La société Suisse ‘Objectif Sécurité’ vient en effet d’annoncer la semaine dernière que ses listes d’empreintes de mots de passes précalculées, appelées aussi Rainbow Tables, peuvent casser la protection des documents Word ou Excel en 5 minutes environ. Ophcrack_office, le logiciel qui a permis cela (et dont le nom est un hommage au nom moins célèbre Lophtcrack que AtStake a créé et que Symantec a arrêté…), peut découvrir environ 99.6 % des mots de passe selon la société.

 » En fait nous sommes en mesure de casser la clé de 40 bits qui est utilisée pour chiffrer les documents Word et Excel  » explique Philippe Oechslin, CEO de la jeune pousse Suisse et  » inventeur  » des Rainbow Tables.  » Nous avons trouvé même un moyen d’utiliser des tables identiques pour Word et Excel alors que les formats utilisés sont différents  » poursuit Philippe Oechslin.

Les Rainbow Tables contournent la difficulté de cassage des mots de passe uniques (par opposition à une passphrase par exemple) en précalculant les empreintes (hashes) de tous les mots de passe possibles. Il suffit alors de balayer cette table et de comparer les empreintes précalculées à celle du document que l’on veut déchiffrer pour retrouver le mot de passe associé en quelques minutes, ce qui évite d’avoir à mettre en oeuvre des algorithmes de cryptanalyse complexes et consommateurs de ressources. Philippe Oechslin s’est en fait appuyé sur les travaux de Martin Hellman et Ronald Rivest dans les années 1980 pour peaufiner ses Rainbow Tables, travaux dont le but était de déterminer les compromis temps-mémoire nécessaires en matière de cryptanalyse.

Certaines sociétés se sont même intégralement spécialisées dans la fourniture de Rainbow Tables, comme RainbowCrack-Online par exemple.

Les Rainbow Tables doivent être utilisées avec précaution et en connaissance de cause, car bien qu’elles puissent rendre de grands services (en cas de perte de mots de passe par exemple), leur usage pourrait bien être interdit dans certains pays, notamment en Europe.