Les mots de passe constituent un obstacle à l’accès à vos comptes, et c’est pourquoi les cybercriminels sont si enclins à les cibler. L’acte de craquer les mots de passe est extrêmement populaire, mais il y a plus d’une méthode qui peut être utilisée ici.


Quelles sont donc les méthodes de piratage des mots de passe et comment les éviter ?


Qu’est-ce que le piratage de mots de passe ?

Le piratage de mots de passe est utilisé pour découvrir les mots de passe des utilisateurs afin que leurs comptes puissent être piratés par des cybercriminels.

Un grand nombre de nos comptes, tels que ceux utilisés pour les opérations bancaires, la vie sociale, les achats et le travail, sont protégés par des mots de passe ; il n’est donc pas surprenant que les pirates informatiques veuillent mettre la main sur ces données.

C’est là qu’intervient le piratage de mots de passe. En utilisant diverses méthodes, les acteurs malveillants ont une chance de découvrir votre véritable mot de passe, ce qui leur permet d’accéder à votre compte s’ils disposent également de votre adresse électronique ou de votre nom d’utilisateur (qui peuvent être d’une facilité déconcertante à obtenir).

Lire  Travailler avec le module Util de Node.js

Selon la complexité de votre mot de passe, il peut être déchiffré en quelques secondes ou en millions d’années. Les mots de passe simples sont évidemment plus faciles à décrypter. Il est donc important de structurer efficacement votre mot de passe afin d’éloigner les pirates informatiques (nous y reviendrons plus loin).

Au fil des ans, le piratage de mots de passe s’est diversifié en de nombreuses méthodes, certaines plus efficaces que d’autres. Quelles sont donc les méthodes les plus couramment utilisées par les pirates pour déchiffrer les mots de passe ?

1. Attaques par force brute

plan rapproché du poing en forme de coup de poing

Les attaques par force brute sont fréquemment utilisées par les cybercriminels pour pirater des comptes. Cette méthode de craquage consiste à passer en revue toutes les combinaisons possibles de lettres, de chiffres ou de symboles pouvant figurer dans un mot de passe donné. Il s’agit essentiellement d’une méthode d’essai et d’erreur, ou d’un processus d’élimination, qui se poursuit jusqu’à ce que l’on parvienne à la phrase correcte.

Les attaques par force brute sont particulièrement efficaces sur les mots de passe les plus simples, tels que ceux qui ne comportent pas de combinaison de lettres ou de symboles et de chiffres.

Une attaque par force brute peut être réalisée en moins d’une minute, mais dans de nombreux cas, cela prend beaucoup plus de temps. Certains cybercriminels laissent le processus se poursuivre pendant des semaines, des mois, voire des années, en fonction de la valeur du mot de passe. Si l’attaque par force brute réussit, elle aboutira au bon mot de passe, ce qui permettra au pirate d’accéder à ce qu’il essaie de compromettre.

2. L’hameçonnage

Le phishing est une tactique populaire de la cybercriminalité, qui peut être utilisée pour le vol de données et la diffusion de logiciels malveillants. Lorsqu’il s’agit de craquer un mot de passe, le vol de données est l’objectif évident de l’attaque par hameçonnage.

Les attaques par hameçonnage ont généralement lieu par courrier électronique, par SMS ou par les médias sociaux (notamment les messages instantanés). Lorsque les identifiants de connexion sont la cible de l’attaque, l’acteur malveillant envoie souvent aux cibles une communication usurpant l’identité d’une entité officielle.

Par exemple, un escroc peut envoyer un courriel à une victime en prétendant être un employé de la banque qu’elle a choisie. Le message indique généralement qu’une activité inhabituelle a été détectée sur le compte de la victime et que celle-ci doit se connecter en ligne pour vérifier s’il s’agit bien d’elle. Sous le texte, un lien vers la prétendue page de connexion est fourni. En réalité, il s’agit d’un lien vers une page de phishing malveillante conçue pour ressembler à s’y méprendre à une page de connexion officielle, tout en dérobant les données que vous saisissez.

Si la victime tombe dans le panneau, elle saisit ses identifiants de connexion sur la page d’hameçonnage, qui sont ensuite collectés par l’attaquant. À ce stade, le pirate possède le nom d’utilisateur et le mot de passe du compte de la victime, ce qui lui donne un accès non autorisé.

3. Attaques de l’homme du milieu

personne regardant à travers un trou dans un mur de briques

Comme leur nom l’indique, les attaques de type Man-in-the-Middle (MitM) impliquent qu’un acteur malveillant se place entre une victime et une application ou un site web.

Les attaques de l’homme du milieu peuvent se présenter sous de nombreuses formes, notamment :

  • Détournement de courrier électronique.
  • Usurpation de HTTPS.
  • Usurpation HTML.
  • Usurpation de SSL.
  • Usurpation Wi-Fi.

Une forme d’attaque de type « man-in-the-middle » implique que l’opérateur malveillant écoute activement l’interaction entre un utilisateur et un serveur. Dans un tel scénario, l’attaquant accède à un réseau par une faiblesse, puis scrute une application ou un site à la recherche d’une faille de sécurité. Lorsqu’une vulnérabilité est trouvée, il la cible, puis commence à cibler les utilisateurs lorsqu’ils interagissent avec les applications et les sites web par l’intermédiaire du réseau compromis.

Ensuite, lorsque la victime saisit des données, quelles qu’elles soient, ou reçoit des données de l’application, celles-ci sont visibles par l’attaquant. Dans ce cas, si elle saisit un mot de passe, celui-ci peut être récupéré par l’attaquant. Si ces données doivent être décryptées, c’est l’étape suivante. À présent, les données de la victime peuvent être utilisées par l’opérateur malveillant de la manière qu’il souhaite.

4. L’enregistrement au clavier

smartphone avec l'œil sur l'écran enchaîné à un cadenas
Crédit photo : Stock Catalog/Flickr

Le keylogging est une méthode de vol de données qui consiste à enregistrer chaque frappe effectuée par la victime sur son appareil, qu’il s’agisse d’un ordinateur de bureau, d’un ordinateur portable, d’une tablette, d’un smartphone ou d’un appareil similaire.

Les enregistreurs de frappe se présentent sous la forme de logiciels malveillants, c’est-à-dire de programmes malveillants utilisés pour attaquer. Lorsqu’un appareil est infecté par un enregistreur de frappe, l’opérateur malveillant peut alors voir tout ce que la victime tape, qu’il s’agisse de courriels, d’informations de paiement, d’identifiants de connexion ou de n’importe quoi d’autre !

Par conséquent, si vous vous connectez à un compte sur un appareil infecté par un keylogger, ou si vous tapez simplement vos identifiants de connexion dans une application de notes ou un gestionnaire de mots de passe, tout ce que vous saisissez peut être vu. Ces identifiants seront ensuite utilisés par l’attaquant pour accéder à un ou plusieurs de vos comptes en ligne.

Vous devez savoir comment détecter et supprimer les enregistreurs de frappe pour protéger vos données si vos appareils sont infectés.

Comment éviter le piratage des mots de passe

Pour éviter le piratage des mots de passe, il faut prendre plusieurs mesures, en commençant naturellement par les mots de passe que vous utilisez. Bien qu’il soit tentant d’utiliser un mot de passe simple pour tous vos comptes, cela vous expose massivement au craquage de mot de passe, en particulier aux attaques par force brute. La plupart des sites web définissent certaines exigences en matière de création de mots de passe, telles que l’utilisation de majuscules et de minuscules, de symboles et de chiffres, ainsi qu’une longueur minimale.

Il s’agit là de paramètres solides à respecter, mais il y a également d’autres choses à éviter, comme l’utilisation d’informations personnelles (anniversaires, noms, etc.) dans vos mots de passe. Vous devez également éviter d’utiliser le même mot de passe pour tous vos comptes : si vos informations d’identification tombent entre les mains d’un pirate, celui-ci a la possibilité de faire encore plus de dégâts en compromettant plus d’un compte.

En plus d’affiner vos mots de passe, vous devez également savoir comment repérer les communications de phishing, qui sont également utilisées pour voler les identifiants de connexion. Voici quelques signes auxquels vous devez toujours prêter attention :

  • Mauvaise orthographe et mauvaise grammaire.
  • Une adresse électronique inhabituelle.
  • Liens fournis.
  • Liens qu’un site de vérification a mis en évidence comme étant malveillants.
  • Langage trop persuasif/urgent.

Vous devriez également envisager d’utiliser l’authentification à deux ou plusieurs facteurs pour ajouter une couche de sécurité supplémentaire à vos comptes. Ainsi, si un pirate tente de se connecter en utilisant votre nom d’utilisateur et votre mot de passe, vous devrez d’abord vérifier la tentative de connexion à partir d’un autre dispositif ou canal, tel qu’un SMS ou un courriel.

Le piratage des mots de passe met tout le monde en danger

Il ne fait aucun doute que ces techniques de craquage de mots de passe menacent la sécurité et la vie privée des utilisateurs du monde entier. D’énormes quantités de données ont déjà été volées par ce biais, et rien ne dit que vous ne serez pas visé. Assurez-vous donc de savoir comment éviter cette entreprise malveillante afin de préserver la sécurité de vos comptes.