Le site phpbb.com s'est fait pourrir il y'a peu. L'auteur des faits a même posté les détails croustillants (ou pas) de son intrusion sur un blog fabriqué de toute pièce pour l'occasion ... ainsi que l'ensemble des données récupérées ;-)

Le vilain méchant pirate a en effet réussi à extraire la base de données du site avec l'ensemble des mots de passe de ses utilisateurs. ;-)

Les liens contenant le backup de la base de données ont été rapidement suspendus sur rapidshare. Mais grâce à la magie du torrent, des centaines de gens pouvaient les télécharger via thepiratebay.org. ;-)

Hoplà on lance rtorrent et ça roule ma poule, l'archive est téléchargée en 10 secondes! Un coup de unrar et on retrouve un fichier backup.sql avec des tonnes d'informations sexy sur les utilisateurs du site : identifiants, hashes de mots de passe, adresses mails, adresses MSN, URLs de sites persos ... Bref c'est la totale.

Outre le fait que cette base est une mine d'informations pour le piratin en herbe qui veut compromettre masse de forums ou de boites, elle n'en reste pas moins sympa pour faire des stats sur des mots de passe (quand le pentester n'a pas de taff et qu'il se fait chier).

On retrouve donc 320 000 hashes dans la base, 240 000 sont des raw-md5, 80 000 sont des hashes PHPass. Les premiers se cassent rapidement avec des outils comme JohnTheRipper, les seconds sont chiants à péter (ça se fait, ça se fait ...) mais je n'y ai pas touché.

Lancement de John the Ripper sur 240 000 hashes... 2 heures seulement et déjà 100 000 mots de passe qui sont tombés ... Aie aie aie ça va très vite. Au bout d'une journée, 180 000 sont dans la boite! Au bout de 2 jours, on stagne à 200 000. Joli ratio de 70% quand même!

Un petit script pour parser le tout, anonymiser les identifiants (sinon c'est le mal et je vais me faire taper dessus) et j'obtiens de jolis camemberts. Rien de bien surprenant, on retrouve le même type stats dans des boites où il n'y a pas de politique de mots de passe en place.

Je vous laisse donc zyeuter les résultats, désolé d'avance si c'est pas super net... :

Types de mots de passe

type.png

Les trois quarts des mots de passe ne sont pas complexes ...

Longueur des mots de passe

length.png

65% des mots de passe ont une longueur ridicule ... (<= 7)

Mots de passe numériques

numeric.png

Qui dit mot de passe numérique, dit cassé dans les 2 premières heures.

Mots de passe alphas

alpha.png

La grosse majorité des mots de passe sont alpha. Une grosse moitié ont une taille déraisonnable ...

Mots de passe alphanumériques

alphanum.png

Toujours + de 50% de mots de passes alphanumériques avec une longueur pourrie... hmm ;'(

Mots de passe avec un spécial

spec.png

Pas mieux pour les spéciaux, mais on en a sûrement moins cassé ;-)

Le top des mots de passe bidons

Allez voilà la liste des mots de passe les plus bidons! On se rapproche de la liste The Top 500 Worst Passwords of All Time . J'ai rajouté le nombre d'occurences dans la liste ;-)

2639:123456
1239:password
704:phpbb
560:qwerty
415:12345
370:12345678
342:letmein
313:111111
273:1234
252:123456789
223:test
221:abc123
221:123123
215:123
190:monkey
186:dragon
169:trustno1
164:master
148:hello
135:1234567
127:computer
124:killer
123:000000
107:whatever
107:internet
106:aaaaaa
103:shadow
98:superman
97:starwars
97:123321
94:654321
92:qazwsx
92:asdf
84:cheese
82:pokemon
82:fuckyou
81:testing
81:matrix
78:666666
77:welcome
76:pass
75:blahblah
75:asdfasdf
74:tigger
74:football
74:1
69:nothing
69:charlie
68:michael
68:joshua

Thèmes

Les passes partout : password, letmein, test, computer, testing, forum, secret, testtest, admin, helpme, phpbb ...

Chiffres & Numéros : 123456, 12345, 12345678, 1234, 123456789, 123123, 123, 000000, 123321, 654321, 666666, 1, ...

Prénoms & Noms : charlie, michael, joshua, daniel, jennifer, andrew, amanda, robert, nicole ...

Super Héros & Anime : superman, starwars, pokemon, startrek, batman ...

Enfin y'en a 36000! Je vous laisse regarder la jolie liste des 1000 mots de passe les plus pourris de la planète : phpbb.1000.txt

Dans la vraie vie, ça sert à quoi ses stats? Euh à pas grand chose, ça permet de se faire une idée de la complexité des mots de passe sur un SI sans politique. Ca permet également de se faire un dictionnaire pour casser plus rapidement du mot de passe lors d'une prestation...

Voili ;-)