à moi qui peut servir à décrypter un fichier, mais qu'éventuellement un autre mot de passe totalement différent le peu aussi.
Ouais, comme avec les hashs.
3  0 
Avatar de Zirak
Inactif https://www.developpez.com
Le 02/11/2015 à 13:29
Citation Envoyé par Neckara Voir le message

C'est surprenant sachant que même en IUT informatique, il y a des maths, bien que ce soit moins poussé qu'en ingé ou master.

EDIT : D'ailleurs, en licence, vous n'avez pas 6 mois en L1 de cours communs avec les autres formations et dans ce tronc commun des maths ?
Je n'ai pas fait un IUT mais une formation dans une CCI (ceci explique peut-être cela ) et du coup, mes derniers cours de math remontent au lycée...

Après je suis d'accord avec toi, que l'on utilise forcément des notions mathématiques en tant que dev, mais ce que je voulais dire c'est que selon le domaine, cela ne sera pas forcément des notions très complexes (genre l'algèbre de Boole, j'ai du voir cela en seconde au lycée, c'est loin du niveau d'un Bac S ou de ce qui peut être vu en IUT ou école d'ingé).

Mais je serais bien incapable de faire de la 3D, de manipuler / traiter des sons ou autres trucs du genre car je n'ai pas eu des cours la-dessus, et que je ne n'en ai jamais eu besoin dans mon travail, et le cas échéant, il faudra que je me forme moi-même (après tout, l'adaptabilité, c'est surtout ça notre point fort ).
3  0 
Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 27/10/2015 à 20:23
Citation Envoyé par Stéphane le calme Voir le message
Et qu’en pense Arnold Reinold ? Lors d’une interview avec ARS Technica, il a expliqué que « dans une perspective de sécurité, il est préférable de générer derechef votre propre mot de passe Diceware, mais il est peu probable qu’elle travaille pour les méchants, et tout effort pour faire connaître l’importance des mots de passe fort doit être loué ».
Tout est dit : quelqu'un qui veut un password solide le génèrera lui-même.
2  0 
Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 27/10/2015 à 20:46
Idéal pour les gens qui ignorent qu'on peut utiliser un générateur !

Je vais développer mon idée : vous me dites ce que vous cherchez, et je vous donne une liste de résultats (après avoir lancé 3 dés et fait une danse du ventre pour renforcer le côté mystique et inédit de la chose)
3  1 
Avatar de G'Optimus
Membre régulier https://www.developpez.com
Le 28/10/2015 à 9:26
C'est un peut facile a faire je trouve .Je préfère générer mes propre mot de passe
2  0