Le site arthur.bebou.netlib.re - retour accueil
git clone git://bebou.netlib.re/arthur.bebou
Log | Files | Refs |
commit f5524a5804400efef7e39489cf731a95f294b986 parent 30b5d545a33ce427811158dee20151cee9cfd618 Auteurice: Arthur Pons <arthur.pons@unistra.fr> Date: Wed, 18 Dec 2024 14:48:34 +0100 Ajout de la vidéo sur la quali des mdp Diffstat:
| A | contents/bon-mdp/bon-mdp.vtt | | | 1819 | +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ |
| A | contents/bon-mdp/index.sh | | | 25 | +++++++++++++++++++++++++ |
| M | contents/qcm/index.sh | | | 22 | ++++++++++++++++------ |
3 files changed, 1860 insertions(+), 6 deletions(-)
diff --git a/contents/bon-mdp/bon-mdp.vtt b/contents/bon-mdp/bon-mdp.vtt @@ -0,0 +1,1819 @@ +WEBVTT + +00:00.000 --> 00:16.600 +Sans plus attendre, je vais laisser la parole à Arthur Pons, qui est notre architecte, + +00:16.680 --> 00:21.020 +qui est donc au département urbanisation et conseil. + +00:21.820 --> 00:25.660 +Voilà, donc c'est aussi l'occasion de voir des gens qu'on voit un peu moins souvent, + +00:25.660 --> 00:40.320 +parfois, pour certains. Bonjour, je ne vais pas du tout parler d'architecture, je vais parler de mot de passe. + +00:41.700 --> 00:45.420 +Pourquoi je pose la question ? Je pense qu'ici, une large majorité, si ce n'est tout le monde, + +00:45.680 --> 00:51.440 +a une bonne intuition de ce qu'est un bon mot de passe et un mauvais mot de passe, + +00:52.660 --> 00:58.440 +mais le but de la présentation, c'est d'y répondre de façon un peu plus analytique, de façon un peu plus certaine. + +00:58.440 --> 01:08.760 +Le mot-clé, c'est bon. Dans une démarche de anti-clickbait, je réponds à la question dans la deuxième diapo. + +01:09.500 --> 01:12.280 +Comme ça, après, vous pouvez ne plus écouter, vous pouvez répondre à vos mails. + +01:13.120 --> 01:15.000 +Ça ne sera pas la fin de la présentation, quand même. + +01:15.000 --> 01:24.300 +Il y a trois grands, si ce n'est que trois critères de qualité, lorsqu'on analyse un mot de passe. + +01:24.960 --> 01:30.080 +Le premier, c'est la mémorabilité. C'est un mot, il est un peu barbare, mais c'est un mot. + +01:30.700 --> 01:34.420 +À quel point on s'en souvient bien. Donc, deux exemples. + +01:34.580 --> 01:37.900 +Le premier, on s'en souvient moins bien que le deuxième, parce que c'est un mot. + +01:37.900 --> 01:45.500 +Deuxièmement, l'aisance d'utilisation. Donc, autrement dit, la plupart du temps, c'est à quel point il sera facile à taper. + +01:46.300 --> 01:50.720 +C'est d'autant plus important qu'on a tendance à taper de plus en plus de mots de passe avec nos téléphones portables, + +01:51.200 --> 01:56.660 +qui ont des claviers assez limités. Donc là, le premier mot de passe, je vous mets au défi de le taper facilement. + +01:57.060 --> 01:58.400 +Le deuxième mot de passe, c'est beaucoup plus simple. + +02:00.080 --> 02:04.520 +Et puis, troisième, le plus important, celui sur lequel on ne peut pas vraiment faire de compromis, + +02:04.520 --> 02:07.580 +la robustesse, c'est à quel point il va être vraiment sécurisé. + +02:08.440 --> 02:11.560 +On peut le quantifier de plein de façons différentes. + +02:12.280 --> 02:18.560 +Dans la présentation, je vais généralement le quantifier en nombre de combinaisons possibles du mot de passe. + +02:19.740 --> 02:24.220 +Il y a trois sous-variables, on va dire, qui ajustent la robustesse. + +02:24.620 --> 02:27.000 +Il y a la longueur du mot de passe, on comprend bien. + +02:27.600 --> 02:32.920 +La taille de l'alphabet, c'est les fameuses majuscules, minuscules, caractères spéciaux + +02:32.920 --> 02:35.100 +que vous pouvez ajouter à votre mot de passe. + +02:35.700 --> 02:38.580 +Et puis, l'aléatoirité, alors ça, par contre, ce n'est pas vraiment un mot, je crois. + +02:38.820 --> 02:42.860 +C'est un néologisme, parce qu'il n'y a pas vraiment de mot en français pour dire ça. + +02:42.980 --> 02:54.280 +En anglais, randomness. L'aléas ? Oui, bien vu. J'aurais dû faire relire ma présentation avant de la faire. + +02:55.560 --> 02:59.140 +Qui détermine à quel point le mot de passe est proprement aléatoire. + +02:59.140 --> 03:04.660 +Et ce n'est pas un terme technique proprement aléatoire, mais généralement, en gros, c'est à quel point ça se rapproche + +03:04.660 --> 03:10.640 +d'un aléa qui est équiprobable et sans mémoire. + +03:11.460 --> 03:14.360 +C'est ça qu'il faut retenir. Mais on va en reparler après. + +03:15.680 --> 03:22.680 +Donc, quelques exemples pour situer. Celui-ci, Université Strasbourg ENT 2019. + +03:22.680 --> 03:29.200 +On s'en souvient bien, plutôt facile à taper, mais bon, la robustesse, ce n'est pas ça, parce que la taille de l'alphabet est bof. + +03:29.280 --> 03:33.040 +A la limite, ce n'est pas trop grave, parce qu'il est assez long, mais surtout, il n'est pas du tout aléatoire. + +03:33.360 --> 03:37.300 +Surtout si c'est un mot de passe qui est utilisé pour un compte ENT à l'Université de Strasbourg. + +03:40.060 --> 03:48.060 +Celui-ci, plutôt bonne mémorabilité aussi, parce qu'il est assez court, mais difficile à taper, parce qu'on n'a pas ces caractères-là sur nos claviers. + +03:48.060 --> 03:53.680 +Et puis, la robustesse, c'est bof aussi, si ce n'est mauvaise, parce qu'il n'est pas assez long. + +03:54.000 --> 03:59.540 +Et puis, si on met le paquet, on peut avoir ça, mais personne ne va s'en souvenir et personne ne va pouvoir le taper. + +04:01.500 --> 04:04.780 +Bon, là, au début, j'enfonce des portes ouvertes. + +04:05.100 --> 04:07.940 +Il y aura de l'enfonçage de portes ouvertes pendant tout le long. + +04:08.880 --> 04:14.380 +On voit qu'il y a un peu un dilemme, ou en tout cas, on a le sentiment qu'il y a un dilemme. + +04:14.380 --> 04:21.760 +C'est que plus on fait monter la robustesse, et plus on fait descendre l'aisance d'utilisation et la mémorabilité. + +04:22.340 --> 04:29.280 +Du coup, le but, ça va être de résoudre, de lever ce dilemme-là, sachant qu'il n'y a pas de technique magique. + +04:29.500 --> 04:32.380 +Il va falloir y réfléchir un peu. Alors, le... + +04:33.340 --> 04:35.880 +Enfin, ce n'est pas très compliqué non plus, parce que ça tient en une demi-heure. + +04:35.880 --> 04:44.820 +La démarche que je propose, c'est qu'on va écrire, réfléchir, penser un mot de passe, ou plutôt une source de mot de passe, en fait. + +04:44.920 --> 04:48.760 +On ne va pas choisir un mot de passe en particulier, mais choisir une certaine longueur et un certain alphabet. + +04:49.360 --> 04:55.120 +Et puis, les mots de passe seront tous ceux qui peuvent être générés par cet alphabet-là, avec cette longueur-là. + +04:56.420 --> 05:00.520 +On y réfléchit, deux secondes, on se pose, on se dit, bon, quelle sécurité ça offre ? + +05:00.520 --> 05:05.880 +Combien de combinaisons disponibles ? À quel point c'est facile de le craquer avec tel ou tel matériel ? + +05:05.880 --> 05:11.260 +On apprend quelque chose, on a une idée, et puis on reboucle. + +05:11.720 --> 05:16.400 +Et en itérant comme ça, il y a neuf étapes, on va arriver à un mot de passe qui n'est pas trop mal. + +05:16.640 --> 05:19.680 +Et surtout, on va arriver