Comment les mots de passe sont volés (et 10 étapes simples pour les protéger)
Publié: 2022-03-15
"RockYou2021 : la plus grande compilation de mots de passe de tous les temps divulguée en ligne avec 8,4 milliards d'entrées"
"La police a trouvé 225 millions de mots de passe volés cachés sur un serveur cloud piraté"
Ces gros titres ne sont malheureusement pas nouveaux. Les dangers de fuite/vol de votre mot de passe sont maintenant bien connus. Les assistants techniques ont développé et testé des outils qui remplaceront éventuellement l'utilisation de mots de passe, mais la transition ne devrait pas être entièrement mise en œuvre de si tôt.
La majorité des sites Web et des applications n'autorisent pas l'authentification via des données biométriques, ce qui signifie que nous, les utilisateurs, sommes toujours limités à utiliser l'humble mot de passe. La réalité est que de nombreuses personnes n'utilisent toujours pas de gestionnaires de mots de passe et réutilisent le même mot de passe sur plusieurs sites Web et applications, y compris des sites cruciaux comme les services bancaires en ligne.
Cela signifie que prendre des précautions pour protéger vos mots de passe (là encore, à moins que vous n'utilisiez un gestionnaire de mots de passe) n'est rien de moins qu'impératif si vous souhaitez protéger vos actifs.
Avant d'y aller, cependant, il est peut-être préférable d'examiner comment les fuites/vols de données se produisent, car la compréhension du processus peut jouer un rôle important dans sa prévention.
Comment les mots de passe sont piratés et volés
Ils peuvent prétendre représenter des entreprises avec lesquelles leurs cibles ont fait affaire. Ils se font souvent passer pour des représentants du gouvernement, notamment des membres des forces de l'ordre, des agents des impôts et des employés de l'administration de la sécurité sociale. Parfois, ils prétendent appeler au nom des membres de la famille ou des amis de leurs cibles.
Ces criminels essaieront de transmettre un sentiment d'urgence, menaçant même leurs cibles d'arrestation ou de perte d'accès aux prestations, s'ils n'agissent pas immédiatement en fournissant les informations qu'ils demandent.
Ces informations d'identification sont chargées dans des applications qui les testent rapidement sur un grand nombre de sites dans l'espoir de trouver des correspondances et d'y accéder. Des centaines de millions d'attaques de ce type sont enregistrées chaque année.
Les applications et les fonctions qui volent les informations d'identification pourraient en fait être des enregistreurs de frappe, des packages de logiciels malveillants qui enregistrent non seulement vos mots de passe, mais toutes vos frappes, puis les transmettent au mauvais acteur.
Des logiciels malveillants voleurs d'informations d'identification peuvent également être intégrés à des sites conçus pour ressembler à ceux d'entités réputées. Par exemple, un attaquant peut envoyer un message de phishing affirmant qu'une activité suspecte a été observée sur le compte bancaire de la cible et que la cible doit se connecter à son compte pour changer immédiatement le mot de passe.
La victime clique sur un lien dans le message et est redirigée vers un site bancaire d'apparence légitime où elle est invitée à entrer ses identifiants de connexion pour commencer le processus de réinitialisation du mot de passe. Cela fournit à l'attaquant les informations d'identification du compte bancaire de la victime.
Certains sites similaires malveillants sont créés dans l'espoir que des individus aléatoires atterriront dessus par inadvertance et se feront arnaquer avec leurs noms d'utilisateur et mots de passe.
La version high-tech de ceci est une attaque man-in-the-middle. Les réseaux Wi-Fi publics sont souvent fréquentés par des attaquants qui utilisent des outils facilement disponibles pour surveiller le trafic réseau et voler des données sensibles, y compris les identifiants de connexion au compte, de ceux qui utilisent les réseaux.
Parfois, les cybercriminels créent leurs propres réseaux Wi-Fi publics conçus pour apparaître comme s'ils appartenaient à des entreprises légitimes, le seul but étant de voler les données des utilisateurs. Les réseaux Wi-Fi publics sont intrinsèquement dangereux.
En fait, le nombre de mots de passe utilisés continue d'augmenter, tout comme le nombre d'attaquants qui tentent activement de les voler. La protection par mot de passe doit être prise au sérieux, alors allez-y et mettez en œuvre autant de ces conseils que possible.
"La police a trouvé 225 millions de mots de passe volés cachés sur un serveur cloud piraté"
Ces gros titres ne sont malheureusement pas nouveaux. Les dangers de fuite/vol de votre mot de passe sont maintenant bien connus. Les assistants techniques ont développé et testé des outils qui remplaceront éventuellement l'utilisation de mots de passe, mais la transition ne devrait pas être entièrement mise en œuvre de si tôt.
