Quelle est la solution ?
Comment un mot de passe se fait-il pirater ?
Les cybercriminels disposent de plusieurs tactiques de piratage de mot de passe, mais l’une des plus simples consiste à acheter vos mots de passe sur le Dark Web. L’achat et la vente d’informations d’identification et de mots de passe sur le marché noir mettent en jeu des sommes importantes et si vous utilisez le même mot de passe depuis plusieurs années, il y a des chances qu’il soit compromis.
Mais si vous avez été assez avisé pour conserver vos mots de passe hors des listes du marché noir, les cybercriminels doivent les craquer. Et dans ce cas, ils sont obligés d’utiliser l’une des méthodes ci-dessous. Ces attaques peuvent être dirigées contre vos comptes ou contre une base de données de mots de passe chiffrés.
Attaque par force brute
Cette attaque tente de deviner toutes les combinaisons jusqu’à obtenir la vôtre. L’attaquant automatise un logiciel afin d’essayer le plus de combinaisons possibles sur une durée réduite et cette technologie a connu certaines avancées regrettables. En 2012, un pirate assidu a dévoilé un cluster de 25 GPU qu’il a programmé pour craquer n’importe quel mot de passe Windows de 8 caractères comprenant des majuscules et des minuscules, des chiffres et des symboles en moins de 6 heures. Il a la capacité d’essayer 350 milliards de possibilités par secondes.
Certaines attaques de force brute utilisent des filtres et des masques pour réduire l’espace de recherche possible, leur permettant d’arriver à votre mot de passe unique encore plus rapidement. Tout ce qui présente moins de 9 à 12 caractères est vulnérable. Les attaques de force brute nous ont au moins appris que la taille d’un mot passe est très importante. Plus il est long, plus il est bon !
Attaque par dictionnaire
Cette attaque est exactement ce qu’elle semble être, le pirate vous attaque essentiellement avec un dictionnaire ! Là où la force brute essaie toutes les combinaisons de symboles, de nombres et de lettres, l’attaque par dictionnaire essaie une liste de mots préétablie comme dans un dictionnaire.
Si votre mot de passe est effectivement un mot ordinaire, vous pourrez survivre à une attaque par dictionnaire uniquement si ce mot est très inhabituel ou si vous utilisez des phrases avec plusieurs mots, comme LessiveZèbreServietteBleu. Ces mots de passe d’une phrase à mots multiples déjouent les attaques par dictionnaire, ce qui réduit le nombre de variations possibles au nombre de mots que nous pourrions utiliser à la puissance exponentielle du nombre de mots que nous utilisons, comme expliqué dans la vidéo de Computerphile « How to Choose a Password » (vidéo en anglais).
Hameçonnage
La plus détestable des tactiques, le phishing, consiste à vous tromper, à vous intimider ou à faire pression sur vous par ingénierie sociale pour que vous fassiez involontairement ce que souhaitent les cybercriminels. Un e-mail de phishing peut vous prévenir (faussement) d’un problème avec votre compte de carte bancaire. Il vous oriente vers un lien cliquable qui vous renvoie à un faux site Internet, conçu pour ressembler à celui de votre banque. Les arnaqueurs retiennent leur souffle en espérant que leur ruse fonctionnera et que vous saisirez votre mot de passe. Une fois que vous l’avez saisi, ils l’ont.
Les arnaques par hameçonnage peuvent aussi essayer de vous piéger via des appels téléphoniques. Soyez méfiant avec les appels automatisés prétendant concerner votre compte de carte bancaire.
Vous remarquerez que le message d’accueil ne précise pas de quelle carte bancaire il s’agit. C’est une sorte de test pour voir si vous raccrochez immédiatement ou si vous vous faites « prendre ». Si vous restez en ligne, vous serez mis en relation avec une personne réelle qui fera tout ce qu’elle peut pour vous soutirer le maximum de données sensibles, y compris vos mots de passe.
L'anatomie d'un mot de passe sûr
Maintenant que nous savons comment les mots de passe sont piratés, nous pouvons créer des mots de passe sûrs qui déjouent chaque attaque (néanmoins la meilleure façon de déjouer une arnaque de phishing reste de ne pas se laisser piéger). Vous pouvez utiliser notre générateur de mot de passe qui sort des mots de passe sûrs et aléatoires. Dans tous les cas, vous pouvez suivre ces trois règles de base afin que votre mot de passe devienne indéchiffrable : Soyez malin !
- Évitez ce qui est évident.
- N’utilisez jamais de séquences de chiffres ou de lettres, et par-dessus tout,
- N’utilisez pas « mot de passe ».
Trouvez des mots de passe uniques qui ne comprennent aucune information personnelle telle que votre nom ou votre date de naissance. Si vous êtes la cible spécifique d’un piratage de mot de passe, le pirate saisira toutes les informations qu’il détient sur vous dans ses tentatives de déchiffrage.
Évitez donc les mots de passe simples comme 123456, azerty, 111111, motdepasse, abc123, votre date de naissance ou toute information facile à deviner.
Peut-il être attaqué par force brute ?
Gardez à l’esprit la nature d’une attaque par force brute, vous pouvez prendre des mesures spécifiques pour rester hors de portée de ces attaques :
- Optez pour la longueur. La taille est le facteur le plus important. Ne choisissez rien de moins de 15 caractères, et plus si possible.
- Utilisez un mélange de caractères. Plus vous mélangez les lettres (majuscules et minuscules), les chiffres et les symboles, plus votre mot de passe est puissant, et plus il est difficile à déchiffrer pour une attaque par force brute.
- Évitez les substitutions courantes. Ceux qui piratent les mots de passe sont habitués aux substitutions classiques. Que vous utilisiez MOTDEPASSE ou M0T2P4SSE, l’attaquant par force brute le déchiffrera tout aussi facilement. Actuellement, le placement de caractères aléatoires est bien plus efficace que les substitutions « langage texto ».
- N’utilisez pas de suite de clavier. Tout comme le conseil de ne pas utiliser de lettres ou de chiffres séquentiels, n’utilisez pas de suite de clavier non plus (comme azerty). Ce sont les premiers à être devinés
