Chiffrement et hash en PHP contre l'attaque Man in the middle

III. Protection contre le vol de mot de passe▲

Pour �viter le vol du mot de passe, il faut limiter, voire proscrire, sa transmission et son stockage en clair. � la place, on va manipuler un hash, beaucoup s�curis� car il est (th�oriquement) impossible � inverser. En pratique, c'est "r�versible". Le hacker utilisera par exemple des dictionnaires pour obtenir le mot de passe en clair. Nous verrons comment lui compliquer la vie avec la technique du grain de sel.

III-A. Hash du mot de passe▲

III-A-1. Utilit� du hash▲

Le hash est un proc�d� de chiffrement irr�versible. Ceci implique qu'on ne peut appliquer la transformation inverse, et qu'on ne peut donc que comparer les hashs entre eux. L'avantage est que personne, y compris le webmaster, n'a acc�s aux mots de passe des membres.

Il existe deux principaux algorithmes de hash, le MD5 et le SHA1.

Le MD5 est d�pr�ci� et NE DOIT PLUS ETRE UTILISE. En effet, une faille dans l'algorithme a �t� trouv�e, permettant de diminuer consid�rablement le nombre d'op�rations n�cessaires � un inversement par rapport � une attaque force brute. De plus, et c'est le plus inqui�tant, il a �t� montr� qu'il �tait possible de cr�er volontairement des collisions avec un document donn�. En effet, les hashs MD5 sont constitu�s de 32 caract�res alphanum�riques, soit 36³²= 6.33⁴⁹ combinaisons possibles. Ainsi, le nombre de hashs possibles est limit�. Or, nous r�alisons des hashs de cha�ne de caract�res (strings, fichiers...) de taille indetermin�e et pour la plupart bien plus grandes que 32 caract�res. Par exemple, nous pouvons constituer 2¹⁵⁵⁶ cha�nes de 1000 caract�res alphanum�riques.
Nous avons donc une infinit� de cha�ne de caract�res pouvant donner un hash pr�cis et il est maintenant possible de d�terminer instantan�ment les autres cha�nes de caract�res � partir d'une des cha�nes et du hash.

Il est donc recommand� d'utiliser des algorithmes plus robustes, comme le SHA1 ou le SHA-256. Mais il faut bien garder en t�te qu'un algorithme est reconnu comme fiable uniquement car il n'a pas encore �t� craqu�. Ainsi, le SHA1 est d�j� sur la pente descendante, le nombre d'op�rations n�cessaires � l'inversion ayant �t� ramen� de 2^80 � 2^63.

Maintenant que nous avons pr�sent� le principe du hash et les principaux algorithmes, nous allons voir un exemple pratique de mise en place c�t� serveur et c�t� client.

Vous pouvez tester un code de ce type sur votre serveur pour avoir la liste des hashs support�s par votre installation de PHP.

Afficher la liste des hashs support�s

Sélectionnez


print_r(hash_algos());

R�sultat

Sélectionnez


Array
(
    [0] => md4
    [1] => md5
    [2] => sha1
    [3] => sha256
    [4] => sha384
    [5] => sha512
    [6] => ripemd128
    [7] => ripemd160
    ...
);

III-A-2. Mise en place▲

III-A-2-a. Cot� serveur▲

Le hash cot� serveur emp�che, en cas de vol de la base de donn�e par intrusion sur le serveur, de fournir au hacker tous les mots de passe en clair des membres du site. Il faut savoir que la plupart des membres ne poss�dent que 2 ou 3 mots de passe qu'ils utilisent sur presque tous les sites. Le webmaster doit donc s'assurer de son c�t� de l'int�grit� des mots de passe de ses visiteurs. Pour effectuer un hash cot� serveur, il existe la fonction SHA1 incorpor�e � PHP. On l'appelle lors de l'inscription du membre puis, � chaque connexion, on compare les 2 hashs.

Manipulation du hash lors de l'inscription

Sélectionnez


// A l'inscription
$pass = $_POST['pass'];
$login = $_POST['login'];
mysql_query("
    INSERT INTO membres (login, pass) 
    VALUES ('".mysql_real_escape_string($login)."', '".sha1($pass)."')");

Manipulation du hash � la connexion

Sélectionnez


// A la connexion
$pass = $_POST['pass'];
$login = $_POST['login'];
$result = mysql_query("
    SELECT 1 
    FROM membres 
    WHERE (login='".mysql_real_escape_string($login)."')
    AND (pass='".sha1($pass)."')");
if (mysql_num_rows($result) > 0)
{
    // on connecte
}

III-A-2-b. Cot� client▲

L'utilisation du hash cot� client garanti l'int�grit� du mot de passe lors de son transit depuis le navigateur du client vers le serveur. Il faut donc encoder le mot de passe avant de l'envoyer. Ceci peut �tre fait par un langage de script comme le Javascript. La mise en place de cette technique est plus lourde que le hash cot� serveur (car ces langages de script n'impl�mentent pas de fonction MD5 ou SHA1), et peut ne pas fonctionner si le client a d�sactiv� Javascript. Il faudra alors pr�voir une m�thode alternative (transmission du mot de passe en clair). La premi�re �tape sera donc d'�crire, ou de r�cup�rer une fonction de hash pour le langage de script que vous aurez choisi. Nous utiliserons ici une impl�mentation en Javascript de l'algorithme SHA1.