La majorité des sites Web et des applications n'autorisent pas l'authentification via des données biométriques, ce qui signifie que nous, les utilisateurs, sommes toujours limités à utiliser l'humble mot de passe. La réalité est que de nombreuses personnes n'utilisent toujours pas de gestionnaires de mots de passe et réutilisent le même mot de passe sur plusieurs sites Web et applications, y compris des sites cruciaux comme les services bancaires en ligne.
Cela signifie que prendre des précautions pour protéger vos mots de passe (là encore, à moins que vous n'utilisiez un gestionnaire de mots de passe) n'est rien de moins qu'impératif si vous souhaitez protéger vos actifs.
Avant d'y aller, cependant, il est peut-être préférable d'examiner comment les fuites/vols de données se produisent, car la compréhension du processus peut jouer un rôle important dans sa prévention.
Comment les mots de passe sont piratés et volés 
Deviner - la méthode la plus simple
En 2020, trois des mots de passe les plus couramment utilisés étaient "123456", "123456789" et "mot de passe". Lors d'une recherche à l'aide des outils disponibles sur HaveIBeenPwned (qui vaut vraiment le détour), il a été constaté que ces mots de passe apparaissaient des dizaines de millions de fois lors d'analyses de données piratées. Voici les résultats des rapports en janvier 2022 :- 123456 - 37 359 195 apparitions
- 123456789 - 16 629 796 apparitions
- mot de passe - 9 545 824 apparitions
Hameçonnage et autres variantes d'attaques d'ingénierie sociale
Les cybercriminels contactent souvent directement leurs cibles par téléphone (vishing), e-mail (hameçonnage), SMS (smishing) ou via des comptes de réseaux sociaux. Dans ces attaques, les escrocs se font généralement passer pour d'autres pour convaincre leurs victimes de fournir des informations sensibles telles que les identifiants de connexion.Ils peuvent prétendre représenter des entreprises avec lesquelles leurs cibles ont fait affaire. Ils se font souvent passer pour des représentants du gouvernement, notamment des membres des forces de l'ordre, des agents des impôts et des employés de l'administration de la sécurité sociale. Parfois, ils prétendent appeler au nom des membres de la famille ou des amis de leurs cibles.
Ces criminels essaieront de transmettre un sentiment d'urgence, menaçant même leurs cibles d'arrestation ou de perte d'accès aux prestations, s'ils n'agissent pas immédiatement en fournissant les informations qu'ils demandent.
Force brute et attaques de bourrage
Comme mentionné, les pirates disposent d'outils capables de générer rapidement des mots de passe aléatoires et de les tester pour déterminer s'ils donneront accès à des comptes ciblés. Le bourrage, qui est une variante de la force brute, implique l'utilisation d'informations d'identification précédemment volées exposées lors de violations et disponibles pour les criminels via le Dark Web.Ces informations d'identification sont chargées dans des applications qui les testent rapidement sur un grand nombre de sites dans l'espoir de trouver des correspondances et d'y accéder. Des centaines de millions d'attaques de ce type sont enregistrées chaque année.
Logiciels malveillants voleurs d'informations d'identification
Vos appareils peuvent être infectés par des logiciels malveillants de vol d'informations d'identification lorsque vous cliquez sur des liens malveillants dans des e-mails de phishing, ouvrez des pièces jointes infectées, visitez accidentellement le site Web d'un attaquant ou installez une application qui ne provient pas d'une source fiable.Les applications et les fonctions qui volent les informations d'identification pourraient en fait être des enregistreurs de frappe, des packages de logiciels malveillants qui enregistrent non seulement vos mots de passe, mais toutes vos frappes, puis les transmettent au mauvais acteur.
Des logiciels malveillants voleurs d'informations d'identification peuvent également être intégrés à des sites conçus pour ressembler à ceux d'entités réputées. Par exemple, un attaquant peut envoyer un message de phishing affirmant qu'une activité suspecte a été observée sur le compte bancaire de la cible et que la cible doit se connecter à son compte pour changer immédiatement le mot de passe.
La victime clique sur un lien dans le message et est redirigée vers un site bancaire d'apparence légitime où elle est invitée à entrer ses identifiants de connexion pour commencer le processus de réinitialisation du mot de passe. Cela fournit à l'attaquant les informations d'identification du compte bancaire de la victime.
Certains sites similaires malveillants sont créés dans l'espoir que des individus aléatoires atterriront dessus par inadvertance et se feront arnaquer avec leurs noms d'utilisateur et mots de passe.
