De l'ingénierie sociale au regard indiscret,
voici quelques astuces des plus courantes utilisées par les malfrats pour voler
des mots de passe
Les mots de passe existent
depuis des siècles et ils ont été introduits dans l'informatique bien plus tôt
que la plupart d'entre nous ne pensent. Une des raisons de leur popularité
persistante est que l’on sait instinctivement comment ils fonctionnent. Mais il
y a aussi un problème. Ils sont le talon d'Achille de la vie numérique de
nombreuses personnes, maintenant que nous vivons à une époque où en moyenne
on
en a une centaine à retenir, nombre qui
n'a augmenté que ces dernières années. Pas étonnant que nombreux sont ceux
qui prennent cela à, la légère et que la
sécurité en souffre.
Le mot de passe est souvent la seule chose entre
un cybercriminel et nos données personnelles et financières. Les escrocs
désirent à tout prix voler ou cracker ces identifiants. Il faut donc déployer
le même effort pour protéger nos comptes en ligne.
Que peut faire un hacker avec mon mot de
passe ?
Les mots de passe sont les clés virtuelles de
notre monde numérique - donnant accès à nos services bancaires en ligne, e-mail
et réseaux sociaux, nos comptes Netflix et Uber,
et toutes les données hébergées dans notre stockage dans le nuage. Avec nos
identifiants, un pirate peut :
· Voler nos informations d'identité
personnelles et les vendre à d'autres criminels
· Vendre l'accès à nos comptes. Les sites
criminels du dark web vendent ces connexions. Les malfrats peuvent utiliser
l'accès pour obtenir n’importe quoi : des trajets en taxi gratuits, du
streaming vidéo, des voyages à prix réduit à partir de comptes Air Miles
piratés ,etc.
· Utiliser nos mots de passe pour
déverrouiller d'autres comptes où nous utilisons le même mot de passe.
Comment les pirates volent-ils les mots
de passe ?
Familiarisez-vous avec ces techniques et vous
pourrez mieux gérer les menace :
1.
Phishing et ingénierie sociale
Les humains sont faillibles et influençables.
Nous sommes enclins à prendre de mauvaises décisions lorsque nous sommes
pressés. Les criminels exploitent ces faiblesses grâce à l'ingénierie sociale,
une astuce psychologique conçue pour nous faire faire des choses que nous ne
devrions pas. Le phishing est l'exemple le plus connu. Les pirates se font
passer pour légitimes - des amis, de la famille et des entreprises avec
lesquelles nous avons fait affaire, etc. – et nous mènent à une page où remplir nos données
personnelles.
Mais il existe de nombreuses façons de détecter
les signes avant-coureurs d'une attaque de phishing. Les escrocs utilisent même
des appels téléphoniques pour obtenir des connexions et autres informations
personnelles de leurs victimes, se faisant passer pour des ingénieurs du
support technique. C'est ce que l'on appelle le « vishing » (hameçonnage vocal).
2.
Malware
Un autre moyen pour obtenir nos mots de passe
c’est l’utilisation de logiciels malveillants. Les mails de phishing sont un
vecteur privilégié pour ces attaques, bien que l’on puisse en être victime en
cliquant sur une publicité malveillante en ligne (malvertising), ou même en
visitant un site Web compromis (drive-by-download). Comme l'a déjà démontré
Lukas Stefanko, chercheur chez ESET, les logiciels malveillants peuvent même
être cachés dans une application mobile d'apparence légitime, souvent trouvée
sur des magasins d'applis tiers.
Il y a différentes variétés de maliciels pour
voler des informations, mais certaines parmi les plus courantes sont conçues
pour enregistrer les frappes au clavier ou faire des captures d'écran de nos
appareils et les renvoyer aux attaquants.
3.
La force brute
En 2020, le nombre moyen de mots de passe qu’une
personne devait gérer a augmenté de +/- 25 %. Beaucoup d'entre nous utilisent
donc des mots de passe faciles à retenir (et à deviner) et les réutilisent sur
plusieurs sites, alors que cela peut ouvrir la porte aux techniques dites de
force brute.
Une des plus courants est le bourrage
d'informations d'identification. Dans un logiciel automatisé, les escrocs
insèrent de gros volumes de données qui combinent nom d'utilisateur/mot de
passe volées. L'outil les essaie sur de nombreux de sites, espérant trouver une
correspondance. Les pirates peuvent ainsi déverrouiller plusieurs comptes avec
un seul mot de passe. En 2020, il y a eu environ 193 milliards de tentatives de
ce type dans le monde. Le gouvernement canadien en a été victime. https://twitter.com/digitalcdn/status/1294670901011722240
La pulvérisation de mots de passe est une autre
technique de force brute. Les pirates utilisent un logiciel automatisé pour
essayer une liste de mots de passe couramment utilisés sur votre compte.
4.
Devinettes
Bien que les pirates aient à leur disposition des
outils automatisés pour obtenir brutalement notre mot de passe, ils ne sont
parfois même pas nécessaires : même de simples conjectures - par opposition à
l'approche plus systématique utilisée dans les attaques par force brute -
peuvent faire le boulot. Le mot de passe le plus courant en 2020 était « 123456
», suivi de « 123456789 ». Le numéro quatre était le seul et unique « mot
de passe ».
Et si vous êtes comme la plupart d’entre nous et
que vous recyclez votre mot de passe, ou utilisez - sur plusieurs comptes - un
dérivé proche de celui-ci, alors vous facilitez vraiment la tâche des
attaquants et vous vous exposez à un risque supplémentaire d'usurpation
d'identité et de fraude.
5.
Shoulder surfing
Toutes les voies de compromission de mot de passe
explorées jusqu'à présent ont été virtuelles. Cependant, à mesure que le
confinement se relâche et que de nombreux travailleurs retournent au bureau, il
faut rappeler que certaines techniques d'écoute clandestines présentent aussi
un risque. Ce n'est pas la seule raison pour laquelle le surf pardessus
l’épaule est toujours un risque. Jake Moore d'ESET a récemment fait une
expérience pour voir à quel point il est facile de pirater le Snapchat de
quelqu'un avec cette technique simple.
Une version plus high-tech, du nom de
"man-in-the-middle" impliquant l'écoute Wi-Fi, permet aux pirates
installés sur des connexions Wi-Fi publiques d'espionner notre mot de passe
lorsque nous l’introduisons en étant connecté au même hub. Si les deux techniques
existent depuis des années, elles sont cependant toujours une menace.
Comment protéger nos identifiants de
connexion
On peut faire beaucoup pour bloquer ces
techniques - en ajoutant une deuxième forme d'authentification au mélange, en
gérant nos mots de passe plus efficacement ou en prenant des mesures pour
arrêter le vol en premier lieu. Voyez ce qui suit :
· N'utilisez que des mots de passe (ou des
phrases secrètes) forts et uniques sur tous vos comptes en ligne, en
particulier vos comptes bancaires, de messagerie et de réseaux sociaux
· Évitez de réutiliser vos identifiants de
connexion sur plusieurs comptes et de commettre d'autres erreurs de mot de
passe courantes
· Activez l'authentification à deux facteurs
(2FA) sur tous vos comptes
· Utilisez un gestionnaire de mots de passe,
qui stockera des mots de passe forts et uniques pour chaque site et compte,
rendant les connexions simples et sécurisées
· Changez immédiatement le mot de passe si un
fournisseur vous dit que vos données peuvent avoir été piratées
· Ne vous connecter qu’à des sites HTTPS
· Ne cliquez pas sur les liens et n'ouvrez
pas les pièces jointes dans les mails non sollicités
· Ne téléchargez des applis qu’à partir de
magasins d'applis officiels
· Investissez, pour tous vos appareils, dans
un logiciel de sécurité d'un fournisseur réputé
· Assurez-vous que le dernière version se
trouve sur tous les systèmes d'exploitation et applis
· Dans les lieux publics, faites attention
aux regards pardessus votre épaules
· Ne vous connectez jamais à un compte si
vous êtes sur un réseau Wi-Fi public ; si vous devez utiliser ce type de
réseau, utilisez un VPN (use a VPN)
La disparition du mot de passe est prédite depuis
plus d'une décennie. Mais les alternatives ont encore souvent du mal à
remplacer le mot de passe lui-même. Les utilisateurs doivent donc prendre les
choses en main. Restez vigilant et protégez vos données de connexion.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des
logiciels et des services de sécurité informatique de pointe pour protéger les
entreprises, les infrastructures critiques et les consommateurs du monde entier
contre les menaces numériques toujours plus sophistiquées. De la sécurité des
terminaux et des mobiles à l'EDR en passant par le chiffrement,
l'authentification à double facteur, les solutions légères et performantes
d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les
défenses afin d’assurer sans interruption la sécurité des utilisateurs et des
entreprises. L'évolution constante des menaces nécessite un fournisseur de
sécurité informatique évolutif qui permet d’utiliser la technologie de façon
sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier,
travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez
nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .
