En matière de piratage de mots de passe, les cyberattaquants sont réputés pour leur expertise technique et leur imagination. Pour ce faire, ils mobilisent diverses méthodes pour exploiter des failles techniques ou humaines. Ces attaques vont du credential stuffing aux attaques par force brute. Nous vous proposons un tour d’horizon des méthodes auxquelles ils recourent fréquemment.
L’attaque par force brute
Cette « méthode ancienne et connue chez les pirates » est relativement peu élaborée, contextualise la CNIL. Elle consiste à tester chaque combinaison possible à l’aide d’un logiciel, caractères spéciaux inclus. En fonction de la capacité de calcul dont dispose le cyberattaquant et de la quantité de combinaisons envisageables, le temps requis pour craquer un mot de passe fluctue sensiblement. Selon une récente étude menée par Hive Systems, une suite de 8 chiffres n’ayant jamais été compromise auparavant peut être déchiffrée instantanément, tandis qu’une séquence de huit caractères mêlant majuscules, minuscules, caractères spéciaux mettra plusieurs dizaines d’années à être craquées, y compris avec un setup de dernière génération.
L’attaque par dictionnaire
Cette technique ressemble à l’attaque par force brute, mais avec un twist : plutôt que de tester aléatoirement d’innombrables suites de chiffres et de caractères, les cyberattaquants s’appuient sur des programmes qui essaient des listes prédéfinies de combinaisons fréquemment utilisées pour sécuriser des comptes. Comme des mots du dictionnaire, des dates, des noms propres (personnages de fiction, artistes, etc.) ou des combinaisons fréquemment repérées dans des fuites de données (admin, password123). Ces logiciels peuvent également tester de légères variations de ces combinaisons, typiquement p4ssw0rd. « Fondamentalement, les attaques par dictionnaire sont des attaques par force brute », explique NordPass, l’éditeur d’un gestionnaire de mots de passe. La différence tient au fait que les attaques par dictionnaire sont plus efficaces. En effet, leur réussite ne nécessite généralement pas autant de tentatives ». Le point faible de cette méthode, c’est qu’elle sera systématiquement neutralisée par un mot de passe unique.
Le Phishing
Il s’agit probablement du procédé le plus connu. Le phishing, ou hameçonnage en français, est une technique de manipulation qui vise à pousser l’utilisateur à divulguer spontanément ses identifiants de connexion ou ses données bancaires. De nombreuses variantes existent, mais le mode opératoire le plus courant est le suivant : les cyberattaquants bombardent leurs cibles d’emails ou de SMS où ils se font passer pour un tiers de confiance, comme un établissement bancaire ou une administration. Ces messages contiennent généralement des liens redirigeant vers de fausses pages de connexion ou des pièces jointes malveillantes, sur lesquels les internautes vont cliquer en raison d’un faux sentiment d’urgence créé par le cyberattaquant (règlement d’une amende, menace de fermeture d’un compte, etc.).
Le bourrage d’identifiants
Aussi appelée credential stuffing, cette technique consiste à réutiliser des combinaisons d’identifiants et de mots de passe, récupérées sur le dark web suite à des violations de données, pour tenter de se connecter à d’autres plateformes. Souvent automatisée, notamment via des programmes capables « d’outrepasser les mesures de sécurité basiques telles que les résolutions de CAPTCHA les plus simples », précise la CNIL, elle capitalise sur le fait que de nombreux utilisateurs réutilisent les mêmes identifiants sur plusieurs comptes. Elle a un taux de réussite très faible, de l’ordre de 0,1 % selon certaines estimations, mais reste néanmoins viable, car « ces ensembles recueillis [sur le dark web] contiennent des millions, et dans certains cas des milliards d’identifiants, explique Cloudflare. Un pirate qui dispose d’un million d’identifiants peut pirater environ 1 000 comptes avec succès ».
Les enregistreurs de frappe
Plus rare, mais redoutablement efficace, cette méthode repose sur l’utilisation de keyloggers, qui traquent en direct l’ensemble des touches frappées sur un clavier. Chaque mouvement est soigneusement consigné, puis transmis au cyberattaquant via un serveur distant. Souvent dissimulés dans une pièce jointe ou un fichier piégé, les keyloggers permettent non seulement de dérober des mots de passe et des identifiants de connexion, mais aussi d’intercepter des conversations privées, des coordonnées bancaires ou des documents confidentiels.
Le shoulder surfing
Voici une méthode qui n’exige aucune compétence, mais qui représente toujours un danger, notamment dans les lieux publics. Le shoulder surfing, dont la traduction littérale serait « regarder par-dessus l’épaule », revient simplement à mémoriser des identifiants en observant sa cible les saisir sur son appareil. Vieille comme le monde, et généralement utilisée pour dérober des coordonnées bancaires, elle peut également être exploitée pour voler des mots de passe. « Le shoulder surfing est également utilisé pour voler des codes PIN dans des endroits tels que les stations-service, les distributeurs automatiques de billets et les supermarchés », ajoute Dashlane.
Dans la seconde partie, nous aborderons les méthodes pour mieux se protéger contre le piratage de mots de passe.
Avec BDM
