TOOLinux

L’actu Linux et Open Source au quotidien

Vols de mots de passe : comment les empêcher

mercredi 12 janvier 2022

Les mots de passe sont toujours le talon d’Achille de la vie numérique de nombreuses personnes, maintenant que nous vivons à une époque où en moyenne on en a une centaine à retenir. Qui de leur sécurité ?

Le mot de passe est souvent la seule chose entre un cybercriminel et nos données personnelles et financières. Les escrocs désirent à tout prix voler ou cracker ces identifiants. Il faut donc déployer le même effort pour protéger nos comptes en ligne. L’éditeur ESET prodigue une série de conseils pour se protéger.

Que peut faire un hacker avec mon mot de passe ?

Les mots de passe sont les clés virtuelles de notre monde numérique - donnant accès à nos services bancaires en ligne, e-mail et réseaux sociaux, nos comptes en ligne, et toutes les données hébergées dans notre stockage dans le nuage.

Avec nos identifiants, un pirate peut :
- Voler nos informations d’identité personnelles et les vendre à d’autres criminels
- Vendre l’accès à nos comptes. Les sites criminels du dark web vendent ces connexions. Les malfrats peuvent utiliser l’accès pour obtenir n’importe quoi : des trajets en taxi gratuits, du streaming vidéo, des voyages à prix réduit à partir de comptes Air Miles piratés ,etc.
- Utiliser nos mots de passe pour déverrouiller d’autres comptes où nous utilisons le même mot de passe.

Comment les pirates volent-ils les mots de passe ?

Familiarisez-vous avec ces techniques et vous pourrez mieux gérer les menaces :

1. Phishing et ingénierie sociale

Les humains sont faillibles et influençables. Nous sommes enclins à prendre de mauvaises décisions lorsque nous sommes pressés. Les criminels exploitent ces faiblesses grâce à l’ingénierie sociale, une astuce psychologique conçue pour nous faire faire des choses que nous ne devrions pas. Le phishing est l’exemple le plus connu. Les pirates se font passer pour légitimes - des amis, de la famille et des entreprises avec lesquelles nous avons fait affaire, etc. – et nous mènent à une page où remplir nos données personnelles.

Mais il existe de nombreuses façons de détecter les signes avant-coureurs d’une attaque de phishing. Les escrocs utilisent même des appels téléphoniques pour obtenir des connexions et autres informations personnelles de leurs victimes, se faisant passer pour des ingénieurs du support technique. C’est ce que l’on appelle le « vishing » (hameçonnage vocal).

2. Malware

Un autre moyen pour obtenir nos mots de passe c’est l’utilisation de logiciels malveillants. Les mails de phishing sont un vecteur privilégié pour ces attaques, bien que l’on puisse en être victime en cliquant sur une publicité malveillante en ligne (malvertising), ou même en visitant un site Web compromis (drive-by-download). Comme l’a déjà démontré Lukas Stefanko, chercheur chez ESET, les logiciels malveillants peuvent même être cachés dans une application mobile d’apparence légitime, souvent trouvée sur des magasins d’applis tiers.

Il y a différentes variétés de maliciels pour voler des informations, mais certaines parmi les plus courantes sont conçues pour enregistrer les frappes au clavier ou faire des captures d’écran de nos appareils et les renvoyer aux attaquants.

La force brute

En 2020, le nombre moyen de mots de passe qu’une personne devait gérer a augmenté de +/- 25 %. Beaucoup d’entre nous utilisent donc des mots de passe faciles à retenir (et à deviner) et les réutilisent sur plusieurs sites, alors que cela peut ouvrir la porte aux techniques dites de force brute.
Une des plus courants est le bourrage d’informations d’identification. Dans un logiciel automatisé, les escrocs insèrent de gros volumes de données qui combinent nom d’utilisateur/mot de passe volées. L’outil les essaie sur de nombreux de sites, espérant trouver une correspondance. Les pirates peuvent ainsi déverrouiller plusieurs comptes avec un seul mot de passe. En 2020, il y a eu environ 193 milliards de tentatives de ce type dans le monde.