R�aliser un hash cot� client n'emp�che absolument pas le vol de session, il suffira au hacker d'envoyer le hash au lieu du mot de passe. Il faut bien comprendre que l'utilisation du hash n'est faite que pour prot�ger le mot de passe.

Plusieurs sites r�put�s utilisent cette technique. Par exemple, si vous fouillez un peu sur la page d'identification de Yahoo!, vous trouverez un lien vers ce fichier. Cette m�me impl�mentation est utilis�e dans d'autres scripts, notamment de forum.
Le fichier Javascript que nous utiliserons pour le sha1 provient de la m�me source dont le lien est disponible en fin d'article.

Un fichier op�rationnel est disponible ici (sha1hash.zip)

Formulaire cot� client

Sélectionnez


<script type="text/javascript" src="sha1hash.js"></script>
<form method="post" action="" id="connexion-form" name="connexion-form" onsubmit="sha1hash(this.mdp, this.sha1mdp);">
	Pseudo : <input type="text" name="login" id="login" size="20" autocomplete="off">
	Mot de passe : <input type="password" name="mdp" size="20" />
	<input type="hidden" name="sha1mdp" value="" />
	<input value="Valider" id="Valider" type="submit" class="bouton">
</form>

L'utilisateur rempli les 2 champs textes login et mdp.
Lorsqu'il envoie le formulaire, la fonction sha1hash est appel�e. Cette fonction prend en argument les objets correspondant aux champs de formulaire mdp et sha1mdp.
La fonction remplit le champ sha1mdp avec le mot de passe hash� et vide le champ correspondant au mot de passe en clair.
Le formulaire est envoy� au serveur.

Rec�ption du formulaire cot� serveur

Sélectionnez


// Javascript activ�
if ( ! empty ($_POST['sha1mdp']) )
{
	$sha1mdp = $_POST['sha1mdp'];
}
// Javascript d�sactiv�
elseif ( ! empty($_POST['mdp']) )
{
	$sha1mdp = sha1($_POST['mdp']);
}

III-B. Technique du Grain De Sel (GDS)▲

III-B-1. Utilit� du GDS▲

Le but premier du GDS est de prot�ger le hash du mot de passe lors de son transfert et de son stockage. En effet, il est de plus en plus facile d'inverser un hash, nous utilisons donc le GDS afin de compliquer cette inversion.
Le grain de sel a 2 int�r�ts tr�s distincts suivant s'il est utilis� c�t� client ou serveur.

C�t� serveur

Cela signifie en pratique que l'on a hash� le mot de passe de l'utilisateur, pr�alablement concat�n� avec le GDS, avant de l'enregistrer dans la base de donn�es.
Ceci emp�che le hacker, en cas de vol de la base de donn�es, d'utiliser la force brute ou un dictionnaire pour inverser les hashs. En effet, comme le GDS est secret, le hacker ne pourra pas constituer de dictionnaire adapt�. De plus, la force brute sera vraiment plus longue, car si le GDS est une cha�ne de 32 caract�res et le mot de passe une cha�ne de 8 caract�res alors il faudra tester 2.8¹² combinaisons sans GDS ou 1.8⁶² avec GDS.
Le fondement de cette protection est que le hacker ne conna�t pas la valeur du GDS.

Cette utilisation du GDS n'emp�che absolument pas la force brute provennant d'un formulaire utilisateur. Pour emp�cher cela, il faudra mettre un timer entre chaque tentative ou un bloqueur au bout de x tentatives.

C�t� client

Le GDS c�t� client suppose que le GDS ne soit pas secret. Il ne peut donc pas prot�ger des attaques par force brute. Par exemple, le mot de passe est "lol" et le GDS "azerty". On appliquera le hash sur toutes les combinaisons possibles de "aaa" � "zzz" pour comparer chaque r�sultat au hash qu'on souhaite inverser. Avec un GDS connu, il suffira de tester les combinaisons de "azertyaaa" � "azertyzzz". Cela ne complique en rien notre recherche.

