Les 8 astuces les plus courantes utilisées pour pirater les mots de passe

Les 8 astuces les plus courantes utilisées pour pirater les mots de passe

Quand vous entendez « brèche de sécurité », à quoi pensez-vous ? Un pirate informatique malveillant assis devant des écrans recouverts de texte numérique de style Matrix ? Ou un adolescent au sous-sol qui n'a pas vu la lumière du jour depuis trois semaines ? Que diriez-vous d'un puissant superordinateur essayant de pirater le monde entier ?





Le piratage ne concerne qu'une chose : votre mot de passe. Si quelqu'un peut deviner votre mot de passe, il n'a pas besoin de techniques de piratage sophistiquées ni de superordinateurs. Ils se connecteront simplement, agissant comme vous. Si votre mot de passe est court et simple, la partie est terminée.



Il existe huit tactiques courantes utilisées par les pirates pour pirater votre mot de passe.





1. Hack de dictionnaire

Le premier dans le guide des tactiques de piratage de mot de passe commun est l'attaque par dictionnaire. Pourquoi s'appelle-t-on une attaque par dictionnaire ? Parce qu'il essaie automatiquement chaque mot d'un « dictionnaire » défini par rapport au mot de passe. Le dictionnaire n'est pas strictement celui que vous utilisiez à l'école.

Non. Ce dictionnaire est en fait un petit fichier contenant également les combinaisons de mots de passe les plus couramment utilisées. Cela inclut 123456, azerty, mot de passe, iloveyou et le classique de tous les temps, hunter2.



que signifie 404 introuvable

Le tableau ci-dessus détaille les mots de passe les plus divulgués en 2016. Le tableau ci-dessous détaille les mots de passe les plus divulgués en 2020.

Notez les similitudes entre les deux et assurez-vous de ne pas utiliser ces options incroyablement simples.



Avantages: Rapide; débloquera généralement des comptes terriblement protégés.

Les inconvénients: Même les mots de passe légèrement plus forts resteront sécurisés.



Être prudent: Utilisez un mot de passe fort à usage unique pour chaque compte, en conjonction avec un application de gestion des mots de passe . Le gestionnaire de mots de passe vous permet de stocker vos autres mots de passe dans un référentiel. Ensuite, vous pouvez utiliser un mot de passe unique et ridiculement fort pour chaque site.

En rapport: Gestionnaire de mots de passe Google : comment commencer

2. Force brute

Ensuite, l'attaque par force brute, par laquelle un attaquant essaie toutes les combinaisons de caractères possibles. Les tentatives de mots de passe correspondront aux spécifications des règles de complexité, par ex. y compris une majuscule, une minuscule, des décimales de Pi, votre commande de pizza, etc.

Une attaque par force brute essaiera également d'abord les combinaisons de caractères alphanumériques les plus couramment utilisées. Ceux-ci incluent les mots de passe répertoriés précédemment, ainsi que 1q2w3e4r5t, zxcvbnm et qwertyuiop. Cela peut prendre très longtemps pour trouver un mot de passe à l'aide de cette méthode, mais cela dépend entièrement de la complexité du mot de passe.

Avantages: Théoriquement, il déchiffrera n'importe quel mot de passe en essayant toutes les combinaisons.

Les inconvénients: Selon la longueur et la difficulté du mot de passe, cela peut prendre un temps extrêmement long. Ajoutez quelques variables comme $, &, { ou ], et trouver le mot de passe devient extrêmement difficile.

Être prudent: Utilisez toujours une combinaison variable de caractères et, si possible, introduire des symboles supplémentaires pour augmenter la complexité .

3. Hameçonnage

Il ne s'agit pas à proprement parler d'un « piratage », mais être victime d'une tentative de phishing ou de spear-phishing se terminera généralement mal. Les e-mails de phishing généraux sont envoyés par milliards à toutes sortes d'internautes du monde entier.

