Piratage : 39 ans plus tard, le mot de passe du cocréateur d’Unix est enfin cracké

Maj. le 14 octobre 2019 à 11 h 37 min

Ça y est : le mot de passe de Ken Thompson vient d’être cracké, 39 ans après sa mise en place. Presque tous les mots de passe des pionniers d’Unix sont désormais connus. Mais un résiste encore, celui de Bill Joy.

Unix Ken Thompson

Il y a 39 ans, Ken Thompson, cocréateur d’Unix, enregistrait un mot de passe dans le système d’exploitation BSD, sorti en 1977. Un code resté secret pendant de nombreuses années, mais qui vient d’être piraté. Tout a commencé en 2014, lorsqu’un développeur, Leah Neukirchen a découvert un fichier « /etc/passwd » dans le code source de BSD version 3. Ce fichier contenant les mots de passe cryptés de plus d’une douzaine de personnalités Unix. Parmi elles, l’autre coinventeur de BSD, Dennis Ritchie, l’auteur du shell sh, Stephen Bourne ou encore Eric Schmidt, un des premiers développeurs du logiciel Unix. De quoi motiver Leah Neurkirchen à essayer de percer leur mot de passe.

Tous crackés, sauf un !

Vous vous en doutez, ces mots de passe utilisent un algorithme de protection aujourd’hui obsolète. Il limite par exemple le nombre de caractères à huit au maximum. Ainsi, en utilisant une attaque par force brute, genre John The Ripper ou Hashcat, Leah Neurkirchen a rapidement trouvé les codes de plusieurs personnes. Pour ceux qui ignoreraient ce qu’est une attaque par force brute, il s’agit d’une méthode testant simplement toutes les combinaisons une à une. Bien entendu, la durée nécessaire pour ce type de hack augmente en fonction de la longueur du mot de passe, mais ici, avec huit caractères max, la tâche s’annonçait plutôt aisée.

D’autant plus que certains développeurs, comme la plupart d’entre nous, n’avaient pas fait preuve d’une immense ingéniosité pour définir leur mot de passe. Prenons l’exemple des trois individus cités ci-dessus. Dennis Ritchie, dont le deuxième prénom est MacAlistair, avait choisi « dmac ». Eric Schmidt avait utilisé le nom de sa femme, « wendy !!! ». Enfin, Stephen Bourne, avait opté pour un minimaliste « bourne ».

Malheureusement, six mots de passe avaient malgré tout résisté à Leah Neurkirchen, parmi lesquels celui de Ken Thompson. À l’époque, elle avait consacré plusieurs jours à tenter de le déchiffrer. Elle explique sur son blog : « le mot de passe de Ken m’a échappé. Même une recherche exhaustive sur toutes les lettres minuscules et les chiffres a pris plusieurs jours (en 2014) et n’a donné aucun résultat ». Frustrée par cet échec, Leah Neukirchen a repris ses recherches sur les mots de passe récalcitrants il y a quelques semaines. Cette fois, elle a demandé un peu d’aide auprès de l’Unix Heritage Society.

Lire aussi : Microsoft déconseille de changer régulièrement de mot de passe

Un certain Nigel Williams est parvenu à percer le mot de passe de Thompson. Cela a nécessité plus de 4 jours de travail pour Hashcat à l’aide d’une carte AMD Radeon Vega 64 à environ 930 MH/s. Le mot de passe de Thompson était donc le suivant : « p/q2-q4!a ». Il devrait parler aux férus du jeu d’échecs, puisqu’il s’agit d’une notation d’un coup. Le lendemain de l’annonce de Nigel Williams, un dénommé Arthur Krewat partageait ses résultats pour quatre des cinq autres mots de passe jusqu’alors inviolés.

Désormais, il ne reste donc plus qu’un seul mot de passe non craqué, celui de Bill Joy, l’un des cofondateurs de Sun Microsystems en 1982. Sa version cryptée est : .2xvLVqGHJM8M. Alors si vous souhaitez que votre nom apparaisse dans notre prochaine actu, vous savez ce qu’il vous reste à faire…

Unix Password

Source : The Hacker News

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Google Chrome vous avertit si votre mot de passe a été volé

Google a mis à jour les outils de protection intégrés à Chrome, notamment ceux liés aux mots de passe. La principale nouveauté est un message qui alerte l’utilisateur s’il a saisi ses identifiants sur un site dont la sécurité a…

McAfee : l’antivirus a une énorme faille de sécurité

L’antivirus McAfee est victime d’une énorme faille de sécurité qui permet de contourner les mécanismes d’autodéfense du logiciel sur Windows. Et d’exécuter du code arbitraire dans le contexte des services McAfee. Une nouvelle faille critique touche trois éditions de l’antivirus…