à comprendre comment tout ça fonctionne. + +05:20.800 --> 05:29.620 +Donc, premier mot de passe, une lettre. La lettre A, il y aura toujours, en haut et en bas, des caractéristiques sur le mot de passe. + +05:29.620 --> 05:34.740 +Donc là, on a une longueur de 1, on a une taille d'alphabet de 1, c'est-à-dire que c'est toujours A. + +05:35.120 --> 05:38.000 +Donc, on a une certitude sur le mot de passe, ça sera toujours A. + +05:38.380 --> 05:42.600 +Et puis, l'aléatorité ici, bon, on s'en fiche parce que c'est toujours A. + +05:43.060 --> 05:48.260 +On va dire qu'elle est nulle. Et puis, c'est évidemment extrêmement facile à casser, + +05:48.480 --> 05:51.580 +parce que si on considère qu'on prend à peu près une seconde à, je ne sais pas, + +05:51.620 --> 05:57.980 +le rentrer dans un système ou à réfléchir, à penser la lettre A, c'est instantané. + +05:57.980 --> 06:02.500 +Donc, admettons, on agrandit l'alphabet, on fait passer à 26. + +06:03.160 --> 06:08.840 +Du coup, notre mot de passe, ça va être A ou B ou C et ainsi de suite jusqu'à la lettre Z, minuscule. + +06:08.840 --> 06:17.160 +Et ici, on assume un aléa, une aléatorité équiprobable et sans mémoire. + +06:17.220 --> 06:19.080 +Sans mémoire, ici, on s'en fiche parce que la longueur, c'est de 1. + +06:19.360 --> 06:23.220 +Mais équiprobable, il y a autant de chances que ce soit A, que B, que C et ainsi de suite. + +06:23.700 --> 06:30.440 +Donc, le temps moyen pour casser ce mot de passe, si on le fait à la main et qu'on imagine un essai par seconde, + +06:30.780 --> 06:33.700 +c'est 13 secondes parce qu'il y a 26 lettres, on le divise par 2. + +06:33.700 --> 06:42.380 +Il va falloir tester 13 lettres. Et on est obligé de les tester dans un ordre aléatoire ou dans l'ordre en allant jusqu'à Z + +06:42.380 --> 06:45.140 +parce qu'ils ont tous autant de chances d'apparaître. + +06:47.840 --> 06:50.040 +Bon, clairement, une taille d'alphabet seul, c'est faible. + +06:50.160 --> 06:53.300 +Mais ça, on s'en doute, personne n'utilise des mots de passe qui ont une longueur de 1. + +06:53.300 --> 07:03.380 +Donc, là, on fait un petit aparté pour parler de l'aléatoirité, justement. + +07:04.480 --> 07:07.440 +On va rester sur le même, donc un mot de passe d'une longueur de 1. + +07:07.800 --> 07:11.300 +Mais cette fois-ci, on va supposer que ce qui génère nos mots de passe, entre guillemets, + +07:11.420 --> 07:14.260 +c'est la fréquence d'apparition des lettres dans la langue française. + +07:14.260 --> 07:22.740 +Donc, on sait qu'il y a plus de chances d'avoir un E qu'un A, qu'un I, un S, tout ça, on peut le calculer. + +07:23.900 --> 07:29.980 +Du coup, si quelqu'un veut casser notre mot de passe, il a juste à tester les lettres en commençant par la première. + +07:29.980 --> 07:34.720 +C'est comme lorsque vous jouez au pendu, vous testez le E d'abord et puis le A ensuite, etc. + +07:35.360 --> 07:40.920 +Sachant que la ligne blanche, là, c'est 50%, en moyenne, on n'a que besoin de 7 essais + +07:40.920 --> 07:43.360 +pour avoir une chance sur 2 d'avoir cassé le mot de passe. + +07:44.260 --> 07:50.000 +Bon, ça, évidemment, c'est un exemple qui n'a pas lieu dans la vraie vie. + +07:50.940 --> 07:57.300 +Mais ça nous informe que le fait que le mot de passe soit généré vraiment, aléatoirement, + +07:57.460 --> 08:00.260 +c'est hyper important, c'est probablement d'ailleurs le plus important. + +08:01.920 --> 08:08.460 +Si on ramène ça à des situations réelles, le problème, c'est qu'on a souvent recours + +08:08.460 --> 08:11.520 +à des sources d'événements prévisibles pour créer nos mots de passe. + +08:11.520 --> 08:14.300 +généralement, notre mémoire, notre cerveau. + +08:15.380 --> 08:24.980 +À savoir que si quelqu'un, une dame, admettons, qui a un chat, qui a un nom et puis une date + +08:24.980 --> 08:29.640 +d'anniversaire, comme tout le monde, elle va avoir, peut-être, si elle n'est pas trop + +08:29.640 --> 08:35.800 +sensibilisée à tout ça, elle va avoir tendance à mettre le nom de son chat dans son mot de passe + +08:35.800 --> 08:37.340 +ou sa date d'anniversaire, et ainsi de suite. + +08:37.420 --> 08:40.420 +C'est peut-être pas le cas, mais c'est plus probable qu'elle le fasse. + +08:40.880 --> 08:44.400 +Du coup, si moi, j'essaye de casser son mot de passe, je vais d'abord tester ça en premier. + +08:44.580 --> 08:47.960 +En fait, c'est exactement analogue à la situation avec la langue française. + +08:48.360 --> 08:50.120 +C'est parce que le nom du chat a plus de chances de sortir. + +08:51.380 --> 08:54.260 +Bon, ça, c'est un cas où quelqu'un en voudrait à quelqu'un de particulier. + +08:54.400 --> 08:58.360 +Au final, c'est assez rare. Enfin, j'espère que ça ne vous arrive pas. + +08:58.940 --> 09:02.360 +Mais par contre, ce cas-là est beaucoup plus fréquent. + +09:02.520 --> 09:05.780 +C'est qu'on prend plein de mots de passe qui ont déjà été cassés par le passé. + +09:06.200 --> 09:07.720 +On vérifie lesquels sont les plus fréquents. + +09:08.160 --> 09:10.760 +Donc, on sait que 123456, ça revient souvent. + +09:11.000 --> 09:16.060 +QWERTY, AZERTY, tout ça. Et puis, pareil, on élabore les mêmes stratégies. + +09:16.140 --> 09:17.640 +On va commencer par tester ces mots de passe-là. + +09:17.640 --> 09:22.020 +Puis statistiquement, on sait que sur 10 000 comptes, on va bien en casser certains. + +09:22.020 --> 09:31.580 +A l'opposé, il y a ce qu'il faut faire. C'est-à-dire se baser sur des sources d'événements non prévisibles. + +09:32.080 --> 09:35.140 +Alors typiquement, il y en a un, enfin il y en a plein, + +09:35.580 --> 09:39.840 +mais il y en a un qu'on a tous déjà utilisé, qu'on a probablement tous chez nous, c'est des dés. + +09:40.320 --> 09:42.680 +Bon, s'il n'est pas trop pipé, s'il est à peu près correct, + +09:43.040 --> 09:45.540 +c'est une bonne source d'événements prévisibles, non prévisibles. + +09:46.680 --> 09:50.920 +Et là, si on arrive à mapper le résultat d'une façon ou d'une autre, + +09:50.920 --> 09:55.880 +d'un dé à un mot de passe, le A aura autant de chances de sortir que le B ou le C, + +09:56.020 --> 09:58.960 +ou quoi que ce soit, là je mets A, B, ça pourrait être autre chose. + +09:59.860 --> 10:02.340 +Et de cette façon-là, si quelqu'un essaye d'attaquer votre mot de passe, + +10:02.800 --> 10:07.760 +il sera obligé de passer par toutes les possibilités, il n'y aura pas d'autres stratégies. + +10:08.960 --> 10:11.420 +Après, le but c'est d'avoir tellement de possibilités que ça sera trop difficile. + +10:12.260 --> 10:15.140 +Et puis, autre avantage de se baser sur des sources d'événements non prévisibles, + +10:15.140 --> 10:22.280 +c'est le calcul de la robustesse. Parce que, comment on peut savoir, de façon quantitative, + +10:22.600 --> 10:27.340 +pas qualitative, mais quantitative, quelle est la robustesse de notre mot de passe qu'on a généré + +10:27.340 --> 10:30.600 +avec juste notre cerveau comme ça à la volée ? + +10:30.600 --> 10:32.300 +C'est plus ou moins impossible, parce que ça reviendrait + +10:32.300 --> 10:37.280 +à devoir calculer la probabilité que je mette le nom de mon chat