Selon un rapport de l’entreprise de sécurité Digital Shadows, 24,6 milliards de combinaisons d’identifiants et de mots de passe volés circulent sur le web, soit une augmentation de 65% par rapport à 2020. Et ce chiffre ne cesse de croître. Les pirates disposent d’outils de plus en plus sophistiqués pour dérober, acheter et vendre des mots de passe, et les tester sur des milliers de sites populaires.
86% des attaques contre les applications web utilisent des mots de passe volés. Il est donc essentiel de comprendre les méthodes utilisées par les pirates et de savoir comment s’en protéger.
Le phishing reste la méthode numéro 1 pour voler votre mot de passe
Les pirates utilisent diverses méthodes pour voler des mots de passe. L’une des plus courantes est le phishing, qui consiste à envoyer un email frauduleux incitant l’utilisateur à révéler ses informations personnelles ou à le diriger vers une fausse page de réinitialisation de mot de passe. D’autres variantes du phishing incluent le spear phishing, qui cible une personne spécifique, le smishing et le vishing, qui utilisent respectivement des SMS et des appels téléphoniques pour tromper les utilisateurs.
Une autre méthode courante est l’attaque par force brute, où un pirate essaie toutes les combinaisons de caractères possibles jusqu’à ce qu’il trouve le bon mot de passe. Les pirates peuvent également utiliser des attaques par dictionnaire, en testant une liste de mots de passe courants, ou des attaques par pulvérisation de mots de passe, qui consistent à essayer un petit nombre de mots de passe courants sur plusieurs comptes.
L’une des méthodes les plus efficaces pour les pirates est l’attaque par bourrage d’identifiants, qui consiste à utiliser une liste de combinaisons de noms d’utilisateur et de mots de passe volés pour s’authentifier sur une application web. Les pirates profitent du fait que de nombreux utilisateurs réutilisent les mêmes identifiants sur différents comptes. Ils utilisent des robots automatisés pour tester rapidement de nombreuses combinaisons et valider celles qui fonctionnent.
| Méthode de piratage | Description |
|---|---|
| Phishing | Envoi d’emails frauduleux pour obtenir des informations personnelles |
| Spear phishing | Phishing ciblant une personne spécifique |
| Smishing | Phishing par SMS |
| Vishing | Phishing par appel téléphonique |
| Force brute | Essai de toutes les combinaisons de caractères possibles |
| Attaque par dictionnaire | Test d’une liste de mots de passe courants |
| Pulvérisation de mots de passe | Essai d’un petit nombre de mots de passe courants sur plusieurs comptes |
| Bourrage d’identifiants | Utilisation de listes de combinaisons volées pour s’authentifier |
Les pirates ciblent souvent des comptes d’utilisateur, en particulier ceux qui utilisent des adresses email comme noms d’utilisateur. Les comptes système, notamment ceux associés à des dispositifs de l’Internet des objets (IdO) avec des mots de passe faibles, sont également des cibles de choix. Les interfaces de programmation d’applications (API) sont de plus en plus visées, car les mécanismes de protection de compte y sont souvent désactivés. Les comptes d’identité fédérée, qui permettent d’accéder facilement à plusieurs services avec une seule authentification, sont aussi très prisés par les pirates.
Comment se protéger ?
Pour se protéger contre les attaques par vol de mots de passe, il est essentiel d’adopter des mesures de sécurité robustes. Voici quelques recommandations :
- Utilisez des mots de passe forts et uniques pour chaque service
- Activez l’authentification multifacteur lorsque c’est possible
- Évitez d’utiliser des renseignements associés à votre adresse email comme nom d’utilisateur
- Soyez vigilant face aux emails suspects et aux tentatives de phishing
- Utilisez des gestionnaires de mots de passe de bonne réputation
- Surveillez vos comptes et identifiants pour détecter toute activité suspecte
Les organisations doivent mettre en place des politiques de sécurité efficaces, renforcer leurs systèmes d’authentification, bloquer les indicateurs d’attaque connus et adopter des services d’authentification modernes.
