8 des techniques les plus couramment utilisées par les pirates pour voler vos mots de passe
Les mots de passe sont les clés qui protègent les comptes financiers, les secrets d'entreprise et d'autres données précieuses. Ils sont donc une cible de choix pour les pirates informatiques mal intentionnés : mais comment s'y prennent-ils pour les obtenir ?
Comment les pirates mettent-ils la main sur vos mots de passe ?
S'il n'existait qu'une seule tactique, il serait peut-être plus facile de se prémunir contre le vol de mots de passe. Malheureusement, les cybercriminels en ont mis au point tout un panel :
- Les attaques de phishing : les stratégies d'ingénierie sociale s'appuient sur la nature humaine et les tendances psychologiques dans le but d'obtenir un accès non autorisé à un système et de voler des informations. Les attaques de phishing constituent une approche courante d'ingénierie sociale qui utilise des e-mails, des SMS ou des appels téléphoniques trompeurs semblant provenir de sources légitimes, pour nous inciter à fournir des données confidentielles telles que des mots de passe.
- La réutilisation des mots de passe : on estime que plus de la moitié des mots de passe sont réutilisés à l'échelle mondiale. La réutilisation des mots de passe est une habitude dangereuse qui met en péril plusieurs comptes : si l'un d'entre eux est compromis, tous les autres sont exposés.
- Les logiciels malveillants : comment les pirates volent-ils les données ? Les logiciels malveillants, ou malwares, comprennent des variantes telles que les logiciels publicitaires, les vers et les virus qui interfèrent avec le fonctionnement de votre ordinateur. Si certains types de logiciels malveillants sont simplement gênants, d'autres, plus dangereux, peuvent être utilisés pour voler de l'argent, des mots de passe et d'autres données :
—Les ransomwares : les cybercriminels utilisent les ransomwares pour rendre un ordinateur ou son contenu inutilisable jusqu'à ce qu'une rançon soit payée en cryptomonnaie ou par carte bancaire. Le fait de payer les auteurs de ransomwares peut les encourager à commettre d'autres délits à l'avenir et à améliorer leurs méthodes.
—Les logiciels espions : cette forme de logiciel malveillant s'installe elle-même sur votre appareil et collecte des informations pendant que vous travaillez, renvoyant continuellement des données au cybercriminel. Les noms d'utilisateur et les mots de passe que vous saisissez peuvent être volés par le cybercriminel à votre insu. - Les attaques par force brute : vous êtes-vous déjà demandé comment les pirates obtiennent vos données ? Parfois, il ne faut pas chercher plus loin que l'essai et l'erreur. Les attaques par force brute utilisent des logiciels pour deviner les mots de passe des utilisateurs, encore et encore, jusqu'à ce qu'une correspondance soit trouvée. Plutôt que de voler ou d'acheter le mot de passe, le pirate l'obtient par le biais de suppositions assistées par ordinateur, rendues plus efficaces par des mots de passe faibles ou réutilisés.
- Les attaques par dictionnaire : quels sont les moyens utilisés pour pirater les mots de passe de manière plus efficace ? Sous-ensemble des attaques par force brute, les attaques par dictionnaire parcourent des listes d'expressions et de modèles de mots de passe courants afin d'améliorer leurs chances de réussite. Plutôt que de générer des mots de passe de manière aléatoire, une attaque par dictionnaire exploite les listes disponibles des mots de passe les plus couramment utilisés.
- Les interceptions de données (attaques de type « man-in-the-middle ») : avec cette tactique, un pirate se positionne virtuellement entre deux parties pour intercepter les données qui circulent entre elles. Les attaques MITM peuvent être tentées dans des zones où les connexions Wi-Fi ne sont pas sécurisées, comme les aéroports, les cafés et les hôtels. Les points d'accès Wi-Fi usurpés, dont le nom ressemble à celui de réseaux légitimes pour tromper les utilisateurs, sont un autre outil de piratage utilisé pour intercepter des données dans des lieux publics.
