# Protection des données

Internet est un monde **ouvert** où tout est accessible. Il est donc très important de protéger ses données **sensibles** (tout ce qui touche à votre vie privée). 

![](https://upload.wikimedia.org/wikipedia/commons/thumb/a/a6/Anonymous_emblem.svg/480px-Anonymous_emblem.svg.png)

## Objectifs

1. Comprendre le système de fichiers UNIX (MacOS X)
1. Comprendre l'importance d'un bon mot de passe

# (2) Les mots de passe

Il sert à protéger ses données privées dans les réseaux sociaux, sur son téléphone portable, etc.. 

## Pourquoi ?

- le nom d'utilisateur peut être public
- le mot de passe **DOIT** être secret

## Un bon mot de passe

Il doit être difficile à trouver pour un être humain, mais surtout pour un ordinateur. L'[EPFL](https://wiki.epfl.ch/secure-it/questcequunbonmotdepasse) donne quatre caractéristiques pour un **bon mot de passe** :

1. il n'est **pas basé sur un mot courant** (nom, prénom, etc..)
1. il doit être **long**
1. il ne doit pas contenir des **répétitions**
1. il doit contenir des caractères **variés** (lettres, accents, chiffres, caractères spéciaux)

Malheureusement, beaucoup de personnes ont encore des mots de passe trop simple

## Exercice

Recherchez sur Internet quel est le mot de passe le plus utilisé pour les utilisateurs francophones

## Qualité d'un mot de passe

Le fichier ```dossier-a-cracker/passwords.txt``` contient les **20'000 mots de passes** les plus utilisés sur l'Internet francophone. Nous allons l'utiliser pour vérifier la qualité d'un mot de passe.

L'instruction Python suivante permettent de stocker dans la **liste** ```passwords``` les 20'000 mots de passes du fichier ```dossier-a-cracker/passwords.txt```

In [3]:
passwords = [line.rstrip() for line in open('dossier-a-cracker/passwords.txt', "r")]

## Accéder aux élément d'une liste
L'opérateur de tranche `[m:n]` permet d'accéder à des sous ensembles

- `[m:n]` de m jusqu'à (n-1)
- `[:n]` du début jusqu'à (n-1)
- `[m:]` de m jusqu'à la fin

Un index negatif compte depuis la fin

## Exercice

A l'aide des opérateurs de tranche, répondez aux questions

Affichez les cinq premiers mots de passe de la liste ```passwords```

In [4]:
passwords[:5]

['123456', '123456789', 'azerty', '1234561', 'qwerty']

Affichez le 1000ème mot de passe de la liste ```passwords```

Affichez les mots de passes entre 10'000 et 10'005 de la liste ```passwords```

Affichez l'avant dernier mot de passe de la liste ```passwords```

## Vérifier si un mot est dans la liste

L'opérateur `in` permet de verifier si un mot est dans une liste.

Est-ce que le mot de passe `'iloveyou'` est dans la liste ```passwords```?

In [3]:
'iloveyou' in passwords

True

In [1]:
FIXME exemple False

SyntaxError: invalid syntax (<ipython-input-1-a72ac8f1739f>, line 1)

## Exercice

Vérifiez que le mot de passe ```cristiano7``` est dans la liste ```passwords```

Et le mot de passe ```Cristiano7``` ?

## Majuscule et minuscule

Le mot de passe ```cristiano7``` se trouve dans la liste ```passwords``` mais ```Cristiano7``` n'y est pas. 

Est-ce que rajouter une simple majuscule fait de mon mot de passe un bon mot de passe ?

Python permet de mettre toutes les lettres en minuscules:

In [None]:
'Cristiano7'.lower()

et en majuscules:

In [None]:
'Cristiano7'.upper()

## Tester un mot de passe 

1. Avec l'opérateur ```in```, on peut vérifier qu'un élément existe dans une liste
1. Avec les fonctions ```lower()``` et ```upper()``` on peut mettre une chaîne de caractères en majuscules et en minuscules

il ne reste plus qu'à tester un mot de passe **inconnu** sur l'ensemble de la liste :

L'algorithme est le suivant :

FIXME
- ```mdp_test``` <- entrée de l'utilisateur
- pour tous les mots de passe ```mdp``` de la liste ```passwords``` :
    - mettre ```mdp``` en minuscules
    - mettre ```mdp_test``` en minuscules
    - SI ```mdp_test``` égal à ```mdp``` ALORS le mot de passe existe
    - SINON le mot de passe n'existe pas

In [None]:
def mdp_existe_maj_min(mdp):
    if mdp.lower() in passwords:
        print(mdp,'existe dans la liste sous la forme', mdp.lower())
    else:
        print(mdp,'n\'existe PAS dans la liste')        

In [None]:
mdp_existe_maj_min('CrIsTiAno7')

In [5]:
'CrIsTiAno7'.lower in passwords

False

## Exercice

Testez avec cette fonction si les mots de passe suivants existent dans la liste ```passwords```:

- ```'coucou2'```
- ```'coucou23'```

Avec une boucle, on peut tester n'importe quel mot de passe contre la liste ```passwords```.

Testez vos mots de passe !

(pour quitter, appuyez sur ENTREE

In [6]:
mot = input('Entrez un mot de passe')
while len(mot) > 0:
    print(mot in passwords)
    mot = input('Entrez un mot de passe:')

Entrez un mot de passe vincent


True


Entrez un mot de passe: raphael


True


Entrez un mot de passe: raphael66


False


Entrez un mot de passe: Raphael


False


Entrez un mot de passe: 


## Archive (ZIP) protégé par un mot de passe

Le fichier ```confidentiel/mails_FBI.zip``` a été protégé contre l'extraction par un mot de passe. Si vous tentez d'extraire l'archive, vous devez fournir un mot de passe.

Ces 4 lignes vont tester le mot de passe ```'jetaime'``` sur l'archive. Cela va créer une erreur de type :

```
RuntimeError: Bad password for file 'original/mails_FBI.txt'
```

In [None]:
from zipfile import ZipFile
with ZipFile('confidentiel/mails_FBI.zip') as file:
   mdp = 'jetaime' 
   file.extractall(pwd = bytes(mdp, 'utf-8'))

## Attaque en force brute

A partir de maintenant, on dispose de tous les outils pour attaquer en force brute l'archive ```'mails_FBI.zip'```. L'algorithme sera le suivant :

1. pour tous les mots de passes ```mdp``` de la liste ```passwords``` FAIRE
    1. Tester si le mot de passe est correct
    1. SI le mot de passe est correct ALORS
        1. le mot de passe a été trouvé. SORTIR
    1. SINON
        1. aller au mot de passe suivant

La fonction ```check_ret(mdp,archive)``` va tester un mot de passe ```mdp``` sur l'archive protégée ```archive``` et retourner la valeur ```0``` si le mot de passe est le bon

In [None]:
import subprocess
def check_ret(mdp,archive):
    rc = -1
    p1 = subprocess.Popen(['unzip', '-t','-q', '-P', mdp,archive])
    p1.wait()
    rc = p1.returncode
    p1.kill()
    return rc

Il est maintenant possible de tester tous les mots de passe de la liste sur une archive protégée par un mot de passe. Le fichier se trouve au chemin ```dossier-a-cracker/confidentiel/mails_FBI.zip```

In [None]:
for mdp in passwords:
    ret = check_ret(mdp,'dossier-a-cracker/confidentiel/mails_FBI.zip')
    if ret == 0:
        print('Le mot de passe est :',mdp)
        break

## Exercice

A l'aide de la fonction vue plus haut, extrayez l'archive avec le mot de passe que vous avez trouvé

```python
from zipfile import ZipFile
with ZipFile('dossier-a-cracker/confidentiel/mails_FBI.zip') as file:
   mdp = '' 
   file.extractall(pwd = bytes(mdp, 'utf-8'))
```


## Jeu (si vous avez du temps)

Dans le monde du hacking, il y a un jeu qui est souvent utilisé par les entreprises pour tester leur infrastructure. Ce jeu de guerre cybernétique, appelé [catch the flag](https://fr.wikipedia.org/wiki/Test_d%27intrusion) (capture du drapeau) dans lequel deux équipes s'affrontent: l'une pour protéger le drapeau, l'autre pour le capturer. 

Un autre fichier archive ZIP a été caché dans le dossier ```dossier-a-cracker``` et protégé par un mot de passe.

**Exercice** Retrouvez le fichier avec les commandes ```ls``` et ```cd``` et utilisez les fonctions décrites plus haut pour le décrypter

## Mon adresse mail est-elle en danger ?

Nous avons utilisé la **force brute** pour tester **un seul mot de passe** contre une liste définie. Les crackers du monde entier utilisent des dictionnaires bien plus grands contre des adresses mails, des comptes, etc.. que vous avez laissé ça et là au gré de vos interactions avec Internet. 

Ces listes sont ensuite vendues et utilisées à mauvais escient. 

Il existe un site web qui vérifie si votre adresse mail a été piratée : [Ai-je été piraté ?](https://haveibeenpwned.com)

**Exercice** Testez vos adresses mails pour voir si elles ont été vendues. Si elles le sont : changez votre mot de passe