arthur.bebou

git clone git://bebou.netlib.re/arthur.bebou
Log | Files | Refs |

bon-mdp.vtt (52302B)

 WEBVTT
 
 00:00.000 --> 00:16.600
 Sans plus attendre, je vais laisser la parole à Arthur Pons, qui est notre architecte,
 
 00:16.680 --> 00:21.020
 qui est donc au département urbanisation et conseil.
 
 00:21.820 --> 00:25.660
 Voilà, donc c'est aussi l'occasion de voir des gens qu'on voit un peu moins souvent,
 
 00:25.660 --> 00:40.320
 parfois, pour certains. Bonjour, je ne vais pas du tout parler d'architecture, je vais parler de mot de passe.
 
 00:41.700 --> 00:45.420
 Pourquoi je pose la question ? Je pense qu'ici, une large majorité, si ce n'est tout le monde,
 
 00:45.680 --> 00:51.440
 a une bonne intuition de ce qu'est un bon mot de passe et un mauvais mot de passe,
 
 00:52.660 --> 00:58.440
 mais le but de la présentation, c'est d'y répondre de façon un peu plus analytique, de façon un peu plus certaine.
 
 00:58.440 --> 01:08.760
 Le mot-clé, c'est bon. Dans une démarche de anti-clickbait, je réponds à la question dans la deuxième diapo.
 
 01:09.500 --> 01:12.280
 Comme ça, après, vous pouvez ne plus écouter, vous pouvez répondre à vos mails.
 
 01:13.120 --> 01:15.000
 Ça ne sera pas la fin de la présentation, quand même.
 
 01:15.000 --> 01:24.300
 Il y a trois grands, si ce n'est que trois critères de qualité, lorsqu'on analyse un mot de passe.
 
 01:24.960 --> 01:30.080
 Le premier, c'est la mémorabilité. C'est un mot, il est un peu barbare, mais c'est un mot.
 
 01:30.700 --> 01:34.420
 À quel point on s'en souvient bien. Donc, deux exemples.
 
 01:34.580 --> 01:37.900
 Le premier, on s'en souvient moins bien que le deuxième, parce que c'est un mot.
 
 01:37.900 --> 01:45.500
 Deuxièmement, l'aisance d'utilisation. Donc, autrement dit, la plupart du temps, c'est à quel point il sera facile à taper.
 
 01:46.300 --> 01:50.720
 C'est d'autant plus important qu'on a tendance à taper de plus en plus de mots de passe avec nos téléphones portables,
 
 01:51.200 --> 01:56.660
 qui ont des claviers assez limités. Donc là, le premier mot de passe, je vous mets au défi de le taper facilement.
 
 01:57.060 --> 01:58.400
 Le deuxième mot de passe, c'est beaucoup plus simple.
 
 02:00.080 --> 02:04.520
 Et puis, troisième, le plus important, celui sur lequel on ne peut pas vraiment faire de compromis,
 
 02:04.520 --> 02:07.580
 la robustesse, c'est à quel point il va être vraiment sécurisé.
 
 02:08.440 --> 02:11.560
 On peut le quantifier de plein de façons différentes.
 
 02:12.280 --> 02:18.560
 Dans la présentation, je vais généralement le quantifier en nombre de combinaisons possibles du mot de passe.
 
 02:19.740 --> 02:24.220
 Il y a trois sous-variables, on va dire, qui ajustent la robustesse.
 
 02:24.620 --> 02:27.000
 Il y a la longueur du mot de passe, on comprend bien.
 
 02:27.600 --> 02:32.920
 La taille de l'alphabet, c'est les fameuses majuscules, minuscules, caractères spéciaux
 
 02:32.920 --> 02:35.100
 que vous pouvez ajouter à votre mot de passe.
 
 02:35.700 --> 02:38.580
 Et puis, l'aléatoirité, alors ça, par contre, ce n'est pas vraiment un mot, je crois.
 
 02:38.820 --> 02:42.860
 C'est un néologisme, parce qu'il n'y a pas vraiment de mot en français pour dire ça.
 
 02:42.980 --> 02:54.280
 En anglais, randomness. L'aléas ? Oui, bien vu. J'aurais dû faire relire ma présentation avant de la faire.
 
 02:55.560 --> 02:59.140
 Qui détermine à quel point le mot de passe est proprement aléatoire.
 
 02:59.140 --> 03:04.660
 Et ce n'est pas un terme technique proprement aléatoire, mais généralement, en gros, c'est à quel point ça se rapproche
 
 03:04.660 --> 03:10.640
 d'un aléa qui est équiprobable et sans mémoire.
 
 03:11.460 --> 03:14.360
 C'est ça qu'il faut retenir. Mais on va en reparler après.
 
 03:15.680 --> 03:22.680
 Donc, quelques exemples pour situer. Celui-ci, Université Strasbourg ENT 2019.
 
 03:22.680 --> 03:29.200
 On s'en souvient bien, plutôt facile à taper, mais bon, la robustesse, ce n'est pas ça, parce que la taille de l'alphabet est bof.
 
 03:29.280 --> 03:33.040
 A la limite, ce n'est pas trop grave, parce qu'il est assez long, mais surtout, il n'est pas du tout aléatoire.
 
 03:33.360 --> 03:37.300
 Surtout si c'est un mot de passe qui est utilisé pour un compte ENT à l'Université de Strasbourg.
 
 03:40.060 --> 03:48.060
 Celui-ci, plutôt bonne mémorabilité aussi, parce qu'il est assez court, mais difficile à taper, parce qu'on n'a pas ces caractères-là sur nos claviers.
 
 03:48.060 --> 03:53.680
 Et puis, la robustesse, c'est bof aussi, si ce n'est mauvaise, parce qu'il n'est pas assez long.
 
 03:54.000 --> 03:59.540
 Et puis, si on met le paquet, on peut avoir ça, mais personne ne va s'en souvenir et personne ne va pouvoir le taper.
 
 04:01.500 --> 04:04.780
 Bon, là, au début, j'enfonce des portes ouvertes.
 
 04:05.100 --> 04:07.940
 Il y aura de l'enfonçage de portes ouvertes pendant tout le long.
 
 04:08.880 --> 04:14.380
 On voit qu'il y a un peu un dilemme, ou en tout cas, on a le sentiment qu'il y a un dilemme.
 
 04:14.380 --> 04:21.760
 C'est que plus on fait monter la robustesse, et plus on fait descendre l'aisance d'utilisation et la mémorabilité.
 
 04:22.340 --> 04:29.280
 Du coup, le but, ça va être de résoudre, de lever ce dilemme-là, sachant qu'il n'y a pas de technique magique.
 
 04:29.500 --> 04:32.380
 Il va falloir y réfléchir un peu. Alors, le...
 
 04:33.340 --> 04:35.880
 Enfin, ce n'est pas très compliqué non plus, parce que ça tient en une demi-heure.
 
 04:35.880 --> 04:44.820
 La démarche que je propose, c'est qu'on va écrire, réfléchir, penser un mot de passe, ou plutôt une source de mot de passe, en fait.
 
 04:44.920 --> 04:48.760
 On ne va pas choisir un mot de passe en particulier, mais choisir une certaine longueur et un certain alphabet.
 
 04:49.360 --> 04:55.120
 Et puis, les mots de passe seront tous ceux qui peuvent être générés par cet alphabet-là, avec cette longueur-là.
 
 04:56.420 --> 05:00.520
 On y réfléchit, deux secondes, on se pose, on se dit, bon, quelle sécurité ça offre ?
 
 05:00.520 --> 05:05.880
 Combien de combinaisons disponibles ? À quel point c'est facile de le craquer avec tel ou tel matériel ?
 
 05:05.880 --> 05:11.260
 On apprend quelque chose, on a une idée, et puis on reboucle.
 
 05:11.720 --> 05:16.400
 Et en itérant comme ça, il y a neuf étapes, on va arriver à un mot de passe qui n'est pas trop mal.
 
 05:16.640 --> 05:19.680
 Et surtout, on va arriver à comprendre comment tout ça fonctionne.
 
 05:20.800 --> 05:29.620
 Donc, premier mot de passe, une lettre. La lettre A, il y aura toujours, en haut et en bas, des caractéristiques sur le mot de passe.
 
 05:29.620 --> 05:34.740
 Donc là, on a une longueur de 1, on a une taille d'alphabet de 1, c'est-à-dire que c'est toujours A.
 
 05:35.120 --> 05:38.000
 Donc, on a une certitude sur le mot de passe, ça sera toujours A.
 
 05:38.380 --> 05:42.600
 Et puis, l'aléatorité ici, bon, on s'en fiche parce que c'est toujours A.
 