- Le partage non sécurisé des mots de passe : le partage des mots de passe avec des amis, des membres de la famille et des collègues de travail est presque inévitable, en particulier pour les comptes de streaming vidéo et de vente en ligne. Le partage de mots de passe augmente la vulnérabilité au vol de mots de passe de deux manières. Tout d'abord, les informations peuvent être interceptées lors de leur partage, s'il est réalisé au moyen d'une méthode non chiffrée, comme les SMS ou Slack. Deuxièmement, le partage de mots de passe expose tous les membres du groupe si l'un d'entre eux est victime d'un acte de cybercriminalité.
- Le shoulder surfing : comment pouvez-vous vous faire pirater dans des lieux publics, même sans être connecté à Internet ? Malgré tous les outils high-tech mis au point pour voler vos mots de passe depuis des endroits inconnus, la bonne vielle technique du vol physique de mots de passe constitue toujours une menace. Comme son nom l'indique, le shoulder surfing consiste à voler des informations confidentielles en regardant par-dessus l'épaule (shoulder) de la cible. Les mots de passe écrits sur des bouts de papier sont très vulnérables à cette méthode. Le shoulder surfing est également utilisé pour voler des codes PIN dans des endroits tels que les stations-service, les distributeurs automatiques de billets et les supermarchés.
Que font les cybercriminels avec les mots de passe volés ?
Vous pourriez penser que les cybercriminels volent des mots de passe pour leur usage personnel, en collectionnant des comptes à envahir et à piller à leur guise. Bien que cela puisse être vrai dans certains cas, une industrie entière s'est développée pour les cybercriminels qui échangent des mots de passe volés contre de l'argent sur le dark Web. C'est dans cette partie des tréfonds du Web que les cybercriminels peuvent effectuer des transactions illégales tout en gardant leur identité secrète.
Vous voulez en savoir plus sur l'utilisation d'un gestionnaire de mots de passe ?
Découvrez nos forfaits individuels ou commencez par un essai gratuit.
Comment savoir si vous avez été victime d'un piratage ?
Certaines tactiques de piratage dangereuses, notamment les logiciels espions, sont conçues pour passer inaperçues, ce qui permet aux cybercriminels de voler davantage de mots de passe et d'autres informations précieuses pendant une période plus longue. D'autres méthodes présentent des signes plus visibles que vous pouvez rechercher, notamment :
- Les fenêtres contextuelles aléatoires : les pop-ups provenant de sites qui n'en génèrent pas habituellement constituent un signal d'alarme indéniable, en particulier si elles contiennent des messages émanant de fausses sociétés de logiciels antivirus. Lorsque vous voyez un nombre excessif ou inhabituel de fenêtres contextuelles s'afficher, installez un logiciel antivirus ou anti-malware si ce n'est pas déjà fait, et analysez immédiatement votre système afin de détecter et de mettre en quarantaine tout fichier malveillant.
- Les e-mails ou les messages directs envoyés depuis votre compte (dont vous n'êtes pas l'auteur) : des amis ou des membres de votre famille vous ont-ils déjà posé des questions sur des liens ou des messages mystérieux provenant de votre compte de messagerie ou de réseau social, et que vous n'avez jamais envoyés ? Il se peut qu'un cybercriminel ait piraté le mot de passe de votre compte, puis volé des données personnelles et financières dans vos archives ou envoyé des messages de phishing à vos contacts.
- Vos mots de passe ne fonctionnent plus : un cybercriminel qui a volé votre mot de passe peut le modifier pour vous bloquer et s'octroyer un accès privé. Un mot de passe mal saisi peut vous bloquer temporairement après plusieurs tentatives, mais si votre mot de passe et vos méthodes de récupération continuent d'échouer, il se peut que quelqu'un d'autre ait pris les commandes.
- Les transactions frauduleuses : vous devez toujours examiner attentivement vos relevés bancaires et autres documents financiers pour vous assurer qu'il n'y a pas eu de transactions inhabituelles ou inexpliquées. Les cybercriminels peuvent effectuer de petits achats au départ pour tâter le terrain. Ne négligez donc pas les transactions de faible montant si vous ne vous souvenez pas les avoir effectuées. Informez votre banque ou la société émettrice de votre carte bancaire, et changez votre mot de passe immédiatement si vous remarquez des transactions suspectes.
- Vous recevez une notification : les organisations financières, les employeurs et les applications de cybersécurité émettent souvent des alertes de sécurité si le mot de passe de votre compte a été compromis dans le cadre d'une faille de données. Même si vous n'avez constaté aucun signe visible de piratage, vous devez toujours prendre ces alertes au sérieux en changeant les mots de passe concernés et en suivant toutes les autres recommandations incluses dans l'alerte.
- Vos informations sont détectées sur le dark Web : les mots de passe volés sont souvent mis en vente, c'est pourquoi l'analyse du dark Web offre une couche de protection supplémentaire lorsque l'attaque n'a pas été détectée. La surveillance du dark Web de Dashlane analyse continuellement le dark Web à la recherche de vos mots de passe et de vos données personnelles et vous avertit s'ils sont détectés.
Comment empêcher les cybercriminels d'obtenir vos mots de passe ?
Les cybercriminels ont développé et amélioré leurs techniques de vol de mots de passe, mais cela ne signifie pas que vous ne pouvez pas vous protéger. Adoptez ces outils de base et ces bonnes pratiques pour minimiser le risque de vol de mots de passe :
- Créez des mots de passe forts
Un mot de passe fort combine au moins 12 caractères et comprend un mélange aléatoire de lettres majuscules, de lettres minuscules, de chiffres et de caractères spéciaux. Évitez d'utiliser des données personnelles (comme votre nom) dans vos mots de passe, car cela les rend plus vulnérables aux attaques par force brute ou par dictionnaire. Évitez également de réutiliser vos mots de passe, car le vol d'un mot de passe réutilisé peut compromettre plusieurs comptes.
- Utilisez le chiffrement
Le chiffrement, qui consiste à masquer des informations dans un format non reconnaissable, remonte à l'Antiquité et constitue aujourd'hui un outil précieux pour la sécurité des sites Web et des mots de passe. Le chiffrement offre une protection solide contre le vol de mots de passe, car les pirates ne peuvent pas en visualiser la version non chiffrée sans la clé de chiffrement. Le gestionnaire de mots de passe Dashlane utilise le chiffrement AES-256, largement reconnu comme le protocole le plus puissant du marché, pour assurer la protection des mots de passe.
- Ne partagez pas vos mots de passe de manière non sécurisée
Lorsque vous utilisez des méthodes non chiffrées comme les e-mails, les SMS ou Slack pour partager vos mots de passe, vous augmentez votre vulnérabilité au piratage et au vol de mots de passe. Heureusement, il existe des méthodes de partage plus sûres. Le portail de partage chiffré de Dashlane peut être utilisé pour envoyer des mots de passe, des fichiers ou des notes sécurisées à d'autres utilisateurs de Dashlane, facilement et en toute sécurité.
- Apprenez à repérer les tactiques d'ingénierie sociale et les sites Web douteux
Les tactiques d'ingénierie sociale peuvent aller bien au-delà des e-mails de phishing et inclure les appels téléphoniques, les escroqueries en personne et même les usurpations d'identité par deepfake. Imposer une politique « zero-trust » permet de compenser le dangereux mariage entre la technologie et notre tendance à faire confiance aux autres, en s'assurant que chaque personne est authentifiée, quelle que soit son identité (ou qui elle prétend être). Une formation à la sécurité et un œil avisé sont également essentiels pour identifier les sites Web peu sûrs qui augmentent la vulnérabilité aux logiciels malveillants et aux interceptions de données.
- Utilisez un VPN sur les réseaux Wi-Fi publics
Les réseaux Wi-Fi publics peuvent être vulnérables aux interceptions de données et à l'usurpation d'identité, mais il existe un moyen fiable d'assurer votre sécurité. L'utilisation d'un réseau privé virtuel (VPN) protège votre confidentialité, vos mots de passe et vos comptes en chiffrant les données entrant ou sortant de votre appareil et en les acheminant via un portail sécurisé. Un VPN masque également votre adresse IP pour que vous puissiez naviguer sur Internet de façon privée.
- Activez la double authentification
La double authentification (2FA) a recours à un deuxième identifiant en plus du mot de passe. Il s'agit généralement d'un code envoyé via une application ou par SMS. Lorsqu'elle est disponible, l'activation de la 2FA neutralise l'impact de nombreuses manœuvres de piratage courantes, car il est peu probable que le pirate dispose à la fois des identifiants volés et de l'appareil de l'utilisateur pour obtenir un accès non autorisé.