Un e-mail de phishing fonctionne généralement comme ceci :

  1. L'utilisateur cible reçoit un e-mail falsifié prétendant provenir d'une organisation ou d'une entreprise majeure.
  2. Les e-mails falsifiés nécessitent une attention immédiate, comportant un lien vers un site Web.
  3. Ce lien se connecte en fait à un faux portail de connexion, conçu pour apparaître exactement de la même manière que le site légitime.
  4. L'utilisateur cible sans méfiance entre ses informations de connexion et est soit redirigé, soit invité à réessayer.
  5. Les informations d'identification des utilisateurs sont volées, vendues ou utilisées de manière malveillante (ou les deux).

Le volume quotidien de spam envoyé dans le monde reste élevé, représentant plus de la moitié de tous les e-mails envoyés dans le monde. De plus, le volume de pièces jointes malveillantes est également élevé avec Kaspersky notant plus de 92 millions de pièces jointes malveillantes de janvier à juin 2020. N'oubliez pas, c'est juste pour Kaspersky, donc le nombre réel est beaucoup plus élevé .

En 2017, le plus gros leurre de phishing était une fausse facture. Cependant, en 2020, la pandémie de COVID-19 a fourni une nouvelle menace de phishing.

En avril 2020, peu de temps après que de nombreux pays soient entrés en confinement pandémique, Google annoncé il bloquait plus de 18 millions d'e-mails de spam et de phishing malveillants sur le thème COVID-19 par jour. Un grand nombre de ces e-mails utilisent l'image de marque officielle du gouvernement ou d'une organisation de santé pour la légitimité et prennent les victimes au dépourvu.

Avantages: L'utilisateur remet littéralement ses informations de connexion, y compris les mots de passe, un taux de réussite relativement élevé, facilement adapté à des services spécifiques ou à des personnes spécifiques lors d'une attaque de spear-phishing .

Les inconvénients: Les spams sont facilement filtrés, les domaines de spam mis sur liste noire et les principaux fournisseurs comme Google mettent constamment à jour les protections.

Être prudent: Restez sceptique à l'égard des e-mails et augmentez votre filtre anti-spam à son niveau le plus élevé ou, mieux encore, utilisez une liste blanche proactive. Utilisation un vérificateur de liens pour vérifier si un lien e-mail est légitime avant de cliquer.

4. Ingénierie sociale

L'ingénierie sociale est essentiellement du phishing dans le monde réel, loin de l'écran.

Une partie essentielle de tout audit de sécurité consiste à évaluer ce que l'ensemble du personnel comprend. Par exemple, une entreprise de sécurité téléphonera à l'entreprise qu'elle audite. L''attaquant' dit à la personne au téléphone qu'elle est la nouvelle équipe d'assistance technique de bureau et qu'elle a besoin du dernier mot de passe pour quelque chose de spécifique.

Une personne sans méfiance peut remettre les clés sans réfléchir.

Ce qui est effrayant, c'est la fréquence à laquelle cela fonctionne. L'ingénierie sociale existe depuis des siècles. Faire preuve de duplicité pour entrer dans une zone sécurisée est une méthode d'attaque courante et contre laquelle on ne se garde que par l'éducation.

C'est parce que l'attaque ne demandera pas toujours directement un mot de passe. Il peut s'agir d'un faux plombier ou d'un électricien demandant à entrer dans un bâtiment sécurisé, etc.

Quand quelqu'un dit qu'il a été amené à révéler son mot de passe, c'est souvent le résultat d'une ingénierie sociale.

Avantages: Des ingénieurs sociaux qualifiés peuvent extraire des informations de grande valeur à partir d'un éventail de cibles. Il peut être déployé contre presque n'importe qui, n'importe où. C'est extrêmement furtif.

Les inconvénients: Un échec de l'ingénierie sociale peut susciter des soupçons quant à une attaque imminente et une incertitude quant à savoir si les informations correctes sont obtenues.

