Des méthodes de vol de mots de passe d’une simplicité déconcertante
Voici 5 méthodes trompeuses utilisées par les pirates pour accéder facilement à vos données confidentielles.
Temps de lecture: 8 min
Quelques éléments qui pourraient vous surprendre : parmi l’ensemble des biens échangés sur le dark web, 18 % d’entre eux sont des comptes en ligne, des identifiants de messagerie électronique et des mots de passe. Le nombre de vols d’identifiants a augmenté de près de 30 % depuis 2017 et 81 % des cas de piratage sont imputables à la faiblesse ou à la compromission des identifiants. Ces statistiques font froid dans le dos. Toutefois, comme la majorité des attaques (74 %) sont liées à une erreur humaine, la solution ne se trouve pas dans une technologie plus avancée, mais entre nos mains. Vous trouverez ci-dessous quelques-unes des méthodes les plus courantes et les plus choquantes utilisées par les pirates pour voler nos mots de passe, ainsi que les moyens de s’en prémunir.En moyenne, chaque personne possède plus de 100 mots de passe et chacun d’entre eux correspond à une clé. Pour gérer cette importante collection de clés, nous avons très souvent tendance à prendre des raccourcis, comme définir des mots de passe faciles à retenir ou, disons-le, réutiliser un même mot de passe sur plusieurs sites. C’est précisément là que les choses se gâtent...La méthode de piratage par force brute, très prisée en raison de sa simplicité et de son efficacité, est l’équivalent numérique de l’essai de toutes les combinaisons pour ouvrir un coffre-fort. Le bourrage d’identifiants est une forme d’attaque par force brute particulièrement répandue. Les pirates ont recours à cette technique lorsqu’ils mettent la main sur une série de combinaisons de noms d’utilisateur et de mots de passe ayant déjà été divulgués. Un système automatisé se charge ensuite d’essayer ces identifiants sur toute une série de sites Internet. Il s’agit essentiellement d’un jeu de nombres, et avec environ 193 milliards de tentatives à travers le monde en une seule année, les chances de succès sont indéniablement en faveur des cybercriminels.Ce qu’il faut retenir : en matière de sécurité des mots de passe, la diversité n’est pas une simple commodité, c’est le rempart de votre royaume numérique. Abandonnez le principe de la « clé unique » et songez à investir dans un gestionnaire de mots de passe. Au bout du compte, la meilleure défense contre une attaque par force brute repose sur un ensemble de mots de passe forts et uniques.L’hameçonnage, souvent désigné par le terme anglais "phishing", joue sur la nature humaine et sur notre tendance innée à faire confiance et à manquer parfois de discernement en situation de crise. L’hameçonnage existe sous de nombreuses formes et tailles, mais une méthode courante consiste à se faire passer pour des personnes de confiance, comme des amis, des membres de la famille ou des entreprises connues. Pourtant, un email bien conçu et d’apparence authentique envoyé par un proche ou un collègue peut dissimuler une intention pernicieuse : un lien ou une pièce jointe prête à activer un logiciel malveillant ou à vous rediriger vers un site web frauduleux où vos informations personnelles seront dérobées.Cependant, la supercherie ne se limite pas aux emails et aux textes. C’est là que le vishing, le jumeau vocal de l’hameçonnage, entre en scène. Le vishing est une sorte d’arnaque où des personnes mal intentionnées usent d’appels téléphoniques pour inciter leurs victimes à leur communiquer des données personnelles, comme leurs informations bancaires, leurs mots de passe ou leurs numéros de sécurité sociale. Contrairement à l’hameçonnage classique, qui passe généralement par un e-mail, le vishing repose sur l’utilisation du téléphone pour créer un sentiment d’urgence ou d’autorité, en se faisant souvent passer pour une entreprise connue, un service administratif ou une équipe technique.La vigilance et une bonne dose de scepticisme s’avèrent être de puissants outils pour identifier les signes annonciateurs d’une tentative d’hameçonnage ou de vishing. Méfiez-vous des demandes d’information inhabituelles, vérifiez soigneusement l’adresse électronique de l’expéditeur et souvenez-vous que si la demande semble trop urgente ou trop belle pour être vraie, c’est probablement le cas.Vous pensez que tout piratage repose sur des algorithmes et des technologies complexes ? Détrompez-vous. Le shoulder surfing, dans sa forme la plus simple, consiste à espionner une personne par-dessus son épaule pour accéder à des informations confidentielles, notamment des mots de passe ou d’autres données sécurisées. Ce genre d’attaque peut se produire n’importe où, qu’il s’agisse de regarder par-dessus l’épaule d’une personne dans un café bondé ou d’observer la saisie d’un code PIN à un distributeur automatique. Malheureusement, le shoulder surfing a évolué et ne se limite plus à la seule proximité physique. Les pirates informatiques utilisent également des outils numériques, comme des caméras ou des logiciels d’enregistrement d’écran, pour s’emparer à distance d’informations confidentielles. En dépit de son caractère peu sophistiqué, le shoulder surfing reste une méthode efficace et simple pour obtenir un accès non autorisé à des informations personnelles ou confidentielles, et rappelle la nécessité de faire preuve de vigilance, même dans des environnements en apparence sûrs.Qualifier le shoulder surfing de dépassé serait une erreur. S’il ne nécessite pas de matériel de pointe, il n’en reste pas moins une menace. Par conséquent, la prochaine fois que vous taperez votre code en public, souvenez-vous que des yeux malveillants peuvent vous observer et que les pirates n’ont pas toujours besoin d’un ordinateur pour vous dérober votre mot de passe.Lors d’une attaque par masque, les pirates acquièrent une partie de votre mot de passe à la suite de fuites de données ou d’incidents de cybersécurité. Bien que ces attaques ne permettent pas aux pirates de récupérer l’intégralité du mot de passe, elles leur fournissent suffisamment d’indices pour pouvoir entamer leur travail. Au lieu d’essayer toutes les combinaisons possibles de caractères (comme dans une attaque par force brute), les pirates appliquent un « masque » qui correspond aux informations connues. Par exemple, dans le cas d’un mot de passe commençant par « Le » et comportant huit caractères, les pirates n’essaieront que les combinaisons correspondant à ce schéma. Cette méthode réduit considérablement le nombre de tentatives nécessaires pour trouver le mot de passe correct. L’avantage (pour vous, pas pour les pirates), c’est que si votre mot de passe est l’équivalent numérique d’une serrure hautement sécurisée – long, complexe et imprévisible – même un coup d’œil furtif ne leur fournira pas toutes les informations nécessaires. Assurez-vous donc de créer des mots de passe composés de longues séquences de chiffres, de lettres et de symboles dans un schéma que vous êtes la seule personne à comprendre. Dans les recoins les plus sombres de la toile se cache une méthode de piratage qui semble étonnamment inoffensive mais qui est pourtant loin de l’être : les rainbow tables. Les rainbow tables s’apparentent à des antisèches dont se servent les pirates informatiques pour casser les mots de passe. Lorsque vous créez un mot de passe sur une application ou un site web, il est généralement converti en un format brouillé et illisible à l’aide d’une fonction de hachage. Dans les grandes lignes, une rainbow table correspond à une table de hachage précalculée pour une multitude de mots de passe possibles. Les pirates se servent des rainbow tables pour associer le mot de passe brouillé (le hachage) à sa forme originale figurant dans leur table, ce qui facilite grandement la détermination du mot de passe correct sans devoir passer par un processus fastidieux d’essai-erreur.Heureusement, la situation