Les 8 astuces les plus courantes utilisées pour pirater les mots de passe

Hibou Gourou

Quand vous entendez « brèche de sécurité », à quoi pensez-vous ? Un pirate informatique malveillant assis devant des écrans recouverts de texte numérique de style Matrix ? Ou un adolescent au sous-sol qui n'a pas vu la lumière du jour depuis trois semaines ? Que diriez-vous d'un puissant superordinateur tentant de pirater le monde entier ?

Le piratage ne concerne qu'une chose : votre mot de passe. Si quelqu'un peut deviner votre mot de passe, il n'a pas besoin de techniques de piratage sophistiquées ni de superordinateurs. Ils se connecteront simplement, agissant comme vous. Si votre mot de passe est court et simple, la partie est terminée.

Il existe huit tactiques courantes utilisées par les pirates pour pirater votre mot de passe.

1. Hack de dictionnaire

Le premier dans le guide des tactiques de piratage de mot de passe commun est l'attaque par dictionnaire. Pourquoi s'appelle-t-on une attaque par dictionnaire ? Parce qu'il essaie automatiquement chaque mot dans un "dictionnaire" défini contre le mot de passe. Le dictionnaire n'est pas strictement celui que vous utilisiez à l'école.

Non. Ce dictionnaire est en fait un petit fichier contenant également les combinaisons de mots de passe les plus couramment utilisées. Cela inclut 123456, azerty, mot de passe, iloveyou et classique de tous les temps, hunter2.

Le tableau ci-dessus détaille les mots de passe les plus divulgués en 2016. Le tableau ci-dessous détaille les mots de passe les plus divulgués en 2020.

Notez les similitudes entre les deux et assurez-vous de ne pas utiliser ces options incroyablement simples.

Avantages : rapide ; débloquera généralement des comptes terriblement protégés.

Inconvénients : même les mots de passe légèrement plus forts resteront sécurisés.

Restez en sécurité : utilisez un mot de passe à usage unique fort pour chaque compte, en conjonction avec une application de gestion des mots de passe . Le gestionnaire de mots de passe vous permet de stocker vos autres mots de passe dans un référentiel. Ensuite, vous pouvez utiliser un mot de passe unique et ridiculement fort pour chaque site.

Connexe : Gestionnaire de mots de passe Google : comment démarrer

2. Force brute

Ensuite, l'attaque par force brute, par laquelle un attaquant essaie toutes les combinaisons de caractères possibles. Les tentatives de mots de passe correspondront aux spécifications des règles de complexité, par exemple en incluant une majuscule, une minuscule, les décimales de Pi, votre commande de pizza, etc.

Une attaque par force brute essaiera également d'abord les combinaisons de caractères alphanumériques les plus couramment utilisées. Ceux-ci incluent les mots de passe répertoriés précédemment, ainsi que 1q2w3e4r5t, zxcvbnm et qwertyuiop. Cela peut prendre très longtemps pour trouver un mot de passe à l'aide de cette méthode, mais cela dépend entièrement de la complexité du mot de passe.

Avantages : Théoriquement, il déchiffrera n'importe quel mot de passe en essayant toutes les combinaisons.

Inconvénients : Selon la longueur et la difficulté du mot de passe, cela peut prendre un temps extrêmement long. Ajoutez quelques variables comme $, &, { ou ], et trouver le mot de passe devient extrêmement difficile.

Restez en sécurité : utilisez toujours une combinaison variable de caractères et, si possible,introduisez des symboles supplémentaires pour augmenter la complexité .

3. Hameçonnage

Il ne s'agit pas à proprement parler d'un « piratage », mais être victime d'une tentative de phishing ou de spear-phishing se terminera généralement mal. Les e-mails de phishing généraux sont envoyés par milliards à toutes sortes d'internautes du monde entier.

Un e-mail de phishing fonctionne généralement comme suit :

  1. L'utilisateur cible reçoit un e-mail falsifié prétendant provenir d'une organisation ou d'une entreprise majeure.
  2. Les e-mails falsifiés nécessitent une attention immédiate, comportant un lien vers un site Web.
  3. Ce lien se connecte en fait à un faux portail de connexion, conçu pour apparaître exactement de la même manière que le site légitime.
  4. L'utilisateur cible sans méfiance entre ses informations de connexion et est soit redirigé, soit invité à réessayer.
  5. Les informations d'identification des utilisateurs sont volées, vendues ou utilisées de manière malveillante (ou les deux).

Le volume quotidien de spam envoyé dans le monde reste élevé, représentant plus de la moitié de tous les e-mails envoyés dans le monde. De plus, le volume de pièces jointes malveillantes est également élevé, Kaspersky notant plus de 92 millions de pièces jointes malveillantes de janvier à juin 2020. N'oubliez pas que cela ne concerne que Kaspersky, donc le nombre réel est beaucoup plus élevé .