 05:43.060 --> 05:48.260
 On va dire qu'elle est nulle. Et puis, c'est évidemment extrêmement facile à casser,
 
 05:48.480 --> 05:51.580
 parce que si on considère qu'on prend à peu près une seconde à, je ne sais pas,
 
 05:51.620 --> 05:57.980
 le rentrer dans un système ou à réfléchir, à penser la lettre A, c'est instantané.
 
 05:57.980 --> 06:02.500
 Donc, admettons, on agrandit l'alphabet, on fait passer à 26.
 
 06:03.160 --> 06:08.840
 Du coup, notre mot de passe, ça va être A ou B ou C et ainsi de suite jusqu'à la lettre Z, minuscule.
 
 06:08.840 --> 06:17.160
 Et ici, on assume un aléa, une aléatorité équiprobable et sans mémoire.
 
 06:17.220 --> 06:19.080
 Sans mémoire, ici, on s'en fiche parce que la longueur, c'est de 1.
 
 06:19.360 --> 06:23.220
 Mais équiprobable, il y a autant de chances que ce soit A, que B, que C et ainsi de suite.
 
 06:23.700 --> 06:30.440
 Donc, le temps moyen pour casser ce mot de passe, si on le fait à la main et qu'on imagine un essai par seconde,
 
 06:30.780 --> 06:33.700
 c'est 13 secondes parce qu'il y a 26 lettres, on le divise par 2.
 
 06:33.700 --> 06:42.380
 Il va falloir tester 13 lettres. Et on est obligé de les tester dans un ordre aléatoire ou dans l'ordre en allant jusqu'à Z
 
 06:42.380 --> 06:45.140
 parce qu'ils ont tous autant de chances d'apparaître.
 
 06:47.840 --> 06:50.040
 Bon, clairement, une taille d'alphabet seul, c'est faible.
 
 06:50.160 --> 06:53.300
 Mais ça, on s'en doute, personne n'utilise des mots de passe qui ont une longueur de 1.
 
 06:53.300 --> 07:03.380
 Donc, là, on fait un petit aparté pour parler de l'aléatoirité, justement.
 
 07:04.480 --> 07:07.440
 On va rester sur le même, donc un mot de passe d'une longueur de 1.
 
 07:07.800 --> 07:11.300
 Mais cette fois-ci, on va supposer que ce qui génère nos mots de passe, entre guillemets,
 
 07:11.420 --> 07:14.260
 c'est la fréquence d'apparition des lettres dans la langue française.
 
 07:14.260 --> 07:22.740
 Donc, on sait qu'il y a plus de chances d'avoir un E qu'un A, qu'un I, un S, tout ça, on peut le calculer.
 
 07:23.900 --> 07:29.980
 Du coup, si quelqu'un veut casser notre mot de passe, il a juste à tester les lettres en commençant par la première.
 
 07:29.980 --> 07:34.720
 C'est comme lorsque vous jouez au pendu, vous testez le E d'abord et puis le A ensuite, etc.
 
 07:35.360 --> 07:40.920
 Sachant que la ligne blanche, là, c'est 50%, en moyenne, on n'a que besoin de 7 essais
 
 07:40.920 --> 07:43.360
 pour avoir une chance sur 2 d'avoir cassé le mot de passe.
 
 07:44.260 --> 07:50.000
 Bon, ça, évidemment, c'est un exemple qui n'a pas lieu dans la vraie vie.
 
 07:50.940 --> 07:57.300
 Mais ça nous informe que le fait que le mot de passe soit généré vraiment, aléatoirement,
 
 07:57.460 --> 08:00.260
 c'est hyper important, c'est probablement d'ailleurs le plus important.
 
 08:01.920 --> 08:08.460
 Si on ramène ça à des situations réelles, le problème, c'est qu'on a souvent recours
 
 08:08.460 --> 08:11.520
 à des sources d'événements prévisibles pour créer nos mots de passe.
 
 08:11.520 --> 08:14.300
 généralement, notre mémoire, notre cerveau.
 
 08:15.380 --> 08:24.980
 À savoir que si quelqu'un, une dame, admettons, qui a un chat, qui a un nom et puis une date
 
 08:24.980 --> 08:29.640
 d'anniversaire, comme tout le monde, elle va avoir, peut-être, si elle n'est pas trop
 
 08:29.640 --> 08:35.800
 sensibilisée à tout ça, elle va avoir tendance à mettre le nom de son chat dans son mot de passe
 
 08:35.800 --> 08:37.340
 ou sa date d'anniversaire, et ainsi de suite.
 
 08:37.420 --> 08:40.420
 C'est peut-être pas le cas, mais c'est plus probable qu'elle le fasse.
 
 08:40.880 --> 08:44.400
 Du coup, si moi, j'essaye de casser son mot de passe, je vais d'abord tester ça en premier.
 
 08:44.580 --> 08:47.960
 En fait, c'est exactement analogue à la situation avec la langue française.
 
 08:48.360 --> 08:50.120
 C'est parce que le nom du chat a plus de chances de sortir.
 
 08:51.380 --> 08:54.260
 Bon, ça, c'est un cas où quelqu'un en voudrait à quelqu'un de particulier.
 
 08:54.400 --> 08:58.360
 Au final, c'est assez rare. Enfin, j'espère que ça ne vous arrive pas.
 
 08:58.940 --> 09:02.360
 Mais par contre, ce cas-là est beaucoup plus fréquent.
 
 09:02.520 --> 09:05.780
 C'est qu'on prend plein de mots de passe qui ont déjà été cassés par le passé.
 
 09:06.200 --> 09:07.720
 On vérifie lesquels sont les plus fréquents.
 
 09:08.160 --> 09:10.760
 Donc, on sait que 123456, ça revient souvent.
 
 09:11.000 --> 09:16.060
 QWERTY, AZERTY, tout ça. Et puis, pareil, on élabore les mêmes stratégies.
 
 09:16.140 --> 09:17.640
 On va commencer par tester ces mots de passe-là.
 
 09:17.640 --> 09:22.020
 Puis statistiquement, on sait que sur 10 000 comptes, on va bien en casser certains.
 
 09:22.020 --> 09:31.580
 A l'opposé, il y a ce qu'il faut faire. C'est-à-dire se baser sur des sources d'événements non prévisibles.
 
 09:32.080 --> 09:35.140
 Alors typiquement, il y en a un, enfin il y en a plein,
 
 09:35.580 --> 09:39.840
 mais il y en a un qu'on a tous déjà utilisé, qu'on a probablement tous chez nous, c'est des dés.
 
 09:40.320 --> 09:42.680
 Bon, s'il n'est pas trop pipé, s'il est à peu près correct,
 
 09:43.040 --> 09:45.540
 c'est une bonne source d'événements prévisibles, non prévisibles.
 
 09:46.680 --> 09:50.920
 Et là, si on arrive à mapper le résultat d'une façon ou d'une autre,
 
 09:50.920 --> 09:55.880
 d'un dé à un mot de passe, le A aura autant de chances de sortir que le B ou le C,
 
 09:56.020 --> 09:58.960
 ou quoi que ce soit, là je mets A, B, ça pourrait être autre chose.
 
 09:59.860 --> 10:02.340
 Et de cette façon-là, si quelqu'un essaye d'attaquer votre mot de passe,
 
 10:02.800 --> 10:07.760
 il sera obligé de passer par toutes les possibilités, il n'y aura pas d'autres stratégies.
 
 10:08.960 --> 10:11.420
 Après, le but c'est d'avoir tellement de possibilités que ça sera trop difficile.
 
 10:12.260 --> 10:15.140
 Et puis, autre avantage de se baser sur des sources d'événements non prévisibles,
 
 10:15.140 --> 10:22.280
 c'est le calcul de la robustesse. Parce que, comment on peut savoir, de façon quantitative,
 
 10:22.600 --> 10:27.340
 pas qualitative, mais quantitative, quelle est la robustesse de notre mot de passe qu'on a généré
 
 10:27.340 --> 10:30.600
 avec juste notre cerveau comme ça à la volée ?
 
 10:30.600 --> 10:32.300
 C'est plus ou moins impossible, parce que ça reviendrait
 
 10:32.300 --> 10:37.280
 à devoir calculer la probabilité que je mette le nom de mon chat dans mon mot de passe.
 
 10:37.940 --> 10:39.480
 Mais je ne sais pas, ça dépend de beaucoup trop de choses.
 
 10:39.480 --> 10:41.920
 si mon chat est sur mes genoux au moment où je fais mon mot de passe,
 
 10:42.020 --> 10:46.000
 j'aurais peut-être plus tendance à me mettre son nom que si je suis au boulot, par exemple.
 
