Et si je vous disais que vous pouvez éviter un piratage de mot de passe, même si un « virus » est dans votre ordinateur ?

Et cela, sans utiliser de logiciel ?

éviter un piratage de mot de passe

Dans cet article, on ne va pas se contenter de donner des conseils habituels sur le fait de créer un bon mot de passe avec des chiffres, lettres et caractères spéciaux.

Vous le savez déjà.

Pareillement pour le fait de ne pas taper son mot de passe sur un post-it.

À l’inverse, je vous propose un point de vue plus technique, mais aussi plus réflexif sur notre utilisation quotidienne des mots de passe.

En étudiant les keyloggers et autres logiciels espions, nous pouvons mettre en œuvre une méthode très efficace pour taper nos mots de passe en sécurité sur les divers sites que nous utilisons.

Et cela, même si l’un de ces logiciels espions est présent sur notre PC. On se retrouve donc au cœur du hacking éthique : apprendre l’attaque, la décortiquer et créer des contre-mesures efficaces ensuite.

De façon simple, un keylogger récupère les touches tapées de façon séquentielle et les enregistre sur l’ordinateur, soit en mémoire, soit dans un fichier texte qui peut ensuite être transféré à distance.

Créer un mot de passe « compliqué » ? Mais compliqué pour qui ?

Vous êtes vous déjà posé la question ?

Un piratage de mot de passe commence souvent par un programme qui récupère tout d’abord votre mot de passe.

Ce dernier est ensuite reçu par le pirate évidemment. Mais si l’on s’intéresse de plus près à ces fameux « virus » (ou « keyloggers » ou encore « logiciels espions »), eh bien la notion de « compliqué » change profondément !

Contourner les logiciels espions

Premièrement, si le keylogger est programmé pour cibler un clavier anglais (comme la grande majorité d’entre eux), il ne récupérera potentiellement pas les caractères spéciaux des autres langues.

En effet, les keyloggers ont du mal à récupérer les combinaisons de touches permettant de taper des caractères spéciaux comme « È ». Cela demande de taper sur quatre touches (Alt Gr + 7 + SHIFT + e) pour l’afficher.

Le logiciel espion ne récupérera probablement que certaines de ces touches, et de façon presque certaine, il ne récupérera pas correctement la lettre « È ».

Il verra peut-être « 7e » ou « Alt7 + E ».

Inutile donc de chercher un mot de passe très long, c’est plutôt la rareté des lettres utilisées qui importe dans ce cas!

Deuxièmement, le fait de taper son mot de passe de façon non séquentielle mais correcte donnera un résultat faussé au keylogger.

En effet, le keylogger peut certes récupérer l’appui sur la touche « Retour », et deviner une correction, mais il ne peut détecter un clic de souris entre certains caractères d’un mot.

Imaginons donc que l’on tape « Az2pX » puis que l’on clique entre le « z » et le « 2 » pour y ajouter « N0 », le mot de passe apparaît de la façon suivant à l’écran : « AzN02pX ».

Le keylogger de son côté verra « Az2pXN0 » car nous avons appuyé sur les lettres dans cet ordre.

Impossible de retrouver le vrai mot de passe, même en l’ayant récupéré. Cette technique est directement issue des guides Le Blog Du Hacker.

Mais il faut bien entendu que le mot de passe ne soit pas trop évident pour donner des pistes au pirate et lui permettre de reconstruire le vrai mot de passe. Inutile donc d’utiliser un mot de passe compliqué sans prendre les précautions nécessaires lorsque vous l’entrez.

Nous verrons comment créer un mot de passe compliqué pour un pirate et ces outils tout en étant facile à retenir pour nous dans un instant.

Retenir un faux mot de passe volontairement

Lorsque l’on sauvegarde son mot de passe dans le navigateur, celui-ci le chiffre et le stocke dans un fichier sur l’ordinateur.