Être prudent : C'est une question délicate. Une attaque d'ingénierie sociale réussie sera terminée au moment où vous réaliserez que quelque chose ne va pas. L'éducation et la sensibilisation à la sécurité sont une tactique d'atténuation essentielle. Évitez de publier des informations personnelles qui pourraient être utilisées ultérieurement contre vous.

5. Table arc-en-ciel

Une table arc-en-ciel est généralement une attaque par mot de passe hors ligne. Par exemple, un attaquant a acquis une liste de noms d'utilisateur et de mots de passe, mais ils sont cryptés. Le mot de passe crypté est haché. Cela signifie qu'il est complètement différent du mot de passe d'origine.

Par exemple, votre mot de passe est (espérons-le pas !) logmein. Le hachage MD5 connu pour ce mot de passe est « 8f4047e3233b39e4444e1aef240e80aa ».

Du charabia pour vous et moi. Mais dans certains cas, l'attaquant exécutera une liste de mots de passe en clair via un algorithme de hachage, comparant les résultats à un fichier de mots de passe crypté. Dans d'autres cas, l'algorithme de chiffrement est vulnérable et la plupart des mots de passe sont déjà craqués, comme MD5 (d'où la raison pour laquelle nous connaissons le hachage spécifique pour « logmein ».

C'est là que la table arc-en-ciel prend tout son sens. Au lieu d'avoir à traiter des centaines de milliers de mots de passe potentiels et de faire correspondre leur hachage résultant, une table arc-en-ciel est un vaste ensemble de valeurs de hachage précalculées spécifiques à un algorithme.

L'utilisation d'une table arc-en-ciel réduit considérablement le temps nécessaire pour déchiffrer un mot de passe haché, mais ce n'est pas parfait. Les pirates peuvent acheter des tables arc-en-ciel pré-remplies remplies de millions de combinaisons potentielles.

Avantages: Peut comprendre des mots de passe complexes en peu de temps ; accorde au pirate beaucoup de pouvoir sur certains scénarios de sécurité.

Les inconvénients: Nécessite une énorme quantité d'espace pour stocker l'énorme table arc-en-ciel (parfois des téraoctets). De plus, les attaquants sont limités aux valeurs contenues dans la table (sinon, ils doivent ajouter une autre table entière).

minecraft en ligne sans téléchargement appuyez simplement sur play

Être prudent: Un autre délicat. Les tables arc-en-ciel offrent un large éventail de potentiels d'attaque. Évitez les sites qui utilisent SHA1 ou MD5 comme algorithme de hachage de mot de passe. Évitez les sites qui vous limitent à des mots de passe courts ou restreignent les caractères que vous pouvez utiliser. Utilisez toujours un mot de passe complexe.

En relation: Comment savoir si un site stocke les mots de passe en clair (et que faire)

6. Logiciel malveillant/enregistreur de frappe

Un autre moyen sûr de perdre vos identifiants de connexion est de tomber sous le coup d'un logiciel malveillant. Les logiciels malveillants sont partout, avec le potentiel de faire des dégâts énormes. Si la variante du malware dispose d'un keylogger, vous pourriez trouver tous de vos comptes compromis.

Alternativement, le malware pourrait cibler spécifiquement des données privées ou introduire un cheval de Troie d'accès à distance pour voler vos informations d'identification.

Avantages: Des milliers de variantes de logiciels malveillants, dont beaucoup sont personnalisables, avec plusieurs méthodes de diffusion simples. Il y a de fortes chances qu'un nombre élevé de cibles succombe à au moins une variante. Il peut passer inaperçu, ce qui permet de collecter davantage de données privées et d'identifiants de connexion.

Les inconvénients: Risque que le malware ne fonctionne pas ou soit mis en quarantaine avant d'accéder aux données ; aucune garantie que les données sont utiles.