 10:47.100 --> 10:51.800
 Donc, si on veut vraiment juger de la qualité de notre mot de passe,
 
 10:52.380 --> 10:56.100
 c'est en gros impossible de le faire précisément
 
 10:56.100 --> 10:58.060
 si on s'est basé sur des sources d'événements prévisibles.
 
 10:58.520 --> 11:01.880
 Alors que si on s'est basé sur une source d'événements non prévisibles
 
 11:01.880 --> 11:05.340
 et qu'on a une aléatoirité comme on veut,
 
 11:05.340 --> 11:12.680
 la robustesse, c'est juste la taille de l'alphabet, puissance, la longueur du mot de passe.
 
 11:13.160 --> 11:15.340
 Ça, ça va être le nombre de combinaisons de notre mot de passe.
 
 11:16.520 --> 11:19.020
 Alors, il y en a d'autres qui le calculent en fonction de l'entropie.
 
 11:19.120 --> 11:20.080
 Généralement, c'est comme ça qu'on fait.
 
 11:20.620 --> 11:24.260
 Mais ça inclut des maths et tout, donc on ne va pas le faire.
 
 11:24.340 --> 11:25.640
 Et puis, ça n'a pas forcément d'intérêt ici.
 
 11:27.160 --> 11:29.320
 Donc, c'est intéressant parce qu'après, on peut vraiment se poser la question
 
 11:29.320 --> 11:32.280
 à l'instant T, à quel point c'est difficile ?
 
 11:32.280 --> 11:35.320
 Combien de temps ça va prendre en moyenne pour casser mon mot de passe ?
 
 11:35.320 --> 11:37.640
 Et vous pouvez le faire avec les vôtres.
 
 11:39.560 --> 11:42.600
 Donc, revenons à tester nos mots de passe.
 
 11:43.520 --> 11:49.200
 Prenons une longueur de 8 pour toujours une taille d'alphabet de 26.
 
 11:49.440 --> 11:54.560
 26, toutes les lettres minuscules. Et la longueur de 8 parce que c'est souvent, sur Internet, encore,
 
 11:55.080 --> 11:58.880
 lorsqu'on s'inscrit sur les services, la taille minimale des mots de passe.
 
 11:59.400 --> 12:02.560
 Donc, on va juger à quel point c'est sécurisé.
 
 12:02.560 --> 12:05.100
 Alors, ça peut sortir le premier, ça peut sortir le deuxième,
 
 12:05.200 --> 12:08.240
 ça peut aussi sortir un mot. C'est peu probable que ça sorte un mot.
 
 12:08.800 --> 12:11.280
 Mais vu que c'est parfaitement aléatoire, c'est possible.
 
 12:13.580 --> 12:16.040
 Pour calculer, on calcule juste le nombre de combinaisons.
 
 12:16.220 --> 12:18.080
 Donc, taille de l'alphabet, puissance, la longueur.
 
 12:18.160 --> 12:19.420
 On divise par deux pour avoir la moyenne.
 
 12:19.860 --> 12:22.460
 Parce qu'on n'est pas intéressé par savoir combien de temps,
 
 12:22.880 --> 12:24.760
 au bout de combien de temps, on est sûr d'avoir cassé le mot de passe.
 
 12:24.760 --> 12:27.040
 Mais en moyenne, au bout de combien de temps,
 
 12:27.160 --> 12:29.140
 on a une chance sur deux d'avoir cassé le mot de passe.
 
 12:29.260 --> 12:30.560
 On obtient 100 milliards de combinaisons.
 
 12:30.960 --> 12:34.260
 Alors, ça fait beaucoup. À la main, ça prendrait 3 000 ans.
 
 12:34.460 --> 12:36.580
 Parce qu'il y a 100 milliards de secondes dans 3 000 ans.
 
 12:36.920 --> 12:38.240
 Si je ne me suis pas trompé dans mes calculs.
 
 12:40.500 --> 12:42.860
 Mais bon, on est à la DNum, on aime bien les ordinateurs.
 
 12:43.140 --> 12:46.260
 Donc, on fait ça avec un ordinateur. Et en prenant celui-ci,
 
 12:46.580 --> 12:48.640
 donc le modèle que la plupart des gens ici ont,
 
 12:49.140 --> 12:54.100
 et en téléchargeant hashcat, qui est un logiciel qui permet de craquer des mots de passe, entre autres.
 
 12:55.100 --> 12:57.660
 Ça fait d'autres choses. Fondamentalement, ça ne craque pas les mots de passe,
 
 12:57.740 --> 13:02.100
 mais ça peut servir à ça. On peut tester 21 millions de mots de passe en une seconde.
 
 13:02.980 --> 13:05.320
 Donc, pour casser ce mot de passe-là, ça prendrait 1 heure et 20 minutes.
 
 13:05.740 --> 13:08.240
 Tout ça, c'est un peu théorique. Dans la pratique, ce n'est pas nécessairement le cas,
 
 13:08.380 --> 13:10.560
 mais c'est une idée. Pour avoir l'ordre de grandeur.
 
 13:11.280 --> 13:17.020
 Et puis, si on prend un PC qui coûte entre 1 000 et 1 500 euros,
 
 13:17.160 --> 13:18.580
 qui a une carte graphique un peu puissante,
 
 13:19.120 --> 13:21.700
 on va pouvoir tester 2 milliards de mots de passe à la seconde, environ.
 
 13:22.180 --> 13:27.660
 Avec une 1 070, GTX 1070. Du coup, ça descend à 50 secondes.
 
 13:27.780 --> 13:29.720
 Et là, ça commence à devenir quand même...
 
 13:29.720 --> 13:31.020
 Enfin, 50 secondes, c'est vraiment limite.
 
 13:33.900 --> 13:36.020
 C'est un peu inquiétant, mais on voit bien,
 
 13:36.300 --> 13:39.000
 la bonne nouvelle, c'est qu'on voit bien que c'est vraiment la combinaison,
 
 13:39.100 --> 13:40.940
 le fait de monter à la fois la longueur et la taille de l'alphabet,
 
 13:41.360 --> 13:43.420
 qui apporte vraiment une quantité significative de robustesse.
 
 13:43.420 --> 13:46.460
 Donc, on sait qu'a priori, si on continue à les faire monter,
 
 13:46.780 --> 13:53.420
 on devrait pouvoir s'en sortir. Alors, maintenant, si on inverse...
 
 13:55.240 --> 13:59.160
 Excusez-moi, ça c'est la diapo d'après. Si on augmente la taille de l'alphabet,
 
 13:59.540 --> 14:02.420
 comme c'est souvent fait, encore une fois, sur différents sites,
 
 14:02.480 --> 14:07.540
 on vous dit, y compris à l'unistra, il faut mettre des caractères spéciaux,
 
 14:07.540 --> 14:11.020
 il faut mettre des chiffres, etc., des majuscules, des minuscules.
 
 14:11.940 --> 14:15.040
 Donc, là, j'ai été sympa, je l'ai vraiment fait monter haut à 96,
 
 14:15.460 --> 14:18.000
 ça comprend des caractères un peu bizarres,
 
 14:18.060 --> 14:20.120
 avec des accents et tout, que sur un clavier français on a,
 
 14:20.180 --> 14:21.260
 mais qu'on n'a pas sur tous les claviers.
 
 14:22.320 --> 14:25.480
 Donc, on va avoir ça, par exemple, ce genre de mot de passe.
 
 14:26.380 --> 14:27.840
 Et si on fait exactement le même calcul,
 
 14:28.100 --> 14:33.320
 96 puissance 8, tout ça, on trouve 3500 milliers de milliards de combinaisons.
 
 14:34.320 --> 14:40.380
 Donc, à la main, je ne le calcule pas. Avec ce PC-là, ça prendrait 5 ans,
 
 14:40.660 --> 14:45.260
 donc ce n'est plus vraiment faisable. Ce n'est pas non plus physiquement impossible,
 
 14:45.560 --> 14:49.560
 mais pas trop faisable. Et puis, avec notre PC,
 
 14:49.720 --> 14:53.040
 qui coûte un peu plus de 1000 euros, on en est à 21 jours.
 
 14:53.800 --> 14:57.820
 Du coup, ça commence à devenir coûteux, à la fois en argent et en temps,
 
 14:58.220 --> 15:05.120
 mais on n'est pas non plus hyper safe. Maintenant, pour comprendre un peu mieux
 
 15:05.120 --> 15:11.740
 comment tout ça fonctionne, si on inverse la taille de l'alphabet et la longueur.
 
