Le projet DistrRTgen pour Distributed Rainbow Table Generator du site FreeRainbowTables.com a pour but de prouver l’insécurité de l’utilisation de simples routines de hachage (MD5 par exemple) pour protéger des mots de passe sensibles, et pousser les développeurs à utiliser des méthodes plus sûres et qui existent déjà (SHA-2, prochainement SHA-3 ou tout autres sécurités ou améliorations bien plus performantes.)
Le projet, via la plateforme de calcul distribué BOINC permet de générer d’énormes tables « Arc-En-Ciel » capables de casser des mots de passe bien plus longs qu’auparavant et de façon très rapide afin de prouver l’inefficacité totale des simples routines de hachage actuellement trop utilisées.
Le projet s’attache également à améliorer l’efficience de leurs tables « Arc-En-Ciel » en les rendant plus petites et plus rapide que ce qu’on trouve a l’heure actuelle pour de meilleure performance et renforçant ainsi la preuve de l’insécurité de ces simples routines de hachage.
Ouverture et organisation du projet
Du fait du caractère délicat du projet (cassage de mots de passe), une analyse en détails de l’organisation a été effectué afin d’avoir une vision claire du projet, de ses objectifs et de ses moyens.
Il s’avère que :
- Le projet est soutenu financièrement par des bénévoles et par la communauté BOINC (Principalement des dons),
- Le projet est gracieusement hébergé par ZiaSpace,
- Le code source est ouvert et est disponible via leur dépôt GIT,
- Un gestionnaire de suivi des bugs est en place depuis un certain moment, comme dans beaucoup de projets libres de qualité,
- Sites en HTTPS pour sécuriser les données des utilisateurs,
- Les développeurs ont une bonne communication sur le projet (Réponse complète et rapide, prise en compte de l’avis de la communauté BOINC, transparence des décisions, mise à jour fréquente de l’état d’avancement du projet, etc…),
- Les résultats (Tables de hachage) sont téléchargeable sur le miroir GARR (L'un des miroirs les plus connus dans le domaine du libre), sur divers miroirs universitaires (USA, Italie, Norvege) et également en torrent pour repartir au mieux l’utilisation de la bande passante.
- Les résultats sont donc en accès libre et gratuitement (Alors que certaines entités commerciales font payer plus de 1200$ la table de hachage…),
- Toute demande de crackage de mot de passe sur leur forum, issu d’une intrusion sur un système (donc sans but scientifique) est supprimé, puisque ne respectant par leur charte. L’utilisateur est également banni.
- Projet connu et reconnu dans la communauté hacking (ici et dans le reste de l'article, ce mot doit être compris dans sont sens premier qui signifie "bidouilleur" ou "bricoleur").
- Nombreuses conférences internationale sur le sujet notamment en Décembre 2010 (Passwords^10) et Juin 2011(Passwords^11) ou bien très récemment en Aout 2011 pour informer un groupe local de professionnels de la sécurité informatique, certifiés, dans le cadre du maintien de leur certification (Nécessitant d’être continuellement à jour).
- L’administrateur en chef du projet possède une licence (obligatoire) de la NSA et du département de cryptographie des Etats-Unis pour couvrir son travail et pouvoir l’exporter au reste du monde.
Bref, le projet semble donc être l’un des plus transparents sur la grille BOINC et bien cadré.
Ethique du projet
Un outil de crackage de mot de passe produit grâce à la puissance de nos ordinateurs doit être sérieusement contrôle afin de s’assurer que cela rentre bien dans un cadre scientifique et non de crackage pour un but personnel.
Il est donc préférable de s’informer sur les raisons de cet outil et de son fonctionnement.
Raison d’un tel projet
Les administrateurs, connus dans le domaine du hacking (toujours dans son sens premier de "bidouilleur"), désiraient prouver l’insécurité des simples routines de hachages par ce projet et du coup le rendant finalement inutile.
Malheureusement, comme trop souvent en informatique, aucune action n’est prise pour corriger le problème sauf a partir du moment où cela devient un réel danger, exposé aux yeux de tous.
Ils ont donc décidé de pousser le projet à concevoir ces tables de hachage comme outil et comme preuve d’insécurité.
Cet outil, comme n’importe quel outil peut donc être utilisé pour le bien (Education, audit de sécurité, etc…)…ou pour le mal (Pour compromettre un site internet, etc…)
Mais le projet attache une grande attention à la bonne utilisation de ces tables. L’un des points important est également le libre accès à ces tables.
En effet, certains entités commerciales vendent ce genre de table pour 1200$ l’une. Ce coût d’entrée est donc très élève pour une personne voulant s’assurer de la sécurité de son système (Notamment dans le cadre des audits de sécurité) alors qu’au final, une personne avec de mauvaise attention n’aura aucun mal a sortir cette somme d’argent. Ils essayent donc de populariser cet outil afin d’aider les administrateurs système à améliorer la sécurité de leurs machines avec d’autres système de hash plus performant et sécurisé.
Bref, ils essayent clairement d’appliquer la même méthode que ce qui a été fait avec les connexions WEP (Bien trop utilisé auparavant alors qu’il avait été pourtant prouvé que ce système de cryptage était absolument non fiable. Seul le fait de pouvoir les cracker en masse avait contraint les distributeurs à appliquer une sécurité par défaut en WPA ou WPA2, qui pourtant était déjà disponible depuis plusieurs années...)
Utilisation de cet outil
Avant d’utiliser une table de hachage, un utilisateur doit tout de même récupérer le hash d’un mot de passe en s’introduisant sur le système en question, puis doit apprendre à utiliser cette table et enfin doit exécuter la table pendant des heures sans garantie de succès.
Le point important là dedans est évidemment l’accès au système en question, ce qui n’est clairement pas le but du projet.
Il est donc clair que l’utilisation de ces tables de hachage n’est pas du tout pour tout le monde.
De plus, l’actualité récente du projet semble avoir raison sur ce genre de projet scientifique. (Cf le piratage de Sony qui n’avait en fait même pas crypté les mots de passe et étaient donc visible en clair….)
Il est donc préférable de faire émerger cette lacune de sécurité aux yeux de tous que de laisser des personnes mal attentionne s’en servir dans l’obscurité.