dans mon mot de passe. + +10:37.940 --> 10:39.480 +Mais je ne sais pas, ça dépend de beaucoup trop de choses. + +10:39.480 --> 10:41.920 +si mon chat est sur mes genoux au moment où je fais mon mot de passe, + +10:42.020 --> 10:46.000 +j'aurais peut-être plus tendance à me mettre son nom que si je suis au boulot, par exemple. + +10:47.100 --> 10:51.800 +Donc, si on veut vraiment juger de la qualité de notre mot de passe, + +10:52.380 --> 10:56.100 +c'est en gros impossible de le faire précisément + +10:56.100 --> 10:58.060 +si on s'est basé sur des sources d'événements prévisibles. + +10:58.520 --> 11:01.880 +Alors que si on s'est basé sur une source d'événements non prévisibles + +11:01.880 --> 11:05.340 +et qu'on a une aléatoirité comme on veut, + +11:05.340 --> 11:12.680 +la robustesse, c'est juste la taille de l'alphabet, puissance, la longueur du mot de passe. + +11:13.160 --> 11:15.340 +Ça, ça va être le nombre de combinaisons de notre mot de passe. + +11:16.520 --> 11:19.020 +Alors, il y en a d'autres qui le calculent en fonction de l'entropie. + +11:19.120 --> 11:20.080 +Généralement, c'est comme ça qu'on fait. + +11:20.620 --> 11:24.260 +Mais ça inclut des maths et tout, donc on ne va pas le faire. + +11:24.340 --> 11:25.640 +Et puis, ça n'a pas forcément d'intérêt ici. + +11:27.160 --> 11:29.320 +Donc, c'est intéressant parce qu'après, on peut vraiment se poser la question + +11:29.320 --> 11:32.280 +à l'instant T, à quel point c'est difficile ? + +11:32.280 --> 11:35.320 +Combien de temps ça va prendre en moyenne pour casser mon mot de passe ? + +11:35.320 --> 11:37.640 +Et vous pouvez le faire avec les vôtres. + +11:39.560 --> 11:42.600 +Donc, revenons à tester nos mots de passe. + +11:43.520 --> 11:49.200 +Prenons une longueur de 8 pour toujours une taille d'alphabet de 26. + +11:49.440 --> 11:54.560 +26, toutes les lettres minuscules. Et la longueur de 8 parce que c'est souvent, sur Internet, encore, + +11:55.080 --> 11:58.880 +lorsqu'on s'inscrit sur les services, la taille minimale des mots de passe. + +11:59.400 --> 12:02.560 +Donc, on va juger à quel point c'est sécurisé. + +12:02.560 --> 12:05.100 +Alors, ça peut sortir le premier, ça peut sortir le deuxième, + +12:05.200 --> 12:08.240 +ça peut aussi sortir un mot. C'est peu probable que ça sorte un mot. + +12:08.800 --> 12:11.280 +Mais vu que c'est parfaitement aléatoire, c'est possible. + +12:13.580 --> 12:16.040 +Pour calculer, on calcule juste le nombre de combinaisons. + +12:16.220 --> 12:18.080 +Donc, taille de l'alphabet, puissance, la longueur. + +12:18.160 --> 12:19.420 +On divise par deux pour avoir la moyenne. + +12:19.860 --> 12:22.460 +Parce qu'on n'est pas intéressé par savoir combien de temps, + +12:22.880 --> 12:24.760 +au bout de combien de temps, on est sûr d'avoir cassé le mot de passe. + +12:24.760 --> 12:27.040 +Mais en moyenne, au bout de combien de temps, + +12:27.160 --> 12:29.140 +on a une chance sur deux d'avoir cassé le mot de passe. + +12:29.260 --> 12:30.560 +On obtient 100 milliards de combinaisons. + +12:30.960 --> 12:34.260 +Alors, ça fait beaucoup. À la main, ça prendrait 3 000 ans. + +12:34.460 --> 12:36.580 +Parce qu'il y a 100 milliards de secondes dans 3 000 ans. + +12:36.920 --> 12:38.240 +Si je ne me suis pas trompé dans mes calculs. + +12:40.500 --> 12:42.860 +Mais bon, on est à la DNum, on aime bien les ordinateurs. + +12:43.140 --> 12:46.260 +Donc, on fait ça avec un ordinateur. Et en prenant celui-ci, + +12:46.580 --> 12:48.640 +donc le modèle que la plupart des gens ici ont, + +12:49.140 --> 12:54.100 +et en téléchargeant hashcat, qui est un logiciel qui permet de craquer des mots de passe, entre autres. + +12:55.100 --> 12:57.660 +Ça fait d'autres choses. Fondamentalement, ça ne craque pas les mots de passe, + +12:57.740 --> 13:02.100 +mais ça peut servir à ça. On peut tester 21 millions de mots de passe en une seconde. + +13:02.980 --> 13:05.320 +Donc, pour casser ce mot de passe-là, ça prendrait 1 heure et 20 minutes. + +13:05.740 --> 13:08.240 +Tout ça, c'est un peu théorique. Dans la pratique, ce n'est pas nécessairement le cas, + +13:08.380 --> 13:10.560 +mais c'est une idée. Pour avoir l'ordre de grandeur. + +13:11.280 --> 13:17.020 +Et puis, si on prend un PC qui coûte entre 1 000 et 1 500 euros, + +13:17.160 --> 13:18.580 +qui a une carte graphique un peu puissante, + +13:19.120 --> 13:21.700 +on va pouvoir tester 2 milliards de mots de passe à la seconde, environ. + +13:22.180 --> 13:27.660 +Avec une 1 070, GTX 1070. Du coup, ça descend à 50 secondes. + +13:27.780 --> 13:29.720 +Et là, ça commence à devenir quand même... + +13:29.720 --> 13:31.020 +Enfin, 50 secondes, c'est vraiment limite. + +13:33.900 --> 13:36.020 +C'est un peu inquiétant, mais on voit bien, + +13:36.300 --> 13:39.000 +la bonne nouvelle, c'est qu'on voit bien que c'est vraiment la combinaison, + +13:39.100 --> 13:40.940 +le fait de monter à la fois la longueur et la taille de l'alphabet, + +13:41.360 --> 13:43.420 +qui apporte vraiment une quantité significative de robustesse. + +13:43.420 --> 13:46.460 +Donc, on sait qu'a priori, si on continue à les faire monter, + +13:46.780 --> 13:53.420 +on devrait pouvoir s'en sortir. Alors, maintenant, si on inverse... + +13:55.240 --> 13:59.160 +Excusez-moi, ça c'est la diapo d'après. Si on augmente la taille de l'alphabet, + +13:59.540 --> 14:02.420 +comme c'est souvent fait, encore une fois, sur différents sites, + +14:02.480 --> 14:07.540 +on vous dit, y compris à l'unistra, il faut mettre des caractères spéciaux, + +14:07.540 --> 14:11.020 +il faut mettre des chiffres, etc., des majuscules, des minuscules. + +14:11.940 --> 14:15.040 +Donc, là, j'ai été sympa, je l'ai vraiment fait monter haut à 96, + +14:15.460 --> 14:18.000 +ça comprend des caractères un peu bizarres, + +14:18.060 --> 14:20.120 +avec des accents et tout, que sur un clavier français on a, + +14:20.180 --> 14:21.260 +mais qu'on n'a pas sur tous les claviers. + +14:22.320 --> 14:25.480 +Donc, on va avoir ça, par exemple, ce genre de mot de passe. + +14:26.380 --> 14:27.840 +Et si on fait exactement le même calcul, + +14:28.100 --> 14:33.320 +96 puissance 8, tout ça, on trouve 3500 milliers de milliards de combinaisons. + +14:34.320 --> 14:40.380 +Donc, à la main, je ne le calcule pas. Avec ce PC-là, ça prendrait 5 ans, + +14:40.660 --> 14:45.260 +donc ce n'est plus vraiment faisable. Ce n'est pas non plus physiquement impossible, + +14:45.560 --> 14:49.560 +mais pas trop faisable. Et puis, avec notre PC, + +14:49.720 --> 14:53.040 +qui coûte un peu plus de 1000 euros, on en est à 21 jours. + +14:53.800 --> 14:57.820 +Du coup, ça commence à devenir coûteux, à la fois en argent et en temps, + +14:58.220 --> 15:05.120 +mais on n'est pas non plus hyper safe. Maintenant, pour comprendre un peu mieux + +15:05.120 --> 15:11.740 +comment tout ça fonctionne, si on inverse la taille de l'alphabet et la longueur. + +15:11.980 --> 15:13.320 +Autrement dit, si on se pose la question + +15:13.320 --> 15:17.160 +« Qu'est-ce qui influe le plus sur la robustesse du mot de passe ? » + +15:17.160 --> 15:18.780 +Est-ce que