On entend régulièrement parler de vol de données, de piratage de compte twitter…etc. C’est devenu une pratique malheureusement très commune. Afin de mieux vous prémunir contre ces attaques, nous allons énumérer les méthodes les plus fréquemment utilisées par les hackers.
La force brute ou bruteforce
La méthode qui consiste à essayer toutes les conbinaisons possibles s’appelle l’attaque par force brute ou bruteforce. Un hackeur peut demander à un ordinateur de prendre un compte et potentiellement tester des milliers de mots de passe par seconde. Les mots de passe courts et dépourvus de caractères spéciaux sont ainsi particulièrement vulnérables. Mais dès que le mot de passe se rallonge, la difficulté pour l’ordinateur augmente de façon exponentielle.
Si la longueur et la complexité du mot de passe restent un gage de solidité, des techniques informatiques existent pour rendre la force brute plus efficace. Dans la variante de l’attaque par dictionnaire, l’ordinateur essaye en premier une série de mots courants, par exemple des mots du dictionnaire, ainsi que certains des mots de passe les plus fréquemment usités. D’autres procédés, comme la table arc-en-ciel, reposent sur des raisonnements mathématiques plus complexes.
Nombreux sont les utilisateurs à recourir aux mêmes mots de passe extrêmement simples, tels que « 12345 » ou « azerty ». Cela a inspiré certains hackeurs à mettre au point la technique de la force brute inversée. Elle consiste à prendre un mot de passe répandu et à l’essayer au hasard sur des utilisateurs, jusqu’à ce que cela marche.
L'ingénierie sociale
Le phishing ou hameçonnage
Parmi les techniques les plus simples et les plus efficaces de vol de mots de passe, on retrouve ainsi celles qui impliquent de tromper ou manipuler l’utilisateur. L’hameçonnage (ou phishing) consiste à créer site Internet factice prenant l’apparence d’un service populaire, et à inciter l’utilisateur à y saisir son mot de passe.
Les questions de sécurité
Une autre technique permet, quand les services sont peu sécurisés, de réinitialiser le mot de passe grâce aux questions de sécurité comme « Quel était le nom de votre premier animal de compagnie ? » ou « Dans quelle ville avez-vous décroché votre premier emploi ? ». Les réponses à ces questions peuvent souvent être dénichées sur les comptes Facebook ou Twitter.
Man in the middle ou l'homme du milieu
C’est une famille d’attaques très utilisées pour espionner les communications d’un utilisateur à son insu. Le hackeur peut par exemple compromettre un point Wifi public qui n’est pas protégé par un mot de passe ou qui ne chiffre pas ses communications de façon à observer tout le trafic Internet qui passe par celui-ci, y compris les mots de passe saisis sur des sites Web.
On peut également envoyer un petit virus-espion à l’intérieur de la machine de l’utilisateur. Ce cheval de Troie peut par exemple enregistrer tout ce qui est tapé au niveau du clavier : on parle alors d’un keylogger. Heureusement ce genre d’attaques ne se produit pas tous les jours. Il reste tout de même conseillé de ne pas se connecter à n’importe lequel de ses comptes sur un réseau Wifi ou un ordinateur public.
Piratage de services
Plutôt que de s’attaquer individuellement à quelques utilisateurs négligents, le hacker sera tenté de pirater le site service web entier et dérober tous les mots de passe qui s’y trouvent ? Cela arrive très régulièrement, Yahoo, Google, Uber, personne n’est épargné. Une victime récente est Doctolib victime d'un vol de données.
Que faire pour se protéger ?
Le conseil le plus évident est d’avoir un mot de passe long et donc difficile à pirater. Plutôt qu’un « mot », on privilégierait une « phrase de passe », c’est-à-dire une suite de mots collés les uns aux autres, en rajoutant si possible des caractères spéciaux et des chiffres. Il faut essayer d’avoir un mot de passe différent pour chaque compte, et bien entendu le changer immédiatement après l’annonce d’un piratage de la plateforme.
Tout cela est pourtant plus simple à dire qu’à faire. Chacun d’entre nous possède aisément jusqu’à une centaine de comptes sur Internet, rendant vite irréaliste l’idée d’avoir un mot de passe complètement différent pour chacun. C’est pour cela que la solution privilégiée en matière de sécurité informatique est le gestionnaire de mots de passe. Ce type de logiciel est une sorte de coffre-fort renfermant tous ses mots de passe. L’utilisateur n’a plus à se souvenir que d’une seule et unique clé, celle qui permet d’ouvrir le coffre.