Identification des cœurs de dictionnaire

Nous disposons `a pr´esent des grappes de vocabulaires. Au sein de chaque grappe, les vocabulaires sont similaires. Ils peuvent avoir ´et´e g´en´er´es `a partir du mˆeme dic- tionnaire ou `a partir de dictionnaires proches : l’attaquant peut avoir modifi´e un dictionnaire en l’enrichissant de nouveaux couples ou encore il peut avoir appauvri ce dictionnaire en ciblant uniquement certains couples. Nous cherchons `a caract´eriser le dictionnaire source `a l’origine de ces dictionnaires modifi´es. Bien entendu, nous ne pouvons pas reconstituer ce dictionnaire source dans son int´egralit´e car certains de ses couples peuvent ne pas avoir ´et´e tent´es sur le pot de miel. Nous allons donc essayer de reconstituer une partie de ce dictionnaire que nous appelons cœur de dictionnaire.

Nous ne pouvons affirmer avec exactitude qu’un couple qui a ´et´e tent´e uniquement lors d’une seule attaque de la grappe appartient au cœur de dictionnaire. Le cœur de dictionnaire associ´e `a une grappe ne peut donc pas ˆetre consid´er´e comme l’union 113

des vocabulaires de la grappe. De la mˆeme mani`ere, il serait trop restrictif d’´ecarter les couples tent´es par plusieurs attaques de la grappe mais pas toutes. Le cœur de dictionnaire associ´e `a une grappe ne peut donc pas ˆetre consid´er´e comme l’intersection des vocabulaires de la grappe.

Nous consid`erons que le cœur de dictionnaire, D<sup>d</sup>(g) associ´e `a une grappe g est l’ensemble des mots partag´es par au moins deux vocabulaires de cette grappe. Il est d´efini de la mani`ere suivante :

D^d(g) ={m/∃(e, e^′)∈g², e6=e^′/m∈e∧m∈e^′} (4.19) L’exemple de la figure 4.21 pr´esente quatre vocabulaires A, B, C et D. Le cœur de dictionnaire associ´e est identifi´e et pr´esent´e avec une surface grise. Il illustre la formule pr´ec´edente.

Fig.4.21 – Exemple de construction du cœur de dictionnaire pour une grappe

A partir des cœurs de dictionnaire des 434 grappes, nous avons d´etermin´e la nature des couples employ´es. Un couple est compos´e d’un nom d’utilisateur et d’un mot de passe. Le nom d’utilisateur et le mot de passe peuvent ˆetre des mots d’une langue parl´ee telle que le fran¸cais ou l’anglais. Ils peuvent aussi ˆetre des mots sans aucun sens, issus d’une g´en´eration combinatoire de lettres. Pour pouvoir d´eterminer la nature des couples employ´es, nous avons r´ecup´er´e un dictionnaire des langues fran¸caise et anglaise not´ee L, disponibles avec le logiciel ispell[KWBS]. Nous avons alors, pour chaque cœur de dictionnaire, confront´e les noms d’utilisateur et mots de passe tent´es aux mots des dictionnaires fran¸cais et anglais, afin d’´etablir des profils.

Pour ´etablir ces profils, nous nous sommes int´eress´es `a quatre proportions. Tout d’abord, il est important de prˆeter attention `a la proportion des r´ep´etitions des noms d’utilisateur dans un cœur de dictionnaireC, not´ee Prep(C). Ensuite, sur la base du dictionnaire des langues fran¸caise et anglaise, nous avons d´etermin´e la proportion des noms d’utilisateur (respectivement mots de passe) correspondant `a des noms communs ou des noms propres, not´eePnom(C) (respectivementPpasse(C)). Pour finir, nous avons d´efini la proportion des couples pour lesquels le nom d’utilisateur est identique au mot de passe, not´ee Pid(C). Ces quatre proportions sont d´efinies comme suit :

CHAPITRE 4. CARACT´ERISATION DES ATTAQUES OBSERV´EES SUR LE POT DE MIEL HAUTE INTERACTION

Prep(C) =|{c∈C/∃c^′ ∈C, c6=c^′∧nom(c) = nom(c^′)}|

|C| (4.20)

Pnom(C) =|{c∈C/nom(c)∈ L}|

|C| (4.21)

Ppasse(C) =|{c∈C/passe(c)∈ L}|

|C| (4.22)

Pid(C) =|{c∈C/passe(c) = nom(c)}|

|C| (4.23)

Les r´esultats obtenus sont report´es dans le tableau 4.22. Les quatres derni`eres colonnes de ce tableau repr´esentent les proportions pr´ec´edentes. La pr´esence d’une coche dans une cellule signale que la proportion correspondante est sup´erieure `a 25%.

Chaque ligne correspond alors `a un profil de cœur de dictionnaire. Pour les 4 propor- tions consid´er´ees, 16 profils diff´erents peuvent exister. Quant `a la premi`ere colonne,

|{C}|, elle correspond au nombre de cœurs de dictionnaire ayant le profil correspon- dant.

|{C}| Prep(C)≥25% Pnom(C)≥25% Pid(C)≥25% Ppasse(C)≥25%

181 ✓ ✓ ✓ ✓

76

74 ✓ ✓

30 ✓ ✓

23 ✓

20 ✓

14 ✓ ✓ ✓

9 ✓ ✓ ✓

5 ✓ ✓ ✓

2 ✓ ✓

Fig. 4.22 – Profils des cœurs de dictionnaire

Tout d’abord, seulement 10 des 16 profils sont repr´esent´es. Le premier profil est pr´e- dominant et le dernier est n´egligeable. Nous constatons que les cœurs de dictionnaire contiennent des couples qui ne sont pas totalement g´en´er´es de mani`ere combinatoire.

Ils ont tous ´et´e g´en´er´es `a partir d’une logique pr´ecise. La plupart des noms d’utilisa- teur et des mots de passe font partie des langues fran¸caise et anglaise. De plus, un bon nombre de cœurs de dictionnaire utilise des couples compos´es de nom d’utilisateur et mot de passe identiques. Certains noms d’utilisateur sont test´es plusieurs fois. L’obs- tination des attaquants `a tester plusieurs fois le mˆeme nom d’utilisateur indique qu’ils sont int´eress´es par les noms d’utilisateur fr´equemment rencontr´es dans les syst`emes informatiques.

Nous pouvons supposer que les attaquants n’´epuisent pas leurs efforts dans des attaques qui sont connues pour donner peu de r´esultats, voire aucun. Si les attaques par dictionnaire sont encore largement utilis´ees, alors cela signifie qu’elles portent leurs fruits. Les attaquants qui les emploient font sˆurement b´en´efice du comportement de 115

beaucoup d’utilisateurs : employer des mots de passe simples. Donc, tant que les mots de passe ne seront pas tous difficiles `a deviner, les attaquants estimeront qu’il est utile de passer du temps `a employer les attaques par dictionnaire pour les deviner. De plus, cette constatation met en ´evidence l’utilit´e de la d´eclaration de couples (nom d’utilisateur, mot de passe) simples `a deviner. Nous pouvons supposer que ce n’est pas ce point qui va mettre la puce `a l’oreille de l’attaquant pour soup¸conner la pr´esence du pot de miel.