c'est la taille de l'alphabet + +15:18.780 --> 15:22.320 +ou est-ce que c'est la longueur ? On va faire les calculs. + +15:22.420 --> 15:23.940 +Du coup, ça donne ce genre de mot de passe. + +15:24.780 --> 15:28.600 +Alors, là, on ne va même pas parler de mémorabilité et d'aisance d'utilisation. + +15:28.780 --> 15:30.120 +On va juste s'inquiéter de la robustesse. + +15:30.120 --> 15:33.400 +Parce que personne ne pourrait taper ça. + +15:35.900 --> 15:41.980 +8 puissance 96 divisé par 2, ça fait 2,5 fois 10 puissance 86. + +15:43.440 --> 15:47.300 +Donc, c'est vraiment très très gros. C'est même gigantesque. + +15:47.300 --> 15:53.640 +À la main, ce n'est pas envisageable. Nos deux autres PC sont totalement à la ramasse. + +15:53.840 --> 15:56.760 +10 puissance 71 années, 10 puissance 69 années. + +15:58.480 --> 16:01.560 +Et puis, si on prend vraiment des gros PC, + +16:01.680 --> 16:03.460 +des trucs que les particuliers ne peuvent pas trop s'offrir + +16:03.460 --> 16:11.700 +ou il faudrait un peu économiser, on pourrait tester 36 milliards de mots de passe à la seconde. + +16:11.880 --> 16:14.400 +En l'occurrence, ça, c'est un calcul fait + +16:14.400 --> 16:18.280 +avec la configuration exacte que Guy emprunte à l'ESPE + +16:18.280 --> 16:20.780 +lorsqu'il essaye de casser des mots de passe + +16:20.780 --> 16:23.200 +en qualité de RSSI. Pour vous donner une idée. + +16:23.820 --> 16:27.240 +Donc, prenez ce chiffre-là, notez-le et après, calculez combien de temps ça prendrait à Guy + +16:27.240 --> 16:30.820 +pour casser votre mot de passe lorsqu'il s'amusera la prochaine fois. + +16:32.940 --> 16:35.720 +En fait, ça prend 10 puissance 68 ans. Donc, en fait, ça ne change rien. + +16:35.880 --> 16:38.260 +On se rend compte d'ailleurs que c'est un ordre de grandeur. + +16:39.520 --> 16:42.480 +Il y a un seul ordre de grandeur qui sépare notre PC à 1000 balles + +16:42.480 --> 16:44.640 +et celui-ci qui coûte au moins 8000 euros. + +16:44.880 --> 16:47.260 +Un truc comme ça. Parce qu'il n'y a que ces 8 cartes graphiques. + +16:48.080 --> 16:52.880 +Enfin, 8 1080 TI. Qu'est-ce que ça nous apprend, ça ? + +16:52.880 --> 16:55.500 +Déjà, on va mettre un peu en perspective + +16:55.500 --> 17:01.680 +à quel point ces chiffres sont gros. L'âge de l'univers, c'est 13,8 fois 10 puissance 9 ans. + +17:02.120 --> 17:06.300 +Et là, on était sur du 10 puissance 70. Du coup, pour donner une idée, + +17:06.500 --> 17:09.040 +si ça, c'est l'âge de l'univers, alors le graphique est un peu moche, + +17:09.680 --> 17:13.840 +et qu'on prenait une tranche, ça, c'est une seconde, admettons, + +17:14.480 --> 17:17.120 +pour casser notre mot de passe, pour que notre plus puissante machine + +17:17.120 --> 17:21.320 +casse notre mot de passe, il aurait fallu qu'il existe depuis le tout début, + +17:21.600 --> 17:24.020 +depuis le Big Bang, qu'il soit déjà là, déjà prêt, + +17:24.100 --> 17:28.020 +en train de faire ses calculs, et que chaque seconde qui se soit passée + +17:28.020 --> 17:32.900 +ait elle-même duré 4,3 fois l'âge de l'univers. + +17:32.900 --> 17:37.200 +Donc, là, on rentre vraiment dans le domaine + +17:37.200 --> 17:41.300 +du physiquement totalement impossible, même y compris demain, et après-demain, + +17:41.420 --> 17:45.340 +et après-après-demain, avec la technologie qu'on a, + +17:46.020 --> 17:48.680 +c'est impensable, à moins qu'il y ait vraiment une révolution, + +17:48.840 --> 17:50.080 +je ne sais pas, les ordinateurs quantiques, + +17:50.140 --> 17:54.740 +ou un truc comme ça. Et puis aussi, 10 puissance 80, + +17:54.860 --> 17:55.860 +c'est le nombre d'atomes dans l'univers, + +17:56.420 --> 17:58.640 +donc il y a plus de combinaisons de notre mot de passe + +17:58.640 --> 18:01.240 +que d'atomes dans l'univers, ce qui fait que techniquement, + +18:01.340 --> 18:03.360 +il y a plus d'informations, notre chiffre, + +18:03.560 --> 18:07.180 +enfin notre mot de passe, contient, enfin le nombre des combinaisons + +18:07.180 --> 18:08.980 +de notre mot de passe, contient plus d'informations + +18:08.980 --> 18:12.500 +qu'il n'y a dans l'univers. Donc c'est impossible + +18:12.500 --> 18:15.820 +de se le représenter, en fait. Bon, c'est pour donner une idée, + +18:15.940 --> 18:18.240 +et apparemment, il y a des gens qui ont fait des calculs, + +18:18.240 --> 18:19.760 +et si on arrivait à se le mettre dans le cerveau, + +18:19.820 --> 18:21.400 +si on arrivait d'une façon ou d'une autre + +18:21.400 --> 18:24.520 +à se représenter ce genre de chiffres, notre cerveau deviendrait tellement dense + +18:24.520 --> 18:26.240 +qu'il s'effondrerait et deviendrait un trou noir. + +18:26.380 --> 18:27.360 +Alors je ne sais pas trop comment ça fonctionne, + +18:27.940 --> 18:36.780 +mais il paraît. Ça, c'était la diapo un peu marrante. + +18:38.700 --> 18:41.280 +Mais qu'est-ce qu'on a appris de vraiment intéressant ? + +18:41.280 --> 18:43.380 +C'est que la croissance de la robustesse, + +18:43.500 --> 18:45.480 +en fonction de la longueur, on a beaucoup de chance + +18:45.480 --> 18:47.680 +parce qu'elle augmente beaucoup plus vite + +18:47.680 --> 18:50.560 +que la puissance de la machine en fonction de son coût. + +18:51.120 --> 18:53.680 +Donc c'est beaucoup plus facile pour nous de rajouter + +18:53.680 --> 18:57.700 +un à la longueur de nos mots de passe que c'est facile + +18:57.700 --> 19:00.640 +pour l'adversaire, notre adversaire qui veut casser notre mot de passe, + +19:01.180 --> 19:04.060 +d'augmenter sa puissance de calcul en mettant de la thune dedans. + +19:04.480 --> 19:05.960 +Lorsque nous, on veut augmenter par deux + +19:05.960 --> 19:09.300 +la robustesse de notre mot de passe, on le rajoute un de longueur + +19:09.300 --> 19:12.140 +et on l'a largement fait parce que la courbe est exponentielle, + +19:12.540 --> 19:14.360 +alors que lui, il va devoir doubler le prix de sa machine. + +19:14.820 --> 19:16.420 +Ça, c'est un instant T, ça ne prend pas en compte + +19:16.420 --> 19:19.600 +la loi de Moore, etc. Mais même avec la loi de Moore, + +19:19.660 --> 19:22.540 +on est large. Donc ça, c'est rassurant, ça veut dire que les mots de passe, + +19:22.840 --> 19:26.700 +ça peut fonctionner à l'avenir aussi. Et puis autre chose, + +19:26.880 --> 19:28.800 +c'est qu'on a appris que la croissance de la robustesse + +19:28.800 --> 19:30.180 +en fonction de la longueur du mot de passe, + +19:30.600 --> 19:32.640 +elle est beaucoup, beaucoup plus rapide que celle en fonction + +19:32.640 --> 19:36.000 +de la taille de l'alphabet. Bon ça, c'est des vrais calculs, + +19:36.120 --> 19:41.000 +enfin plus ou moins pas très bien fait, mais les courbes + +19:41.000 --> 19:43.720 +ressemblent vraiment à ça. Donc en bleu, + +19:43.820 --> 19:47.460 +c'est en fonction de la taille de l'alphabet + +19:47.460 --> 19:50.700 +et en orange, c'est la longueur. Et si on continue + +19:50.700 --> 19:53.880 +vers la droite, on ne voit même plus la courbe bleue. + +19:54.200 --> 19:55.900 +Alors si on veut rester dans l'échelle, la courbe bleue, + +19:55.960 --> 19:57.700 +on a l'impression que c'est juste