5 façons dont les pirates informatiques volent des mots de passe et les conseils d’ESET pour les en empêcher
Publié le 05/01/2022 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Le 5 janvier 2022 - Les mots de passe existent depuis des siècles et ils ont été introduits dans l'informatique bien plus tôt que la plupart d'entre nous ne pensent. Une des raisons de leur popularité persistante est que l’on sait instinctivement comment ils fonctionnent. Mais il y a aussi un problème. Ils sont le talon d'Achille de la vie numérique de nombreuses personnes, maintenant que nous vivons à une époque où en moyenne on en a une centaine à retenir, nombre qui n'a augmenté que ces dernières années. Pas étonnant que nombreux sont ceux qui prennent cela à, la légère et que la sécurité en souffre.
Le mot de passe est souvent la seule chose entre un cybercriminel et nos données personnelles et financières. Les escrocs désirent à tout prix voler ou cracker ces identifiants. Il faut donc déployer le même effort pour protéger nos comptes en ligne.
Que peut faire un hacker avec mon mot de passe ?
Les mots de passe sont les clés virtuelles de notre monde numérique - donnant accès à nos services bancaires en ligne, e-mail et réseaux sociaux, nos comptes Netflix et Uber, et toutes les données hébergées dans notre stockage dans le nuage. Avec nos identifiants, un pirate peut :
· Voler nos informations d'identité personnelles et les vendre à d'autres criminels
· Vendre l'accès à nos comptes. Les sites criminels du dark web vendent ces connexions. Les malfrats peuvent utiliser l'accès pour obtenir n’importe quoi : des trajets en taxi gratuits, du streaming vidéo, des voyages à prix réduit à partir de comptes Air Miles piratés ,etc.
· Utiliser nos mots de passe pour déverrouiller d'autres comptes où nous utilisons le même mot de passe.
Comment les pirates volent-ils les mots de passe ?
Familiarisez-vous avec ces techniques et vous pourrez mieux gérer les menace :
1. Phishing et ingénierie sociale
Les humains sont faillibles et influençables. Nous sommes enclins à prendre de mauvaises décisions lorsque nous sommes pressés. Les criminels exploitent ces faiblesses grâce à l'ingénierie sociale, une astuce psychologique conçue pour nous faire faire des choses que nous ne devrions pas. Le phishing est l'exemple le plus connu. Les pirates se font passer pour légitimes - des amis, de la famille et des entreprises avec lesquelles nous avons fait affaire, etc. – et nous mènent à une page où remplir nos données personnelles.
Mais il existe de nombreuses façons de détecter les signes avant-coureurs d'une attaque de phishing. Les escrocs utilisent même des appels téléphoniques pour obtenir des connexions et autres informations personnelles de leurs victimes, se faisant passer pour des ingénieurs du support technique. C'est ce que l'on appelle le « vishing » (hameçonnage vocal).
2. Malware
Un autre moyen pour obtenir nos mots de passe c’est l’utilisation de logiciels malveillants. Les mails de phishing sont un vecteur privilégié pour ces attaques, bien que l’on puisse en être victime en cliquant sur une publicité malveillante en ligne (malvertising), ou même en visitant un site Web compromis (drive-by-download). Comme l'a déjà démontré Lukas Stefanko, chercheur chez ESET, les logiciels malveillants peuvent même être cachés dans une application mobile d'apparence légitime, souvent trouvée sur des magasins d'applis tiers.
Il y a différentes variétés de maliciels pour voler des informations, mais certaines parmi les plus courantes sont conçues pour enregistrer les frappes au clavier ou faire des captures d'écran de nos appareils et les renvoyer aux attaquants.
3. La force brute
En 2020, le nombre moyen de mots de passe qu’une personne devait gérer a augmenté de +/- 25 %. Beaucoup d'entre nous utilisent donc des mots de passe faciles à retenir (et à deviner) et les réutilisent sur plusieurs sites, alors que cela peut ouvrir la porte aux techniques dites de force brute.
Une des plus courants est le bourrage d'informations d'identification. Dans un logiciel automatisé, les escrocs insèrent de gros volumes de données qui combinent nom d'utilisateur/mot de passe volées. L'outil les essaie sur de nombreux de sites, espérant trouver une correspondance. Les pirates peuvent ainsi déverrouiller plusieurs comptes avec un seul mot de passe. En 2020, il y a eu environ 193 milliards de tentatives de ce type dans le monde. Le gouvernement canadien en a été victime. https://twitter.com/digitalcdn/status/1294670901011722240
La pulvérisation de mots de passe est une autre technique de force brute. Les pirates utilisent un logiciel automatisé pour essayer une liste de mots de passe couramment utilisés sur votre compte.
4. Devinettes
Bien que les pirates aient à leur disposition des outils automatisés pour obtenir brutalement notre mot de passe, ils ne sont parfois même pas nécessaires : même de simples conjectures - par opposition à l'approche plus systématique utilisée dans les attaques par force brute - peuvent faire le boulot. Le mot de passe le plus courant en 2020 était « 123456 », suivi de « 123456789 ». Le numéro quatre était le seul et unique « mot de passe ».
Et si vous êtes comme la plupart d’entre nous et que vous recyclez votre mot de passe, ou utilisez - sur plusieurs comptes - un dérivé proche de celui-ci, alors vous facilitez vraiment la tâche des attaquants et vous vous exposez à un risque supplémentaire d'usurpation d'identité et de fraude.
5. Shoulder surfing
Toutes les voies de compromission de mot de passe explorées jusqu'à présent ont été virtuelles. Cependant, à mesure que le confinement se relâche et que de nombreux travailleurs retournent au bureau, il faut rappeler que certaines techniques d'écoute clandestines présentent aussi un risque. Ce n'est pas la seule raison pour laquelle le surf pardessus l’épaule est toujours un risque. Jake Moore d'ESET a récemment fait une expérience pour voir à quel point il est facile de pirater le Snapchat de quelqu'un avec cette technique simple.
Une version plus high-tech, du nom de "man-in-the-middle" impliquant l'écoute Wi-Fi, permet aux pirates installés sur des connexions Wi-Fi publiques d'espionner notre mot de passe lorsque nous l’introduisons en étant connecté au même hub. Si les deux techniques existent depuis des années, elles sont cependant toujours une menace.
Comment protéger nos identifiants de connexion
On peut faire beaucoup pour bloquer ces techniques - en ajoutant une deuxième forme d'authentification au mélange, en gérant nos mots de passe plus efficacement ou en prenant des mesures pour arrêter le vol en premier lieu. Voyez ce qui suit :
· N'utilisez que des mots de passe (ou des phrases secrètes) forts et uniques sur tous vos comptes en ligne, en particulier vos comptes bancaires, de messagerie et de réseaux sociaux
· Évitez de réutiliser vos identifiants de connexion sur plusieurs comptes et de commettre d'autres erreurs de mot de passe courantes
· Activez l'authentification à deux facteurs (2FA) sur tous vos comptes
· Utilisez un gestionnaire de mots de passe, qui stockera des mots de passe forts et uniques pour chaque site et compte, rendant les connexions simples et sécurisées
· Changez immédiatement le mot de passe si un fournisseur vous dit que vos données peuvent avoir été piratées
· Ne vous connecter qu’à des sites HTTPS
· Ne cliquez pas sur les liens et n'ouvrez pas les pièces jointes dans les mails non sollicités
· Ne téléchargez des applis qu’à partir de magasins d'applis officiels
· Investissez, pour tous vos appareils, dans un logiciel de sécurité d'un fournisseur réputé
· Assurez-vous que le dernière version se trouve sur tous les systèmes d'exploitation et applis
· Dans les lieux publics, faites attention aux regards pardessus votre épaules
· Ne vous connectez jamais à un compte si vous êtes sur un réseau Wi-Fi public ; si vous devez utiliser ce type de réseau, utilisez un VPN (use a VPN)
La disparition du mot de passe est prédite depuis plus d'une décennie. Mais les alternatives ont encore souvent du mal à remplacer le mot de passe lui-même. Les utilisateurs doivent donc prendre les choses en main. Restez vigilant et protégez vos données de connexion.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .
Le mot de passe est souvent la seule chose entre un cybercriminel et nos données personnelles et financières. Les escrocs désirent à tout prix voler ou cracker ces identifiants. Il faut donc déployer le même effort pour protéger nos comptes en ligne.
Que peut faire un hacker avec mon mot de passe ?
Les mots de passe sont les clés virtuelles de notre monde numérique - donnant accès à nos services bancaires en ligne, e-mail et réseaux sociaux, nos comptes Netflix et Uber, et toutes les données hébergées dans notre stockage dans le nuage. Avec nos identifiants, un pirate peut :
· Voler nos informations d'identité personnelles et les vendre à d'autres criminels
· Vendre l'accès à nos comptes. Les sites criminels du dark web vendent ces connexions. Les malfrats peuvent utiliser l'accès pour obtenir n’importe quoi : des trajets en taxi gratuits, du streaming vidéo, des voyages à prix réduit à partir de comptes Air Miles piratés ,etc.
· Utiliser nos mots de passe pour déverrouiller d'autres comptes où nous utilisons le même mot de passe.
Comment les pirates volent-ils les mots de passe ?
Familiarisez-vous avec ces techniques et vous pourrez mieux gérer les menace :
1. Phishing et ingénierie sociale
Les humains sont faillibles et influençables. Nous sommes enclins à prendre de mauvaises décisions lorsque nous sommes pressés. Les criminels exploitent ces faiblesses grâce à l'ingénierie sociale, une astuce psychologique conçue pour nous faire faire des choses que nous ne devrions pas. Le phishing est l'exemple le plus connu. Les pirates se font passer pour légitimes - des amis, de la famille et des entreprises avec lesquelles nous avons fait affaire, etc. – et nous mènent à une page où remplir nos données personnelles.
Mais il existe de nombreuses façons de détecter les signes avant-coureurs d'une attaque de phishing. Les escrocs utilisent même des appels téléphoniques pour obtenir des connexions et autres informations personnelles de leurs victimes, se faisant passer pour des ingénieurs du support technique. C'est ce que l'on appelle le « vishing » (hameçonnage vocal).
2. Malware
Un autre moyen pour obtenir nos mots de passe c’est l’utilisation de logiciels malveillants. Les mails de phishing sont un vecteur privilégié pour ces attaques, bien que l’on puisse en être victime en cliquant sur une publicité malveillante en ligne (malvertising), ou même en visitant un site Web compromis (drive-by-download). Comme l'a déjà démontré Lukas Stefanko, chercheur chez ESET, les logiciels malveillants peuvent même être cachés dans une application mobile d'apparence légitime, souvent trouvée sur des magasins d'applis tiers.
Il y a différentes variétés de maliciels pour voler des informations, mais certaines parmi les plus courantes sont conçues pour enregistrer les frappes au clavier ou faire des captures d'écran de nos appareils et les renvoyer aux attaquants.
3. La force brute
En 2020, le nombre moyen de mots de passe qu’une personne devait gérer a augmenté de +/- 25 %. Beaucoup d'entre nous utilisent donc des mots de passe faciles à retenir (et à deviner) et les réutilisent sur plusieurs sites, alors que cela peut ouvrir la porte aux techniques dites de force brute.
Une des plus courants est le bourrage d'informations d'identification. Dans un logiciel automatisé, les escrocs insèrent de gros volumes de données qui combinent nom d'utilisateur/mot de passe volées. L'outil les essaie sur de nombreux de sites, espérant trouver une correspondance. Les pirates peuvent ainsi déverrouiller plusieurs comptes avec un seul mot de passe. En 2020, il y a eu environ 193 milliards de tentatives de ce type dans le monde. Le gouvernement canadien en a été victime. https://twitter.com/digitalcdn/status/1294670901011722240
La pulvérisation de mots de passe est une autre technique de force brute. Les pirates utilisent un logiciel automatisé pour essayer une liste de mots de passe couramment utilisés sur votre compte.
4. Devinettes
Bien que les pirates aient à leur disposition des outils automatisés pour obtenir brutalement notre mot de passe, ils ne sont parfois même pas nécessaires : même de simples conjectures - par opposition à l'approche plus systématique utilisée dans les attaques par force brute - peuvent faire le boulot. Le mot de passe le plus courant en 2020 était « 123456 », suivi de « 123456789 ». Le numéro quatre était le seul et unique « mot de passe ».
Et si vous êtes comme la plupart d’entre nous et que vous recyclez votre mot de passe, ou utilisez - sur plusieurs comptes - un dérivé proche de celui-ci, alors vous facilitez vraiment la tâche des attaquants et vous vous exposez à un risque supplémentaire d'usurpation d'identité et de fraude.
5. Shoulder surfing
Toutes les voies de compromission de mot de passe explorées jusqu'à présent ont été virtuelles. Cependant, à mesure que le confinement se relâche et que de nombreux travailleurs retournent au bureau, il faut rappeler que certaines techniques d'écoute clandestines présentent aussi un risque. Ce n'est pas la seule raison pour laquelle le surf pardessus l’épaule est toujours un risque. Jake Moore d'ESET a récemment fait une expérience pour voir à quel point il est facile de pirater le Snapchat de quelqu'un avec cette technique simple.
Une version plus high-tech, du nom de "man-in-the-middle" impliquant l'écoute Wi-Fi, permet aux pirates installés sur des connexions Wi-Fi publiques d'espionner notre mot de passe lorsque nous l’introduisons en étant connecté au même hub. Si les deux techniques existent depuis des années, elles sont cependant toujours une menace.
Comment protéger nos identifiants de connexion
On peut faire beaucoup pour bloquer ces techniques - en ajoutant une deuxième forme d'authentification au mélange, en gérant nos mots de passe plus efficacement ou en prenant des mesures pour arrêter le vol en premier lieu. Voyez ce qui suit :
· N'utilisez que des mots de passe (ou des phrases secrètes) forts et uniques sur tous vos comptes en ligne, en particulier vos comptes bancaires, de messagerie et de réseaux sociaux
· Évitez de réutiliser vos identifiants de connexion sur plusieurs comptes et de commettre d'autres erreurs de mot de passe courantes
· Activez l'authentification à deux facteurs (2FA) sur tous vos comptes
· Utilisez un gestionnaire de mots de passe, qui stockera des mots de passe forts et uniques pour chaque site et compte, rendant les connexions simples et sécurisées
· Changez immédiatement le mot de passe si un fournisseur vous dit que vos données peuvent avoir été piratées
· Ne vous connecter qu’à des sites HTTPS
· Ne cliquez pas sur les liens et n'ouvrez pas les pièces jointes dans les mails non sollicités
· Ne téléchargez des applis qu’à partir de magasins d'applis officiels
· Investissez, pour tous vos appareils, dans un logiciel de sécurité d'un fournisseur réputé
· Assurez-vous que le dernière version se trouve sur tous les systèmes d'exploitation et applis
· Dans les lieux publics, faites attention aux regards pardessus votre épaules
· Ne vous connectez jamais à un compte si vous êtes sur un réseau Wi-Fi public ; si vous devez utiliser ce type de réseau, utilisez un VPN (use a VPN)
La disparition du mot de passe est prédite depuis plus d'une décennie. Mais les alternatives ont encore souvent du mal à remplacer le mot de passe lui-même. Les utilisateurs doivent donc prendre les choses en main. Restez vigilant et protégez vos données de connexion.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .