86% des piratages informatiques utilisent des mots de passe volés

Selon un rapport de l’entreprise de sécurité Digital Shadows, 24,6 milliards de combinaisons d’identifiants et de mots de passe volés circulent sur le web, soit une augmentation de 65% par rapport à 2020. Et ce chiffre ne cesse de croître. Les pirates disposent d’outils de plus en plus sophistiqués pour dérober, acheter et vendre des mots de passe, et les tester sur des milliers de sites populaires.

86% des attaques contre les applications web utilisent des mots de passe volés. Il est donc essentiel de comprendre les méthodes utilisées par les pirates et de savoir comment s’en protéger.

Le phishing reste la méthode numéro 1 pour voler votre mot de passe

Les pirates utilisent diverses méthodes pour voler des mots de passe. L’une des plus courantes est le phishing, qui consiste à envoyer un email frauduleux incitant l’utilisateur à révéler ses informations personnelles ou à le diriger vers une fausse page de réinitialisation de mot de passe. D’autres variantes du phishing incluent le spear phishing, qui cible une personne spécifique, le smishing et le vishing, qui utilisent respectivement des SMS et des appels téléphoniques pour tromper les utilisateurs.

86% des piratages informatiques utilisent des mots de passe volés

Une autre méthode courante est l’attaque par force brute, où un pirate essaie toutes les combinaisons de caractères possibles jusqu’à ce qu’il trouve le bon mot de passe. Les pirates peuvent également utiliser des attaques par dictionnaire, en testant une liste de mots de passe courants, ou des attaques par pulvérisation de mots de passe, qui consistent à essayer un petit nombre de mots de passe courants sur plusieurs comptes.

L’une des méthodes les plus efficaces pour les pirates est l’attaque par bourrage d’identifiants, qui consiste à utiliser une liste de combinaisons de noms d’utilisateur et de mots de passe volés pour s’authentifier sur une application web. Les pirates profitent du fait que de nombreux utilisateurs réutilisent les mêmes identifiants sur différents comptes. Ils utilisent des robots automatisés pour tester rapidement de nombreuses combinaisons et valider celles qui fonctionnent.

Méthode de piratageDescription
PhishingEnvoi d’emails frauduleux pour obtenir des informations personnelles
Spear phishingPhishing ciblant une personne spécifique
SmishingPhishing par SMS
VishingPhishing par appel téléphonique
Force bruteEssai de toutes les combinaisons de caractères possibles
Attaque par dictionnaireTest d’une liste de mots de passe courants
Pulvérisation de mots de passeEssai d’un petit nombre de mots de passe courants sur plusieurs comptes
Bourrage d’identifiantsUtilisation de listes de combinaisons volées pour s’authentifier

Les pirates ciblent souvent des comptes d’utilisateur, en particulier ceux qui utilisent des adresses email comme noms d’utilisateur. Les comptes système, notamment ceux associés à des dispositifs de l’Internet des objets (IdO) avec des mots de passe faibles, sont également des cibles de choix. Les interfaces de programmation d’applications (API) sont de plus en plus visées, car les mécanismes de protection de compte y sont souvent désactivés. Les comptes d’identité fédérée, qui permettent d’accéder facilement à plusieurs services avec une seule authentification, sont aussi très prisés par les pirates.

Comment se protéger ?

Pour se protéger contre les attaques par vol de mots de passe, il est essentiel d’adopter des mesures de sécurité robustes. Voici quelques recommandations :

  • Utilisez des mots de passe forts et uniques pour chaque service
  • Activez l’authentification multifacteur lorsque c’est possible
  • Évitez d’utiliser des renseignements associés à votre adresse email comme nom d’utilisateur
  • Soyez vigilant face aux emails suspects et aux tentatives de phishing
  • Utilisez des gestionnaires de mots de passe de bonne réputation
  • Surveillez vos comptes et identifiants pour détecter toute activité suspecte

Les organisations doivent mettre en place des politiques de sécurité efficaces, renforcer leurs systèmes d’authentification, bloquer les indicateurs d’attaque connus et adopter des services d’authentification modernes.

FAQ

Quel est l'ampleur actuelle des piratages de mots de passe ?

Le piratage de mots de passe est un phénomène très répandu à l'heure actuelle. Selon une étude récente, près de 80% des internautes ont déjà été victimes d'un piratage de compte en ligne. Les cybercriminels utilisent différentes techniques pour accéder aux mots de passe, allant du phishing au cracking en passant par les logiciels malveillants.

Ce fléau touche toutes les sphères d'utilisation d'internet, qu'il s'agisse des réseaux sociaux, des services bancaires en ligne ou encore des boîtes mail. Il est donc impératif de prendre les mesures nécessaires pour protéger ses identifiants et éviter tout risque de piratage.

Quels sont les moyens utilisés pour pirater des mots de passe ?

Il existe plusieurs moyens utilisés pour pirater des mots de passe. Par exemple, les hackers peuvent utiliser des attaques par force brute qui consistent à tester toutes les combinaisons possibles jusqu'à trouver le bon mot de passe. Ils peuvent également utiliser des techniques telles que le phishing ou l'ingénierie sociale afin d'obtenir directement le mot de passe auprès de la victime.

Enfin, certains hackers exploitent les failles de sécurité des sites internet ou des logiciels pour accéder aux mots de passe stockés en clair sur leur serveur.

Que peut-on faire pour se protéger contre les piratages de mots de passe ?

Pour se protéger contre les piratages de mots de passe, il est recommandé d'utiliser des combinaisons complexes composées de lettres, chiffres et caractères spéciaux. Il faut également éviter d'utiliser le même mot de passe pour plusieurs comptes et changer régulièrement ses mots de passe. Utiliser un gestionnaire de mots de passe peut également être une solution efficace pour stocker en sécurité ses différents mots de passe.

Enfin, il est important d'être vigilant quant aux possibles attaques par phishing en ne cliquant pas sur des liens suspects ou en vérifiant l'URL des sites avant de saisir ses identifiants.

Default image
Léa Leclercq