Dans cet article nous allons expliquer comment se protéger contre un pirate qui pourrait chercher à trouver votre mot de passe.
Le but de l’article est de sensibiliser sur ces 6 techniques afin d’établir des contre-mesures servant à sécuriser nos mots de passe. Les techniques présentées ne sont pas forcément nouvelles, mais les méthodes de prévention ne sont pas toujours maîtrisées, d’où la nécessité de cet article.

comment trouver un mot de passe

Cet article vous servira notamment de ligne de conduite pour ne pas vous faire pirater en ligne et garder vos informations en sureté.

Note : il n’est pas légal de récupérer le mot de passe d’une personne qui ne vous en a pas donner pleinement l’autorisation auparavant (on parle bien ici de hacking éthique et non pas de piratage).

Comment le pirate cherche-t-il à trouver un mot de passe ?

1. L’attaque par brute force

comment trouver un mot de passe par bruteforce

On dit que n’importe quel mot de passe peut être cassé par brute force. Ce qui est vrai.
Mais, et le « mais » a toute son importance, le temps pour y arriver peut être long, très long.

Quand je parle de « très long », on peut par exemple attendre des centaines de milliers d’années.

Ce temps est déterminé à la fois par la complexité du mot de passe et par la puissance de la machine qui essaie de le trouver.

L’attaque par brute force teste « bêtement » toutes les combinaisons de nombres, lettres et caractères spéciaux jusqu’à trouver le mot de passe voulu. Elle peut aussi être utilisée via une liste de mots clés (attaque par dictionnaire) ou par modèles de mot de passe.

Contre-mesure: Utilisez des mots de passe longs et complexes. Je donne des astuces pour les retenir dans cet article et dans celui-ci : Taper ses mots de passe en toute sécurité et comment créer vos mots de passe de la meilleure des façons. Utilisez des combinaisons de lettres en minuscules, majuscules avec des caractères spéciaux ou des nombres. Les gestionnaires de mot de passe peuvent également vous aider.

Exemple de mauvais mots de passe :

  • abcdefghijklmnopqrstuvwxyz : Le mot de passe est certes long, mais très peu complexe.
  • *e3Q : Le mot de passe est complexe mais très court.
  • JeanDupond67 : Le mot de passe est correct en longueur et plutôt complexe, mais avoir son nom, département ou autres informations facilement trouvables par modèle ou dans un dictionnaire n’est pas recommandé (du tout).

Exemple de bon mot de passe :

  • J34N-DuP0Nd-six7 : Le mot de passe est correct en longueur et en complexité. Il est également plutôt facile à retenir s’il s’agit d’un acronyme ou d’un code qui nous dit quelque chose. De plus, il n’est certainement pas dans un dictionnaire. SAUF que maintenant qu’il est écrit sur cette page, il devient naturellement un mauvais mot de passe. Car votre mot de passe ne doit pas apparaître du tout sur internet.

2. Le Social Engineering (ingénierie sociale)

social-engineering

Comment trouver un mot de passe de n’importe quelle personne ?

Réponse -> Demandez-lui gentiment !

Cette réponse repose sur le principe du Social engineering (ingénierie sociale). Il s’agit de manipuler une personne pour qu’elle ait confiance en son pirate afin de lui fournir d’elle même une information sensible en pensant bien faire. Je répète que c’est le plus gros problème en sécurité informatique, et que contrairement à ce que dit l’image ci-dessus, il y a un patch à la « stupidité humaine » : la sensibilisation et la méfiance.

Le Social Engineering s’étend sur des domaines différents, il n’y a pas que des mots de passe qui peuvent être récupérés par ce procédé mais aussi des numéros de cartes bancaires, des données privées liées à une personne particulière, etc…

Contre-mesure: C’est un point extrêmement important et vous devez vraiment faire attention à ce que l’on vous demande. Préférez donner votre mot de passe (si déjà c’est absolument nécessaire) à une personne en étant en face d’elle, puis changez-le.

Ne faites pas confiance aveugle aux personnes que vous ne connaissez pas, et faites également attention aux personnes que vous connaissez, elles se sont potentiellement faites pirater.

Pour l’anecdote, j’avais l’habitude de parler à une collègue sur « Windows Live Messenger » à l’époque (ancêtre de Skype). Lorsqu’un jour, elle me demande subitement de l’aider, elle veut absolument que j’appelle un numéro surtaxé pour obtenir un code d’un jeu en toute urgence. Vu la situation, je prépare mon téléphone, mais au lieu d’appeler le numéro en question, je lui envoie un SMS pour lui demander si c’est bien elle qui me demande cela, car un tel comportement semblait quelque peu suspect. Vous l’aurez deviné, son compte a été piraté, aucun moyen pour l’antivirus de le savoir, c’était entre moi et le pirate.

3. Les Malwares (Chevaux de Troie, Keyloggers… etc)

copier_coller

Plutôt radical, lorsqu’un pirate envoie un programme malveillant du type keylogger, il reçoit tout ce que sa victime tape au clavier, que le site soit en https ou non, que le mot de passe soit caché par des étoiles ou non. Il existe énormément de malwares tous plus sophistiqués les uns par rapport aux autres. Ils prennent également diverses formes : applications mobiles, extensions de navigateur…etc.

Contre-mesure: Ne vous connectez pas depuis un ordinateur qui ne vous appartient pas, encore moins si vous vous connectez à votre banque. Vous pouvez utiliser des claviers virtuels, des logiciels anti-keyloggers ou d’autres outils spécialisés. Mais n’oubliez pas d’installer et de garder à jour un antivirus. Restez aussi méfiant, ne téléchargez pas n’importe quoi sur ordinateur ni sur smartphone.