une... + +19:58.500 --> 20:00.280 +Elle est totalement aplatie. Donc c'est beaucoup mieux + +20:00.280 --> 20:01.420 +d'augmenter la longueur d'un mot de passe + +20:01.420 --> 20:04.840 +si vous voulez augmenter sa robustesse. Ok. + +20:05.880 --> 20:07.780 +Alors maintenant qu'on sait ça, on va prendre le truc + +20:07.780 --> 20:14.440 +un peu à l'envers et on va choisir certains critères + +20:14.440 --> 20:17.020 +qu'on veut dans un mot de passe et puis on va rétroactivement + +20:17.020 --> 20:18.980 +choisir, enfin calculer quelle longueur il nous faut + +20:18.980 --> 20:21.200 +pour satisfaire ces critères-là. Alors déjà, + +20:21.300 --> 20:23.440 +on se dit, ok, moi je veux un alphabet comme celui-ci. + +20:23.860 --> 20:25.720 +Je ne veux pas de caractère spéciaux, tout ça, + +20:25.840 --> 20:30.360 +je m'autorise un espace, ce qui fait 53 lettres + +20:30.360 --> 20:34.320 +dans notre alphabet. Et on veut que ça résiste + +20:34.320 --> 20:36.240 +au moins 2000 ans à notre grosse machine + +20:36.240 --> 20:39.960 +super puissante. Bon, du coup, et ça fait ça + +20:39.960 --> 20:42.960 +sur les autres machines. Du coup, on calcule + +20:42.960 --> 20:44.800 +combien de mots de passe une grosse machine + +20:44.800 --> 20:48.820 +peut calculer sur 2000 ans. Donc 2,3 fois 10 puissance 21 + +20:48.820 --> 20:51.180 +mots de passe. Et puis on résout cette équation + +20:51.180 --> 20:59.240 +pour X et on obtient une longueur d'à peu près 12,6. + +20:59.760 --> 21:05.460 +Donc il faut que notre mot de passe fasse au moins 13 caractères + +21:05.460 --> 21:08.060 +pour résister 2000 ans à cette machine-là. + +21:08.060 --> 21:10.240 +Donc c'est pas mal parce que ça donne à peu près + +21:10.240 --> 21:14.700 +ce genre de choses. Bon, ça n'a pas une très très bonne tête + +21:14.700 --> 21:17.540 +mais c'est possible de s'en souvenir. C'est faisable. + +21:18.980 --> 21:24.120 +Sauf qu'après coup, on réfléchit un peu et on apprend des trucs + +21:24.120 --> 21:27.420 +genre bon, les machines, elles deviennent + +21:27.420 --> 21:29.480 +plus puissantes et puis la NSA, ils sont très très forts + +21:29.480 --> 21:31.920 +et très très méchants et ils ont des gros gros + +21:31.920 --> 21:34.100 +ordinateurs et les Chinois, ils en ont encore plus. + +21:34.100 --> 21:38.600 +donc on se sent avec nos 2000 ans, on ne se sent pas trop safe. + +21:38.720 --> 21:41.500 +On se dit, il y a peut-être une entourloupe là-dedans. + +21:42.500 --> 21:44.000 +Donc on va mettre 1000 milliards d'années. + +21:44.300 --> 21:48.540 +On se dit, bon, on vise vraiment haut et on va faire + +21:48.540 --> 21:51.280 +le même calcul. Donc on résout, c'est la même chose + +21:51.280 --> 21:53.780 +sauf qu'on n'a pas le même nombre de combinaisons à droite + +21:53.780 --> 21:57.800 +et puis on obtient 17,6 ce qui donne ce genre de choses. + +21:57.940 --> 21:59.520 +Et là, ça commence à devenir un peu embêtant quand même. + +21:59.960 --> 22:03.740 +Surtout si on doit se souvenir de plusieurs mots de passe. + +22:04.700 --> 22:06.800 +Parce qu'on a différents, on a notre mot de passe + +22:06.800 --> 22:08.380 +au boulot, on a notre mot de passe à la maison, + +22:08.500 --> 22:15.700 +etc. Du coup, on va être un peu plus modeste + +22:15.700 --> 22:19.640 +et on va faire quelques compromis. On va se dire, + +22:19.700 --> 22:21.240 +bon, ok, on passe à 1 milliard d'années, + +22:21.560 --> 22:23.980 +on va se dire, ok, ça sera suffisant. La longueur, + +22:24.020 --> 22:27.160 +elle descend à 16. Puis on va ajouter des chiffres + +22:27.160 --> 22:29.280 +et quelques symboles courants. Donc ça a fait monter + +22:29.280 --> 22:32.820 +l'alphabet à 76, c'est correct. sur tous les claviers, + +22:32.900 --> 22:35.560 +ça devrait passer. Et la longueur, elle descend à 14. + +22:35.640 --> 22:37.280 +Donc après, ça commence à se ressembler à ce genre de choses. + +22:37.400 --> 22:38.560 +Alors avec les symboles, c'est un peu moche. + +22:39.180 --> 22:41.400 +Mais c'est peut-être un peu plus facile à souvenir. + +22:41.540 --> 22:43.160 +En fait, ça dépend. Il y a des gens qui vont trouver + +22:43.160 --> 22:46.080 +l'autre plus facile à mémoriser, celui-ci. + +22:46.960 --> 22:49.100 +Mais ce qu'on voit, c'est que dans l'ensemble, + +22:49.200 --> 22:51.560 +en fait, c'est un peu moyen tout ça. On a le sentiment + +22:51.560 --> 22:55.540 +qu'on ne peut pas trop s'en sortir. Ça sera toujours + +22:55.540 --> 22:59.320 +un peu décevant et on est un peu dans une impasse. + +22:59.320 --> 23:03.340 +parce que si on fait monter la longueur du mot de passe, + +23:03.420 --> 23:05.100 +on aura une mauvaise mémorabilité, quoi qu'il arrive. + +23:05.180 --> 23:06.740 +Et ça, il n'y a pas de magie. Si on fait augmenter + +23:06.740 --> 23:09.280 +sa longueur, on fait augmenter sa longueur, + +23:09.360 --> 23:13.860 +c'est tout. Et si on fait augmenter l'alphabet, + +23:14.000 --> 23:15.720 +on va forcément avoir des symboles obscurs. + +23:16.060 --> 23:17.880 +C'est un peu ça, le problème. C'est que si on fait + +23:17.880 --> 23:21.100 +augmenter l'alphabet, on va avoir des symboles + +23:21.100 --> 23:23.320 +difficiles à taper et dont on ne se souvient + +23:23.320 --> 23:31.200 +pas forcément. du coup, le truc, le déclic un peu, + +23:31.300 --> 23:39.080 +c'est que on a repensé le problème et le truc à résoudre, + +23:39.300 --> 23:41.700 +c'est d'essayer de trouver beaucoup, beaucoup, + +23:41.760 --> 23:43.260 +beaucoup de symboles qu'on connaîtrait par cœur + +23:43.260 --> 23:45.600 +et qui sont faciles à taper. Alors, dit comme ça, + +23:45.660 --> 23:48.700 +c'est facile. Mais du coup, on peut chercher + +23:48.700 --> 23:52.620 +dans ce qu'il y a à notre disposition, mais ce n'est pas si facile + +23:52.620 --> 23:54.880 +que ça, parce que dans la dernière version d'Unicode, + +23:54.960 --> 23:58.040 +il y a 137 439 symboles, c'est largement suffisant. + +23:58.540 --> 24:00.200 +Si on pouvait taper là-dedans et les combiner + +24:00.200 --> 24:02.980 +aléatoirement, ce serait suffisant. Il n'y aurait pas besoin + +24:02.980 --> 24:05.920 +de longueur hallucinante, sauf qu'il y a genre ça, + +24:07.280 --> 24:10.060 +je ne sais pas ce que c'est, on dirait une sorte + +24:10.060 --> 24:12.480 +de pieuvre, je ne sais pas, et ça non plus, + +24:12.540 --> 24:14.940 +je ne sais pas ce que c'est, et ça, on dirait une moustache, + +24:15.680 --> 24:17.800 +je ne sais pas si c'est dans un, je ne vais pas chercher + +24:17.800 --> 24:19.260 +si c'était une langue en particulier, on dirait que c'est + +24:19.260 --> 24:22.760 +deux symboles, ça n'est qu'un, et ça, si un jour, + +24:22.820 --> 24:24.880 +vous avez besoin de l'écrire à la main, c'est un peu difficile. + +24:27.520 --> 24:31.340 +Et il y a tous les emojis, il y a genre le koala, + +24:31.540 --> 24:38.420 +tout ça. En plus, je ne suis pas sûr que les sites acceptent + +24:38.420 --> 24:43.360 +ces caractères-là, forcément, donc il y a des sites + +24:43.360 --> 24:44.700 +où on peut mettre des emojis dans les mots de passe, + +24:44.880 --> 24:48.140 +ça existe, mais