Comment Gmail est-il vulnérable aux attaques par force brute?

Question

Dans l'article Atlantique " Hacked! " il est écrit:

Le mot de passe de ma femme a été jugé "fort" lorsqu'elle l'a choisi pour la première fois avec Gmail. Mais c'était une combinaison de deux mots anglais courts suivis de chiffres, donc s'il n'avait pas fui d'un autre site, il aurait pu être deviné lors d'une attaque par force brute. Pour des raisons trop complexes à expliquer ici, même certains systèmes, comme Gmail, qui ne permettent pas aux intrus de faire des millions de suppositions aléatoires sur un mot de passe peuvent toujours être vulnérables aux attaques par force brute.

De quelle vulnérabilité l'auteur parle-t-il?

Caleb · Accepted Answer

Pour commencer, cet article abuse de la terminologie.

Quelle que soit la vulnérabilité à laquelle ils font référence, il semble assez évident qu'il ne s'agit pas de "force brute" car cela contredirait la prémisse de cette même phrase. Comme ne autre réponse suggérée il est possible qu'une certaine forme d'ingénierie sociale ait été employée, mais dans ce cas, tout tour de "deviner" ne serait pas du tout une force brute mais exploiterait intelligemment des points de données connus.

De plus, il identifie de manière erronée l'échec de sécurité le plus probable.

Dans l'ensemble, le cas décrit dans l'article est probablement une base de données compromise sur un autre site. L'article le permet spécifiquement lorsqu'il dit "s'il n'a pas fuit d'un autre site", ce qui implique que sa femme n'utilise pas de mots de passe uniques par site. Si vous n'utilisez pas de mots de passe uniques¹ alors tous les paris sont désactivés² et vous ne pouvez pas blâmer Google si votre compte Gmail est compromis³ que tous vos contenus ne sont aussi sûrs que le site le plus faible que vous utilisez - une approche avec le moins de dénominateur commun qui ne manquera pas de vous causer des ennuis, car pour tout ensemble de sites, il est presque garanti que l'un d'entre eux a mal géré les données des utilisateurs!

_{1. Tu devrais. Arrêt complet.}

_{2. Dans en plus de (mais pas à la place de) en utilisant des mots de passe uniques, l'activation de l'authentification à deux facteurs atténuerait également ce vecteur d'attaque.}

_{3. Notez à nouveau le problème de terminologie ici. Un compte compromis (comme dans mon utilisation) est différent d'un compte piraté (comme dans l'utilisation de l'article). Dans le scénario le plus probable, le compte Gmail n'a pas été piraté - aucune mesure de sécurité de Google n'a échoué - l'attaquant a simplement pu se connecter avec le mot de passe piraté ailleurs.}

thexacre · Answer

Au-dessus de ce paragraphe, il est écrit:

Il est également possible que le mot de passe de ma femme ait été simplement "deviné", mais d'une manière différente de ce que les profanes pourraient supposer. Deviner moins souvent implique l'ingénierie sociale - essayer votre anniversaire ou votre ville natale ou les noms de vos proches - que les "attaques par force brute".

C'est probablement ce à quoi il faisait référence.

En d'autres termes, bien que, selon la plupart des normes quantitatives, ce soit un mot de passe fort, il est en fait composé de deux mots faciles à deviner et d'un nombre. Un attaquant pourrait avoir seulement besoin d'essayer quelques dizaines de combinaisons de ville natale, DOB, noms d'animaux domestiques, etc. pour deviner le mot de passe.

Steve Jessop · Answer

Il est vrai que les attaques autres que la force brute peuvent être mal étiquetées, ou que l'auteur parle de forçage brutal contre un mot de passe haché hypothétiquement volé à Google (vous beaucoup espérez qu'ils divulgueraient si cela s'est produit et forcer les changements de mot de passe).

Cependant, en prenant la réclamation pour argent comptant, est-il vrai que:

Pour des raisons trop complexes à expliquer ici, même certains systèmes, comme Gmail, qui ne permettent pas aux intrus de faire des millions de suppositions aléatoires sur un mot de passe peuvent toujours être vulnérables aux attaques par force brute.