4. Le phishing

phishing hameçonnage

Le Phishing est l’une des méthodes les plus répandues pour obtenir un mot de passe, voici par exemple une personne qui essayait de me pirater.
Lors d’une attaque par phishing, le pirate va typiquement envoyer un mail (mais il peut s’agir d’un site web ou d’une application pour smartphones) à une personne en se faisant passer pour quelqu’un d’autre.

Il s’agit d’une technique de Social Engineering spécifique, qui mérite d’être citée à part tant elle est populaire.

Lorsque la personne ciblée se connecte sur le faux site ou d’une manière générale donne ses informations à tort, le pirate récupère tout et part avec. Et c’est trop tard pour vous !

Ces pages de phishing sont d’ailleurs régulièrement publiées sur des sites d’hébergement gratuits, ce qui nous donne un indice.

Contre-mesure: Les attaques par Phishing sont très faciles à éviter. L’URL du faux site est forcément différente du site original. Par exemple, faccbook.com n’est pas facebook.com, vérifiez donc l’URL d’un site avant d’y transmettre des informations. Plus d’informations sur le phishing. Vérifiez également la véracité du message en question et n’agissez jamais trop vite.

5. Les tables rainbow

table rainbow

Attention, partie technique en vue. Une table Rainbow est une grosse liste de hashs pré-calculés pour toutes les combinaisons possibles de caractères. Un hash d’un mot de passe est obtenu à travers des algorithmes mathématiques du type md5 permettant de transformer un mot de passe en quelque chose de non reconnaissable.

Voici un exemple de hash du mot « salut » en md5 :

3ed7dceaf266cafef032b9d5db224717

Un hash est un chiffrage à sens unique, cela veut dire qu’avec le hash en question, il n’y a aucun algorithme permettant de faire la méthode inverse pour retrouver le mot de passe.

Le hash est d’ailleurs supposé unique, c’est à dire que le hash de « salut » ne sera pas le même que « sAlut ».

La méthode de stockage des mots de passe la plus connue pour les sites web est d’ailleurs le hachage des mots de passe.

« Mais alors comment vérifie-t-on que le mot de passe est correct lorsqu’on se connecte, si on ne peut pas récupérer le mot de passe depuis son hash ? »

En effet, il n’y a pas d’algorithme de déchiffrement, mais on recalcule simplement le hash et on le compare à celui stocké dans la base de données. En fait, les tables rainbow sont similaires aux attaques par brute-force, elles s’appliquent simplement sur les hash et non pas sur les mots de passe « en texte plein ».

La technique des tables rainbow est donc en quelque sorte une brute-force sur les hashs.

Contre-mesure: Même chose que pour la brute-force, soyez sûrs de la complexité de vos mots de passe. Normalement c’est surtout à l’administrateur du site de s’assurer que le calcul des hashs soit performant. Et pour cela il existe différents algorithmes de hachage ainsi que différentes méthodes pour rendre unique les hashs (sel de hachage).

6. Deviner le mot de passe

deviner mot de passe

Pour savoir comment un pirate peut trouver un mot de passe en le devinant, je vais expliquer cette sixième technique avec un exemple tout simple :
Lors de la saisie incorrecte et répétée de votre mot de passe sous certains systèmes (comme Windows), on obtient une indication sur votre mot de passe que l’on vous avez choisi de définir lors de la création du mot de passe en question.

Cette indication est censée permettre uniquement au propriétaire du compte de se rappeler de son mot de passe. Seulement, une indication du type « mon nom de famille », revient au même que de donner directement son mot de passe à tout le monde.

Le problème est le même avec les réponses aux questions secrètes que certains sites proposent de définir… S’il vous plaît, ne dites pas la vérité lorsque la question est « Quel est votre lieu de naissance ? »… Et déjà, quelle est cette idée de proposer cette question en tant que question secrète ??

Contre-mesure: N’utilisez pas vos noms, prénoms, date de naissance, numéros de téléphone, âge etc… dans vos mots de passe. Créez des mots de passe que seul VOUS connaissez, qui sont un minimum compliqués à deviner. Ne donnez pas non plus d’indications sur votre mot de passe autre part. Et enfin, ne donnez aucune information trop facile à deviner en tant que réponse à une « question secrète ».

EDIT: Deux autres moyens indiqués par un visiteur dans les commentaires :

7) Si quelqu’un laisse son ordinateur sans surveillance, il y a un moyen évident d’obtenir toutes sortes d’informations privées sur votre ordinateur. Cela montre bien que partir en laissant son ordinateur non verrouillé peut poser de très gros problèmes.

Tous les comptes où vous êtes connectés sont d’ailleurs accessibles. Imaginez que c’est comme si vous partiez en laissant la porte de votre maison grande ouverte !

Contre-mesure: Verrouiller sa session si l’on quitte son ordinateur dans un lieu public. Et éviter d’utiliser des ordinateurs qui ne vous appartiennent pas…

8) Quand un mot de passe est trop complexe, un grand pourcentage de internautes écrivent le mot de passe sur un papier qu’ils collent à l’intérieur du premier tiroir de leur bureau. Je pense qu’il n’y a pas besoin d’expliquer à quel point cette idée est risquée, si de mauvaises personnes fréquentes la même pièce que vous.

PS : Je ne fournis pas de support pour vous aider à trouver un mot de passe qui ne vous appartient pas, et ce peu importe la raison, inutile de demander.

Articles similaires

Menu