6 techniques populaires permettant de trouver un mot de passe
Dans cet article nous allons expliquer comment se protéger contre un pirate qui pourrait chercher à trouver votre mot de passe.
Le but de l’article est de sensibiliser sur ces 6 techniques afin d’établir des contre-mesures servant à sécuriser nos mots de passe. Les techniques présentées ne sont pas forcément nouvelles, mais les méthodes de prévention ne sont pas toujours maîtrisées, d’où la nécessité de cet article.
Cet article vous servira notamment de ligne de conduite pour ne pas vous faire pirater en ligne et garder vos informations en sureté.
Note : il n’est pas légal de récupérer le mot de passe d’une personne qui ne vous en a pas donner pleinement l’autorisation auparavant (on parle bien ici de hacking éthique et non pas de piratage).
Table des matières
Comment le pirate cherche-t-il à trouver un mot de passe ?
1. L’attaque par brute force
On dit que n’importe quel mot de passe peut être cassé par brute force. Ce qui est vrai.
Mais, et le « mais » a toute son importance, le temps pour y arriver peut être long, très long.
Quand je parle de « très long », on peut par exemple attendre des centaines de milliers d’années.
Ce temps est déterminé à la fois par la complexité du mot de passe et par la puissance de la machine qui essaie de le trouver.
L’attaque par brute force teste « bêtement » toutes les combinaisons de nombres, lettres et caractères spéciaux jusqu’à trouver le mot de passe voulu. Elle peut aussi être utilisée via une liste de mots clés (attaque par dictionnaire) ou par modèles de mot de passe.
Contre-mesure: Utilisez des mots de passe longs et complexes. Je donne des astuces pour les retenir dans cet article et dans celui-ci : Taper ses mots de passe en toute sécurité et comment créer vos mots de passe de la meilleure des façons. Utilisez des combinaisons de lettres en minuscules, majuscules avec des caractères spéciaux ou des nombres. Les gestionnaires de mot de passe peuvent également vous aider.
Exemple de mauvais mots de passe :
- abcdefghijklmnopqrstuvwxyz : Le mot de passe est certes long, mais très peu complexe.
- *e3Q : Le mot de passe est complexe mais très court.
- JeanDupond67 : Le mot de passe est correct en longueur et plutôt complexe, mais avoir son nom, département ou autres informations facilement trouvables par modèle ou dans un dictionnaire n’est pas recommandé (du tout).
Exemple de bon mot de passe :
- J34N-DuP0Nd-six7 : Le mot de passe est correct en longueur et en complexité. Il est également plutôt facile à retenir s’il s’agit d’un acronyme ou d’un code qui nous dit quelque chose. De plus, il n’est certainement pas dans un dictionnaire. SAUF que maintenant qu’il est écrit sur cette page, il devient naturellement un mauvais mot de passe. Car votre mot de passe ne doit pas apparaître du tout sur internet.
2. Le Social Engineering (ingénierie sociale)
Comment trouver un mot de passe de n’importe quelle personne ?
Réponse -> Demandez-lui gentiment !
Cette réponse repose sur le principe du Social engineering (ingénierie sociale). Il s’agit de manipuler une personne pour qu’elle ait confiance en son pirate afin de lui fournir d’elle même une information sensible en pensant bien faire. Je répète que c’est le plus gros problème en sécurité informatique, et que contrairement à ce que dit l’image ci-dessus, il y a un patch à la « stupidité humaine » : la sensibilisation et la méfiance.
Le Social Engineering s’étend sur des domaines différents, il n’y a pas que des mots de passe qui peuvent être récupérés par ce procédé mais aussi des numéros de cartes bancaires, des données privées liées à une personne particulière, etc…
Contre-mesure: C’est un point extrêmement important et vous devez vraiment faire attention à ce que l’on vous demande. Préférez donner votre mot de passe (si déjà c’est absolument nécessaire) à une personne en étant en face d’elle, puis changez-le.
Ne faites pas confiance aveugle aux personnes que vous ne connaissez pas, et faites également attention aux personnes que vous connaissez, elles se sont potentiellement faites pirater.
Pour l’anecdote, j’avais l’habitude de parler à une collègue sur « Windows Live Messenger » à l’époque (ancêtre de Skype). Lorsqu’un jour, elle me demande subitement de l’aider, elle veut absolument que j’appelle un numéro surtaxé pour obtenir un code d’un jeu en toute urgence. Vu la situation, je prépare mon téléphone, mais au lieu d’appeler le numéro en question, je lui envoie un SMS pour lui demander si c’est bien elle qui me demande cela, car un tel comportement semblait quelque peu suspect. Vous l’aurez deviné, son compte a été piraté, aucun moyen pour l’antivirus de le savoir, c’était entre moi et le pirate.
3. Les Malwares (Chevaux de Troie, Keyloggers… etc)
Plutôt radical, lorsqu’un pirate envoie un programme malveillant du type keylogger, il reçoit tout ce que sa victime tape au clavier, que le site soit en https ou non, que le mot de passe soit caché par des étoiles ou non. Il existe énormément de malwares tous plus sophistiqués les uns par rapport aux autres. Ils prennent également diverses formes : applications mobiles, extensions de navigateur…etc.
Contre-mesure: Ne vous connectez pas depuis un ordinateur qui ne vous appartient pas, encore moins si vous vous connectez à votre banque. Vous pouvez utiliser des claviers virtuels, des logiciels anti-keyloggers ou d’autres outils spécialisés. Mais n’oubliez pas d’installer et de garder à jour un antivirus. Restez aussi méfiant, ne téléchargez pas n’importe quoi sur ordinateur ni sur smartphone.
4. Le phishing
Le Phishing est l’une des méthodes les plus répandues pour obtenir un mot de passe, voici par exemple une personne qui essayait de me pirater.
Lors d’une attaque par phishing, le pirate va typiquement envoyer un mail (mais il peut s’agir d’un site web ou d’une application pour smartphones) à une personne en se faisant passer pour quelqu’un d’autre.
Il s’agit d’une technique de Social Engineering spécifique, qui mérite d’être citée à part tant elle est populaire.
Lorsque la personne ciblée se connecte sur le faux site ou d’une manière générale donne ses informations à tort, le pirate récupère tout et part avec. Et c’est trop tard pour vous !
Ces pages de phishing sont d’ailleurs régulièrement publiées sur des sites d’hébergement gratuits, ce qui nous donne un indice.
Contre-mesure: Les attaques par Phishing sont très faciles à éviter. L’URL du faux site est forcément différente du site original. Par exemple, faccbook.com n’est pas facebook.com, vérifiez donc l’URL d’un site avant d’y transmettre des informations. Plus d’informations sur le phishing. Vérifiez également la véracité du message en question et n’agissez jamais trop vite.
5. Les tables rainbow
Attention, partie technique en vue. Une table Rainbow est une grosse liste de hashs pré-calculés pour toutes les combinaisons possibles de caractères. Un hash d’un mot de passe est obtenu à travers des algorithmes mathématiques du type md5 permettant de transformer un mot de passe en quelque chose de non reconnaissable.
Voici un exemple de hash du mot « salut » en md5 :
3ed7dceaf266cafef032b9d5db224717
Un hash est un chiffrage à sens unique, cela veut dire qu’avec le hash en question, il n’y a aucun algorithme permettant de faire la méthode inverse pour retrouver le mot de passe.
Le hash est d’ailleurs supposé unique, c’est à dire que le hash de « salut » ne sera pas le même que « sAlut ».
La méthode de stockage des mots de passe la plus connue pour les sites web est d’ailleurs le hachage des mots de passe.
« Mais alors comment vérifie-t-on que le mot de passe est correct lorsqu’on se connecte, si on ne peut pas récupérer le mot de passe depuis son hash ? »
En effet, il n’y a pas d’algorithme de déchiffrement, mais on recalcule simplement le hash et on le compare à celui stocké dans la base de données. En fait, les tables rainbow sont similaires aux attaques par brute-force, elles s’appliquent simplement sur les hash et non pas sur les mots de passe « en texte plein ».
La technique des tables rainbow est donc en quelque sorte une brute-force sur les hashs.
Contre-mesure: Même chose que pour la brute-force, soyez sûrs de la complexité de vos mots de passe. Normalement c’est surtout à l’administrateur du site de s’assurer que le calcul des hashs soit performant. Et pour cela il existe différents algorithmes de hachage ainsi que différentes méthodes pour rendre unique les hashs (sel de hachage).
6. Deviner le mot de passe
Pour savoir comment un pirate peut trouver un mot de passe en le devinant, je vais expliquer cette sixième technique avec un exemple tout simple :
Lors de la saisie incorrecte et répétée de votre mot de passe sous certains systèmes (comme Windows), on obtient une indication sur votre mot de passe que l’on vous avez choisi de définir lors de la création du mot de passe en question.
Cette indication est censée permettre uniquement au propriétaire du compte de se rappeler de son mot de passe. Seulement, une indication du type « mon nom de famille », revient au même que de donner directement son mot de passe à tout le monde.