ce n'est pas une majorité. + +24:48.140 --> 24:52.640 +Du coup, c'est mort. On pourrait apprendre le chinois, + +24:53.480 --> 24:55.140 +parce qu'ils ont beaucoup, beaucoup, beaucoup de symboles, + +24:55.820 --> 24:57.900 +mais apprendre une langue entière pour avoir un mot de passe + +24:57.900 --> 25:02.780 +décent, c'est mort aussi. D'ailleurs, + +25:02.940 --> 25:04.680 +dans les 137 000 symboles, il y en a beaucoup + +25:04.680 --> 25:07.300 +qui sont chinois, et puis d'autres langues + +25:07.300 --> 25:12.680 +qui ont des idéogrammes comme ça. Et le truc, + +25:13.040 --> 25:15.860 +c'est qu'en fait, on peut se dire, depuis le début, + +25:16.080 --> 25:20.400 +on pense, et je l'ai un peu forcé parce que je ne vous ai jamais dit + +25:20.400 --> 25:23.440 +que ça pouvait ne pas être le cas, mais on pense toujours + +25:23.440 --> 25:25.320 +le symbole comme un seul symbole, alors qu'en fait, + +25:25.380 --> 25:29.140 +ça peut être plusieurs symboles. Genre notre symbole, + +25:29.440 --> 25:32.520 +ça peut être un mot, et notre alphabet, ça peut être un dictionnaire. + +25:32.720 --> 25:37.160 +Vous voyez où je vous emmène, je pense. Un adulte connaît + +25:37.160 --> 25:39.580 +environ 20 000 mots, donc en fait, on peut faire péter l'alphabet + +25:39.580 --> 25:44.720 +si nos symboles, c'est des mots. Et mis bout à bout, + +25:45.120 --> 25:48.220 +il forme des phrases de passe. Et c'est pour ça, + +25:48.300 --> 25:50.660 +en fait, que les phrases de passe, ça fonctionne. + +25:50.840 --> 25:55.540 +C'est parce que les mots, chaque mot est un symbole + +25:55.540 --> 26:00.740 +qui, depuis qu'on est tout petit, notre apprentissage de la langue + +26:00.740 --> 26:03.400 +fait que tous ces symboles-là, on les apprend par cœur + +26:03.400 --> 26:04.720 +sans s'en rendre compte depuis qu'on est tout petit. + +26:05.020 --> 26:08.040 +Et on est capable de les reconnaitre parmi des dizaines de milliers, + +26:08.220 --> 26:09.440 +alors qu'eux, ils font plusieurs lettres. + +26:09.780 --> 26:10.880 +Et on s'en souvient très très très bien. + +26:11.340 --> 26:12.860 +C'est pour ça que les phrases de passe, ça marche. + +26:13.220 --> 26:14.480 +C'est pour ça que ça résout ce dilemme-là, + +26:14.480 --> 26:17.120 +en fait. Alors, il reste une question, c'est comment on les génère + +26:17.120 --> 26:19.640 +de façon aléatoire ? Et là aussi, vous me voyez venir, + +26:20.600 --> 26:22.280 +il y a une méthode qui s'appelle méthode Diceware + +26:22.280 --> 26:26.060 +qui propose d'utiliser des dés, comme j'ai dit au début. + +26:26.600 --> 26:28.140 +Alors, avec un dés, on peut identifier six mots. + +26:29.020 --> 26:30.860 +Avec deux dés, on peut identifier six puissance + +26:30.860 --> 26:34.700 +six mots, donc 36. et on a dit tout à l'heure + +26:34.700 --> 26:36.840 +qu'un adulte connaissait environ 20 000 mots. + +26:37.580 --> 26:40.100 +Du coup, on va, mais admettons que, bon, + +26:40.180 --> 26:41.620 +il faut aussi que ça marche pour des enfants + +26:41.620 --> 26:43.960 +et il faut aussi que ça marche pour des gens dont c'est peut-être + +26:43.960 --> 26:46.840 +pas la langue natale. Du coup, on va s'arrêter, + +26:47.600 --> 26:49.220 +genre là, 46 000 mots, ça va faire trop. + +26:50.580 --> 26:52.300 +46 000 mots, il y a forcément des mots qu'on ne connaît pas. + +26:53.020 --> 26:55.800 +Du coup, avec 5 dés, on identifie 7776 mots, + +26:56.160 --> 26:59.620 +c'est pas mal. et à côté, il suffit de se munir + +26:59.620 --> 27:03.560 +d'une liste où il y a 7776 mots qui sont identifiés + +27:03.560 --> 27:08.460 +de façon unique par 5 jets de dés. Par exemple, la liste ici. + +27:10.340 --> 27:12.840 +Et si on met quatre mots, c'est exactement + +27:12.840 --> 27:17.140 +les mêmes calculs qu'on a fait lorsqu'on avait + +27:17.140 --> 27:18.880 +un seul symbole. C'est la même chose, donc là, + +27:18.920 --> 27:22.340 +je vous ai épargné le calcul, mais c'est 7776 puissance 4. + +27:22.780 --> 27:25.460 +On voit combien de combinaisons ça fait et on vérifie + +27:25.460 --> 27:26.940 +combien de temps ça prend pour casser avec + +27:26.940 --> 27:30.460 +notre ordinateur le plus puissant. On a 14 heures + +27:30.460 --> 27:32.500 +avec quatre mots, clairement pas suffisant. + +27:32.940 --> 27:35.820 +5-13 ans, c'est mieux. 6-100 000 ans, ça commence à être pas mal. + +27:36.820 --> 27:38.460 +7, c'est clairement correct, 800 millions d'années. + +27:38.820 --> 27:41.840 +Et puis après, c'est un peu trop, mais on peut toujours s'amuser. + +27:42.900 --> 27:47.940 +Et 7, en fait, ça peut paraître impressionnant + +27:47.940 --> 27:50.320 +comme ça, mais c'est hyper facile à mémoriser. + +27:51.160 --> 27:52.920 +Si là, vous le lisez trois ou quatre fois, + +27:53.640 --> 27:57.400 +vous l'aurez dans la tête directement. Même si la phrase + +27:57.400 --> 28:01.180 +ne veut rien dire. Bon. Alors maintenant + +28:01.180 --> 28:04.360 +qu'on sait tout ça, ça c'était un peu, c'est un peu, + +28:04.620 --> 28:08.160 +on va dire, la fin de la présentation, la fin du cours, + +28:08.300 --> 28:12.320 +on apprend des choses. Maintenant, à quoi ça va nous servir ? + +28:12.320 --> 28:14.320 +J'ai rajouté ça en bonus il n'y a pas très longtemps. + +28:14.860 --> 28:16.980 +En fait, à l'Unistra, qu'est-ce qu'on fait ? + +28:16.980 --> 28:18.200 +Parce que maintenant qu'on comprend un peu + +28:18.200 --> 28:19.140 +comment les mots de passe, ça fonctionne, + +28:19.260 --> 28:23.520 +regardons ce qu'on fait à l'Unistra. je suis allé vérifier + +28:23.520 --> 28:25.900 +sur Pandore et il y a ce texte-là qui dit + +28:25.900 --> 28:27.800 +le mot de passe comporte au minimum huit caractères. + +28:29.000 --> 28:31.780 +Donc je mets à jour les caractéristiques en haut, + +28:32.120 --> 28:34.380 +on a une longueur de huit, il est obligatoirement + +28:34.380 --> 28:36.900 +composé de ces trois éléments, alors des lettres, + +28:37.480 --> 28:40.360 +d'un accentué, majuscule, minuscule, un chiffre au minimum, + +28:41.360 --> 28:43.180 +un caractère spécial dans cette liste-là + +28:43.180 --> 28:46.660 +et il n'a pas d'espace et il doit être sans lien + +28:46.660 --> 28:49.240 +avec votre identité. Du coup, pour l'aléatoirité, + +28:51.120 --> 28:53.680 +c'est bien, il y a un petit message qui est censé dire + +28:53.680 --> 28:55.740 +que ça doit être un peu aléatoire quand même. + +28:55.900 --> 28:57.400 +Ça ne doit pas avoir trop de lien avec vous + +28:57.400 --> 29:00.140 +mais on ne peut pas non plus garantir que ce soit le cas. + +29:01.280 --> 29:08.500 +On fait le calcul et on arrive à ça. Bon, après, + +29:08.860 --> 29:10.780 +chacun se fera un avis. Moi, je trouve que c'est + +29:10.780 --> 29:16.440 +insatisfaisant. 