On pourrait donc imaginer un pirate récupérer le mot de passe en récupérant et en déchiffrant ce fichier. En réalité ce n’est pas si facile, mais pas non plus impossible.

Pas d’inquiétude, il existe une alternative.

La méthode consiste cette fois à sauvegarder volontairement un mauvais mot de passe dans le navigateur, comme dans notre exemple précèdent où l’on pourrait sauvegarder « Az2pX ».

Une fois sur le site, lorsque l’auto complétion remplit le mot de passe incomplet, il restera à ajouter « N0 » en cliquant au bon endroit, c’est-à-dire après trois caractères en partant de la fin.

Pas évident au début, mais très efficace et sécurisé avec un peu d’habitude car le mot de passe n’est jamais tapé en entier, et il n’est jamais enregistré en entier !

« Sauvegarder volontairement un mot de passe erroné pour mieux se protéger »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Les méthodes citées précédemment s’appliquent à 99% de vos mots de passe en ligne, et peuvent être utilisées sur smartphones.

Le tout sans gestionnaire de mots de passe.

Créer un mot de passe sécurisé et facile à retenir

Nous avons vu des moyens très efficaces de créer et de taper un mot de passe. Cela dit, il reste d’autres options aux pirates et il ne faut jamais rien prendre pour acquis.

Je vais donc à présent vous donner des pistes pour appliquer la fameuse procédure « lettres, chiffres et caractères spéciaux » de façon simple et facile à retenir.

La méthode de la phrase s’applique très bien dans ce cas, par exemple : « Qu’il fait chaud chez ce cher Serge » devient « Q’ifccccS ». Le mot de passe est long, avec des caractères en majuscules et minuscules ainsi qu’un caractère spécial. La phrase peut être représentative pour vous afin de vous en souvenir facilement.

Le problème du même mot de passe partout

Créer un mot de passe comme on vient de le voir est une bonne idée, mais dans le cas où ce mot de passe venait à être dérobé, le pirate pourra pirater tous vos comptes qui utilisent ce même mot de passe.

L’astuce ici pour se souvenir de vos mots de passe tout en les variant, est de changer un élément typique de votre phrase. Par exemple, pour votre mot de passe Facebook : « Qu’il fait chaud chez ce cher Facebook » : « Q’ifccccF », pour Twitter «  Q’ifccccT ». Il reste à vous assurer que le mot de passe ne soit pas non plus trop évident non plus.

Le problème des mots de passe générés automatiquement ou dont le format est différent

Vous avez sans doute déjà connu les deux situations. Parfois des sites web génèrent des mots de passe pour vous. L’idée est de les changer aussitôt et systématiquement. Et cela non seulement car ces mots de passe sont souvent envoyés de façon visible (en clair) par e-mail, mais en plus il est difficile de retenir un (ou plusieurs) mot(s) de passe totalement aléatoire(s)…

Certains sites vous demanderont de fournir un mot de passe plus compliqué que prévu, et cela nous bloque souvent lorsqu’on a l’habitude d’utiliser notre bon vieux mot de passe ! Je connais par exemple un site qui demande un mot de passe d’au moins 8 caractères avec au moins 2 lettres en majuscules, 2 lettres en minuscules et 2 caractères spéciaux.

Dans ce cas, l’idée est d’ajouter un mot ou les lettres manquantes à la fin de votre mot de passe : « Q’ifccccS55′ ». « 5 » car « Serge » est composé de 5 caractères…et « ‘ » car il est déjà utilisé et permet d’atteindre les 2 caractères spéciaux requis…« simple » moyen mnémotechnique…

Si le format attendu est uniquement des chiffres, la méthode de la phrase fonctionne toujours : 22454245. Chaque chiffre correspond aux nombres de caractères de chaque mot de la phrase : Qu : 2, il : 2, fait : 4…etc.

