Slate – Alors que les cyberattaques se multiplient, chacun d’entre nous peut potentiellement y être confronté. Certes, nous avons tous nos astuces pour les mots de passe que nous utilisons dans nos ordinateurs et nos portables : cachés sous un clavier, écrits sur un bout de papier ou issus de la date d’anniversaire du petit dernier.
Mais comment faire pour s’assurer que son mot de passe est véritablement in-cra-qua-ble?
De nombreuses études constatent qu’une part importante des mots de passe ne protègent pas suffisamment les utilisateurs: ils sont trop faibles et trop souvent réutilisés. Par exemple, 51% des Français utiliseraient le même mot de passe pour des usages professionnels et personnels –une statistique que l’on retrouve aux États-Unis.
À partir d’un mot de passe, les cybercriminels pourront récupérer des informations privées en se connectant à nos comptes en ligne (messageries, réseaux sociaux, etc.), notamment nos comptes bancaires ou de e-commerce, mais aussi pénétrer sur notre ordinateur et en chiffrer le contenu en vue d’obtenir une rançon.
Le vol d’un mot de passe peut avoir des conséquences financières, mais aussi psychologiques à travers des pratiques comme le doxxing (publier des informations sur l’identité ou la vie privée d’une personne dans le but de lui nuire) ou le revenge porn. Dans le cadre professionnel, les fuites de mot de passe exposent l’entreprise à des attaques par chantage, à des dénis de service (des cyberattaques consistant à interrompre ou malmener le service fourni par un tiers), ou encore à de l’espionnage économique.
Comment un fraudeur récupère-t-il des mots de passe?
Les deux grandes approches utilisées par les cybercriminels pour récupérer des mots de passe sont l’ingénierie sociale et le vol de bases de données d’identifiants.
L’ingénierie sociale consiste pour le cybercriminel à convaincre sa victime de révéler son mot de passe en ayant, typiquement, recours à l’hameçonnage: la grande majorité des attaques ne ciblent pas une victime prédéfinie et ces attaques de masse ont pour but d’hameçonner des victimes quelconques. C’est seulement dans un second temps que le cybercriminel concentrera ses forces sur la personne hameçonnée.
Quant au vol de bases de données d’identifiants, l’attaque consiste généralement à pirater un site web pour voler les noms et mots de passe des utilisateurs afin de se connecter sur le compte des victimes, de les utiliser sur d’autres comptes (par exemple, le fraudeur testera les identifiants Google de sa victime sur Twitter) ou de les revendre sur le dark web. Le site web Have I been pwned? permet à chacun de vérifier si son mot de passe a fuité sur internet; il recense actuellement presque 12 milliards de comptes dont les identifiants ont fuité.
Dans la majorité des cas, ces bases de données d’identifiants ne contiennent pas des mots de passe, mais des empreintes de mots de passe: l’empreinte est le résultat d’une fonction dite «à sens unique» qui est appliquée sur le mot de passe. Par analogie, l’empreinte est au mot de passe ce que l’empreinte digitale est à l’humain: deux mots de passe différents ont des empreintes différentes et étant donné une empreinte, on ne peut pas identifier l’humain. Mais étant donné une empreinte et un humain, on peut dire si l’empreinte provient de cet humain. Dans le cas des mots de passe, on ne peut donc pas retrouver le retrouver à partir de son empreinte, mais on peut tester un mot de passe pour voir s’il correspond à l’empreinte: on dit alors que le mot de passe est cassé.
Les casseurs de mots de passe utilisent différentes approches pour tester les mots de passe les plus probables: d’abord les plus courts, puis les mots du dictionnaire et leurs variantes (par exemple «repas», puis «Repas», «RepaS», «saper», «repas1»…) et les mots de passe fortement structurés (par exemple démarrant par une majuscule, puis des minuscules, des chiffres et enfin des caractères spéciaux). Les casseurs modernes peuvent également utiliser des techniques évoluées reposant sur l’intelligence artificielle ou l’algorithmique.
Enfin, tous les mots de passe possibles sont testés si les autres tentatives ont échoué: c’est ce que l’on appelle une recherche exhaustive, qui a généralement peu d’espoir de rencontrer un succès en un temps raisonnable. Notamment, les attaques qui consistent à tester directement sur un site web différents mots de passe pour un utilisateur donné jusqu’à réussir à se connecter sont peu praticables: elles sont très lentes à cause du temps de réponse du serveur web et facilement détectables.
Qu’est-ce qu’un mot de passe robuste?
Pour se protéger efficacement, il faut utiliser des mots de passe robustes, ne pas utiliser un même mot de passe pour plusieurs usages et en changer régulièrement.
Pour qu’un mot de passe soit robuste, il faut qu’il soit choisi aléatoirement dans un ensemble de mots de passe ayant la même chance d’être choisis: par exemple, un mot présent dans le dictionnaire serait cassé en une poignée de secondes. Ajouter une majuscule ou des chiffres à la fin n’apporte qu’une sécurité illusoire.
et
Source : Slate (France)
Diffusion partielle ou totale interdite sans la mention : Source www.kassataya.com