 15:11.980 --> 15:13.320
 Autrement dit, si on se pose la question
 
 15:13.320 --> 15:17.160
 « Qu'est-ce qui influe le plus sur la robustesse du mot de passe ? »
 
 15:17.160 --> 15:18.780
 Est-ce que c'est la taille de l'alphabet
 
 15:18.780 --> 15:22.320
 ou est-ce que c'est la longueur ? On va faire les calculs.
 
 15:22.420 --> 15:23.940
 Du coup, ça donne ce genre de mot de passe.
 
 15:24.780 --> 15:28.600
 Alors, là, on ne va même pas parler de mémorabilité et d'aisance d'utilisation.
 
 15:28.780 --> 15:30.120
 On va juste s'inquiéter de la robustesse.
 
 15:30.120 --> 15:33.400
 Parce que personne ne pourrait taper ça.
 
 15:35.900 --> 15:41.980
 8 puissance 96 divisé par 2, ça fait 2,5 fois 10 puissance 86.
 
 15:43.440 --> 15:47.300
 Donc, c'est vraiment très très gros. C'est même gigantesque.
 
 15:47.300 --> 15:53.640
 À la main, ce n'est pas envisageable. Nos deux autres PC sont totalement à la ramasse.
 
 15:53.840 --> 15:56.760
 10 puissance 71 années, 10 puissance 69 années.
 
 15:58.480 --> 16:01.560
 Et puis, si on prend vraiment des gros PC,
 
 16:01.680 --> 16:03.460
 des trucs que les particuliers ne peuvent pas trop s'offrir
 
 16:03.460 --> 16:11.700
 ou il faudrait un peu économiser, on pourrait tester 36 milliards de mots de passe à la seconde.
 
 16:11.880 --> 16:14.400
 En l'occurrence, ça, c'est un calcul fait
 
 16:14.400 --> 16:18.280
 avec la configuration exacte que Guy emprunte à l'ESPE
 
 16:18.280 --> 16:20.780
 lorsqu'il essaye de casser des mots de passe
 
 16:20.780 --> 16:23.200
 en qualité de RSSI. Pour vous donner une idée.
 
 16:23.820 --> 16:27.240
 Donc, prenez ce chiffre-là, notez-le et après, calculez combien de temps ça prendrait à Guy
 
 16:27.240 --> 16:30.820
 pour casser votre mot de passe lorsqu'il s'amusera la prochaine fois.
 
 16:32.940 --> 16:35.720
 En fait, ça prend 10 puissance 68 ans. Donc, en fait, ça ne change rien.
 
 16:35.880 --> 16:38.260
 On se rend compte d'ailleurs que c'est un ordre de grandeur.
 
 16:39.520 --> 16:42.480
 Il y a un seul ordre de grandeur qui sépare notre PC à 1000 balles
 
 16:42.480 --> 16:44.640
 et celui-ci qui coûte au moins 8000 euros.
 
 16:44.880 --> 16:47.260
 Un truc comme ça. Parce qu'il n'y a que ces 8 cartes graphiques.
 
 16:48.080 --> 16:52.880
 Enfin, 8 1080 TI. Qu'est-ce que ça nous apprend, ça ?
 
 16:52.880 --> 16:55.500
 Déjà, on va mettre un peu en perspective
 
 16:55.500 --> 17:01.680
 à quel point ces chiffres sont gros. L'âge de l'univers, c'est 13,8 fois 10 puissance 9 ans.
 
 17:02.120 --> 17:06.300
 Et là, on était sur du 10 puissance 70. Du coup, pour donner une idée,
 
 17:06.500 --> 17:09.040
 si ça, c'est l'âge de l'univers, alors le graphique est un peu moche,
 
 17:09.680 --> 17:13.840
 et qu'on prenait une tranche, ça, c'est une seconde, admettons,
 
 17:14.480 --> 17:17.120
 pour casser notre mot de passe, pour que notre plus puissante machine
 
 17:17.120 --> 17:21.320
 casse notre mot de passe, il aurait fallu qu'il existe depuis le tout début,
 
 17:21.600 --> 17:24.020
 depuis le Big Bang, qu'il soit déjà là, déjà prêt,
 
 17:24.100 --> 17:28.020
 en train de faire ses calculs, et que chaque seconde qui se soit passée
 
 17:28.020 --> 17:32.900
 ait elle-même duré 4,3 fois l'âge de l'univers.
 
 17:32.900 --> 17:37.200
 Donc, là, on rentre vraiment dans le domaine
 
 17:37.200 --> 17:41.300
 du physiquement totalement impossible, même y compris demain, et après-demain,
 
 17:41.420 --> 17:45.340
 et après-après-demain, avec la technologie qu'on a,
 
 17:46.020 --> 17:48.680
 c'est impensable, à moins qu'il y ait vraiment une révolution,
 
 17:48.840 --> 17:50.080
 je ne sais pas, les ordinateurs quantiques,
 
 17:50.140 --> 17:54.740
 ou un truc comme ça. Et puis aussi, 10 puissance 80,
 
 17:54.860 --> 17:55.860
 c'est le nombre d'atomes dans l'univers,
 
 17:56.420 --> 17:58.640
 donc il y a plus de combinaisons de notre mot de passe
 
 17:58.640 --> 18:01.240
 que d'atomes dans l'univers, ce qui fait que techniquement,
 
 18:01.340 --> 18:03.360
 il y a plus d'informations, notre chiffre,
 
 18:03.560 --> 18:07.180
 enfin notre mot de passe, contient, enfin le nombre des combinaisons
 
 18:07.180 --> 18:08.980
 de notre mot de passe, contient plus d'informations
 
 18:08.980 --> 18:12.500
 qu'il n'y a dans l'univers. Donc c'est impossible
 
 18:12.500 --> 18:15.820
 de se le représenter, en fait. Bon, c'est pour donner une idée,
 
 18:15.940 --> 18:18.240
 et apparemment, il y a des gens qui ont fait des calculs,
 
 18:18.240 --> 18:19.760
 et si on arrivait à se le mettre dans le cerveau,
 
 18:19.820 --> 18:21.400
 si on arrivait d'une façon ou d'une autre
 
 18:21.400 --> 18:24.520
 à se représenter ce genre de chiffres, notre cerveau deviendrait tellement dense
 
 18:24.520 --> 18:26.240
 qu'il s'effondrerait et deviendrait un trou noir.
 
 18:26.380 --> 18:27.360
 Alors je ne sais pas trop comment ça fonctionne,
 
 18:27.940 --> 18:36.780
 mais il paraît. Ça, c'était la diapo un peu marrante.
 
 18:38.700 --> 18:41.280
 Mais qu'est-ce qu'on a appris de vraiment intéressant ?
 
 18:41.280 --> 18:43.380
 C'est que la croissance de la robustesse,
 
 18:43.500 --> 18:45.480
 en fonction de la longueur, on a beaucoup de chance
 
 18:45.480 --> 18:47.680
 parce qu'elle augmente beaucoup plus vite
 
 18:47.680 --> 18:50.560
 que la puissance de la machine en fonction de son coût.
 
 18:51.120 --> 18:53.680
 Donc c'est beaucoup plus facile pour nous de rajouter
 
 18:53.680 --> 18:57.700
 un à la longueur de nos mots de passe que c'est facile
 
 18:57.700 --> 19:00.640
 pour l'adversaire, notre adversaire qui veut casser notre mot de passe,
 
 19:01.180 --> 19:04.060
 d'augmenter sa puissance de calcul en mettant de la thune dedans.
 
 19:04.480 --> 19:05.960
 Lorsque nous, on veut augmenter par deux
 
 19:05.960 --> 19:09.300
 la robustesse de notre mot de passe, on le rajoute un de longueur
 
 19:09.300 --> 19:12.140
 et on l'a largement fait parce que la courbe est exponentielle,
 
 19:12.540 --> 19:14.360
 alors que lui, il va devoir doubler le prix de sa machine.
 