Note : TOUS les mots de passe cités dans cet article (à savoir « AzN02pX », « Q’ifccccS », « 22454245 » et les dérivés) ne sont PLUS sécurisés. Ils viennent d’apparaître publiquement dans cet article, et n’entrent donc plus dans les critères d’un mot de passe sécurisé.

Plus d’informations : Pourquoi Gbt3fC79ZmMEFUFJ est un MAUVAIS mot de passe

Un mot sur les gestionnaires de mots de passe

Impossible de parler de mots de passe sans mentionner les gestionnaires de mots de passe. Ce sont des outils vous permettant de gérer vos mots de passe de façon souple et facile. Vous ne connaissez habituellement pas les mots de passe en question, car ils sont totalement aléatoires (et donc très bien sécurisés), mais vous aurez tout de même un mot de passe « maitre » à définir et à protéger avec les conseils donnés ici. Le gestionnaire de mot de passe pose problème si vous n’avez pas une possibilité de l’utiliser sur plusieurs plateformes…car si un jour vous avez besoin de vous connecter urgemment sur votre smartphone lorsque vous êtes en vacances, et que vous n’avez pas accès au gestionnaire…vous risquez d’avoir des ennuis.

PS : peut-être que certains gestionnaires proposent un moyen de récupération/réinitialisation du mot de passe via leur site ? je vous avoue que je n’ai pas creusé l’idée.

Un mot sur le piratage de mot de passe via le réseau

Tout ce que nous avons vu s’applique très bien à la protection locale de notre mot de passe, c’est-à-dire lorsqu’on le tape sur un périphérique qu’il s’agisse d’un ordinateur ou d’un smartphone. On échappe donc déjà aux logiciels espions et autres « virus » comme on les appellera. C’est une bonne chose de faite.

Seulement, si le site sur lequel vous envoyez votre mot de passe super sécurisé est malveillant…vous risquez tout de même un piratage !

Le fait d’avoir des mots de passe différents pour chaque site vous permettra de limiter les dégâts, mais l’idéal est de faire très attention à chaque fois que vous devez fournir votre mot de passe : le site est-il de confiance ? Est-ce la bonne adresse ? Est-ce un expéditeur de confiance ? etc…Évidemment, ne fournissez pas vos mot de passe à qui que ce soit, même à vos proches. Ne les écrivez pas sur un bout de papier (vous ne devriez pas en avoir besoin) et ne les sauvegardez pas non plus dans des fichiers sur votre ordinateur.

Ensuite, même si le site est bienveillant, lorsque vous avez tapé votre mot de passe avec la super technique proposée ici, votre mot de passe entier et correct est ensuite envoyé « sur le réseau ».

C’est un comportement normal est standard, car il faut bien que le site distant vérifie votre mot de passe. Le problème se pose cette fois lorsqu’un pirate écoute les communications réseau et y trouve votre mot de passe en transit. La solution la plus sûre et directe pour éviter cela est d’utiliser le protocole HTTPS lorsque vous envoyez votre mot de passe ou d’autres données sensibles.

Je vous propose la lecture suivante pour plus de détails :

Le top 5 des erreurs à l’origine d’un piratage

Attention : HTTPS ne signifie pas pour autant qu’il n’y a AUCUN risque. Si le site en lui-même est malveillant, vous serez en sécurité SUR LE RESEAU, mais le pirate recevra les données en clair à la destination….

Pour terminer, il convient de faire attention à l’environnement « physique » lorsque l’on tape un mot de passe : est-ce qu’une personne malveillante ne serait pas simplement en train d’observer ce que l’on tape au clavier ? n’y a-t-il pas une camera cachée ? etc… Le but n’est pas d’être paranoïaque mais de veiller à la sécurité à tous les niveaux. Beaucoup de victimes de piratage me contactent en pensant qu’un pirate s’est infiltré « quelque part dans le réseau ou dans l’ordinateur » alors que bien souvent le mot de passe a été fourni involontairement au pirate, de façon très simpliste.

