Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 8 au 10 juin 2011.

Rainbow Tables probabilistesAlain Schneider


Date : 08 juin 2011 à 14:45 — 30 min.

De nos jours il est possible de trouver sur le net des rainbow tables, fruits de longs travaux collaboratifs, qui pèsent plusieurs centaines de Go et décrivent des espaces pouvant aller jusqu'à toutes les combinaisons possibles de caractères ascii de longueur 1 à 8. Ces tables "classiques" ont pour principal inconvénient que les espaces de mots de passe parcourus grandissent de façon exponentielle avec la longueur des mots de passe recherchés et qu'atteindre les 9 caractères est, à l'heure d'aujourd'hui, hautement improbable. Ainsi les tables basées sur des dictionnaires et celles dites "hybrides" sont apparues dès 2007 et 2008. Ces deux approches visent à réduire la taille de l'espaces de mots de passe candidats tout en conservant un taux de succès élevé. Ces variations sont actuellement, à notre connaissance, les seules implémentations publiques qui tentent d'améliorer la pertinence des espaces couverts par des rainbow tables. La littérature propose pourtant d'autres axes d'améliorations, notamment statistiques, qui sont très prometteurs. Nous présentons l'une de ces techniques dans cet article et nous en évaluons l'intérêt à travers une preuve de concept. De plus, un outil original implémentant ce mécanisme de rainbow tables statistique est décrit. Les résultats expérimentaux obtenus avec cet outil sont exposés et montrent qu'avec une table de 6Go le taux de succès est équivalent à une table classique de 4,5To. Des résultats supérieurs, obtenus avec une table statistique de 500Go, sont également exposés.