Le problème est le même avec les réponses aux questions secrètes que certains sites proposent de définir… S’il vous plaît, ne dites pas la vérité lorsque la question est « Quel est votre lieu de naissance ? »… Et déjà, quelle est cette idée de proposer cette question en tant que question secrète ??
Contre-mesure: N’utilisez pas vos noms, prénoms, date de naissance, numéros de téléphone, âge etc… dans vos mots de passe. Créez des mots de passe que seul VOUS connaissez, qui sont un minimum compliqués à deviner. Ne donnez pas non plus d’indications sur votre mot de passe autre part. Et enfin, ne donnez aucune information trop facile à deviner en tant que réponse à une « question secrète ».
EDIT: Deux autres moyens indiqués par un visiteur dans les commentaires :
7) Si quelqu’un laisse son ordinateur sans surveillance, il y a un moyen évident d’obtenir toutes sortes d’informations privées sur votre ordinateur. Cela montre bien que partir en laissant son ordinateur non verrouillé peut poser de très gros problèmes.
Tous les comptes où vous êtes connectés sont d’ailleurs accessibles. Imaginez que c’est comme si vous partiez en laissant la porte de votre maison grande ouverte !
Contre-mesure: Verrouiller sa session si l’on quitte son ordinateur dans un lieu public. Et éviter d’utiliser des ordinateurs qui ne vous appartiennent pas…
8) Quand un mot de passe est trop complexe, un grand pourcentage de internautes écrivent le mot de passe sur un papier qu’ils collent à l’intérieur du premier tiroir de leur bureau. Je pense qu’il n’y a pas besoin d’expliquer à quel point cette idée est risquée, si de mauvaises personnes fréquentes la même pièce que vous.
PS : Je ne fournis pas de support pour vous aider à trouver un mot de passe qui ne vous appartient pas, et ce peu importe la raison, inutile de demander.
86 Commentaires
Cliquez ici pour ajouter un commentaire
merci pour ce tuto michel
Avec plaisir !
Bonjour a toi l’hacker j’ai un gros soucis si tu pouvait me tel ici 06 46 ** ** ** ses reelment urgent je suis pas souvent sur pc cdlt l’ami
Salut, je ne réponds que par mail ! J’ai édité ton numéro par mesure de sécurité
bonjour,
j’ai reçu un mail de qqun que je connais mais pas vu depuis longtemps, un peu bizarre, du type: peux tu me recontacter c’est urgent..
auquel j’ai, a tort, répondu par mail..
ma boite a donc été hackée?
que suis je censée faire maintenant?
Merci
Bonjour, si vous avez répondu à un e-mail sans fournir d’informations personnelles, vous ne risquez pas grand chose. Mais si le mail vient de votre propre adresse il y a problème en effet.
merci pour tout michel
Très bon article comme toujours !
très bon article. Merci!
salut michel j’ai un soucis depuis plus 6 mois j’ai prdu mon mdp twitter et je cherche deseperant de l’aide puisque mon compte est ouvert et je n’est pas acces puisque mon email n’a pas etait enregistr et que jai fais de nombreuse demarche ave le support twitter rien n’y fait
Veuillez me venir en aide je suis besoin merci de bien vouloir repondre merci ou bien ceder moi votre mail pour parler en detail du soucis
Bonsoir Sarah, l’e-mail n’a pas été enregistré c’est-à-dire ? Si il n’existe pas il suffit de le créer tout simplement et de redemander un mail d’activation. Pour me parler personnellement c’est ici : https://www.leblogduhacker.fr/contact/
oh putain j’y ai pas pensé ! merci beaucoup !!!
7) Si quelqu’un laisse son ordinateur sans surveillance, il y a un moyen facile d’obtenir la clé de son réseau WIFI. On clique sur le logo de la connexion réseau et on va dans les propriétés. Éventuellement on trouvera une case à cocher qui permettra d’afficher les vrais caractères et non les étoiles habituelles cachant le mot de passe.
8) Quand un mot de passe est trop complexe, un grand pourcentage de gens écrivent le mot de passe sur un papier qu’ils collent à l’intérieur du premier tiroir de leur bureau.
Merci ! c’est exact.
Comment dans la façon du « phishing », la mise en place spécifique pr récupérer et mémoriser les données de la cible (mp compris?)?