Le gouvernement canadien en a été victime.

La pulvérisation de mots de passe est une autre technique de force brute. Les pirates utilisent un logiciel automatisé pour essayer une liste de mots de passe couramment utilisés sur votre compte.

4. Devinettes

Bien que les pirates aient à leur disposition des outils automatisés pour obtenir brutalement notre mot de passe, ils ne sont parfois même pas nécessaires : même de simples conjectures - par opposition à l’approche plus systématique utilisée dans les attaques par force brute - peuvent faire le boulot. Le mot de passe le plus courant en 2020 était « 123456 », suivi de « 123456789 ». Le numéro quatre était le seul et unique « mot de passe ».
Et si vous êtes comme la plupart d’entre nous et que vous recyclez votre mot de passe, ou utilisez - sur plusieurs comptes - un dérivé proche de celui-ci, alors vous facilitez vraiment la tâche des attaquants et vous vous exposez à un risque supplémentaire d’usurpation d’identité et de fraude.

5. Shoulder surfing

Toutes les voies de compromission de mot de passe explorées jusqu’à présent ont été virtuelles. Cependant, à mesure que le confinement se relâche et que de nombreux travailleurs retournent au bureau, il faut rappeler que certaines techniques d’écoute clandestines présentent aussi un risque. Ce n’est pas la seule raison pour laquelle le surf pardessus l’épaule est toujours un risque. Jake Moore d’ESET a récemment fait une expérience pour voir à quel point il est facile de pirater le Snapchat de quelqu’un avec cette technique simple.

Une version plus high-tech, du nom de "man-in-the-middle" impliquant l’écoute Wi-Fi, permet aux pirates installés sur des connexions Wi-Fi publiques d’espionner notre mot de passe lorsque nous l’introduisons en étant connecté au même hub. Si les deux techniques existent depuis des années, elles sont cependant toujours une menace.

Comment protéger nos identifiants de connexion

On peut faire beaucoup pour bloquer ces techniques - en ajoutant une deuxième forme d’authentification au mélange, en gérant nos mots de passe plus efficacement ou en prenant des mesures pour arrêter le vol en premier lieu. Voyez ce qui suit :

- N’utilisez que des mots de passe (ou des phrases secrètes) forts et uniques sur tous vos comptes en ligne, en particulier vos comptes bancaires, de messagerie et de réseaux sociaux
- Évitez de réutiliser vos identifiants de connexion sur plusieurs comptes et de commettre d’autres erreurs de mot de passe courantes
- Activez l’authentification à deux facteurs (2FA) sur tous vos comptes
- Utilisez un gestionnaire de mots de passe, qui stockera des mots de passe forts et uniques pour chaque site et compte, rendant les connexions simples et sécurisées
- Changez immédiatement le mot de passe si un fournisseur vous dit que vos données peuvent avoir été piratées
- Ne vous connecter qu’à des sites HTTPS
- Ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes dans les mails non sollicités
- Ne téléchargez des applis qu’à partir de magasins d’applis officiels
· Investissez, pour tous vos appareils, dans un logiciel de sécurité d’un fournisseur réputé
- Assurez-vous que le dernière version se trouve sur tous les systèmes d’exploitation et applis
- Dans les lieux publics, faites attention aux regards pardessus votre épaules
- Ne vous connectez jamais à un compte si vous êtes sur un réseau Wi-Fi public ; si vous devez utiliser ce type de réseau, utilisez un VPN (use a VPN)
La disparition du mot de passe est prédite depuis plus d’une décennie. Mais les alternatives ont encore souvent du mal à remplacer le mot de passe lui-même. Les utilisateurs doivent donc prendre les choses en main. Restez vigilant et protégez vos données de connexion.