Sérieusement, des fois quand je vois ce qu’on peut trouver sur le site des applications Android… C’est pas la peine de mettre une traduction si elle est faite par Google.

Et le niveau de langue de ceux qui commentent ne remonte pas le niveau…

Oui, je sais, ce sujet a déjà été maintes et maintes fois abordé par les blogueurs, mais aujourd’hui, je ne m’adresse pas qu’aux utilisateurs : je m’adresse aussi aux webmasters.

Première partie : Utilisateurs

Quand vous faites un mot de passe, la plupart des sites Internet le code sous forme de MD5. Quand vous vous inscrivez sur un site, ce site récupère la MD5 de ce que vous lui avez donné et le met dans sa base de données. Ensuite, quand vous vous connectez, il regarde si la MD5 de ce que vous avez entré dans le champ de mot de passe correspond à ce qui est dans sa base. Si c’est le cas, il vous connecte. Sinon, il vous dit merde. Je vous ai déjà parlé des MD5. C’est une chaîne de 32 caractères unique associée à un texte. Par exemple :

MD5 de ‘thomas’: ef6e65efc188e7dffd7335b646a85a21
MD5 de ‘efjsjfqejkldjqklzdjklqzjdklqjdkljqzkldjqklsdjkldvhsjdckl’ : 103b6cf080f2047b5d3bac89b94529e8

Vous voyez ? Peu importe la longueur du texte, c’est toujours 32 caractères. Et vous pouvez mettre ce que vous voulez dedans (lettres majuscules/minuscules, chiffres, caractères spéciaux genre virgule, smiley, soleil, signe arabe…). C’est bien gentil, mais qu’est-ce que je veux dire ? Voilà : beaucoup de gens disent que le moyen d’avoir le mot de passe le plus sécurisé est de mettre plein de caractères spéciaux. Ce n’est pas tout à fait vrai. Pourquoi ? Simplement parce qu’un pirate cherchera d’abord les mots de passe avec minuscules, majuscules et nombres. Voilà comment il fait. Tout d’abord – le plus difficile – il infiltre la base de données du site et récupère la MD5 associée à un compte. Ensuite, il a un programme, le hacker entre la MD5 récupérée et son programme fait ceci :
MD5(‘a’) = 0cc175b9c0f1b6a831c399e269772661. Est-ce-que la MD5 entrée (que le hacker a donné) est égale à la MD5 de ‘a’ ? Puis il fait la même chose avec ‘b’, ‘c’ est ainsi de suite. Quand il a terminé l’alphabet, suivant le programme, soit il ajoute une lettre (=’aa’) et refait pareil sauf qu’il fait ‘aa’ puis ‘ab’ et ainsi de suite, ou alors il commence l’alphabet en majuscules et les chiffres. De toute façon, ça revient à la fin à tester toutes les chaînes en stoppant par exemple à 60 caractères. 60 caractères ça peut vous sembler peu. Or c’est faux. Admettons que, dans l’alphabet du programme il y ait les lettres majuscules, minuscules et les chiffres. Ça fait 26 + 26 + 10 = 62. Donc logiquement, il faut faire 60^62 MD5. Ça fait un peu beaucoup (17594524073048132696156190818558857391637906063360000000000000000000000000000000000000000000000
0000000000000000 MD5). (Par exemple, mon ordinateur calcule 120MD5 à la seconde). Bref, ce que je voulais vous dire, c’est que, certes, les caractères spéciaux aident (il suffit de mettre un O accentué dans votre mot de passe, si le hacker ne l’a pas dans son alphabet, ça foire) mais le plus important est la longueur. Seconde partie : Webmasters et autres programmeurs
Juste un message à vous faire passer. Imaginons que vous ayez un script PHP qui créé le compte d’utilisateur de quelqu’un. Pour avoir de la sécurité, vous mettez une MD5 dans la base de données et pas simplement le mot de passe en clair. Votre script fera
Si un hacker récupère une valeur de la base il n’aura qu’un décryptage à faire et si le mot de passe fait trois caractères, il l’aura en un rien de temps (46 millisecondes chez moi). Mais maintenant, si vous faites :
Même si le mot de passe est court, le hacker aura au moins une chaîne de 32 caractères à décrypter. Puisque dans le script, vous faites la MD5 de la MD5 du mot de passe. Au premier décryptage, il trouvera une autre MD5 (ce qui en déroutera plus d’un) et au deuxième il trouvera le mot de passe. Vous vous rendez compte ? Cinq caractères de plus à taper (M, D, 5, (, )) et vous faites perdre du temps au hacker. Imaginez que vous demandiez au script de faire dix fois la MD5…

Vous n’avez sûrement pas compris le titre, non ? Je suis sûr
que vous pensez que je veux que vous ne lisiez pas cet article. Or, c’est faux! En effet, chaque jour, vous êtes des millions (estimation de moi) à vous
tromper sur cette phrase :

Je ne veux pas que tradadim doum doum

Le tradadim doum doum exprimant la suite de la phrase, qui peut être
“que tu ailles sur Internet”, “que tu aies une mauvaise
note” ou tout ce que vous voulez d’autre…

Oui, en effet, chaque jour, vous vous méprenez sur cette
phrase, pourtant pas si compliquée que ça. Regardez bien. Quand vous dites :

Je veux que tu manges cette pomme

Vous obligez celui à qui vous vous adressez à manger la
pomme. Cette phrase exprime l’obligation.
Maintenant, quand vous dites :

Je ne veux pas que tu manges cette poire

Vous n’exprimez pas l’interdiction, non, mais l’absence d’interdiction et d’obligation
qui, soit dit en passant, n’a rien d’utile ; c’est comme si vous disiez :

Tu peux dormir mais tu n’y es pas obligé.

Même si mon exemple est nul. Beaucoup de gens ne comprennent
pas ce que j’explique. En fait, ce qu’il faut dire, c’est :

Je veux que tu ne manges pas cette pomme

A ce moment-là, vous dites à la personne qu’elle est obligée de ne pas la manger, c’est-à-dire qu’il lui est interdit de la manger.
Et c’est bien ceci qu’il faut dire.