En 2017, le plus gros leurre de phishing était une fausse facture. Cependant, en 2020, la pandémie de COVID-19 a fourni une nouvelle menace de phishing .

En Avril 2020, peu de temps après de nombreux pays se sont en isolement cellulaire en cas de pandémie, Google a annoncé qu'il bloquait plus de 18 millions Covid-19 spams malveillants sur le thème et le phishing e – mails par jour. Un grand nombre de ces e-mails utilisent l'image de marque officielle du gouvernement ou d'une organisation de santé pour la légitimité et prennent les victimes au dépourvu.

Avantages : l'utilisateur remet littéralement ses informations de connexion, y compris les mots de passe, un taux de réussite relativement élevé, facilement adapté à des services spécifiques ou à des personnes spécifiques lors d'une attaque de spear-phishing .

Inconvénients : les courriers indésirables sont facilement filtrés, les domaines de courrier indésirable sont mis sur liste noire et les principaux fournisseurs comme Google mettent constamment à jour les protections.

Restez en sécurité : restez sceptique vis-à-vis des e-mails et augmentez votre filtre anti-spam à son niveau le plus élevé ou, mieux encore, utilisez une liste blanche proactive. Utilisez un vérificateur de liens pour vérifier si un lien de courrier électronique est légitime avant de cliquer.

4. Ingénierie sociale

L'ingénierie sociale est essentiellement du phishing dans le monde réel, loin de l'écran.

Une partie essentielle de tout audit de sécurité consiste à évaluer ce que l'ensemble du personnel comprend. Par exemple, une entreprise de sécurité téléphonera à l'entreprise qu'elle audite. L'"attaquant" dit à la personne au téléphone qu'elle est la nouvelle équipe d'assistance technique de bureau et qu'elle a besoin du dernier mot de passe pour quelque chose de spécifique.

Une personne sans méfiance peut remettre les clés sans réfléchir.

Ce qui est effrayant, c'est la fréquence à laquelle cela fonctionne. L'ingénierie sociale existe depuis des siècles. Faire preuve de duplicité pour entrer dans une zone sécurisée est une méthode d'attaque courante et contre laquelle on ne se garde que par l'éducation.

C'est parce que l'attaque ne demandera pas toujours directement un mot de passe. Il peut s'agir d'un faux plombier ou d'un électricien demandant à entrer dans un bâtiment sécurisé, etc.

Quand quelqu'un dit qu'il a été amené à révéler son mot de passe, c'est souvent le résultat d'une ingénierie sociale.

Avantages : Les ingénieurs sociaux qualifiés peuvent extraire des informations de grande valeur à partir d'un éventail de cibles. Il peut être déployé contre presque n'importe qui, n'importe où. C'est extrêmement furtif.

Inconvénients : un échec de l'ingénierie sociale peut susciter des soupçons quant à une attaque imminente et une incertitude quant à l'obtention des informations correctes.

Restez en sécurité : C'est une question délicate. Une attaque d'ingénierie sociale réussie sera terminée au moment où vous réaliserez que quelque chose ne va pas. L'éducation et la sensibilisation à la sécurité sont une tactique d'atténuation essentielle. Évitez de publier des informations personnelles qui pourraient être utilisées ultérieurement contre vous.

5. Table arc-en-ciel

Une table arc-en-ciel est généralement une attaque par mot de passe hors ligne. Par exemple, un attaquant a acquis une liste de noms d'utilisateur et de mots de passe, mais ils sont cryptés. Le mot de passe crypté est haché . Cela signifie qu'il est complètement différent du mot de passe d'origine.

Par exemple, votre mot de passe est (espérons-le pas !) logmein. Le hachage MD5 connu pour ce mot de passe est "8f4047e3233b39e4444e1aef240e80aa".

Du charabia pour vous et moi. Mais dans certains cas, l'attaquant exécutera une liste de mots de passe en clair via un algorithme de hachage, comparant les résultats à un fichier de mots de passe crypté. Dans d'autres cas, l'algorithme de cryptage est vulnérable et la plupart des mots de passe sont déjà craqués, comme MD5 (d'où la raison pour laquelle nous connaissons le hachage spécifique pour "logmein".

C'est là que la table arc-en-ciel prend tout son sens. Au lieu d'avoir à traiter des centaines de milliers de mots de passe potentiels et à faire correspondre leur hachage résultant, une table arc-en-ciel est un vaste ensemble de valeurs de hachage précalculées spécifiques à un algorithme.

L'utilisation d'une table arc-en-ciel réduit considérablement le temps nécessaire pour déchiffrer un mot de passe haché, mais ce n'est pas parfait. Les pirates peuvent acheter des tables arc-en-ciel pré-remplies remplies de millions de combinaisons potentielles.