Ce type de GDS prot�ge contre les attaques par dictionnaire. En effet, depuis quelques temps, des dictionnaires de hash sont disponibles sur le net, voire directement utilisables en ligne. On peut trouver des dictionnaires en ligne contenant plus de 500 millions de hashs r�f�renc�s. Gr�ce � ces dictionnaires, il est possible de retrouver instantan�ment un mot de passe � partir du hash s'il est dans le dictionnaire.
Toute l'utilit� de ce GDS est contenu dans ces mots "s'il est dans le dictionnaire", car si notre mot de passe "lol" y est tr�s certainement, il y a peu de chances que "azertylol" y soit, et encore moins "skndgqzmsrgze6r4gb5q1fde5bhs3df4b3q4df3b4sdfblol".

Avoir un site utilisant une technique de GDS ne change rien au fait que le choix du mot de passe est crucial pour la s�curit�. Il est donc conseill� d'utiliser des mots hors dico avec chiffres / majuscules / minuscules / caract�re sp�ciaux.

�	Prot�ge		Contre
�	Base de donn�es	Transfert du mdp	Attaques par force brute	Attaques par Dictionnaire
C�t� server	X	�	X	X
C�t� client	�	X	�	X

On voit dans ce tableau r�capitulatif la faiblesse du "GDS c�t� client". Si le hacker arrive � recueillir le GDS et le hash c�t� client, il pourra utiliser une technique de force brute traditionnelle, sans que nous lui ayons compliqu� le travail. Le GDS c�t� serveur et c�t� client sont deux techniques compl�mentaires.

III-B-2. Pr�sentation des 3 techniques possibles▲

Il existe en r�alit� beaucoup plus de m�thodes, mais elles impliquent toutes -� au moins l'une des �tapes- le stockage ou la transmission du mot de passe en clair.
Nous noterons ici pour chaque technique l'efficacit� de la protection correspondante :

0 = pas prot�g�
1 = peu prot�g�
2 = bien prot�g�
3 = tr�s bien prot�g�

III-B-2-a. GDS global▲

Le principe ici est d'avoir un GDS g�n�ral pour tout le site et pour tous les utilisateurs. L'avantage est la facilit� de mise en oeuvre ; cependant, c'est �galement la moins s�re. En pratique, on a un GDS donn�. � l'inscription on enregistre le mot de passe en base concat�n� avec ce GDS et hash� en SHA1. Lorsqu'un visiteur se loggue, on envoie le GDS au client, on hash en SHA1 le mot de passe concat�n� avec ce GDS, on envoie au serveur. Celui-ci compare simplement les deux valeurs.

Inconv�nients
Il suffit de constituer un seul dictionnaire pour attaquer tous les membres du site. De plus, le GDS n'est pas secret, donc le temps des attaques par force brute n'est pas augment�.

Avantages
La technique est simple, la base est prot�g�e contre les attaques par dictionnaire et mot de passe ne circule pas en clair.

�	Protection contre force brute	Protection contre dictionnaires
C�t� serveur	1	2
C�t� client	0	2

III-B-2-b. GDS par utilisateur▲

C'est la technique que j'ai adopt�e. Elle est similaire � la pr�c�dente, sauf qu'� l'inscription, on g�n�re un GDS qui sera propre � l'utilisateur. Ce GDS sera conserv� dans la base et envoy� au client � chaque demande de connexion.

Mise en place

� l'inscription, on g�n�re le GDS et on le place en base
� la connexion, le visiteur entre son login
On va chercher le GDS, soit par Ajax, soit en envoyant le login par formulaire, et en renvoyant le GDS
On demande le mot de passe, on chiffre cot� client et on envoie au serveur

Inconv�nients
La r�cup�ration du GDS apr�s la saisie du login implique soit deux formulaires (comme dans SPIP), soit un script Ajax

Avantages
Tout est prot�g� contre les attaques par dictionnaire et le hacker doit constituer un dictionnaire par membre, ce qui est fastidieux et d�courageant.
Le GDS de l'utilisateur est enregistr� dans la base de donn�es et transite � chaque connexion. Le hacker y a donc acc�s facilement et peut donc utiliser la force brute pour inverser le hash.

�	Protection contre force brute	Protection contre dictionnaires
C�t� serveur	0	3
C�t� client	0	3

III-B-2-c. GDS par session▲

Cette technique consiste � g�n�rer un GDS propre � la session. On ne pourra donc pas stocker le mot de passe en base gr�ce � ce GDS. Il faudra donc pr�voir une deuxi�me technique (GDS global ou par utilisateur) pour prot�ger les mot de passes enregistr�s.

Inconv�nients
Difficile � mettre en oeuvre, car elle n�cessite une deuxi�me technique pour prot�ger le stockage en base car on ne peut pas enregistrer en base un mot de passe prot�g� par un GDS qui changera. Il faudrait g�rer 2 GDS, et effectuer c�t� client l'op�ration lourde

Sélectionnez


protected_mdp = SHA1(SHA1(mdp+GDS1)+GDS2)

Dans laquelle SHA1(mdp+GDS1) repr�sente le mot de passe tel qu'il est stock� en base.