 19:14.820 --> 19:16.420
 Ça, c'est un instant T, ça ne prend pas en compte
 
 19:16.420 --> 19:19.600
 la loi de Moore, etc. Mais même avec la loi de Moore,
 
 19:19.660 --> 19:22.540
 on est large. Donc ça, c'est rassurant, ça veut dire que les mots de passe,
 
 19:22.840 --> 19:26.700
 ça peut fonctionner à l'avenir aussi. Et puis autre chose,
 
 19:26.880 --> 19:28.800
 c'est qu'on a appris que la croissance de la robustesse
 
 19:28.800 --> 19:30.180
 en fonction de la longueur du mot de passe,
 
 19:30.600 --> 19:32.640
 elle est beaucoup, beaucoup plus rapide que celle en fonction
 
 19:32.640 --> 19:36.000
 de la taille de l'alphabet. Bon ça, c'est des vrais calculs,
 
 19:36.120 --> 19:41.000
 enfin plus ou moins pas très bien fait, mais les courbes
 
 19:41.000 --> 19:43.720
 ressemblent vraiment à ça. Donc en bleu,
 
 19:43.820 --> 19:47.460
 c'est en fonction de la taille de l'alphabet
 
 19:47.460 --> 19:50.700
 et en orange, c'est la longueur. Et si on continue
 
 19:50.700 --> 19:53.880
 vers la droite, on ne voit même plus la courbe bleue.
 
 19:54.200 --> 19:55.900
 Alors si on veut rester dans l'échelle, la courbe bleue,
 
 19:55.960 --> 19:57.700
 on a l'impression que c'est juste une...
 
 19:58.500 --> 20:00.280
 Elle est totalement aplatie. Donc c'est beaucoup mieux
 
 20:00.280 --> 20:01.420
 d'augmenter la longueur d'un mot de passe
 
 20:01.420 --> 20:04.840
 si vous voulez augmenter sa robustesse. Ok.
 
 20:05.880 --> 20:07.780
 Alors maintenant qu'on sait ça, on va prendre le truc
 
 20:07.780 --> 20:14.440
 un peu à l'envers et on va choisir certains critères
 
 20:14.440 --> 20:17.020
 qu'on veut dans un mot de passe et puis on va rétroactivement
 
 20:17.020 --> 20:18.980
 choisir, enfin calculer quelle longueur il nous faut
 
 20:18.980 --> 20:21.200
 pour satisfaire ces critères-là. Alors déjà,
 
 20:21.300 --> 20:23.440
 on se dit, ok, moi je veux un alphabet comme celui-ci.
 
 20:23.860 --> 20:25.720
 Je ne veux pas de caractère spéciaux, tout ça,
 
 20:25.840 --> 20:30.360
 je m'autorise un espace, ce qui fait 53 lettres
 
 20:30.360 --> 20:34.320
 dans notre alphabet. Et on veut que ça résiste
 
 20:34.320 --> 20:36.240
 au moins 2000 ans à notre grosse machine
 
 20:36.240 --> 20:39.960
 super puissante. Bon, du coup, et ça fait ça
 
 20:39.960 --> 20:42.960
 sur les autres machines. Du coup, on calcule
 
 20:42.960 --> 20:44.800
 combien de mots de passe une grosse machine
 
 20:44.800 --> 20:48.820
 peut calculer sur 2000 ans. Donc 2,3 fois 10 puissance 21
 
 20:48.820 --> 20:51.180
 mots de passe. Et puis on résout cette équation
 
 20:51.180 --> 20:59.240
 pour X et on obtient une longueur d'à peu près 12,6.
 
 20:59.760 --> 21:05.460
 Donc il faut que notre mot de passe fasse au moins 13 caractères
 
 21:05.460 --> 21:08.060
 pour résister 2000 ans à cette machine-là.
 
 21:08.060 --> 21:10.240
 Donc c'est pas mal parce que ça donne à peu près
 
 21:10.240 --> 21:14.700
 ce genre de choses. Bon, ça n'a pas une très très bonne tête
 
 21:14.700 --> 21:17.540
 mais c'est possible de s'en souvenir. C'est faisable.
 
 21:18.980 --> 21:24.120
 Sauf qu'après coup, on réfléchit un peu et on apprend des trucs
 
 21:24.120 --> 21:27.420
 genre bon, les machines, elles deviennent
 
 21:27.420 --> 21:29.480
 plus puissantes et puis la NSA, ils sont très très forts
 
 21:29.480 --> 21:31.920
 et très très méchants et ils ont des gros gros
 
 21:31.920 --> 21:34.100
 ordinateurs et les Chinois, ils en ont encore plus.
 
 21:34.100 --> 21:38.600
 donc on se sent avec nos 2000 ans, on ne se sent pas trop safe.
 
 21:38.720 --> 21:41.500
 On se dit, il y a peut-être une entourloupe là-dedans.
 
 21:42.500 --> 21:44.000
 Donc on va mettre 1000 milliards d'années.
 
 21:44.300 --> 21:48.540
 On se dit, bon, on vise vraiment haut et on va faire
 
 21:48.540 --> 21:51.280
 le même calcul. Donc on résout, c'est la même chose
 
 21:51.280 --> 21:53.780
 sauf qu'on n'a pas le même nombre de combinaisons à droite
 
 21:53.780 --> 21:57.800
 et puis on obtient 17,6 ce qui donne ce genre de choses.
 
 21:57.940 --> 21:59.520
 Et là, ça commence à devenir un peu embêtant quand même.
 
 21:59.960 --> 22:03.740
 Surtout si on doit se souvenir de plusieurs mots de passe.
 
 22:04.700 --> 22:06.800
 Parce qu'on a différents, on a notre mot de passe
 
 22:06.800 --> 22:08.380
 au boulot, on a notre mot de passe à la maison,
 
 22:08.500 --> 22:15.700
 etc. Du coup, on va être un peu plus modeste
 
 22:15.700 --> 22:19.640
 et on va faire quelques compromis. On va se dire,
 
 22:19.700 --> 22:21.240
 bon, ok, on passe à 1 milliard d'années,
 
 22:21.560 --> 22:23.980
 on va se dire, ok, ça sera suffisant. La longueur,
 
 22:24.020 --> 22:27.160
 elle descend à 16. Puis on va ajouter des chiffres
 
 22:27.160 --> 22:29.280
 et quelques symboles courants. Donc ça a fait monter
 
 22:29.280 --> 22:32.820
 l'alphabet à 76, c'est correct. sur tous les claviers,
 
 22:32.900 --> 22:35.560
 ça devrait passer. Et la longueur, elle descend à 14.
 
 22:35.640 --> 22:37.280
 Donc après, ça commence à se ressembler à ce genre de choses.
 
 22:37.400 --> 22:38.560
 Alors avec les symboles, c'est un peu moche.
 
 22:39.180 --> 22:41.400
 Mais c'est peut-être un peu plus facile à souvenir.
 
 22:41.540 --> 22:43.160
 En fait, ça dépend. Il y a des gens qui vont trouver
 
 22:43.160 --> 22:46.080
 l'autre plus facile à mémoriser, celui-ci.
 
 22:46.960 --> 22:49.100
 Mais ce qu'on voit, c'est que dans l'ensemble,
 
 22:49.200 --> 22:51.560
 en fait, c'est un peu moyen tout ça. On a le sentiment
 
 22:51.560 --> 22:55.540
 qu'on ne peut pas trop s'en sortir. Ça sera toujours
 
 22:55.540 --> 22:59.320
 un peu décevant et on est un peu dans une impasse.
 
 22:59.320 --> 23:03.340
 parce que si on fait monter la longueur du mot de passe,
 
 23:03.420 --> 23:05.100
 on aura une mauvaise mémorabilité, quoi qu'il arrive.
 
 23:05.180 --> 23:06.740
 Et ça, il n'y a pas de magie. Si on fait augmenter
 
 23:06.740 --> 23:09.280
 sa longueur, on fait augmenter sa longueur,
 
 23:09.360 --> 23:13.860
 c'est tout. Et si on fait augmenter l'alphabet,
 
 23:14.000 --> 23:15.720
 on va forcément avoir des symboles obscurs.
 
 23:16.060 --> 23:17.880
 C'est un peu ça, le problème. C'est que si on fait
 
 23:17.880 --> 23:21.100
 augmenter l'alphabet, on va avoir des symboles
 
 23:21.100 --> 23:23.320
 difficiles à taper et dont on ne se souvient
 
 23:23.320 --> 23:31.200
 pas forcément. du coup, le truc, le déclic un peu,
 
 23:31.300 --> 23:39.080
 c'est que on a repensé le problème et le truc à résoudre,
 
 23:39.300 --> 23:41.700
 c'est d'essayer de trouver beaucoup, beaucoup,
 
 23:41.760 --> 23:43.260
 beaucoup de symboles qu'on connaîtrait par cœur
 
 23:43.260 --> 23:45.600
 et qui sont faciles à taper. Alors, dit comme ça,
 
 23:45.660 --> 23:48.700
 c'est facile. Mais du coup, on peut chercher
 
 23:48.700 --> 23:52.620
 dans ce qu'il y a à notre disposition, mais ce n'est pas si facile
 
 23:52.620 --> 23:54.880
 que ça, parce que dans la dernière version d'Unicode,
 
 23:54.960 --> 23:58.040
 il y a 137 439 symboles, c'est largement suffisant.
 