Avantages : Peut comprendre des mots de passe complexes en peu de temps ; accorde au pirate beaucoup de pouvoir sur certains scénarios de sécurité.

Inconvénients : Nécessite une énorme quantité d'espace pour stocker l'énorme table arc-en-ciel (parfois des téraoctets). De plus, les attaquants sont limités aux valeurs contenues dans la table (sinon, ils doivent ajouter une autre table entière).

Restez en sécurité : un autre problème délicat. Les tables arc-en-ciel offrent un large éventail de potentiels d'attaque. Évitez les sites qui utilisent SHA1 ou MD5 comme algorithme de hachage de mot de passe. Évitez les sites qui vous limitent à des mots de passe courts ou restreignent les caractères que vous pouvez utiliser. Utilisez toujours un mot de passe complexe.

Connexe: Comment savoir si un site stocke les mots de passe en clair (et que faire)

6. Logiciel malveillant/enregistreur de frappe

Un autre moyen sûr de perdre vos identifiants de connexion est de tomber sous le coup de logiciels malveillants. Les logiciels malveillants sont partout, avec le potentiel de faire des dégâts énormes. Si la variante du malware dispose d'un keylogger, vous pourriez trouver tous vos comptes compromis.

Alternativement, le malware pourrait cibler spécifiquement des données privées ou introduire un cheval de Troie d'accès à distance pour voler vos informations d'identification.

Avantages : Des milliers de variantes de logiciels malveillants, de nombreuses personnalisables, avec plusieurs méthodes de diffusion simples. Il y a de fortes chances qu'un nombre élevé de cibles succombe à au moins une variante. Il peut passer inaperçu, ce qui permet de collecter davantage de données privées et d'identifiants de connexion.

Inconvénients : Risque que le malware ne fonctionne pas ou soit mis en quarantaine avant d'accéder aux données ; aucune garantie que les données sont utiles.

Restez en sécurité : Installez et mettez à jour régulièrement vos logiciels antivirus et antimalware . Considérez attentivement vos sources de téléchargement. Ne cliquez pas sur les packages d'installation contenant des bundleware et plus encore. Évitez les sites malveillants (plus facile à dire qu'à faire). Utilisez des outils de blocage de scripts pour arrêter les scripts malveillants.

7. Araignée

Spidering est lié à l'attaque par dictionnaire. Si un pirate informatique cible une institution ou une entreprise spécifique, il peut essayer une série de mots de passe relatifs à l'entreprise elle-même. Le pirate pourrait lire et rassembler une série de termes connexes ou utiliser une araignée de recherche pour faire le travail à leur place.

Vous avez peut-être déjà entendu le terme "araignée". Ces araignées de recherche sont extrêmement similaires à celles qui rampent sur Internet, indexant le contenu pour les moteurs de recherche. La liste de mots personnalisée est ensuite utilisée contre les comptes d'utilisateurs dans l'espoir de trouver une correspondance.

Avantages : Peut potentiellement déverrouiller des comptes pour des personnes de haut rang au sein d'une organisation. Relativement facile à assembler et ajoute une dimension supplémentaire à une attaque par dictionnaire.

Inconvénients : Pourrait être infructueux si la sécurité du réseau organisationnel est bien configurée.

Restez en sécurité : encore une fois, n'utilisez que des mots de passe forts à usage unique composés de chaînes aléatoires ; rien de lié à votre personnalité, votre entreprise, votre organisation, etc.

8. Surf d'épaule

La dernière option est l'une des plus basiques. Que se passe-t-il si quelqu'un regarde par-dessus votre épaule pendant que vous saisissez votre mot de passe ?

Le surf sur les épaules semble un peu ridicule, mais cela arrive. Si vous travaillez dans un café animé du centre-ville et que vous ne faites pas attention à votre environnement, quelqu'un pourrait s'approcher suffisamment pour noter votre mot de passe pendant que vous tapez.

Avantages : Approche à faible technologie pour voler un mot de passe.

Inconvénients : doit identifier la cible avant de trouver le mot de passe ; pourraient se révéler en train de voler.

Restez en sécurité : restez attentif à ceux qui vous entourent lorsque vous saisissez votre mot de passe. Couvrez votre clavier et masquez vos touches pendant la saisie.

Utilisez toujours un mot de passe fort, unique et à usage unique

Alors, comment empêcher un pirate de voler votre mot de passe ? La réponse vraiment courte est que vous ne pouvez pas vraiment être en sécurité à 100 pour cent . Les outils que les pirates utilisent pour voler vos données changent tout le temps et il existe d'innombrables vidéos et tutoriels pour deviner des mots de passe ou apprendre à pirater un mot de passe.

Une chose est sûre : l'utilisation d'un mot de passe fort, unique et à usage unique ne fait de mal à personne.