16 heures, c'est franchement short. + +29:17.140 --> 29:20.580 +Puis 12 jours sur un PC que n'importe quel joueur + +29:20.580 --> 29:23.880 +a chez lui, enfin n'importe quel joueur qui a un peu d'argent + +29:23.880 --> 29:27.060 +a chez lui, c'est un peu limite. Du coup, + +29:28.540 --> 29:31.220 +peut-être qu'on pourrait le changer, peut-être qu'on pourrait + +29:31.220 --> 29:35.040 +augmenter un peu la longueur et éventuellement + +29:35.040 --> 29:39.420 +faire un peu de pédagogie sur le caractère + +29:39.420 --> 29:42.960 +aléatoire des mots de passe et que si votre caractère + +29:42.960 --> 29:45.120 +si votre mot de passe n'est pas aléatoire, + +29:45.720 --> 29:47.760 +vous prenez quand même de sérieux risques. + +29:49.160 --> 30:01.880 +Merci. Y a-t-il des questions sur cette présentation + +30:01.880 --> 30:05.700 +où on apprend que c'est la taille du mot de passe + +30:05.700 --> 30:10.380 +qui compte ? Alors, cette histoire de mot de passe, + +30:10.460 --> 30:14.060 +ça revient toujours. On voit un mot de passe + +30:14.060 --> 30:17.460 +long, c'est mieux, OK, mais il faut voir + +30:17.460 --> 30:19.140 +qu'il y a des gens qui sont non-informaticiens + +30:19.140 --> 30:20.800 +et le mot de passe, ça ne va pas du tout. + +30:21.080 --> 30:25.000 +Moi, j'ai une vie avec quelqu'un qui n'est pas du tout + +30:25.000 --> 30:28.740 +en fait avec les outils informatiques et le mot de passe, + +30:28.880 --> 30:30.760 +même court, mais ce n'est juste pas possible. + +30:32.120 --> 30:36.860 +Et je me suis aussi posé la question pour ces utilisateurs-là, + +30:36.860 --> 30:39.740 +qu'est-ce qu'on pourrait faire ? Et moi, + +30:39.800 --> 30:43.720 +ce qui me paraît être une solution, c'est mettre en place + +30:43.720 --> 30:46.920 +du PSK. Donc, ils n'ont pas de mot de passe, + +30:46.980 --> 30:50.960 +on leur file une clé, une clé énorme, je veux dire, + +30:51.380 --> 30:58.980 +une clé de RSA de 4048 caractères, un truc vraiment monstrueux, + +30:59.060 --> 31:01.000 +impossible à casser, encore beaucoup plus + +31:01.000 --> 31:03.940 +que ce que tu dis là. Et ça réglerait le problème + +31:03.940 --> 31:07.940 +en partie. Mais ça implique qu'il faut déployer + +31:07.940 --> 31:10.220 +un serveur Kerberos, ça veut dire qu'il faut être capable + +31:10.220 --> 31:12.120 +de redéployer des clés aux gens et tout ça. + +31:13.140 --> 31:15.560 +Je suis bien conscient que c'est ultra difficile, + +31:16.400 --> 31:21.160 +mais ça pourrait être une solution. Parce que les gens, + +31:21.460 --> 31:24.000 +ils n'arrivent pas. Je suis désolé, moi, ma copine, + +31:24.080 --> 31:25.420 +j'ai dit, mais mets un mot de passe plus long. + +31:26.140 --> 31:31.120 +Non, mets pas le prénom de notre fils. Mais ils n'arrivent pas. + +31:31.120 --> 31:33.140 +Tu mets le doigt sur un truc que j'aurais peut-être + +31:33.140 --> 31:34.700 +dû commencer par ça. C'est qu'en fait, les mots de passe + +31:34.700 --> 31:36.920 +comme système d'authentification, c'est probablement + +31:36.920 --> 31:38.940 +l'un des pires systèmes d'authentification + +31:38.940 --> 31:40.840 +possibles. De base, on est parti là-dessus. + +31:41.960 --> 31:43.780 +Sûrement pour des raisons techniques, j'en sais rien. + +31:43.900 --> 31:44.980 +Il y a très longtemps, je pense que les premiers + +31:44.980 --> 31:46.260 +qui ont pensé aux mots de passe, c'était, + +31:47.020 --> 31:48.800 +je ne sais pas quand, avant l'informatique + +31:48.800 --> 31:50.860 +sûrement même. Enfin oui, clairement, avant l'informatique, + +31:50.960 --> 31:56.020 +bien sûr. Mais c'est nul. Parce que c'est très facile + +31:56.020 --> 31:58.700 +à casser pour une machine et c'est très facile + +31:58.700 --> 32:02.420 +à mémoriser pour un humain. Donc ça maximise + +32:02.420 --> 32:05.840 +les inconvénients et ça diminue au maximum + +32:05.840 --> 32:07.660 +les avantages. Donc c'est vrai, tu as raison, + +32:07.860 --> 32:09.580 +c'est nul, mais on est obligé de faire avec, + +32:09.700 --> 32:11.060 +encore jusqu'à maintenant, je ne sais pas + +32:11.060 --> 32:13.760 +pour combien de temps. Et en attendant, autant essayer + +32:13.760 --> 32:17.260 +d'en avoir de bons. Mais tu as raison, les mots de passe, + +32:17.320 --> 32:23.340 +ce n'est pas bien. Est-ce que tu t'es documenté + +32:23.340 --> 32:27.740 +sur XKCD pour ta présentation ? La première fois + +32:27.740 --> 32:31.180 +que j'ai vu ça, parce que c'est un très vieux + +32:31.180 --> 32:33.020 +celui-ci, je crois. Oui, alors il y en a plusieurs. + +32:34.160 --> 32:36.800 +Je pense à celui avec le cheval. Oui, le cheval, + +32:36.900 --> 32:39.600 +mais je pense à l'autre. Il y a la première vignette + +32:39.600 --> 32:41.720 +qui dit qu'il y a le délire des crypto-nerds + +32:41.720 --> 32:43.820 +qui dit que ça prend beaucoup trop de temps + +32:43.820 --> 32:47.680 +pour calculer le mot de passe. Et la deuxième vignette + +32:47.680 --> 32:49.960 +qui dit qu'en réalité, il faut le torturer + +32:49.960 --> 32:52.560 +et puis il faut le droguer et le frapper + +32:52.560 --> 32:54.500 +avec une clé anglaise. Bien sûr, bien sûr. + +32:54.760 --> 32:56.240 +Et le mot de passe est facile à obtenir. + +32:56.240 --> 32:59.300 +C'est pour ça que le mot de passe qui est long de 96 + +32:59.300 --> 33:03.600 +ou qui a une longueur de 96 ou la phrase de passe + +33:03.600 --> 33:05.740 +qui fait neuf mots, ça n'a pas vraiment d'intérêt + +33:05.740 --> 33:09.580 +à moins que genre t'ai une milice ou un truc comme ça. + +33:11.980 --> 33:14.500 +Mais ça, c'est pareil. C'est juste un principe + +33:14.500 --> 33:17.220 +de sécurité. Ça ne sert à rien d'avoir un chaînon + +33:17.220 --> 33:19.980 +extrêmement sécure et pas les autres. Effectivement. + +33:19.980 --> 33:23.900 +On n'a pas parlé d'authentification deux facteurs, + +33:23.960 --> 33:27.980 +par exemple. J'aimerais quand même rassurer un peu tout le monde + +33:27.980 --> 33:30.560 +parce que dire qu'il faut un chiffre au minimum + +33:30.560 --> 33:33.960 +dans le mot de passe, qu'il n'y ait pas d'espace, + +33:34.400 --> 33:35.600 +qu'il faut au moins un caractère spécial, + +33:36.100 --> 33:38.540 +en fait, ça force certains caractères à réduire la taille + +33:38.540 --> 33:40.260 +de l'alphabet et en fait, c'est beaucoup plus court + +33:40.260 --> 33:44.420 +à casser que ça. Ça, c'est vraiment dans le cas + +33:44.420 --> 33:48.400 +et ça a été... C'est vrai pour toute la présentation. + +33:48.840 --> 33:51.300 +C'est vraiment dans un cas vraiment très théorique + +33:51.300 --> 33:57.080 +et toujours dans... Comment dire ? J'élimine tous les facteurs sociaux, + +33:57.260 --> 33:59.360 +etc. Tu as le truc, je prends le truc vraiment + +33:59.360 --> 34:03.400 +juste de base. Parce qu'après, on peut parler de placement + +34:03.400 --> 34:05.120 +des caractères spéciaux. Quelqu'un d'intelligent + +34:05.120 --> 34:06.360 +sait que les caractères spéciaux, généralement, + +34:06.420 --> 34:08.680 +ils sont à la fin. La majuscule est souvent au début. + +34:09.040 --> 34:11.720 +Donc, quelqu'un qui est un peu malin aura une heuristique + +34:11.720 --> 34:17.220 +qui va diminuer ça par au moins deux. Oui, deux questions. + +34:17.620 --> 34:20.380 +Pour maximiser la mémorisabilité par les gens normaux, + +34:20.560 --> 34:22.560 +est-ce que, vu qu'il faut qu'on tape + +34:22.560 --> 34:23.720 +dans les dictionnaires qui ont 20 000 mots + +34:24.040 --> 34:26.000 +est-ce qu'il