Préservez la confidentialité de vos données et de vos mots de passe avec Avast Secure Browser pour iOS
- Sécurité
- Confidentialité
- Performances
N’importe qui peut facilement deviner vos mots de passe à l’aide d’outils gratuits de piratage de mot de passe. Le pirate peut utiliser un outil de recherche automatisée des mots de passe pour repérer sa cible, puis déployer un autre outil pour décoder ces mots de passe. Découvrez les méthodes actuelles de déchiffrement de mot de passe et comment configurer votre propre chien de garde numérique avec Avast BreachGuard.
/Academy-The-top-password-cracking-techniques-used-by-hackers-Hero.jpg?width=1200&name=Academy-The-top-password-cracking-techniques-used-by-hackers-Hero.jpg)
Le décodage, ou cracking de mots de passe consiste pour le pirate à découvrir des mots de passe en texte clair ou déchiffrer des mots de passe codés sur un ordinateur. Les outils de décodage de mots de passe exploitent la puissance des ordinateurs pour décoder les mots de passe par tâtonnement, mais aussi à l’aide d’algorithmes spécialisés.
Cette article contient :
Si le pirate découvre votre mot de passe, il peut voler votre identité, vos autres mots de passe et vous empêcher d’accéder à vos comptes. Il peut aussi mettre en place des attaques de phishing pour vous forcer à divulguer des données sensibles, à installer des logiciels espions sur vos appareils ou revendre vos données à des courtiers en données.
Le meilleur moyen de vous protéger des cybercriminels et du cybercrime comme le vol de mots de passe est de faire appel à votre bon sens, mais aussi à des solutions de sécurité modernes.
La première chose à faire pour éviter le piratage de votre mot de passe est de créer des mots de passe uniques et longs pour chacun de vos comptes. Bien sûr, il est plus simple d’utiliser la date d’anniversaire de votre chien pour tous vos mots de passe, mais cela simplifie également la tâche pour les pirates.
Il est aussi pratique de laisser le navigateur enregistrer tous vos mots de passe. Mais si quelqu’un prend le contrôle de votre ordinateur, soit à distance, soit en personne, il aussi peut prendre le contrôle de vos mots de passe. C’est l’un des nombreux éléments à prendre en considération lorsque vous enregistrez vos mots de passe dans le navigateur et cela explique pourquoi il est plus sûr d’utiliser un gestionnaire de mots de passe.
Avec les progrès de la technologie, il est aussi plus facile pour les pirates de deviner les mots de passe. Bien que certains des meilleurs gestionnaires de mots de passe puissent se défendre face aux outils de décodage de mot de passe, le meilleur moyen de renforcer votre protection est d’en apprendre un peu plus sur les techniques les plus utilisées dans ce domaine.
Un algorithme de hachage est un chiffrement à sens unique qui transforme un mot de passe en texte brut en une suite de lettres, de chiffres et de caractères spéciaux. Il est quasiment impossible d’inverser un algorithme de hachage, mais les pirates peuvent retrouver le mot de passe original à l’aide d’un logiciel de décodage de mots de passe.
Dès que les pirates arrivent à déchiffrer un algorithme de hachage, de nouveaux hachages, plus récents et plus sûrs, sont créés. Parmi les algorithmes de hachage les plus répandus, on retrouve MD5 (Message Digest Algorithm 5) et SHA (Secure Hashing Algorithm), même si ceux-ci sont désormais obsolètes. L’un des algorithmes de chiffrement de mot de passe les plus puissants actuellement est bcrypt.
La première étape pour décoder un mot de passe consiste à en voler la version chiffrée, souvent en piratant l’ordinateur ou le réseau qui contient le mot de passe. Les pirates peuvent ainsi cibler les vulnérabilités logicielles d’une entreprise à l’aide d’exploits ou d’autres méthodes de piratage afin de récupérer des mots de passe.
Ensuite, il s’agit simplement de choisir les bonnes techniques et les bons outils. Les particuliers ne sont en général pas la cible principale des pirates, l’objectif étant de ratisser le plus large possible afin de récupérer un maximum de mots de passe.
Tous les jours, de nouvelles méthodes de piratage des mots de passe font leur apparition. Heureusement pour les pirates, les habitudes humaines en matière de mots de passe ne suivent pas la même tendance. La plupart des programmes et des algorithmes classiques, basés sur l’application de règles, sont encore très efficaces lorsqu’il s’agit de prédire les choix des utilisateurs en matière de mots de passe.
Parfois, le pirate n’a simplement qu’à attendre une fuite de données contenant des millions de mots de passe et d’informations personnelles. Les pirates partagent ou revendent souvent les données sensibles qu’ils trouvent. Il est donc intéressant d’utiliser un logiciel de protection de la vie privée comme Avast BreachGuard afin d’éviter que des entreprises ne revendent vos informations personnelles, mais aussi pour vous protéger des curieux sur les réseaux sociaux et pour savoir si vos données sensibles font surface quelque part.
Voici quelques-unes des techniques de piratage de mots de passe les plus courantes :
On parle d’attaque par force brute lorsqu’un pirate essaie de deviner (« craquer ») un mot de passe via un très grand nombre d’approximations successives. Les attaques inverses par force brute visent à deviner un nom d’utilisateur via la même méthode. Les attaques par force brute sont simples et efficaces.
Les ordinateurs récents sont capables de déchiffrer un mot de passe ou un identifiant alphanumérique de huit caractères en quelques heures. Il existe sur le web de très nombreux outils de force brute qui permettent de deviner pratiquement n’importe quelles informations d’identification, par exemple l’outil Brutus, qui est l’un des plus connus et des plus utilisés.
Le fait d’utiliser un mot obscur ne vous aidera en rien : le pirate est capable d’écumer tous les dictionnaires connus en quelques instants.
Les pires mots de passe sont ceux constitués de suites de lettres et de chiffres, d’expressions ou de mots courants ou bien d’informations vous concernant qui sont publiques ou faciles à trouver. Ces mots de passe simples sont extrêmement faciles à deviner par force brute et ils peuvent facilement se retrouver pris dans une fuite de données.
Les pirates compilent les noms d’utilisateur et les mots de passe trouvés dans une liste qu’ils réutilisent pour attaquer les réseaux et les systèmes selon une technique appelée recyclage d’identifiants. Ce cycle de piratage revient sans cesse, et vos données personnelles sont au cœur de ces attaques.
/img_01.png?width=1320&name=img_01.png)
Les attaques par force brute sont particulièrement efficaces contre les mots de passe faciles à deviner
On parle d’attaque par dictionnaire quand une attaque par force brute se limite à un certain nombre de possibilités, en se basant sur un dictionnaire ou sur une liste de mots. Les attaques par dictionnaire ciblent les mots de passe qui utilisent des combinaisons de mots, des variations orthographiques, des mots dans d’autres langues ou des mots obscurs qui sont trop difficiles à deviner via une attaque par force brute.
Comme les attaques par dictionnaire ont recours à une liste de mots existants, les mots de passe qui comportent des caractères spéciaux sont bien moins prévisibles et donc plus sûrs face à ce genre d’attaques. Malgré cela, de nombreux utilisateurs choisissent des mots très courants pour pouvoir les retenir plus facilement.
Le fait d’utiliser un mot obscur ne vous aidera en rien : le pirate est capable d’écumer tous les dictionnaires connus en quelques instants.
Les attaques par masque réduisent la charge de travail nécessaire à une attaque par force brute en réutilisant les parties du mot de passe que le pirate connaît déjà. Si le pirate sait par exemple que votre mot de passe comporte 10 caractères, il peut limiter son attaque aux mots de passe qui correspondent à cette longueur.
Les attaques par masque peuvent filtrer certains mots ou certains chiffres selon une plage définie, selon les caractères spéciaux que l’utilisateur a tendance à utiliser ou bien selon toute autre caractéristique que le pirate est certain de connaître. Et si une partie de vos données a fuité, cela vous rend encore plus vulnérable à une fuite de données complète.
L’ingénierie sociale est une technique employée par les criminels pour manipuler les personnes de façon à ce qu’elles divulguent des informations sensibles. Un pirate peut récupérer un mot de passe par ingénierie sociale en se faisant passer pour un membre du support technique afin que la victime lui confie son mot de passe.
Il est souvent plus facile de gagner la confiance d’une personne que d’accéder à son ordinateur, en particulier si cette personne n’est pas très compétente techniquement.
/img_02.png?width=1320&name=img_02.png)
Les cybercriminels peuvent récupérer vos mots de passe via des arnaques au support informatique ou d’autres techniques.
L’ingénierie sociale se présente sous de très nombreuses formes, en particulier à l’ère des réseaux sociaux. Vous avez déjà vu ces petits questionnaires sur les réseaux sociaux, qui vous demandent par exemple de donner le nom de votre rue ou celui de votre premier animal de compagnie pour vous créer un nom de super-héros ? Le pirate peut appliquer des techniques d’ingénierie sociale pour essayer de deviner les réponses à vos questions de récupération de mot de passe.
On parle de spidering ou d’aspiration quand les pirates parcourent systématiquement tous les comptes de réseaux sociaux, toutes les campagnes marketing et tous les documents d’une entreprise afin de constituer une liste de mots à utiliser dans une attaque par dictionnaire ou une attaque par force brute. Cette technique peut se transformer en ingénierie sociale lorsque les pirates infiltrent les entreprises pour trouver des manuels ou des documents de formations remplis de mots clés.
En étudiant les produits de cette entreprise, le pirate peut récupérer le jargon, la terminologie, les slogans et tous les éléments de langage nécessaires à la création d’une liste de mots. Les mots de passe par défaut des entreprises sont souvent liés à l’identité de la société et ne sont souvent jamais modifiés.
Les employés sont également susceptibles de choisir des mots de passe en lien avec leur travail, pour les retenir plus facilement. Dans le cas des grandes entreprises, cette technique est particulièrement efficace, car les documents à analyser sont très nombreux. Il y a de fortes chances pour qu’un ou deux mots de passe finissent par tomber entre les mains d’un pirate.
Le shoulder surfing, une technique de piratage visuel, est une forme d’ingénierie sociale qui consiste à regarder par-dessus l’épaule de quelqu’un lorsque cette personne entre ses informations d’identification. Cette forme de piratage est couramment utilisée pour deviner les codes de carte bancaire dans un distributeur de billets, ce qui explique pourquoi nous sommes en général très attentifs à ce qui nous entoure lorsque nous retirons de l’argent.
Mais les pirates peuvent aussi deviner de la même manière le mot de passe de votre adresse e-mail pour obtenir plus d’informations ou bien surveiller ce que vous tapez sur le clavier de l’ordinateur d’un cybercafé.
/img_03.png?width=1320&name=img_03.png)
Les pirates qui utilisent le shoulder surfing vous espionnent pour essayer de vous voler vos mots de passe.
Le décodage hors ligne consiste à télécharger les mots de passe chiffrés pour pouvoir travailler dessus de façon plus efficace et plus sécurisée. Les attaques en ligne peuvent être rapidement détectées et déclencher un verrouillage des comptes après plusieurs tentatives, et elles sont limitées par la bande passante du réseau. Dans le cas du décodage hors ligne, le pirate reste invisible et il peut essayer de tester un nombre illimité de connexions. Il n’est limité que par la puissance de son propre ordinateur.
Les mots de passe hachés peuvent être tirés directement d’une base de données selon une technique connue comme l’injection SQL. Si le pirate arrive à s’octroyer des privilèges d’administrateur, c’en est terminé pour tous les mots de passe sur le système administrateur. En apprenant comment protéger les fichiers et les dossiers par des mots de passe, les administrateurs peuvent se prémunir d’une fuite catastrophique de mots de passe.
Si aucune des autres techniques ne donne de résultat, les cybercriminels peuvent travailler ensemble à essayer de deviner le mot de passe. Plusieurs cerveaux réunis sont en effet bien meilleurs qu’un cerveau seul.
Et avec les réseaux actuels, il suffit de quelques clics et d’un peu de savoir-faire pour récupérer les informations souhaitées sur un internaute. Et avec des outils modernes de décodage de mots de passe et toutes ces technologies à leur disposition, ce n’est qu’une question de temps avant que le pirate ne devine un mot de passe non sécurisé.
En plus des techniques et des programmes à leur disposition, les pirates peuvent s’appuyer sur de puissants outils de piratage de mots de passe pour récupérer les données brutes des utilisateurs pour leurs opérations de piratage. Toute information permettant d’identifier une personne représente une certaine valeur pour le pirate.
Les cybercriminels les plus malins pourront facilement rassembler toutes les pièces du puzzle et procéder au piratage. Les groupes de pirates se transmettent les mots de passe chiffrés, les profils des utilisateurs, les numéros de carte bancaire et toutes les autres informations intéressantes sur le Dark Web. Une recherche sur le Dark Web peut vous avertir si vos données y sont présentes.
/img_04.png?width=1320&name=img_04.png)
Si vos informations d’identification sont prises dans une fuite de données, elles peuvent finir par atterrir sur le Dark Web.
Les analyseurs réseau peuvent inspecter et analyser le trafic du réseau, y compris les paquets qui contiennent des données utilisateur sensibles. Un malware peut ainsi installer un analyseur pour espionner les données qui transitent sur un réseau ou bien une personne disposant d’un accès physique à un commutateur réseau peut y brancher un analyseur réseau.
Les analyseurs réseau sont très dangereux car ils n’ont pas besoin d’exploits ou de failles de sécurité. Une fois que l’analyseur réseau a détecté les paquets, un outil de capture des paquets peut à son tour voler les mots de passe qui s’y trouvent.
Un outil de capture de paquets peut fonctionner comme un renifleur qui repère les paquets de données qui transitent sur le réseau. Une partie du paquet contient la source et la destination, tandis que l’autre partie est constituée des données qu’il transporte, par exemple les mots de passe.
En espionnant les paquets et en enregistrant les données qu’ils contiennent, les pirates peuvent progressivement compiler un profil des victimes potentielles avec un grand nombre de données pouvant servir à déchiffrer les mots de passe. Ils peuvent ensuite revendre ces informations au plus offrant, les échanger ou bien simplement rendre ces informations publiques, dans ce que l’on appelle une fuite de données.
Avec autant de sociétés et autres acteurs collectant de telles quantités de données, les pirates peuvent facilement y récupérer des informations privées vous concernant. Le choix le plus sûr est de faire appel à une technologie concurrente capable de répliquer et de mettre vos données hors de portée des pirates, par exemple un navigateur sécurisé avec des fonctionnalités anti-pistage.
Si un site web que vous consultez souvent est piraté, toutes les précautions que vous prenez autour de vos mots de passe et de vos informations personnelles n’ont plus d’importance. Les grandes entreprises du secteur technologique, les courtiers en données et tous les autres acteurs collectent vos données personnelles et les pirates sont là, tapis dans l’ombre, attendant la moindre opportunité pour s’en emparer.
Avast BreachGuard peut empêcher les entreprises de revendre vos données, surveiller vos mots de passe pour en vérifier le niveau de sécurité et vous alerter en cas de fuite de données. Protégez vos données : installez Avast BreachGuard dès aujourd’hui et protégez vos informations personnelles.
Disponible pour Mac
Disponible pour PC