Alors que les cyberattaques se multiplient, chacun d’entre nous peut potentiellement y être confronté. Certes, nous avons tous nos astuces pour les mots de passe que nous utilisons dans nos ordinateurs et nos portables : cachés sous un clavier, écrits sur un bout de papier ou issus de la date d’anniversaire du petit dernier.
Mais comment faire pour s’assurer que son mot de passe est véritablement in-cra-qua-ble ?
De nombreuses études constatent qu’une part importante des mots de passe ne protègent pas suffisamment les utilisateurs : les mots de passe sont trop faibles et trop souvent réutilisés. Par exemple, 51 % des Français utiliseraient le même mot de passe pour des usages professionnels et personnels – une statistique que l’on retrouve aux États-Unis.
À partir d’un mot de passe, les cybercriminels pourront récupérer des informations privées en se connectant à nos comptes en ligne (messageries, réseaux sociaux, etc.), notamment nos comptes bancaires ou de e-commerce, mais aussi pénétrer sur notre ordinateur et en chiffrer le contenu en vue d’obtenir une rançon.
Le vol d’un mot de passe peut avoir des conséquences financières, mais aussi psychologiques à travers des pratiques comme le « doxxing » (publier des informations sur l’identité ou la vie privée d’une personne dans le but de lui nuire) ou le « revenge porn ». Dans le cadre professionnel, les fuites de mot de passe exposent l’entreprise à des attaques par chantage, à des « dénis de service » (des cyberattaques consistant à interrompre ou malmener le service fourni par un tiers), ou encore à de l’espionnage économique.
Read more:
Cryptographie : comment ma carte à puce résiste-t-elle aux attaques ?
Comment un fraudeur récupère-t-il des mots de passe ?
Les deux grandes approches utilisées par les cybercriminels pour récupérer des mots de passe sont l’ingénierie sociale et le vol de bases de données d’identifiants.
L’ingénierie sociale consiste pour le cybercriminel à convaincre sa victime de révéler son mot de passe en ayant, typiquement, recours à l’hameçonnage : la grande majorité des attaques ne ciblent pas une victime prédéfinie et ces attaques de masse ont pour but d’hameçonner des victimes quelconques. C’est seulement dans un second temps que le cybercriminel concentrera ses forces sur la personne hameçonnée.
Quant au vol de bases de données d’identifiants, l’attaque consiste généralement à pirater un site web pour voler les noms et mots de passe des utilisateurs afin de se connecter sur le compte des victimes, de les utiliser sur d’autres comptes (par exemple, le fraudeur testera les identifiants Google de sa victime sur Twitter) ou de les revendre sur le dark web. Le site web « Have I been pwned ? » permet à chacun de vérifier si son mot de passe a fuité sur Internet ; il recense actuellement presque 12 milliards de comptes dont les identifiants ont fuité.
Dans la majorité des cas, ces bases de données d’identifiants ne contiennent pas des mots de passe, mais des empreintes de mots de passe : l’empreinte est le résultat d’une fonction dite « à sens unique » qui est appliquée sur le mot de passe. Par analogie, l’empreinte est au mot de passe ce que l’empreinte digitale est à l’humain : deux mots de passe différents ont des empreintes différentes et étant donné une empreinte, on ne peut pas identifier l’humain. Mais étant donné une empreinte et un humain, on peut dire si l’empreinte provient de cet humain. Dans le cas des mots de passe, on ne peut donc pas retrouver le mot de passe à partir de son empreinte, mais on peut tester un mot de passe pour voir s’il correspond à l’empreinte : on dit alors que le mot de passe est « cassé ».
Les casseurs de mots de passe utilisent différentes approches pour tester les mots de passe les plus probables : d’abord les plus courts, puis les mots du dictionnaire et leurs variantes (par exemple « repas », puis « Repas », « RepaS », « saper », « repas1 »…) et les mots de passe fortement structurés (par exemple démarrant par une majuscule, puis des minuscules, des chiffres et enfin des caractères spéciaux).
Les casseurs modernes peuvent également utiliser des techniques évoluées reposant sur l’intelligence artificielle ou l’algorithmique.
Enfin, tous les…
La suite est à lire sur: theconversation.com
Auteur: Diane Leblanc-Albarel, Doctorante en Cybersécurité, INSA Rennes