existe des dictionnaires qu'on 20 000 noms de chats + +34:26.080 --> 34:27.420 +par exemple ? Pour qu'elle soit plus facile + +34:27.420 --> 34:29.380 +à retenir. Bon, ça, c'était pour la connerie. + +34:29.740 --> 34:31.440 +Sinon, je ne sais pas, est-ce qu'à tout hasard, + +34:31.540 --> 34:33.800 +tous les trucs biométriques, on n'est pas encore dedans, + +34:34.040 --> 34:37.060 +mais est-ce que la complexité, elle est suffisante ? + +34:37.060 --> 34:39.260 +Les pouces, les yeux, ce genre de trucs ? + +34:39.260 --> 34:40.580 +Je n'en sais rien. Ce n'est pas le sujet + +34:40.580 --> 34:41.900 +de la présentation. Je ne sais pas du tout. + +34:42.700 --> 34:44.320 +Je ne me suis pas trop posé la question. + +34:45.460 --> 34:48.000 +Les empreintes, il paraît que, il paraît que, + +34:48.000 --> 34:51.940 +si tu prends une photo avec une définition suffisante, + +34:52.260 --> 34:55.580 +que des gens bien équipés peuvent reproduire l'empreinte. + +34:55.720 --> 34:58.840 +Il paraît. Les gens qui ont un iPhone, cachez un peu vos mains + +34:58.840 --> 35:02.820 +lorsqu'on prend des photos. C'est un peu de la paranoïa, + +35:03.160 --> 35:05.200 +mais c'est le seul truc que j'ai entendu là-dessus. + +35:07.060 --> 35:14.680 +Une dernière. À l'unistra, on met au minimum + +35:14.680 --> 35:17.280 +8 caractères, mais on peut aller jusqu'à combien ? + +35:17.280 --> 35:19.480 +Je ne sais pas. Je suis allé vérifier dans le code + +35:19.480 --> 35:23.620 +et je crois qu'il n'y a pas de limite. Il n'y a peut-être pas de limite, + +35:23.980 --> 35:26.240 +parce que dans les conditions de la fonction, + +35:26.580 --> 35:28.740 +il n'y a pas de condition qui pose une limite. + +35:28.740 --> 35:32.780 +Donc, on peut faire une phrase de passe actuellement. + +35:33.560 --> 35:35.120 +Donc, on peut rajouter autant de caractères + +35:35.120 --> 35:36.920 +qu'on le souhaite. la seule raison avec laquelle on ne peut pas + +35:36.920 --> 35:39.580 +mettre une phrase de passe, c'est que malgré la longueur + +35:39.580 --> 35:43.060 +que tu mets quand tu mets une phrase, l'algorithme te fait quand même + +35:43.060 --> 35:45.720 +suer pour que tu mettes un symbole et un symbole. + +35:46.040 --> 35:49.980 +D'accord. Du coup, tu peux faire une phrase de passe + +35:49.980 --> 35:52.180 +et rajouter un symbole et un chiffre à la fin + +35:52.180 --> 35:56.180 +parce qu'il te fait chier. Mais c'est vrai + +35:56.180 --> 35:58.480 +que ce n'est pas utile si tu as déjà 7 mots + +35:58.480 --> 36:00.400 +dans ta phrase. Ça ne sert à rien de rajouter un chiffre. + +36:00.560 --> 36:03.160 +Enfin, ça ne sert à rien. Ça ne changera pas grand-chose. + +36:03.160 --> 36:05.300 +Mais disons qu'on peut rallonger si on le souhaite + +36:05.300 --> 36:09.260 +pour augmenter le... Oui. Oui, mais combien le font ? + +36:09.260 --> 36:15.940 +Je ne suis pas sûr parce que Pandore n'est pas le seul utilisateur. + +36:16.100 --> 36:17.900 +En fait, les informations du mot de passe + +36:17.900 --> 36:20.280 +sont déversées dans d'autres systèmes qui, eux, + +36:20.640 --> 36:23.040 +ont... Et potentiellement, on pourrait être face + +36:23.040 --> 36:24.720 +à des systèmes qui ont plus de limitations + +36:24.720 --> 36:28.180 +que le LDAP. D'accord. D'où le problème, par exemple, + +36:28.280 --> 36:31.960 +des espaces qui n'est pas autorisé parce que tous les systèmes + +36:31.960 --> 36:34.220 +consommateurs n'autorisent pas l'espace. + +36:34.580 --> 36:36.340 +D'accord. On peut faire une tentative... + +36:37.300 --> 36:40.120 +Tu peux... + +36:40.500 --> 36:45.280 +Ça appellera le support. C'est ça. Bien. + +36:46.420 --> 36:50.420 +Histoire de rester dans le programme, je vais remercier Arthur + +36:50.420 --> 36:53.720 +et je vais convier Romaric. Applaudissements. + +36:53.720 --> 36:56.720 +Applaudissements. Applaudissements. Applaudissements. + +36:56.720 --> 36:59.720 +Applaudissements. Applaudissements. Applaudissements. + +36:59.720 --> +Applaudissements. diff --git a/contents/bon-mdp/index.sh b/contents/bon-mdp/index.sh @@ -0,0 +1,25 @@ +#! page +title: Qu\'est-ce qui fait un bon mot de passe ? +author: Arthur Pons +description: [vidéo] Construisons pas à pas l\'intuition de ce qui fait la qualité d\'un mot de passe +publication: 2019-02-25 + +section: main + +[Lien vers l'hébergeur intial et la vidéo en haute +qualité](https://pod.unistra.fr/video/23983-techdays-6-quest-ce-qui-fait-un-bon-mot-de-passe-arthur-pons/) + +En "basse" qualité : + +<video controls preload="none"> + <source src="bon-mdp.mp4" type="video/mp4"> + <track label="Français" kind="subtitles" srclang="fr" src="bon-mdp.vtt" default /> +</video> + +L'audio seul : + +<audio controls preload="none"> + <source src="bon-mdp-audio.mp4" type="audio/mp4"> +</audio> + +[Les sous-titres](bon-mdp.vtt) diff --git a/contents/qcm/index.sh b/contents/qcm/index.sh @@ -8,7 +8,7 @@ publication: 2024-11-07 sectionmd: main -Code : http://git.bebou.netlib.re/qcm/files.html +# qcm Faire des sondages simples en parsant les logs d'un serveur web @@ -20,7 +20,7 @@ fichier texte, ne nécessitant qu'un serveur accessible sur le web. `qcm` est installé sur bebou mais uniquement les personnes ayant un compte dessus peuvent l'utiliser pour créer des questionnaires. Il est cependant très -simple d'installer `qcm` sur votre serveur linux, et j'espère pas beaucoup plus +simple d'installer `qcm` sur votre serveur linux, et j'espère pas beaucoup moins sur une autre variante Unix-like. ## Dépendances @@ -30,13 +30,14 @@ sur une autre variante Unix-like. * `stdbuf` * un `sed` posix * un `xargs` posix + * un `ps` posix * optionnelle : gnuplot pour faire des graphiques avec -g Testé sous debian 12 et le serveur web nginx packagé pour. Le code parsant les logs convient pour le format par défaut d'nginx. Il se peut qu'il ne fonctionne pas pour d'autres formats. -## Les défauts +## Les paramètres par défaut url par défaut : http://bebou.netlib.re (modifiable dans le code) log par défaut : `/var/log/nginx/access.log` (modifiable dans le code) @@ -79,11 +80,23 @@ plutôt que celui par défaut (attention il faudra sûrement adapter le code) : $ qcm -l /var/log/httpd/logs +Choisir l'identifiant du questionnaire pour qu'il soit "fraise". N'est pas +garanti de se lancer, il peut exister un questionnaire avec le même identifiant +: + + $ qcm -i fraise + Lire un questionnaire déjà fait depuis stdin et afficher les résultats avec gnuplot : $ cat questionnaire.qcm | qcm -g +Lire un questionnaire et masquer les réponses tant que l'on a pas appuyé une +fois sur la touche entrée. Conviendrait pour un mode "examen" entre gros +guillemets : + + $ cat questionnaire.qcm | qcm -e + #### Depuis une machine pouvant SSH sur le serveur web Lancer un questionnaire sur un serveur équipé de `qcm` : @@ -255,9 +268,6 @@ réponses chacune. Si l'on veut créer un questionnaire à la volée et que l'on connaît bien la syntaxe ci-dessus on peut simplement lancer `qcm -f -` et écrire les questions. -Pour l'instant dans les questions de type `qcm` une réponse `CD` est considérée -comme différente de `DC`. - ## Sécurité **Attention !**