La réponse est un oui faible, ils peuvent l'être, mais ce n'est pas une ligne d'attaque particulièrement fructueuse. Il s'agit de savoir comment "ne pas permettre aux intrus de faire des millions de suppositions aléatoires" est réellement implémenté.

Google (je suppose) vous bloquera si vous faites trop de tentatives de connexion infructueuses à partir d'une seule adresse IP. Mais verrouillera-t-il un compte si trop de tentatives de connexion ont échoué? Les guichets automatiques le font, ils mangent votre carte si vous obtenez le PIN mauvais trois fois. Mais pour même essayer, vous devez avoir la carte elle-même, donc les seules personnes qui peuvent le faire êtes-vous ou quelqu'un qui a pris votre carte [*].

Si Google devait verrouiller votre compte après trois tentatives de connexion infructueuses de n'importe où dans le monde, alors il y aurait une attaque DoS triviale (bien que généralement pas dévastatrice) que quelqu'un pourrait faire contre les comptes Google: faites juste délibérément un beaucoup de tentatives de connexion échouées. Quiconque connaît le nom de votre compte peut le faire, il n'y a pas de jeton physique comme deuxième facteur. Des milliers ou des millions de personnes doivent passer par la rigole et l'inconvénient de déverrouiller leur compte en utilisant un numéro de téléphone ou une adresse e-mail de sauvegarde, ou peut-être qu'ils perdent leurs comptes entièrement en raison de l'absence d'un deuxième facteur à jour enregistré. Cela ne s'est pas produit, il ne peut donc pas être aussi simple que Google de verrouiller le compte de quelqu'un.

Je ne sais pas ce que Google en fait fait pour verrouiller les comptes qui semblent être attaqués, mais il est certainement plausible que n système comme GMail puisse tolérer beaucoup de bêtises avant verrouillage du compte.

Alors, procurez-vous un botnet de quelques millions d'adresses IP, et vous pouvez faire une attaque par force brute relativement lente si vous le voulez vraiment. Plus vous devez travailler simultanément sur plusieurs comptes, moins vous tentez d'effectuer de tentatives sur chaque compte et moins il est probable que chaque compte soit verrouillé. Ne faites pas trop de tentatives par jour à partir de chaque adresse IP.

Quant à savoir s'il est plausible que la femme de l'auteur soit réellement arrivée, j'en doute. Ce n'est pas une grande utilisation d'un botnet de classe mondiale. Mais pour un mot de passe assez faible, deux mots anglais courants suivis (disons) d'un nombre à trois chiffres, il est certainement possible qu'une attaque par force brute distribuée massivement pourrait le trouver, si quelqu'un choisit de postuler une. Mais ce mot de passe n'est pas dans le "top mille le plus courant" qu'un attaquant exécuterait en premier contre chaque compte, avant même de commencer par "deux mots anglais et trois chiffres". C'est loin d'être le fruit le plus bas. Donc, dans ce sens, des systèmes comme celui-ci peuvent toujours être vulnérables à une force brute en direct, mais ce n'est pas quelque chose qui se passe vraiment AFAIK. En tout cas, je pense que cela vaut la peine que l'auteur émette une note de prudence selon laquelle se fier à un mot de passe de cette forme pas pour être forcé par la brute serait complaisant, mais le FUD avec "cette marge est trop petite" contenir la preuve "n'est pas idéal ;-)

De plus, Google ne vous permet plus de vous connecter à partir d'une adresse IP arbitraire: ni mon botnet hypothétique ni les gars de Lagos décrits dans l'article, ne devraient pouvoir se connecter même s'ils ont le mot de passe. Croyez-moi, j'ai été mordu par cela dans le passé en essayant d'accéder légitimement aux différentes API de Google en utilisant mon propre compte à partir de serveurs virtuels dispersés dans l'endroit, peu importe ce qui se passerait si j'essayais d'utiliser les comptes d'autres personnes. Ainsi, même face au risque de deviner les mots de passe, Google fait de son mieux pour avoir un niveau de sécurité supplémentaire.

[*] Ou quelqu'un qui a cloné votre carte, si vous vivez dans un de ces endroits de type tiers-monde qui n'ont pas encore de puce et d'épingle. Mais si vous avez cloné la carte de crédit de quelqu'un à ces endroits, il y a bien plus de choses amusantes que vous pouvez en faire que de la bloquer malicieusement.