- Utilisez un gestionnaire de mots de passe
Un gestionnaire de mots de passe améliore votre posture de sécurité en chiffrant vos mots de passe et les détails de vos comptes, en conservant vos informations dans un coffre-fort sécurisé et en activant la double authentification. Dashlane inclut des fonctionnalités de génération automatique de mots de passe et de saisie automatique personnalisable pour davantage de sécurité et de commodité, éliminant ainsi la nécessité de créer et de mémoriser des mots de passe forts pour chaque compte.
Comment Dashlane vous protège contre le vol de données
Les fonctionnalités standard de Dashlane, notamment son portail de partage de mots de passe sécurisé, son score de sécurité et sa surveillance du dark Web, vous aident à vous protéger contre les cybercriminels et le vol de mots de passe. Dashlane préserve la confidentialité de vos informations tout en vous signalant en temps réel toute faille de données ou compromission de mots de passe. Par ailleurs, l'architecture « zero-knowledge » de Dashlane garantit que personne (pas même Dashlane) ne pourra jamais accéder à vos mots de passe non chiffrés et à vos données personnelles.
Les cybermenaces, internes comme externes, ne cessent de se multiplier. Heureusement, de nouveaux outils et des pratiques innovantes ont été développés pour vous aider à mettre au point une boîte à outils sécurisée pour vos employés. Pour en savoir plus, consultez notre article 11 cybermenaces à connaître et comment se défendre.
Références
- Dashlane, « Pourquoi Dashlane ne vous demandera jamais d’identifiants dans un e-mail ? (parce qu’il s’agit là d’une technique d’hameçonnage) », novembre 2021.
- Dashlane, « What the Hack Is Malware? » [Mais c'est quoi d'abord un malware ?], février 2020.
- Dashlane, « Conseils pour prévenir les attaques de ransomware sur vos appareils », mars 2023.
- Dashlane « What the Hack is a Brute Force Attack? » [Mais c'est quoi d'abord une attaque par force brute ?] février 2020.
- Dashlane, « 10 Bad Password Examples: Avoid These Common Mistakes » [10 exemples de mauvais mots de passe : évitez ces erreurs courantes], mars 2023.
- NIST, « Man-in-the middle attack (MITM) », 2023.
- Dashlane, « Qu’est-ce que le partage des mots de passe et quand devrais-je y recourir ? », février 2023.
- Dashlane, « Le partage de mots de passe sur Slack : une pratique risquée », novembre 2019.
- Experian, « What is Shoulder Surfing? » octobre 2020.
- Dashlane, « Que faire si un escroc a accès à votre adresse e-mail », avril 2023.
- Dashlane, « Changez toujours vos mots de passe après une faille de données », mars 2020.
- Naked Security, « Why people ignore security alerts up to 87% of the time », août 2016.
- Dashlane, « 6 pratiques essentielles pour assurer votre cybersécurité ? », juin 2022.
- Dashlane, « Votre mot de passe est-il fort et devez-vous le changer ? » août 2022.
- Dashlane, « La réutilisation des mots de passe, source de vulnérabilité en matière de cybersécurité », mai 2023.
- Thales, « A Brief History of Encryption and Cryptography », mai 2023.
- Dashlane, « Meilleur moyen d'enregistrer des mots de passe chez vous ou au travail », septembre 2022.
- Forbes, « A Voice Deepfake Was Used To Scam A CEO Out Of $243,000 », septembre 2019.
- Dashlane, « Pourquoi avez-vous besoin d'un VPN ? Ses 3 grands avantages pour votre sécurité », août 2020.
- Dashlane, « Double authentification (2FA) dans Dashlane », 2023.
- Dashlane, « Build the Case for a Password Manager in 8 Steps » [Fonctionnement des gestionnaires de mots de passe : le guide du débutant], 2023.
- Dashlane, « 11 cybermenaces à connaître et comment se défendre », avril 2023.
Inscrivez-vous pour connaître toute l'actualité de Dashlane