Il convient également de changer vos mots de passe lorsque vous suspectez un problème. Si c’est le cas, assurez-vous impérativement avant de procéder que l’ordinateur ou le smartphone que vous utilisez soit sain. Si vous avez un doute, profitez de l’achat d’un nouveau matériel pour le faire. Cela vous donnera une bonne raison de changer régulièrement vos mots de passe.

L’authentification en deux étapes

Cette méthode d’authentification permet d’empêcher l’accès à vos comptes par des personnes tierces. Ceci est possible en faisant une « double authentification ». Lorsque vous fournissez le bon mot de passe, le service bloque toujours votre accès et vous envoie un SMS de vérification contenant à coder à fournir au service pour pouvoir concrètement accéder à votre compte. Cette méthode d’authentification est disponible par exemple avec Google mais aussi avec Facebook et avec bien d’autres services. Je vous propose donc de l’activer dès lors qu’elle est proposée.

Voici plus d’informations pour votre compte Google :

https://www.google.fr/intl/fr/landing/2step/

Voici plus d’informations pour votre compte Facebook :

https://www.facebook.com/help/413023562082171?helpref=faq_content

Voici plus d’informations pour votre compte Apple :

https://support.apple.com/fr-fr/HT204152

Cet article n’a pas la prétention d’être un guide exhaustif, n’hésitez pas à proposer vos astuces/remarques dans les commentaires 😉

Et en tant que complément, je vous propose le cours vidéo de Grégory Pouliquen sur la méthode Bill Aronson et la façon de créer tous vos mots de passe efficacement (faciles à retenir mais très difficile à trouver pour un pirate) :

Comment mémoriser tous vos mots de passe.

Articles similaires

20 Commentaires
Cliquez ici pour ajouter un commentaire

  • Pour ma part j’utilise un container veracrypt avec une base keepass à l’intérieur. je change de container régulièrement avec des mots de passe complexes.Pour le reste je fais appel à la double authentification

    Répondre
  • Voila encore un excellent tuto, c’est vrais que les mots de passe surtout pour les débutant sur le net c’est souvent des trucs simple genre le prénom de leurs femmes, enfants etc.. Mais depuis quelques années il est possible de créer des mots de passes avec des caractères spéciaux, alors, qu’a une époque, c’était impossible, celles les lettres minuscules, et majuscules avec des chiffres et les sigles +-_* étaient autorisé

    Répondre
  • LEBRETON YOHANN
    10 mai 2017 1 h 15 min

    Cher vous qui lisez ou lirez cet intéressant article, je vous écris afin de vous prémunir de l’authentification en 2 étapes. Ainsi, alors que j’étais dans le commas durant trois mois et demi mon compte Apple a été pris par quelqu’un d’autre. J’ai tenté de faire marche arrière sur les agissements de cette personne (car vous le savez sûrement qui dit compte dit moyen de paiement) et rien : la personne l’utilise car je recevais plus de deux mois après des emails de confirmation de téléchargement et rien. Donc attention car on va vous dire de supprimer votre compte (avec tout ce qui était à vous) mais l’autre le conserve ! Vous le verrez sur votre compte bancaire de toute manière !

    Répondre
  • Sans vouloir faire mon chiant :

    > PS : peut-être que certains gestionnaires proposent un moyen de récupération/réinitialisation du mot de passe via leur site ? je vous avoue que je n’ai pas creusé l’idée.

    Si un site, ou un gestionnaire propose ce genre d’option, il faut le fuir, c’est soit que les mots de passes ne sont pas chiffrés, soit qu’il y a une porte dérobée pour les récupérer (et qui dit porte dérobée, dit « une autre personne peut lire vos mots de passe »).

    Je mets un bémol si cette option nécessite un fichier que l’on aurait sauvegardé quelque part (j’ai déjà vu ça sur un site, pour récupérer le mot de passe, il faut une clef privée qui est fournie au moment de la création du compte).

    Répondre
  • merci michel pour cet article très intéressant

    Répondre
  • Très bon article.Un bémol: Beaucoup de sites refusent l’utilisation de caractères spéciaux dont l’interface de la livebox.
    Sinon une alternative au mot de passe:
    https://www.arcansecurity.com/

    Répondre
  • Bonjour Michel,
    Et d’abord merci pour cet article très intéressant (comme d’habitude).
    Est-il vrai que si on utilise un clavier virtuel pour taper un mot de passe, les keyloggers deviennent inopérants ?

    Répondre
    • Bonjour Alex !
      Oui c’est juste, même si je ne me permettrai pas de dire qu’il n’y a absolument aucun risque avec le fait d’utiliser un clavier virtuel. Mais de façon sûre, beaucoup de keyloggers ne récupérerons pas les touches tapées. Attention tout de même, si le keylogger prend des captures d’écran ou vidéo, et que les touches tapées sur le clavier virtuel sont animées…on verra les touches tapées. Les meilleurs claviers virtuels sont ceux dont les touches sont placées aléatoirement et dont aucune animation n’a lieu.

      Répondre
  • Salut Michel,

    J’arrive en retard par rapport à l’article (très bon comme d’hab 😉 )
    Je ne sais pas si tu as vu mais Bill Burr ( qui, pour résumer, au début des mots de passe a, le premier expliqué comment faire des bon « Pa$$w0Ds ») a fait une déclaration récemment au Wall street journal, en expliquant que la méthode qu’on applique tous depuis le début avec l’alternance lettre-chiffre qu’il a lui même donné n’est pas forcément la bonne. De son point de vue, une longue phrase qui a du sens et qui est donc plus facile à retenir est bien plus efficace que le mots de passes standards. En effet ce sera (entre autre) plus compliqué à trouver par les logiciels de type brute force.
    Voilà le lien vers l’article (en anglais) :
    https://www.sciencealert.com/the-guy-who-wrote-the-book-on-passwords-now-wants-to-chuck-it-out

    Il n’y a à ma connaissance pas d’article la dessus en français 😉

    Répondre
    • Salut Daybatsu et merci pour l’information !
      Effectivement l’article résume bien le souci: le fait pour les utilisateurs d’avoir remplacé certaines lettres par des chiffres (comme 5 pour S) a créé une sorte de modèle reconnaissable et très connu, et les casseurs de mots de passe utilisent donc sans problèmes ce type de substitution. Le deuxième point est également logique, le fait de créer des mots de passe trop compliqué les rend naturellement plus difficile à mémoriser d’où le besoin de se créer une phrase facile à retenir mais impossible à devenir pour les autres. Cela dit, pour ceux qui utilisent de longs mots de passe remplis de lettres/chiffres/caractères spéciaux sans aucun sens entre eux, restent en sécurité (tant qu’ils arrivent à s’en souvenir) 😉

      Répondre
  • bonjour, quel clavier virtuel nous conseillez vous ? J’ai vu sur le net oxynger virtual keybord. Connaissez vous ?

    Répondre
  • salut michel très bien ton sujet sur les mots de passe pour les gens pas au courant voici comment
    les pirate font pour les avoir. ici je donne deux exemple l’un avec un clavier traditionnel. l’autre avec un clavier virtuel

    les programmes malveillants utilisent les techniques suivantes .interception des frappes aux clavier
    les chevaux de troie enregistrent les frappes au clavier quand l’utilisateur saisit les informations.

    recherchées par les pirates dont les noms d’utilisateur et les mots de passe.
    captures d’écran reprenant les champs dans lesquels des informations financières ont était saisies.