 23:58.540 --> 24:00.200
 Si on pouvait taper là-dedans et les combiner
 
 24:00.200 --> 24:02.980
 aléatoirement, ce serait suffisant. Il n'y aurait pas besoin
 
 24:02.980 --> 24:05.920
 de longueur hallucinante, sauf qu'il y a genre ça,
 
 24:07.280 --> 24:10.060
 je ne sais pas ce que c'est, on dirait une sorte
 
 24:10.060 --> 24:12.480
 de pieuvre, je ne sais pas, et ça non plus,
 
 24:12.540 --> 24:14.940
 je ne sais pas ce que c'est, et ça, on dirait une moustache,
 
 24:15.680 --> 24:17.800
 je ne sais pas si c'est dans un, je ne vais pas chercher
 
 24:17.800 --> 24:19.260
 si c'était une langue en particulier, on dirait que c'est
 
 24:19.260 --> 24:22.760
 deux symboles, ça n'est qu'un, et ça, si un jour,
 
 24:22.820 --> 24:24.880
 vous avez besoin de l'écrire à la main, c'est un peu difficile.
 
 24:27.520 --> 24:31.340
 Et il y a tous les emojis, il y a genre le koala,
 
 24:31.540 --> 24:38.420
 tout ça. En plus, je ne suis pas sûr que les sites acceptent
 
 24:38.420 --> 24:43.360
 ces caractères-là, forcément, donc il y a des sites
 
 24:43.360 --> 24:44.700
 où on peut mettre des emojis dans les mots de passe,
 
 24:44.880 --> 24:48.140
 ça existe, mais ce n'est pas une majorité.
 
 24:48.140 --> 24:52.640
 Du coup, c'est mort. On pourrait apprendre le chinois,
 
 24:53.480 --> 24:55.140
 parce qu'ils ont beaucoup, beaucoup, beaucoup de symboles,
 
 24:55.820 --> 24:57.900
 mais apprendre une langue entière pour avoir un mot de passe
 
 24:57.900 --> 25:02.780
 décent, c'est mort aussi. D'ailleurs,
 
 25:02.940 --> 25:04.680
 dans les 137 000 symboles, il y en a beaucoup
 
 25:04.680 --> 25:07.300
 qui sont chinois, et puis d'autres langues
 
 25:07.300 --> 25:12.680
 qui ont des idéogrammes comme ça. Et le truc,
 
 25:13.040 --> 25:15.860
 c'est qu'en fait, on peut se dire, depuis le début,
 
 25:16.080 --> 25:20.400
 on pense, et je l'ai un peu forcé parce que je ne vous ai jamais dit
 
 25:20.400 --> 25:23.440
 que ça pouvait ne pas être le cas, mais on pense toujours
 
 25:23.440 --> 25:25.320
 le symbole comme un seul symbole, alors qu'en fait,
 
 25:25.380 --> 25:29.140
 ça peut être plusieurs symboles. Genre notre symbole,
 
 25:29.440 --> 25:32.520
 ça peut être un mot, et notre alphabet, ça peut être un dictionnaire.
 
 25:32.720 --> 25:37.160
 Vous voyez où je vous emmène, je pense. Un adulte connaît
 
 25:37.160 --> 25:39.580
 environ 20 000 mots, donc en fait, on peut faire péter l'alphabet
 
 25:39.580 --> 25:44.720
 si nos symboles, c'est des mots. Et mis bout à bout,
 
 25:45.120 --> 25:48.220
 il forme des phrases de passe. Et c'est pour ça,
 
 25:48.300 --> 25:50.660
 en fait, que les phrases de passe, ça fonctionne.
 
 25:50.840 --> 25:55.540
 C'est parce que les mots, chaque mot est un symbole
 
 25:55.540 --> 26:00.740
 qui, depuis qu'on est tout petit, notre apprentissage de la langue
 
 26:00.740 --> 26:03.400
 fait que tous ces symboles-là, on les apprend par cœur
 
 26:03.400 --> 26:04.720
 sans s'en rendre compte depuis qu'on est tout petit.
 
 26:05.020 --> 26:08.040
 Et on est capable de les reconnaitre parmi des dizaines de milliers,
 
 26:08.220 --> 26:09.440
 alors qu'eux, ils font plusieurs lettres.
 
 26:09.780 --> 26:10.880
 Et on s'en souvient très très très bien.
 
 26:11.340 --> 26:12.860
 C'est pour ça que les phrases de passe, ça marche.
 
 26:13.220 --> 26:14.480
 C'est pour ça que ça résout ce dilemme-là,
 
 26:14.480 --> 26:17.120
 en fait. Alors, il reste une question, c'est comment on les génère
 
 26:17.120 --> 26:19.640
 de façon aléatoire ? Et là aussi, vous me voyez venir,
 
 26:20.600 --> 26:22.280
 il y a une méthode qui s'appelle méthode Diceware
 
 26:22.280 --> 26:26.060
 qui propose d'utiliser des dés, comme j'ai dit au début.
 
 26:26.600 --> 26:28.140
 Alors, avec un dés, on peut identifier six mots.
 
 26:29.020 --> 26:30.860
 Avec deux dés, on peut identifier six puissance
 
 26:30.860 --> 26:34.700
 six mots, donc 36. et on a dit tout à l'heure
 
 26:34.700 --> 26:36.840
 qu'un adulte connaissait environ 20 000 mots.
 
 26:37.580 --> 26:40.100
 Du coup, on va, mais admettons que, bon,
 
 26:40.180 --> 26:41.620
 il faut aussi que ça marche pour des enfants
 
 26:41.620 --> 26:43.960
 et il faut aussi que ça marche pour des gens dont c'est peut-être
 
 26:43.960 --> 26:46.840
 pas la langue natale. Du coup, on va s'arrêter,
 
 26:47.600 --> 26:49.220
 genre là, 46 000 mots, ça va faire trop.
 
 26:50.580 --> 26:52.300
 46 000 mots, il y a forcément des mots qu'on ne connaît pas.
 
 26:53.020 --> 26:55.800
 Du coup, avec 5 dés, on identifie 7776 mots,
 
 26:56.160 --> 26:59.620
 c'est pas mal. et à côté, il suffit de se munir
 
 26:59.620 --> 27:03.560
 d'une liste où il y a 7776 mots qui sont identifiés
 
 27:03.560 --> 27:08.460
 de façon unique par 5 jets de dés. Par exemple, la liste ici.
 
 27:10.340 --> 27:12.840
 Et si on met quatre mots, c'est exactement
 
 27:12.840 --> 27:17.140
 les mêmes calculs qu'on a fait lorsqu'on avait
 
 27:17.140 --> 27:18.880
 un seul symbole. C'est la même chose, donc là,
 
 27:18.920 --> 27:22.340
 je vous ai épargné le calcul, mais c'est 7776 puissance 4.
 
 27:22.780 --> 27:25.460
 On voit combien de combinaisons ça fait et on vérifie
 
 27:25.460 --> 27:26.940
 combien de temps ça prend pour casser avec
 
 27:26.940 --> 27:30.460
 notre ordinateur le plus puissant. On a 14 heures
 
 27:30.460 --> 27:32.500
 avec quatre mots, clairement pas suffisant.
 
 27:32.940 --> 27:35.820
 5-13 ans, c'est mieux. 6-100 000 ans, ça commence à être pas mal.
 
 27:36.820 --> 27:38.460
 7, c'est clairement correct, 800 millions d'années.
 
 27:38.820 --> 27:41.840
 Et puis après, c'est un peu trop, mais on peut toujours s'amuser.
 
 27:42.900 --> 27:47.940
 Et 7, en fait, ça peut paraître impressionnant
 
 27:47.940 --> 27:50.320
 comme ça, mais c'est hyper facile à mémoriser.
 
 27:51.160 --> 27:52.920
 Si là, vous le lisez trois ou quatre fois,
 
 27:53.640 --> 27:57.400
 vous l'aurez dans la tête directement. Même si la phrase
 
 27:57.400 --> 28:01.180
 ne veut rien dire. Bon. Alors maintenant
 
 28:01.180 --> 28:04.360
 qu'on sait tout ça, ça c'était un peu, c'est un peu,
 
 28:04.620 --> 28:08.160
 on va dire, la fin de la présentation, la fin du cours,
 
 28:08.300 --> 28:12.320
 on apprend des choses. Maintenant, à quoi ça va nous servir ?
 
 28:12.320 --> 28:14.320
 J'ai rajouté ça en bonus il n'y a pas très longtemps.
 
 28:14.860 --> 28:16.980
 En fait, à l'Unistra, qu'est-ce qu'on fait ?
 
 28:16.980 --> 28:18.200
 Parce que maintenant qu'on comprend un peu
 
 28:18.200 --> 28:19.140
 comment les mots de passe, ça fonctionne,
 
 28:19.260 --> 28:23.520
 regardons ce qu'on fait à l'Unistra. je suis allé vérifier
 
 28:23.520 --> 28:25.900
 sur Pandore et il y a ce texte-là qui dit
 
 28:25.900 --> 28:27.800
 le mot de passe comporte au minimum huit caractères.
 
 28:29.000 --> 28:31.780
 Donc je mets à jour les caractéristiques en haut,
 
 28:32.120 --> 28:34.380
 on a une longueur de huit, il est obligatoirement
 
 28:34.380 --> 28:36.900
 composé de ces trois éléments, alors des lettres,
 
 28:37.480 --> 28:40.360
 d'un accentué, majuscule, minuscule, un chiffre au minimum,
 
 28:41.360 --> 28:43.180
 un caractère spécial dans cette liste-là
 
 28:43.180 --> 28:46.660
 et il n'a pas d'espace et il doit être sans lien
 
 28:46.660 --> 28:49.240
 avec votre identité. Du coup, pour l'aléatoirité,
 
 28:51.120 --> 28:53.680
 c'est bien, il y a un petit message qui est censé dire
 
 28:53.680 --> 28:55.740
 que ça doit être un peu aléatoire quand même.
 
 28:55.900 --> 28:57.400
 Ça ne doit pas avoir trop de lien avec vous
 
 28:57.400 --> 29:00.140
 mais on ne peut pas non plus garantir que ce soit le cas.
 
 29:01.280 --> 29:08.500
 On fait le calcul et on arrive à ça. Bon, après,
 
 29:08.860 --> 29:10.780
 chacun se fera un avis. Moi, je trouve que c'est
 
 29:10.780 --> 29:16.440
 insatisfaisant. 16 heures, c'est franchement short.
 
 29:17.140 --> 29:20.580
 Puis 12 jours sur un PC que n'importe quel joueur
 
 29:20.580 --> 29:23.880
 a chez lui, enfin n'importe quel joueur qui a un peu d'argent
 
 29:23.880 --> 29:27.060
 a chez lui, c'est un peu limite. Du coup,
 
 29:28.540 --> 29:31.220
 peut-être qu'on pourrait le changer, peut-être qu'on pourrait
 
 29:31.220 --> 29:35.040
 augmenter un peu la longueur et éventuellement
 
 29:35.040 --> 29:39.420
 faire un peu de pédagogie sur le caractère
 
 29:39.420 --> 29:42.960
 aléatoire des mots de passe et que si votre caractère
 
 29:42.960 --> 29:45.120
 si votre mot de passe n'est pas aléatoire,
 
 29:45.720 --> 29:47.760
 vous prenez quand même de sérieux risques.
 
 29:49.160 --> 30:01.880
 Merci. Y a-t-il des questions sur cette présentation
 
 30:01.880 --> 30:05.700
 où on apprend que c'est la taille du mot de passe
 
 30:05.700 --> 30:10.380
 qui compte ? Alors, cette histoire de mot de passe,
 
 30:10.460 --> 30:14.060
 ça revient toujours. On voit un mot de passe
 
 30:14.060 --> 30:17.460
 long, c'est mieux, OK, mais il faut voir
 
 30:17.460 --> 30:19.140
 qu'il y a des gens qui sont non-informaticiens
 
 30:19.140 --> 30:20.800
 et le mot de passe, ça ne va pas du tout.
 
 30:21.080 --> 30:25.000
 Moi, j'ai une vie avec quelqu'un qui n'est pas du tout
 
 30:25.000 --> 30:28.740
 en fait avec les outils informatiques et le mot de passe,
 
 30:28.880 --> 30:30.760
 même court, mais ce n'est juste pas possible.
 
 30:32.120 --> 30:36.860
 Et je me suis aussi posé la question pour ces utilisateurs-là,
 
 30:36.860 --> 30:39.740
 qu'est-ce qu'on pourrait faire ? Et moi,
 
 30:39.800 --> 30:43.720
 ce qui me paraît être une solution, c'est mettre en place
 
 30:43.720 --> 30:46.920
 du PSK. Donc, ils n'ont pas de mot de passe,
 
 30:46.980 --> 30:50.960
 on leur file une clé, une clé énorme, je veux dire,
 
 30:51.380 --> 30:58.980
 une clé de RSA de 4048 caractères, un truc vraiment monstrueux,
 
 30:59.060 --> 31:01.000
 impossible à casser, encore beaucoup plus
 
 31:01.000 --> 31:03.940
 que ce que tu dis là. Et ça réglerait le problème
 
 31:03.940 --> 31:07.940
 en partie. Mais ça implique qu'il faut déployer
 
 31:07.940 --> 31:10.220
 un serveur Kerberos, ça veut dire qu'il faut être capable
 
 31:10.220 --> 31:12.120
 de redéployer des clés aux gens et tout ça.
 
 31:13.140 --> 31:15.560
 Je suis bien conscient que c'est ultra difficile,
 
 31:16.400 --> 31:21.160
 mais ça pourrait être une solution. Parce que les gens,
 
 31:21.460 --> 31:24.000
 ils n'arrivent pas. Je suis désolé, moi, ma copine,
 
 31:24.080 --> 31:25.420
 j'ai dit, mais mets un mot de passe plus long.
 
 31:26.140 --> 31:31.120
 Non, mets pas le prénom de notre fils. Mais ils n'arrivent pas.
 
 31:31.120 --> 31:33.140
 Tu mets le doigt sur un truc que j'aurais peut-être
 
 31:33.140 --> 31:34.700
 dû commencer par ça. C'est qu'en fait, les mots de passe
 
 31:34.700 --> 31:36.920
 comme système d'authentification, c'est probablement
 
 31:36.920 --> 31:38.940
 l'un des pires systèmes d'authentification
 
 31:38.940 --> 31:40.840
 possibles. De base, on est parti là-dessus.
 
 31:41.960 --> 31:43.780
 Sûrement pour des raisons techniques, j'en sais rien.
 
 31:43.900 --> 31:44.980
 Il y a très longtemps, je pense que les premiers
 
 31:44.980 --> 31:46.260
 qui ont pensé aux mots de passe, c'était,
 
 31:47.020 --> 31:48.800
 je ne sais pas quand, avant l'informatique
 
 31:48.800 --> 31:50.860
 sûrement même. Enfin oui, clairement, avant l'informatique,
 
 31:50.960 --> 31:56.020
 bien sûr. Mais c'est nul. Parce que c'est très facile
 
 31:56.020 --> 31:58.700
 à casser pour une machine et c'est très facile
 
 31:58.700 --> 32:02.420
 à mémoriser pour un humain. Donc ça maximise
 
 32:02.420 --> 32:05.840
 les inconvénients et ça diminue au maximum
 
 32:05.840 --> 32:07.660
 les avantages. Donc c'est vrai, tu as raison,
 
 32:07.860 --> 32:09.580
 c'est nul, mais on est obligé de faire avec,
 
 32:09.700 --> 32:11.060
 encore jusqu'à maintenant, je ne sais pas
 
 32:11.060 --> 32:13.760
 pour combien de temps. Et en attendant, autant essayer
 
 32:13.760 --> 32:17.260
 d'en avoir de bons. Mais tu as raison, les mots de passe,
 
 32:17.320 --> 32:23.340
 ce n'est pas bien. Est-ce que tu t'es documenté
 
 32:23.340 --> 32:27.740
 sur XKCD pour ta présentation ? La première fois
 
 32:27.740 --> 32:31.180
 que j'ai vu ça, parce que c'est un très vieux
 
 32:31.180 --> 32:33.020
 celui-ci, je crois. Oui, alors il y en a plusieurs.
 
 32:34.160 --> 32:36.800
 Je pense à celui avec le cheval. Oui, le cheval,
 
 32:36.900 --> 32:39.600
 mais je pense à l'autre. Il y a la première vignette
 
 32:39.600 --> 32:41.720
 qui dit qu'il y a le délire des crypto-nerds
 
 32:41.720 --> 32:43.820
 qui dit que ça prend beaucoup trop de temps
 
 32:43.820 --> 32:47.680
 pour calculer le mot de passe. Et la deuxième vignette
 
 32:47.680 --> 32:49.960
 qui dit qu'en réalité, il faut le torturer
 
 32:49.960 --> 32:52.560
 et puis il faut le droguer et le frapper
 
 32:52.560 --> 32:54.500
 avec une clé anglaise. Bien sûr, bien sûr.
 
 32:54.760 --> 32:56.240
 Et le mot de passe est facile à obtenir.
 
 32:56.240 --> 32:59.300
 C'est pour ça que le mot de passe qui est long de 96
 
 32:59.300 --> 33:03.600
 ou qui a une longueur de 96 ou la phrase de passe
 
 33:03.600 --> 33:05.740
 qui fait neuf mots, ça n'a pas vraiment d'intérêt
 
 33:05.740 --> 33:09.580
 à moins que genre t'ai une milice ou un truc comme ça.
 
 33:11.980 --> 33:14.500
 Mais ça, c'est pareil. C'est juste un principe
 
 33:14.500 --> 33:17.220
 de sécurité. Ça ne sert à rien d'avoir un chaînon
 
 33:17.220 --> 33:19.980
 extrêmement sécure et pas les autres. Effectivement.
 
 33:19.980 --> 33:23.900
 On n'a pas parlé d'authentification deux facteurs,
 
 33:23.960 --> 33:27.980
 par exemple. J'aimerais quand même rassurer un peu tout le monde
 
 33:27.980 --> 33:30.560
 parce que dire qu'il faut un chiffre au minimum
 
 33:30.560 --> 33:33.960
 dans le mot de passe, qu'il n'y ait pas d'espace,
 
 33:34.400 --> 33:35.600
 qu'il faut au moins un caractère spécial,
 
 33:36.100 --> 33:38.540
 en fait, ça force certains caractères à réduire la taille
 
 33:38.540 --> 33:40.260
 de l'alphabet et en fait, c'est beaucoup plus court
 
 33:40.260 --> 33:44.420
 à casser que ça. Ça, c'est vraiment dans le cas
 
 33:44.420 --> 33:48.400
 et ça a été... C'est vrai pour toute la présentation.
 
 33:48.840 --> 33:51.300
 C'est vraiment dans un cas vraiment très théorique
 
 33:51.300 --> 33:57.080
 et toujours dans... Comment dire ? J'élimine tous les facteurs sociaux,
 
 33:57.260 --> 33:59.360
 etc. Tu as le truc, je prends le truc vraiment
 
 33:59.360 --> 34:03.400
 juste de base. Parce qu'après, on peut parler de placement
 
 34:03.400 --> 34:05.120
 des caractères spéciaux. Quelqu'un d'intelligent
 
 34:05.120 --> 34:06.360
 sait que les caractères spéciaux, généralement,
 
 34:06.420 --> 34:08.680
 ils sont à la fin. La majuscule est souvent au début.
 
 34:09.040 --> 34:11.720
 Donc, quelqu'un qui est un peu malin aura une heuristique
 
 34:11.720 --> 34:17.220
 qui va diminuer ça par au moins deux. Oui, deux questions.
 
 34:17.620 --> 34:20.380
 Pour maximiser la mémorisabilité par les gens normaux,
 
 34:20.560 --> 34:22.560
 est-ce que, vu qu'il faut qu'on tape
 
 34:22.560 --> 34:23.720
 dans les dictionnaires qui ont 20 000 mots
 
 34:24.040 --> 34:26.000
 est-ce qu'il existe des dictionnaires qu'on 20 000 noms de chats
 
 34:26.080 --> 34:27.420
 par exemple ? Pour qu'elle soit plus facile
 
 34:27.420 --> 34:29.380
 à retenir. Bon, ça, c'était pour la connerie.
 
 34:29.740 --> 34:31.440
 Sinon, je ne sais pas, est-ce qu'à tout hasard,
 
 34:31.540 --> 34:33.800
 tous les trucs biométriques, on n'est pas encore dedans,
 
 34:34.040 --> 34:37.060
 mais est-ce que la complexité, elle est suffisante ?
 
 34:37.060 --> 34:39.260
 Les pouces, les yeux, ce genre de trucs ?
 
 34:39.260 --> 34:40.580
 Je n'en sais rien. Ce n'est pas le sujet
 
 34:40.580 --> 34:41.900
 de la présentation. Je ne sais pas du tout.
 
 34:42.700 --> 34:44.320
 Je ne me suis pas trop posé la question.
 
 34:45.460 --> 34:48.000
 Les empreintes, il paraît que, il paraît que,
 
 34:48.000 --> 34:51.940
 si tu prends une photo avec une définition suffisante,
 
 34:52.260 --> 34:55.580
 que des gens bien équipés peuvent reproduire l'empreinte.
 
 34:55.720 --> 34:58.840
 Il paraît. Les gens qui ont un iPhone, cachez un peu vos mains
 
 34:58.840 --> 35:02.820
 lorsqu'on prend des photos. C'est un peu de la paranoïa,
 
 35:03.160 --> 35:05.200
 mais c'est le seul truc que j'ai entendu là-dessus.
 
 35:07.060 --> 35:14.680
 Une dernière. À l'unistra, on met au minimum
 
 35:14.680 --> 35:17.280
 8 caractères, mais on peut aller jusqu'à combien ?
 
 35:17.280 --> 35:19.480
 Je ne sais pas. Je suis allé vérifier dans le code
 
 35:19.480 --> 35:23.620
 et je crois qu'il n'y a pas de limite. Il n'y a peut-être pas de limite,
 
 35:23.980 --> 35:26.240
 parce que dans les conditions de la fonction,
 
 35:26.580 --> 35:28.740
 il n'y a pas de condition qui pose une limite.
 
 35:28.740 --> 35:32.780
 Donc, on peut faire une phrase de passe actuellement.
 
 35:33.560 --> 35:35.120
 Donc, on peut rajouter autant de caractères
 
 35:35.120 --> 35:36.920
 qu'on le souhaite. la seule raison avec laquelle on ne peut pas
 
 35:36.920 --> 35:39.580
 mettre une phrase de passe, c'est que malgré la longueur
 
 35:39.580 --> 35:43.060
 que tu mets quand tu mets une phrase, l'algorithme te fait quand même
 
 35:43.060 --> 35:45.720
 suer pour que tu mettes un symbole et un symbole.
 
 35:46.040 --> 35:49.980
 D'accord. Du coup, tu peux faire une phrase de passe
 
 35:49.980 --> 35:52.180
 et rajouter un symbole et un chiffre à la fin
 
 35:52.180 --> 35:56.180
 parce qu'il te fait chier. Mais c'est vrai
 
 35:56.180 --> 35:58.480
 que ce n'est pas utile si tu as déjà 7 mots
 
 35:58.480 --> 36:00.400
 dans ta phrase. Ça ne sert à rien de rajouter un chiffre.
 
 36:00.560 --> 36:03.160
 Enfin, ça ne sert à rien. Ça ne changera pas grand-chose.
 
 36:03.160 --> 36:05.300
 Mais disons qu'on peut rallonger si on le souhaite
 
 36:05.300 --> 36:09.260
 pour augmenter le... Oui. Oui, mais combien le font ?
 
 36:09.260 --> 36:15.940
 Je ne suis pas sûr parce que Pandore n'est pas le seul utilisateur.
 
 36:16.100 --> 36:17.900
 En fait, les informations du mot de passe
 
 36:17.900 --> 36:20.280
 sont déversées dans d'autres systèmes qui, eux,
 
 36:20.640 --> 36:23.040
 ont... Et potentiellement, on pourrait être face
 
 36:23.040 --> 36:24.720
 à des systèmes qui ont plus de limitations
 
 36:24.720 --> 36:28.180
 que le LDAP. D'accord. D'où le problème, par exemple,
 
 36:28.280 --> 36:31.960
 des espaces qui n'est pas autorisé parce que tous les systèmes
 
 36:31.960 --> 36:34.220
 consommateurs n'autorisent pas l'espace.
 
 36:34.580 --> 36:36.340
 D'accord. On peut faire une tentative...
 
 36:37.300 --> 36:40.120
 Tu peux...
 
 36:40.500 --> 36:45.280
 Ça appellera le support. C'est ça. Bien.
 
 36:46.420 --> 36:50.420
 Histoire de rester dans le programme, je vais remercier Arthur
 
 36:50.420 --> 36:53.720
 et je vais convier Romaric. Applaudissements.
 
 36:53.720 --> 36:56.720
 Applaudissements. Applaudissements. Applaudissements.
 
 36:56.720 --> 36:59.720
 Applaudissements. Applaudissements. Applaudissements.
 
 36:59.720 -->
 Applaudissements.