Ainsi, toute la base est prot�g�e par le m�me GDS, et en outrepassant le GDS de session c�t� client (rendu possible car on doit prendre en compte la possibilit� que Javascript ne soit pas activ�), on peut r�aliser une attaque par dictionnaire dans lequel le dictionnaire serait constitu� pour ce GDS sp�cifique.
On revient au final au principe du GDS global.

Avantages
Probablement la technique la plus s�re si on ne prend pas en compte la possibilit� d'avoir le Javascript d�sactiv�, car m�me si le hacker r�ussit � trouver le GDS, celui-ci changera pour chaque session (et ainsi pour chaque membre).

�	Protection contre force brute	Protection contre dictionnaires
C�t� serveur	1	2
C�t� client	0	3

III-B-3. Mise en place du GDS par utilisateur▲

Nous allons ici approfondir la technique de protection par GDS propre � un utilisateur car c'est la seule prot�geant r�ellement d'une attaque par dictionnaire, �tant donn� qu'il faut constituer un dictionnaire par membre. Pour la r�aliser, je vais utiliser un peu d'Ajax. Comme je l'ai dit plus haut, il est possible de r�aliser 2 formulaires au lieu du script Ajax, c'est le choix qu'a fait le projet SPIP (cf. rubrique lien � la fin de l'article). Le script Ajax utilis� s'appuie sur le tutoriel de Denis Cabasson disponible ici Tutoriel Ajax
Le principe consiste � lire le champ de login et � appeler une page distante � chaque changement observ�. Ainsi, � chaque saisie d'un caract�re dans le champ login, nous v�rifierons si un utilisateur existe avec ce login et si oui, nous renverrons son GDS.

Un fichier JS pour r�aliser ceci est disponible ici (getGDS.zip).
Il nous manque maintenant le formulaire et un fichier PHP renvoyant le GDS d'un utilisateur.

C�t� client

Il est n�cessaire dans la page d'ins�rer et d'initialiser les scripts de GDS et de hash, puis nous affichons le formulaire.

Insertion du code Javascript dans l'ent�te de l'HTML

Sélectionnez


<script type="text/javascript">
	var _adresseRecherche = "gds.php"   // l'adresse � interroger pour trouver le GDS
</script>
<script type="text/javascript" src="sha1hash.js"></script>
<script type="text/javascript" src="getGDS.js"></script>
<script type="text/javascript">
	window.onload = function()
	{
		initGetGDS(
			document.getElementById('connexion-form'),
			document.getElementById('login'),
			document.getElementById('Valider'),
			document.getElementById('gds'),
			document.getElementById('info_gds')
			);
	};
</script>

La variable JS _adresseRecherche d�finit la page distante qu'il faudra appeler pour r�cup�rer le GDS.
Pour initialiser le listener du champ login, nous appelons la fonction initGetGDS en lui passant comme param�tres les objets DOM

Du formulaire
Du champ login
Du bouton de submit
Du champ hidden dans lequel placer le GDS
Du div dans lequel on pourra indiquer si le GDS est bien r�ceptionn�. (optionnel)

Code HTML du formulaire

Sélectionnez


<form method="post" action="" id="connexion-form" name="connexion-form" onsubmit="sha1hash(this.mdp, this.sha1mdp, this.gds);">
	Pseudo : <input type="text" name="login" id="login" size="20" autocomplete="off" />
	<div id="info_gds">Grain de sel</div><br />
	Mot de passe : <input type="password" name="mdp" size="20" /><br />
	<input type="hidden" name="sha1mdp" value="">
	<input type="hidden" name="gds" id="gds" value="">
	<input value="Valider" id="Valider" type="submit" class="bouton">
</form>

Le reste est identique au mod�le pr�sent� dans le chapitre consacr� au hash, avec le GDS en plus. Le hash se fera ici selon la formulaire :
sha1mdp = sha1(GDS + mdp + GDS)

C�t� serveur

Il s'agit d'un script tr�s simple qui recherche dans la base de donn�es ce login, s�lectionne le GDS et en fait un echo. On pourrait �tablir un flux XML plus propre, mais pour l'exemple, un simple flux texte est suffisant.

Code php du fichier gds.php

Sélectionnez


if(isset($_GET['login']))
{
   $login = urldecode($_GET['login']);
}
else
{
   exit 0;
}
 
$gds = $db->get_var("SELECT me_gds FROM membres WHERE login='".mysql_real_escape_string($login)."'");
if ( !empty($gds) )
{
    echo $gds;
}

Le login est envoy� par GET, on le r�cup�re, on applique un urldecode car on a utilis� urlencode cot� Javascript (dans le fichier getGDS.js).

Copyright © 25/01/2007 Guillaume Affringue. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.