Le piratage de mot de passe

Les internautes français : en chiffres !

Tous les jours, des centaines de sites sont piratés en France. Les hackers sont d’origines différentes, et ont des motivations différentes. On estime à 3000 sites par jour qui sont piratés dans le monde. La principale protection, mais aussi la plus fragile est le mot de passe. Il faut à peine quelques secondes à un logiciel pour tester tous les mots de passe de moins de 30 lettres.

Pour bien se protéger contre les différentes attaques, il faut d’abord les connaître. Ne serait-ce que pour décrypter les mots de passe, les techniques sont déjà nombreuses.

Hacking : qui et pourquoi ?

Les pirates sont nombreux et d’origines différentes : il y a les activistes, les terroristes, les escrocs, les espions industriels… Leur but est généralement de récupérer des identifiants, des e-mails, des numéros de cartes bancaires, des adresses mail, ou encore de mettre un site hors-service. Les cibles préférées sont alors les entreprises et les sites institutionnels.

En début d’année 2015, on retient particulièrement la vague d’attaques pro-islamistes ayant surgi peu après les attentats de janvier et piratant plus de 25’000 sites français ; ou encore l’attaque très ciblée contre Sony (dont la Corée du Nord a été le principal suspect) où de nombreux documents ont été dévoilés au grand public.

Les différentes techniques pour cracker les mots de passe :

La BruteForce est l’une des techniques les plus courantes, beaucoup de logiciels existent, et certains plus rapides que d’autres. Cette technique consiste à utiliser un logiciel capable de tester toutes les combinaisons de mot de passe imaginables. Il lui faut alors quelques secondes pour trouver un mot-de-passe de moins de 6 chiffres ou 6 lettres. Cependant si on utilise à la fois des chiffres et des lettres, chaque caractère supplémentaire rajoutera quelques heures au logiciel avant qu’il puisse trouver votre mot de passe. Si vous utilisez 6 caractères alternant chiffres et lettres, il faut alors 4 mois et demi aux logiciels pour le trouver. Ce qui vous donne tout à fait le temps pour le changer. Il faut également noter que les mots se trouvant dans un dictionnaire sont testés les premiers. «123soleil» est donc un mauvais mot de passe. Certains sites référencent les outils les plus utilisés, il peut être utile de les connaître pour mieux s’en prémunir.

Le Social Engineering 1 : « Bonjour, quel est votre mot de passe ? – c’est 123soleil ». C’est à peu près comme ça que l’on peut résumer cette technique. Vous recevez un mail d’un prétendu informaticien ou d’un ami qui s’est lui-même fait hacker, vous demandant votre mot-de-passe pour une raison quelconque. Celui-ci ayant gagné votre confiance, vous lui donnez, et il peut s’en servir à sa guise.

Le Social Engineering 2 : Une autre technique se base sur la connaissance de l’individu que l’on veut hacker. Il faut savoir que beaucoup d’utilisateurs utilisent un mot de passe assez simple du style le prénom de leur enfant et leur date de naissance. Ce qui peut donner « constance1984 ». Deviner le mot de passe peut être alors facile, en posant certaines questions à la victime. Le risque étant accrue pour une personne de notoriété publique. Obama lui-même se serait fait pirater son adresse mail de cette manière. Attention également aux questions secrètes de récupération, comme « Le nom de votre premier chien », dont les réponses sont facilement obtenables dans une conversation.

Le phishing : Cette technique est assez similaire à la précédente dans le sens où là encore la victime donne son mot de passe à un site qu’elle pense de confiance. Le phishing consiste à envoyer un mail à une personne renvoyant à un faux site internet. Le faux site ressemble à s’y méprendre à un site sur lequel vous avez l’habitude d’aller : la CAF, Facebook, votre banque… Sauf que, au moment où vous entrez vos identifiants, ceux-ci sont directement envoyés au créateur du site frauduleux. Faites alors attention à l’URL du site, il est facile de distinguer www.caf.fr et www.cof.fr

Les Keyloggers et Chevaux de Troie : Les ordinateurs publics dans les cybercafés, ou les bibliothèques en sont remplis. Ces logiciels sont capables de savoir tout ce que vous écrivez Key loggersur un clavier. Une séquence comme « 4%GtO2maNo! » sera donc fortement repérable par le hacker. Pour éviter cela, il faut éviter de rentrer ses mots de passe sur des ordinateurs publiques et surtout de faire attention aux logiciels que l’on télécharge sur son ordinateur personnel ou professionnel.

Enfin, ne laissez pas votre ordinateur sans surveillance, il est très facile de retrouver un historique des mots de passe sauvegardés sur les navigateurs ou la Wi-Fi. Le prochain article sera consacré à la création d’un bon mot de passe et aux nouvelles techniques de protections existantes ou en projet.