n’est pas si dramatique. La complexité et l’unicité de votre mot de passe pourront empêcher les pirates de s’en emparer. Le « salage », méthode consistant à ajouter des données aléatoires à votre mot de passe avant de le hacher, le transforme en une énigme trop compliquée pour être déchiffrée, même par la plus complète des rainbow tables.Cette méthode au nom trompeur ne consiste pas à fouiller dans le dernier Larousse, mais à utiliser le « dictionnaire » d’un pirate informatique, c’est-à-dire un arsenal condensé des mots de passe préférés des internautes. Citons par exemple : « 123456 », « azerty », « motdepasse », « je t’aime » ou encore les prénoms de vos enfants.Et l’histoire se poursuit avec la méthode connue sous le nom de « spidering ». Lorsqu’une entreprise ou une organisation particulière est la cible d’une attaque, les pirates ne se contentent pas de tester les mots de passe les plus courants en espérant trouver ceux qui fonctionnent. Ces personnes mal intentionnées développent un réseau de mots propres à la cible – en se référant au jargon de l’entreprise, au jargon du secteur, ou à tout ce qui est publiquement associé à l’entreprise. Pour ce faire, les pirates ne se servent pas d’un vieux dictionnaire poussiéreux, mais d’une araignée numérique, comparable aux bots que les moteurs de recherche déploient pour indexer de vastes pans d’Internet.L’intérêt des attaques par dictionnaire, notamment dans le cadre d’une stratégie de spidering, réside dans leur capacité à permettre l’accès à des comptes de personnes haut placées au sein d’une organisation. Cette méthode n’est toutefois pas infaillible. Lorsque vous créez un mot de passe, veillez à éviter tout ce qu’une attaque par dictionnaire pourrait prédire – informations personnelles, séquences simples ou tout autre élément susceptible d’être deviné à distance. Privilégiez plutôt un mélange aléatoire de caractères, de chiffres et de symboles, propre à chaque mot de passe. De cette façon, vos clés numériques resteront les vôtres, protégées contre la simplicité déconcertante de l’attaque par dictionnaire.
Chez N26, nous prenons la sécurité très au sérieux. Toutes les cartes Mastercard N26 sont protégées par la technologie 3D Secure et si vous repérez une activité suspecte sur votre compte, vous pouvez immédiatement bloquer votre carte depuis l’application. De plus, les notifications en temps réel vous offrent une visibilité sur toutes les activités de votre compte et vous permettent de garder l’esprit tranquille. Visitez la page de notre comparateur de compte pour trouver celui qui vous ressemble.
La force brute : essayer toutes les combinaisons numériques de la serrure
Naviguer sur les eaux troubles de l’hameçonnage et du vishing
Sans stress : ma banque, je gère
Vous n'arrivez pas à mettre la main sur votre carte bancaire ? Verrouillez-la et déverrouillez-la instantanément dans votre application N26.
La sécurité chez N26Shoulder surfing : le vol de mots de passe par-dessus l’épaule
Les attaques par masque : le bal masqué des pirates informatiques
Se repérer dans le labyrinthe des rainbow tables
La simplicité déconcertante d’une attaque par dictionnaire
Votre argent chez N26
Articles similaires au sujet
PAR N26La banque qu'on adore
Articles similaires
Ces articles pourraient vous intéresserTechnologie et sécurité
Comment les escrocs se servent des codes QR pour dérober vos données
Les codes QR ne sont pas tous sans danger. Découvrez comment éviter de vous faire piéger par le « quishing ».
Temps de lecture: 6 min
Technologie et sécurité
5 arnaques fréquentes dont se méfier pendant les fêtes
Ne laissez pas les escrocs gâcher vos fêtes. Préparez-vous à connaître ces 5 arnaques très répandues pendant les fêtes pour protéger vos comptes !
Temps de lecture: 6 min
Technologie et sécurité
Comment protéger votre argent lorsque vous effectuez des achats en ligne
Protégez-vous contre la fraude grâce à ce guide simple.
Temps de lecture: 8 min