Surf d'épaule et attaques de l'homme du milieu
Le terme "surfer sur l'épaule" décrit la tactique consistant à regarder par-dessus l'épaule de quelqu'un pour observer ce qu'il y a sur l'écran de son ordinateur ou de son appareil et essayer de découvrir des mots de passe ou d'autres informations sensibles.La version high-tech de ceci est une attaque man-in-the-middle. Les réseaux Wi-Fi publics sont souvent fréquentés par des attaquants qui utilisent des outils facilement disponibles pour surveiller le trafic réseau et voler des données sensibles, y compris les identifiants de connexion au compte, de ceux qui utilisent les réseaux.
Parfois, les cybercriminels créent leurs propres réseaux Wi-Fi publics conçus pour apparaître comme s'ils appartenaient à des entreprises légitimes, le seul but étant de voler les données des utilisateurs. Les réseaux Wi-Fi publics sont intrinsèquement dangereux.
Comment protéger mes mots de passe contre le piratage en 10 étapes simples
Voici les stratégies que vous pouvez facilement mettre en œuvre pour protéger vos mots de passe, vos comptes et vos informations sensibles :- Une règle empirique de base : obtenez un gestionnaire de mots de passe/un coffre-fort. Ce sont des applications spécialement conçues pour protéger votre mot de passe. Avec eux, tout ce que vous aurez à faire est de vous souvenir d'un seul mot de passe principal (toujours en suivant les règles ci-dessous !)
- N'incluez pas de vrais mots. Si possible, inventez vos propres mots qui ne seront probablement pas "devinés" (par exemple "Radamabla")
- N'utilisez pas les anniversaires et autres données facilement identifiables sur vous-même (par exemple, le nom de famille)
- N'utilisez pas de mots de passe faibles (simplistes). Vos mots de passe doivent être longs, complexes et inclure des lettres majuscules et minuscules, des chiffres et des caractères spéciaux.
- Utilisez un mot de passe différent pour chacun de vos comptes. Si un compte est compromis, les autres comptes ne seront pas en danger en raison de leur utilisation des mêmes informations d'identification (en particulier, ne répétez pas les mots de passe sur les comptes de messagerie et les comptes financiers)
- Utilisez une 2FA (authentification à deux facteurs) partout où elle est disponible. Cela ajoute un autre composant au processus de connexion. Dans la plupart des cas, il s'agit d'un code PIN envoyé à votre appareil par SMS ou par e-mail. Si un attaquant parvient à voler vos identifiants de connexion, il ne pourra toujours pas terminer la connexion sans ce facteur supplémentaire.
- À moins que vous ne soyez sûr de pouvoir faire confiance à la source d'un e-mail, d'un SMS ou d'un message sur les réseaux sociaux et surtout s'il y a quelque chose d'inhabituel ou de suspect dans le message, vous devez éviter d'ouvrir les pièces jointes ou de cliquer sur les liens inclus.
- Lorsque vous visitez des sites Web, assurez-vous qu'ils utilisent HTTPS. Un cadenas verrouillé devrait s'afficher à gauche de l'URL du site en haut de votre navigateur indiquant l'utilisation de ce protocole de sécurité. Certains criminels ont maintenant commencé à utiliser HTTPS sur leurs sites. Cette méthode n'est donc pas efficace à 100 % pour protéger vos informations contre les escrocs, mais suivre cette recommandation vous aidera à éviter les sites malveillants.
- Assurez-vous que les systèmes d'exploitation de vos appareils sont à jour et configurés pour télécharger et installer automatiquement les mises à jour. Assurez-vous également que tous vos appareils exécutent des applications anti-malware/antivirus.
- Évitez d'utiliser le Wi-Fi public à moins que votre appareil ne soit également équipé d'une application de réseau privé virtuel (VPN) et que cette application soit en cours d'utilisation. Les VPN cryptent les données voyageant vers et depuis votre appareil. Même si elles sont interceptées par un mauvais acteur, les données ne peuvent pas être décodées et lues. Si vous n'avez pas de VPN et que vous devez utiliser le Wi-Fi public, évitez de vous connecter à des comptes ou d'envoyer des informations sensibles via des services de messagerie.
Dernières pensées
Depuis plus de dix ans, les publications tech annoncent la fin du mot de passe, mais il est toujours là.En fait, le nombre de mots de passe utilisés continue d'augmenter, tout comme le nombre d'attaquants qui tentent activement de les voler. La protection par mot de passe doit être prise au sérieux, alors allez-y et mettez en œuvre autant de ces conseils que possible.