Aller au contenu

Phrase secrète

Un article de Wikipédia, l'encyclopédie libre.

Une phrase secrète ou phrase de passe[1] (en anglais : passphrase) est un mot de passe d'un nombre important de caractères. On parle de phrase de passe plutôt que de mot de passe parce que la phrase de passe contient souvent des suites de mots qui ressemblent parfois à une phrase pour des raisons mnémotechniques.

Les mots de passe couramment utilisés sont souvent sans espaces et d'une longueur maximale de 8 à 10 caractères. Cependant, dans certains domaines, en particulier en cryptographie, le niveau de sécurité requis exige des mots de passe beaucoup plus longs. On pense que le concept moderne de phrase secrète a été inventé par Sigmund N. Porter[2] en 1982.

Une phrase secrète d'une vingtaine de caractères peut donner un faux sentiment de sécurité à un utilisateur qui peut penser qu'une phrase secrète de 20 caractères est beaucoup plus sécuritaire qu'un mot de passe de 8 caractères. En effet, l'entropie d'un texte en anglais étant de 1 à 2 bits par caractère[3], certaines phrases secrètes peuvent être relativement peu robustes. Le National Institute of Standards and Technology (NIST) a estimé que la phrase secrète de 23 caractères IamtheCapitanofthePina4 a une entropie de seulement 45 bits[4] (remarquons que ce calcul ne tient pas compte du fait que cette phrase est une citation bien connue tirée de l'opérette HMS Pinafore. Un hachage MD5 de cette phrase secrète peut être déchiffré en quatre secondes à l'aide du site de cassage de mot de passe crackstation.net, indiquant que la phrase se trouve dans sa base de données de cassage de mot de passe).

Supposant une entropie équivalente par caractère, pour atteindre une entropie de 80 bits telle que recommandée par le National Institute of Standards and Technology (NIST) pour une sécurité commerciale élevée (non militaire), il faudrait une phrase secrète d'une quarantaine de caractères.

Si des parties de mots, des mots ou des groupes de mots d'une phrase secrète peuvent être trouvés dans un dictionnaire, en particulier un dictionnaire numérique, la phrase secrète est plus vulnérable aux attaques par dictionnaire. C'est particulièrement le cas si la phrase entière se trouve dans un dictionnaire de citations ou de compilations de phrases. Par contre, l'effort requis (en temps et en coût) pour casser une phrase secrète peut être augmenté de façon considérable s'il y a suffisamment de mots dans la phrase et si les mots sont choisis de façon aléatoire. Le nombre de combinaisons qui devraient alors être testées rend une attaque par dictionnaire si longue qu’elle est infaisable. L'inclusion d'au moins un mot qui ne peut être trouvé dans un dictionnaire augmente considérablement la force d'une phrase secrète.

Lorsque les mots d'une phrase secrète sont choisis par un humain, ils sont rarement choisis de façon aléatoire et les mots choisis sont souvent ceux qui sont fréquemment utilisés dans le langage courant. Dans le cas de phrases de quatre mots, l'entropie réelle dépasse rarement 30 bits. D'autre part, les mots de passe sélectionnés par un humain ont tendance à être beaucoup plus faibles. Conséquemment, inciter les utilisateurs à utiliser des phrases secrètes de deux mots peut permettre d'augmenter l'entropie de moins de 10 bits à plus de 20 bits[5].

Sélection d'une phrase secrète

[modifier | modifier le code]

Les recommandations usuelles sur le choix d'une phrase secrète sont[6] :

  • doit être assez longue pour être difficile à deviner ;
  • n'est pas une citation célèbre de la littérature, des livres saints, d'un film, d'une chanson, etc. ;
  • est difficile à deviner, même par quelqu'un qui connaît bien l'utilisateur ;
  • est facile à retenir et à taper avec précision ;
  • n'est pas réutilisée sur d'autres sites, d'autres applications ou d'autres objets à protéger.

L'utilisation de codage (par exemple, remplacer les lettres l par des chiffres 1 ou les lettres o par des chiffres 0) augmente la sécurité d'une phrase secrète.

Exemples de phrase secrète robuste

[modifier | modifier le code]

Une phrase secrète offrant un niveau de sécurité élevé est un ensemble de mots, préférablement dénué de sens, mais qu'il est possible de retenir de façon mnémotechnique, regroupant des lettres et des chiffres. Voici quelques exemples de construction de telles phrases.

Avec le leet speak

[modifier | modifier le code]

On peut obtenir une phrase secrète robuste en remplaçant certaines lettres d'une phrase par des chiffres en utilisant le leet speak. Par exemple, « Ceci est ma phrase de passe » devient « C3ci 3st m4 phr4s3 d3 p4ss3 ».

Avec la méthode du lancer de dés

[modifier | modifier le code]

Une méthode pour créer une phrase secrète forte consiste à utiliser des dés pour sélectionner des mots au hasard dans une longue liste, technique appelée méthode du lancer de dés, ou diceware. Bien qu'une telle méthode semble violer la règle du « ne provenant pas d'un dictionnaire », la sécurité de la méthode repose sur le grand nombre de mots dans la liste de mots et non sur le secret qui entoure les mots eux-mêmes. Par exemple, s'il y a 7 776 mots dans la liste et que six mots sont choisis de manière aléatoire, il y a 7 7766 = 221 073 919 720 733 357 899 776 combinaisons, fournissant environ 78 bits d'entropie (Le nombre 7 776 a été choisi pour permettre la sélection de mots en lançant cinq dés, 7 776 = 65). Les séquences de mots aléatoires peuvent ensuite être mémorisées à l'aide de techniques telles que la méthode des loci.

Utilisation de deux phrases imbriquées

[modifier | modifier le code]

Cette méthode consiste à choisir deux phrases, à transformer l'une en un sigle et à l'inclure dans la seconde pour former la phrase secrète finale. Par exemple, en utilisant deux exercices de dactylographie en français, nous avons ce qui suit : « Portez ce whisky au vieux juge blond qui fume », devient pcwavjbqf. En incluant ce sigle dans « Il est temps pour les hommes de venir aider leur patrie », on obtient la phrase secrète « Il est temps pour les hommes pcwavjbqf de venir aider leur patrie ».

Il convient de noter ici plusieurs points, tous liés aux raisons pour lesquelles la phrase secrète précédente ne doit pas être utilisée :

  • la phrase apparaît dans Wikipédia, qui est un document public ; elle ne devrait donc pas être utilisée ;
  • la phrase est longue, ce qui est une vertu en théorie, mais pour cette raison, elle nécessite une bonne dactylographie, car les erreurs de frappe sont beaucoup plus probables pour les phrases longues ;
  • les pirates et les organisations qui tentent de casser les phrases secrètes ont compilé des listes de phrases populaires dérivées des citations les plus courantes, des paroles de chansons, etc., et utilisent ces phrases dans leurs logiciels de cassage de phrases secrètes.

Plutôt que d'utiliser une phrase tirée d'une œuvre, quelle qu'elle soit, il est de beaucoup préférable de créer sa propre phrase secrète en utilisant une des techniques décrites dans cette section.

Notes et références

[modifier | modifier le code]
(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Passphrase » (voir la liste des auteurs).
  1. « phrase de passe », Grand Dictionnaire terminologique, Office québécois de la langue française (consulté le ).
  2. (en) Sigmund N. Porter, « A password extension for improved human factors » [« Une extension de mot de passe pour facteurs humains améliorés »], Computers & Security, vol. 1, no 1,‎ , p. 54-56 (DOI 10.1016/0167-4048(82)90025-6).
  3. (en) Matt Mahoney, « Refining the Estimated Entropy of English by Shannon Game Simulation » [« Affiner l'entropie estimée de l'anglais par la simulation du jeu de Shannon »], Florida Institute of Technology (consulté le ).
  4. (en) « Electronic Authentication Guideline » [PDF], NIST (consulté le ).
  5. (en) Joseph Bonneau et Ekaterina Shutova, « Linguistic properties of multi-word passphrases » [« Propriétés linguistiques des phrases de passe multi-mots »] [PDF], sur jbonneau.com, Université de Cambridge (consulté le ).
  6. (en) Leigh Lundin1, « PINs and Passwords, Part 2 » [« NIP et mots de passe, partie 2 »], Passwords, Orlando, SleuthSayers, .

Articles connexes

[modifier | modifier le code]