6 types d’attaques de mot de passe et comment les arrêter

Les attaques de mot de passe constituent l’une des formes les plus courantes de violation des données d’entreprise et personnelles. Une attaque de mot de passe est tout simplement une tentative de vol de mot de passe par un hacker. En 2020, 81 % des violations de données étaient dues à des informations d’identification compromises. Dans la mesure où les mots de passe ne peuvent comporter qu’un nombre limité de lettres et de chiffres, ils deviennent de moins en moins sécurisés. Les hackers savent que beaucoup de mots de passe sont mal conçus. C’est la raison pour laquelle les attaques de mot de passe continueront, et ce tant que les mots de passe seront utilisés.

Protégez-vous des attaques de mot de passe grâce aux informations ci-dessous.

L’hameçonnage consiste, pour un hacker, à vous envoyer un e-mail frauduleux en se faisant passer pour un organisme que vous connaissez, pour vous inciter à révéler volontairement vos informations personnelles. Parfois, ce procédé vous amène à de fausses pages de réinitialisation de votre mot de passe. D’autres fois, les liens installent un code malveillant sur votre appareil. Nous donnons plusieurs exemples dans le blog OneLogin.

Voici quelques exemples d’hameçonnage :

• Hameçonnage classique. Vous recevez un e-mail qui semble provenir de goodwebsite.com vous demandant de réinitialiser votre mot de passe, mais vous n’avez pas regardé de près et il s’agit en fait de goodwobsite.com. Vous « réinitialisez votre mot de passe » et le hacker vole vos informations d’identification.
• Hameçonnage ciblé. Un hacker vous cible spécifiquement avec un e-mail qui semble provenir d’un ami, d’un collègue ou d’un associé. L’accroche est brève et générique (« Consultez la facture ci-jointe et dites-moi si elle vous semble correcte. ») et le hacker espère que vous allez cliquer sur la pièce jointe malveillante.
• Hameçonnage par texto et hameçonnage vocal. Vous recevez un texto (hameçonnage par texto, ou « smishing » en anglais) ou un appel téléphonique (hameçonnage vocal, ou « vishing » en anglais) d’un hacker, qui vous informe que votre compte a été gelé ou qu’une fraude a été détectée. Vous saisissez alors les informations de votre compte et le hacker vous les vole.
• Harponnage de cadre. Vous ou votre entreprise recevez un e-mail censé provenir d’une personne haut placée de l’entreprise. Vous n’êtes pas assez prudent concernant la véracité de l’e-mail et envoyez des informations sensibles à un hacker.

Pour éviter les attaques par hameçonnage, suivez les étapes ci-dessous :

• Vérifiez qui a envoyé l’e-mail : regardez la ligne « De » pour chaque e-mail afin de vous assurer que l’expéditeur correspond bien à l’adresse à laquelle vous vous attendez.
• Vérifiez auprès de l’expéditeur : en cas de doute, contactez la personne censée avoir envoyé l’e-mail et vérifiez qu’il s’agit bien de l’expéditeur.
• Vérifiez auprès de votre équipe informatique : le service informatique de votre entreprise peut en général vous dire si l’e-mail que vous avez reçu est légitime.

L’attaque de l’intercepteur ou « Man-in-the middle » (MitM) est une attaque dans laquelle le hacker ou un système compromis se positionne entre deux personnes ou systèmes non compromis et déchiffre les informations qu’ils échangent, y compris les mots de passe. Si Alice et Bob se passent des notes en classe, mais que Jeremy doit faire le relais entre eux, Jeremy a la possibilité d’être l'intercepteur. Ainsi, en 2017, Equifax a retiré ses applications de l’App Store et du Google Play Store car ils transmettaient des données sensibles sur des canaux non sécurisés où les hackers auraient pu voler les informations concernant les clients.

Pour éviter les attaques de l’intercepteur :

• Activez le chiffrement sur votre routeur. Si votre modem et votre routeur sont publiquement accessibles par quiconque, une technologie d’analyseur peut être utilisée pour voir les informations transmises.
• Utilisez des informations d’identification fortes et une authentification à deux facteurs. Souvent, les informations d’identification d’un routeur ne sont jamais modifiées et restent le nom d’utilisateur et le mot de passe par défaut. Si un hacker obtient un accès à l’administration de votre routeur, il peut rediriger tout votre trafic vers ses serveurs piratés.
• Utilisez un VPN. Un réseau privé virtuel (VPN) vous aidera à prévenir les attaques de l’intercepteur en vous assurant que tous les serveurs auxquels vous envoyez des données sont de confiance.

Si un mot de passe est comparable à l’utilisation d’une clé pour ouvrir une porte, une attaque par force brute reviendrait à employer un bélier. Un hacker peut essayer 2 180 milliards de combinaisons de mot de passe et utilisateur en 22 secondes. Si votre mot de passe est simple, votre compte pourrait être menacé.

Pour éviter les attaques par force brute :

• Utilisez un mot de passe complexe. La différence entre un mot de passe à six caractères entièrement alphabétiques et en minuscules et un mot de passe à dix caractères, mélangeant chiffres et lettres, tant minuscules que majuscules, est tout simplement énorme. Les chances de réussite d’une attaque par force brute diminuent proportionnellement à la complexité de votre mot de passe.
• Activez et configurez un accès à distance. Demandez à votre service informatique si votre entreprise a recours à la gestion des accès à distance. Un outil de gestion des accès tel que OneLogin permet de réduire le risque d’attaque par force brute.
• Exigez l’authentification multifacteur. Si l’authentification multifacteur (MFA) est activée sur votre compte, un hacker potentiel peut uniquement envoyer à votre deuxième facteur une demande d’accès à votre compte. Les hackers n’auront probablement pas accès à votre appareil mobile ou à votre empreinte numérique, ce qui les tiendra hors de portée de votre compte.

L’attaque par dictionnaire est une attaque par force brute. Elle repose sur notre habitude de choisir des mots simples à titre de mot de passe, ce qui a permis aux hackers de réunir les plus courants d’entre eux dans des « dictionnaires de craquage ». Des attaques par dictionnaire plus sophistiquées peuvent intégrer des mots qui sont importants pour vous à titre personnel, comme un lieu de naissance, un nom d’enfant ou un nom d’animal de compagnie.

Pour éviter une attaque par dictionnaire :

• N’utilisez jamais un mot du dictionnaire comme mot de passe. Aucun mot apparaissant dans un livre ne devrait faire partie de votre mot de passe. Si vous devez utiliser un mot de passe au lieu d’un outil de gestion des accès, envisagez d’avoir recours à un système de gestion des mots de passe.
• Verrouillez les comptes après un grand nombre d’échecs de tentative de connexion par mot de passe. Il peut être très frustrant de perdre accès à un compte si vous oubliez momentanément votre mot de passe, mais cela reste préférable à l’insécurité du compte. Accordez-vous un maximum de cinq tentatives avant que l’application ne vous arrête.
• Envisagez d’investir dans un gestionnaire de mots de passe. Ceux-ci génèrent automatiquement des mots de passe complexes qui aident à prévenir les attaques par dictionnaire.

Si vous avez été victime de piratage par le passé, vous savez que vos anciens mots de passe ont sans doute été divulgués à un site Web peu recommandable. Le bourrage d’identifiants profite des comptes dont le mot de passe n’a jamais été modifié après intrusion dans le compte associé. Les hackers essaient plusieurs combinaisons d’anciens noms d’utilisateur et mots de passe, en espérant que la victime ne les a jamais changés.

Pour éviter le bourrage d’identifiants :

• Surveillez vos comptes. Il existe des services payants qui surveillent les identités en ligne, mais vous pouvez également avoir recours à des services gratuits tels que haveIbeenpwned.com pour voir si votre adresse e-mail est liée à de récentes fuites d’informations.
• Changez régulièrement vos mots de passe. Plus longtemps un mot de passe reste inchangé, plus il est probable qu’un hacker trouve la façon de le craquer.
• Utilisez un gestionnaire de mots de passe. Comme avec une attaque par dictionnaire, beaucoup d’attaques par bourrage d’identifiants peuvent être évitées grâce à un mot de passe fort et sécurisé. Un gestionnaire de mots de passe est utile pour cela.

L’enregistreur de frappe est un type de logiciel malveillant conçu pour effectuer le suivi de chaque frappe sur le clavier en la communiquant à un hacker. En général, un utilisateur télécharge le logiciel en pensant qu’il s’agit d’un produit légitime, mais ce dernier installe un enregistreur de frappe sans qu’il le remarque.

Pour vous protéger des enregistreurs de frappe :

• Contrôlez votre matériel physique. Si quelqu’un a accès à votre station de travail, il peut installer un enregistreur de frappe matériel pour collecter des informations sur vos frappes sur le clavier. Inspectez régulièrement votre ordinateur et la zone environnante pour vérifier l’absence de matériel inconnu de vous.
• Lancez une analyse antivirus. Utilisez un logiciel antivirus reconnu pour analyser votre ordinateur de manière régulière. Les fournisseurs d’antivirus disposent de listes des enregistreurs de frappe malveillants les plus courants et les marquent comme dangereux.