Être prudent : Installez et mettez à jour régulièrement votre antivirus et antimalware Logiciel. Considérez attentivement vos sources de téléchargement. Ne cliquez pas sur les packages d'installation contenant des bundleware et plus encore. Évitez les sites malveillants (plus facile à dire qu'à faire). Utilisez des outils de blocage de scripts pour arrêter les scripts malveillants.

7. Araignée

Spidering est lié à l'attaque par dictionnaire. Si un pirate informatique cible une institution ou une entreprise spécifique, il peut essayer une série de mots de passe relatifs à l'entreprise elle-même. Le pirate pourrait lire et rassembler une série de termes connexes ou utiliser une araignée de recherche pour faire le travail à leur place.

Vous avez peut-être déjà entendu le terme «araignée». Ces araignées de recherche sont extrêmement similaires à celles qui rampent sur Internet, indexant le contenu pour les moteurs de recherche. La liste de mots personnalisée est ensuite utilisée contre les comptes d'utilisateurs dans l'espoir de trouver une correspondance.

Avantages: Peut potentiellement débloquer des comptes pour des personnes de haut rang au sein d'une organisation. Relativement facile à assembler et ajoute une dimension supplémentaire à une attaque par dictionnaire.

Les inconvénients: Pourrait s'avérer infructueux si la sécurité du réseau organisationnel est bien configurée.

Être prudent: Encore une fois, n'utilisez que des mots de passe forts à usage unique composés de chaînes aléatoires ; rien de lié à votre personnalité, votre entreprise, votre organisation, etc.

combien coûte une caméra ps4

8. Surf d'épaule

La dernière option est l'une des plus basiques. Que se passe-t-il si quelqu'un regarde par-dessus votre épaule pendant que vous saisissez votre mot de passe ?

Le surf sur les épaules semble un peu ridicule, mais cela arrive. Si vous travaillez dans un café animé du centre-ville et que vous ne faites pas attention à votre environnement, quelqu'un pourrait s'approcher suffisamment pour noter votre mot de passe pendant que vous tapez.

Avantages: Approche à faible technologie pour voler un mot de passe.

Les inconvénients: Doit identifier la cible avant de trouver le mot de passe ; pourraient se révéler en train de voler.

Être prudent: Restez attentif à votre entourage lorsque vous saisissez votre mot de passe. Couvrez votre clavier et masquez vos touches pendant la saisie.

Utilisez toujours un mot de passe fort, unique et à usage unique

Alors, comment empêcher un pirate de voler votre mot de passe ? La réponse vraiment courte est que vous ne pouvez pas vraiment être en sécurité à 100 pour cent . Les outils que les pirates utilisent pour voler vos données changent tout le temps et il existe d'innombrables vidéos et tutoriels pour deviner des mots de passe ou apprendre à pirater un mot de passe.

Une chose est sûre : l'utilisation d'un mot de passe fort, unique et à usage unique ne fait de mal à personne.

Partager Partager Tweeter E-mail 5 outils de mot de passe pour créer des mots de passe forts et mettre à jour votre sécurité

Créez un mot de passe fort dont vous vous souviendrez plus tard. Utilisez ces applications pour améliorer votre sécurité avec de nouveaux mots de passe forts dès aujourd'hui.

Lire la suite Rubriques connexes
  • Sécurité
  • Conseils sur le mot de passe
  • Sécurité en ligne
  • Piratage
  • Conseils de sécurité
A propos de l'auteur Gavin Phillips(945 articles publiés)

Gavin est l'éditeur junior pour Windows et Technology Explained, un contributeur régulier au podcast Really Useful et un critique de produit régulier. Il possède un BA (Hons) en écriture contemporaine avec des pratiques d'art numérique pillées dans les collines du Devon, ainsi que plus d'une décennie d'expérience en écriture professionnelle. Il aime beaucoup le thé, les jeux de société et le football.

Plus de Gavin Phillips

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Cliquez ici pour vous abonner