Je n’ai pas compris la question :/
Ce n’est pas très clair pr moi non plus, lol! En gros comment planter devant les yeux d’une « cible » un écran qui permette de mémoriser son « mp » (techniquement, j’entend = Manips? Codes? Spécificités? Logiciels? Téléchargmts de ….? Autres choses: Y a t’il d’autres possibilités d’aller chercher un « code source » que: « Ctrl, maj, + u »? Et enfin (pardon mais ça devient de plus en plus interressant!); en tant que débutant; que faire de ça (http://durak.org/sean/pubs/software/php/function.htmlspecialchars.html)? Par avance; merci et mille excuses pr tout ça mit; pêle-mêle.
Bonjour, une collègue vient de s’approprier ma messagerie en changeant mon mot de pass. Elle a récupérer les identifiants d’origine. Comment faire pour retrouver mes mails. Merci
salut michel , j aurai besoin de ton aide , j ai acheté un iPad apple mini , mais il reste une adresse mail sur icloud et iTunes , je voudrait la supprimer mais il me faut le mot de passe pour ça , sachant que c’est une adresse mail orange je ne vois pas comment faire stp aide moi
Bonjour
Il y a 1 ans depuis que J’ai acheté un iPad dans une maison d’affaire. Je ne sais pas comment enlever le compte icloud de l’ancien propriétaire
« Beaucoup de sites comme : https://howsecureismypassword.net/ permettent de tester votre mot de passe… » – jajajaja n’importe quoi, je ne vais pas mettre justement mot password sur cette page, il faut être naïf pour le faire XD
Il faut plutôt observer le code source du site avant de crier à l’arnaque pour y constater que le mot de passe n’est pas transmis sur le réseau. Non seulement il n’est pas transmis, mais même si il était transmis, la connexion est chiffrée et aucun compte utilisateur n’est transmis avec le mot de passe.
Merci Michel pour cet article. Perso j’utilise lastpass avec un mot de passe unique « complexe ». Que penses-tu de la fiabilité de cet outil ? (je change régulièrement le mdp unique et tout mes mdp sont générés par LP) Merci !
Salut, aucune idée car je n’utilise pas lastpass mais si il est bien sécurisé cela ne devrait pas poser de problèmes !
Bonjour. De quels outils spécialisés parlez-vous?
Est-ce que copier coller son mot de passe revient au même niveau sécurité que de le taper au clavier?
Merci beaucoup!
Bonjour, c’est une excellente question, je parle d’outils comme KeyScrambler ou SpyShelter. Copier/coller son mot de passe n’ajoute pas de niveau de sécurité supplémentaire, non seulement car il faudra le taper avant (ou pire, l’enregistrer dans un fichier), mais en plus la plupart de keyloggers récupèrent directement le contenu copié, à chaque fois que quelque chose est copié. Bonne continuation !
[…] vos clients à choisir des mots de passe plus complexes. Cette article est déjà dédié aux hackings de mots de passe. Pour préserver les données de vos clients, une […]
Bonjour Michel et Bonne Année
Je me suis fait pirater ma boite Mail Orange je ne peux plus me conecter car le mot de passe est changer ainsi que le numero de contact pour récupération
Punaise, c’est angoissant de voir à quel point il y’a plein de méthodes pour trouver un mot de passe. Que ce soit le craker ce password, ou bien se le faire piquer via des logiciels spécifiques comme un keylogger ou autrr cheval de troie. En tant que consultant dans le domaine de la sécurité de l’information, c’est impressionnant de voir le nombre de clients qui ne connaissent pas ces techniques de piratage…. Un grand problème de vulgarisation ou très certainement un manque d’intérêt … Peut-être à mettre sur le dos de la complexité de tous ces systèmes …
Tout à fait d’accord et d’ou la nécessité d’alerter et d’aider le plus grand nombre 🙂
Bonjour j’ai besoin d’aide je voudrais savoir si tu mets toujours à jour ce blog
Bonjour Michel, j’aimerais entrer sur une tablette asus sl101 mais je connais pas le mot de passe, comment puis je faire pour y entrer ?… merci
peux tu m’aider???? urgent urgent
salut j’ai un pb tres urgent
J’ai besoin de retrouver un mot de passe pour une adresse mail que j’ai créée il y a de nombreuses années et dont je ne me sers plus depuis longtemps.
Comment faire sachant que c’était une adresse mail secondaire et que je ne connais pas l’adresse principale ?
Merci de vos suggestions
Bonjour, difficile d’en dire plus sans savoir que lest l’hébergeur que vous utilisez. Microsoft supprime d’ailleurs automatiquement les anciennes adresses mails inutilisées.
On s’est servi de mon ordinateur portable pour se connecter à distance sur un réseau wifi et expédier des mails aux autres personnes de ce réseau sans mon consentement. Comment cela est-il possible ?
J’ai besoin de me connecter à une adresse email orange alors que je n’ai plus le mot de passe, comment faire ? L’adresse email est [email protected]
Merci
Bonjour, le mdp d’une de mes boites mail a été piraté et remplacé, je n’ai pas d’adresse de secours sur cette boite et n’y ai donc plus accès, comment puis-je m’y prendre pour à mon tour pirater le pirate et récupérer ma boite? merci pour votre aide
slt ! j’ai une nas 200 Linksys que j’ai installer il y a fort longtemps ;a l’époque le mot de passe était
id : admin / passe :password .
a para ment j’ai du modifier ce passe ou id ou les 2 ;
j’ai accès a mes données ainsi qu’au autres pas de problème.
sauf que je voudrais paramétré mes disques différemment et j’ai besoin de ces identifiants et passes !
que puis je faire.
Bonjour
J’ai vraiment besoin de votre aide svp!! Je me suis faite pirater mon facebook et je n’y ai plus assez il a changer mon adresse Mail pour que je ne puisse pas y accéder comment faire. SVP c’est important il insulte tt mes contactes même mon patron .. Et tout le monde croi que c’est moi
Bonjour, les informations sur les comptes piratés se trouvent ici https://www.leblogduhacker.fr/recuperer-un-compte-pirate/ mais sachez qu’il n’y a pas grand chose à faire sans l’aide de Facebook/Microsoft/etc
Se il vous plaît ce qui est le plus important pour PYTON
Bonsoir Michel.
Est-il pas possible de naviguer sur l’ancienne version de yahoo mail, car je déteste la nouvelle version, merci de me répondre via mon adresse e-mail
Bonjour!!!
J’ai besoin d’aide pour desinstaller mon ant-virus donc j’ai oublié le mot de passe
Slt est ce que tu pourrai m’aider car quelqu’un a piraté mon compte et je sais pas comment le recuperer stp aide moi stp stp
Salut, voici des articles pour t’aider : https://www.leblogduhacker.fr/recuperer-un-compte-pirate/ https://www.leblogduhacker.fr/reference-mon-compte-a-ete-pirate-que-faire/
Salut je joue a un jeux par navigateur, j’ai perdu le mots de passe et l’adresse mail cependant j’ai le pseudonyme. Est t’il possible de cracker mon mot de passe pour que je puisse le retrouver? Si oui pourrait tu me donner le logiciel.
merci. (Darkorbit le jeux)
Bonjour,
Je me permets de vous contacter car Impossible de récupérer mon mot de passe mais j’ai accès à ma messagerie sur mon smartphone comment récupérer mon mot de passe.
Pouvez-vous me donner votre adresse mail pour vous donner plus d’informations.
Je vous remercie d’avance
bonjout on fait je perdu mon de passe
Je connais mon mot de passe e.mail, comme on me l’a demandé après mon identifiant je l’ai rentré plusieurs fois, ça ne marche pas il faudrait que je le change, comment faire.
Bonjour je voudrais réinitialiser mon mot de passe instagram en reprenant un ancien mot de passe mais le site me dis que je dois en prendre un que je n’ai jamais utilisé, y aurait il une alternative pour quand même utiliser un ancien mot de passe ?
Bonjour, je ne peux que vous proposer de demander directement au support technique de Instagram car je n’en ai aucune idée. Bonne chance.
Je suis globalement assez d’accord avec l’article ! Mais juste un détail : un ordinateur n’est pas un lieu sécurisé à 100%, donc quitte à écrire son mot de passe quelque part autant l’écrire dans le monde réel, sur un petit papier, aucune chance qu’un logiciel espion tombe dessus. Pour la cachette par contre en effet, il faudra repasser X)
Bonsoir Michel,
J’ai le fb de ma copine qui a été piraté et on a plus l’accès. En tombant sur cette page je me suis dit que vous pourriez m’aider, merci.
j’aimerais avoir accès pour se déconecter et supprimer le compte, comment dois-je m’y prendre
Bonsoir,
L’idéal est soit de se rendre ici : https://www.facebook.com/hacked soit de signaler le compte en masse avec l’aide d’amis. Plus d’infos ici : https://www.leblogduhacker.fr/reference-mon-compte-a-ete-pirate-que-faire/
Bonne chance
bjour michel on a changer mon mot de passe comment doit je faire pour le trouver merci
Salut, même chose que le commentaire précédent 🙂
Bonjour Michel ai oublié mon mot de passe pour Facebook Que puis-je faire pour les reverse dès s’il vous plaît
Bonjour firas, as tu essayé la fonctionnalité mot de passe oublié ?