    à l’aide d’un clavier traditionnel. dans ce cas les pirates obtiennent uniquement les informations
    visibles lors de la saisie et non pas les noms d’utilisateurs et les mots de passe car les caractères

    de ces derniers sont remplacés à l’écran par des points lors de la saisie.
    contournement des claviers virtuels. capture de la zone de l’écran autour du curseur au moment où utilisateur
    clique sur le bouton gauche de la souris. le pirate obtient ainsi les caractères sélectionnés par la souris sur le

    clavier virtuel. ce qui lui permet de reconstituer le mot de passe et le nom d’utilisateur. modification du
    fichier hosts. les informations conservées dans ce fichier ont priorité sur les informations

    que le navigateur obtient du serveur dns. les chevaux de troie ajoutent à ce fichier les adresses en lettres
    des banques et les associent au adresses ip des serveurs des cybercriminels.

    par conséquent l’utilisateur qui saisit l’adresse de ces banques se retrouve sur un faux site
    alors que la barre d’adresse affiche l’adresse en lettres du site officiel. comme dans le cas du phishing

    traditionnel les informations saisies lors de l’ouverture de session sur le faux site sont transmises aux pirates.

    par contre l’astuce que tu donne pour les mots de passe ne semble très bonne.

    Répondre
  • salut michel l’astuce que tu donne pour les mots de passe très bonne. j’ai voulue en savoir un peut plus
    donc j’ai fait une petite recherche je suis tomber sûr un article peut courant ?

    un type d’attaque particulier et expérimental. les attaques par résidus thermiques.

    l’idée est simple. les claviers utilisés de nos jours sont majoritairement en plastique.
    qui dissipent très mal la chaleur. lorsqu’un utilisateur entre son mot de passe pour se connecter à sa session.

    les touches sur lesquelles il a appuyé sont plus chaudes que les autres. avec une caméra thermique il est donc
    possible d’obtenir le mot de passe d’une personne à son insu.

    uniquement via ses résidus thermiques. après une multitude de tests effectués sur plusieurs personnes
    tapant différents mots de passe. simples ou complexes.

    sur une multitude de claviers. avec un style de doigté différent utilisation de deux doigts.
    de deux mains etc.

    il est possible dans tous les cas de récupérer l’intégralité du mot de passe dans les 30 secondes après
    que l’utilisateur l’ait tapé.

    une minute après il est possible d’obtenir un mot de passe partiel.
    ce type d’attaque reste théorique mais peut potentiellement être utilisé dans certains cas particuliers d’espionnage.

    la réponse se trouve peut être alors vers la mort du mot de passe au profit d’autres entrées.
    scanners d’empreinte / d’iris deuxième facteur d’authentification etc.

    chapeaux bas pour les chercheurs ? très fort de leurs part !

    Répondre
    • Salut et merci pour cette information qui me semble assez fiable effectivement, mais évidemment en possédant l’appareil adéquat et en étant à proximité de la victime. Donc finalement observer le mot de passe par dessus ses épaules ou en filmant semble plus facile à mettre en place dans ce scénario haha. Mais bien trouvé tout de même, ça mérite d’être cité et c’est fort oui !

      Répondre
  • salut michel je suis un peut comme toi je ne pose quelque questions tout de même . car comme tu le dit très justement
    je voie pas trop comment il peuvent faire ? car pour cela il faut pouvoir être à proximité de la victime sans

    quel puisse le voir ? et la filmé alors quelle tape sûr son clavier pour pouvoir observer le mot de passe

    et tout cela sans ce faire voir par la victime car il faut pouvoir l’espionner a sont insu
    pour dire vrai j’ai des doute sûr cela mais va savoir les chercheur peuvent nous surprendre dans bien des domaine.

    Répondre
  • bonjour michel très bon le sujet bravos a toi je ferait un commentaire par la suite
    sur les mots de passe du futur sur ceux très bonne journée

    Répondre
  • Bonjour Michel et merci pour vos partages je voulais avoir le lien sur « le cours vidéo de Grégory Pouliquen sur la méthode Bill Aronson et la façon de créer tous vos mots de passe efficacement » mais je trouve pas sur le web merci et bonne journée a toutes et tous .

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu