Craquer des mots de passe. Cyber. Protections. Et enjeux.

Publié par Salah Ben Chaouacha le

Pendant la période du COVID, et du fait – en partie – de la mise en place du télétravail dans des proportions importantes, les cyber-attaques se sont multipliées : imposer aux collaborateurs le télétravail pour des raisons d’urgence (mais aussi financiers), s’est fait avec un peu de casse au vu des nombreuses difficultés rencontrées par de nombreuses entreprises, notamment en ce qui concerne les informations confidentielles traitées hors sites.

Cyberattaque : une crise, des crises.

Les Echos titraient assez justement : « Cyberattaques, l’autre crise du Covid-19 pour les entreprises« . En plus de la crise sociétale et économique, un nouveau défi est venu contraindre les entreprises à de nouvelles formes de vigilances. On les pensait pourtant préparé : l’ultra communication autour de la numérisation des process, les nombreuses prises paroles des dirigeants d’entreprises sur la nécessité de faire évoluer les manières de travailler, les investissements sur les mises en oeuvres (état de fait pour certains) et les moyens. Etc. etc. Et comme toute prise de parole massive sur un sujet, il a été essentiellement constaté un mouvement fantasmatique idéaliste sans réels implications concrètes.

Et ce qui est de l’ordre du problématique, c’est que la mise en place de mesures simples n’a même pas été réalisée par certaines entreprises. En effet, dans beaucoup de cas, la protection passe par des mesures réalisées au niveau du collaborateur (accompagné évidemment de son entité). La gestion des mots de passe dans la protection contre les cyber-attaques en est un des éléments révélateur. Mais souvent : rien, ni dans des guidelines sur l’usage de certains outils ou la connexion à certains sites, ni dans celle de protéger sa machine – dans l’intérêt de la protection des données de l’entreprise -.

En septembre 2019, soit un an auparavant (et plusieurs mois avant la crise), le professionnel de la sécurité informatique U.S., Netwrix, répertoriait dans un article de blog les 10 principaux types de cyberattaques, et naturellement, celui impliquant les mots de passe apparaît dans la liste. Plus précisément, il s’agit du “cassage” de mot de passe (attaque par force brute et attaque par dictionnaire).

Attaque par force brute et/ou par dictionnaire ? Des méthodes accessibles

Et oui, si les expressions semblent du domaine de l’inintelligible pour la plupart d’entre nous, surtout dans un contexte de pirateries en ligne, ces attaques sont les plus connues et les plus utilisées, par tous, même certains novices. 

Tout d’abord distinguons ces deux types d’attaques.

  • L’attaque par force brute qui consiste à tester toutes les combinaisons possibles, “via un processus d’essais et d’erreurs” (Karspersky). 
  • L’attaque par dictionnaire, qui elle se base sur un ensemble de “mots” ou “expressions” déjà définies dans une base. Comme le précise Le Mag It : “Si les attaques par dictionnaire fonctionnent, c’est que de nombreuses personnes et entreprises persistent à utiliser des mots courants comme mots de passe.

À noter, bien évidemment, que ces attaques sont généralement combinées pour optimiser la vitesse de traitement, et donc la réussite de craquage du mot de passe. Ces opérations permettant de cracker les mots de passes nécessitent d’un point vue logiciel et matériel d’une puissance minimale pour pouvoir effectuer un maximum de calcul en vue d’accéder au “sésame”. 

Pourquoi il est important d’avoir à l’esprit ces deux types d’attaques et/ou forçage de mot de passe ? Tout simplement parce qu’ils sont à la base des pratiques les plus utilisées pour cracker les mots de passe. Dans les deux cas seuls ou combinés, la logique veut que plus le mot de passe est long et compliqué, plus l’attaque peut être amenée à échouer : un mot de passe fort est un mot de passe complexe. Très complexe.

Si les attaques par dictionnaire fonctionnent, c’est que de nombreuses personnes et entreprises persistent à utiliser des mots courants comme mots de passe.

Le Mag IT

La complexité réside bien évidemment dans la combinaison de plusieurs types de caractères. Pour faire simple, si on se limite à un mot de passe avec des lettres en minuscules, constituant en plus un nom très utilisé, et bien le forçage du mot de passe n’en sera que plus facilité. 

Des logiciels de crack de mots de passe accessibles en ligne au grand public ?

On met souvent en avant le “darkweb” – souvent parce que mal défini et qui sert de fourre-tout, notamment quand il s’agit de transactions illégales – pour les opérations “délicates”.  Et bien concernant le piratage des mots de passe, pas vraiment la peine de chercher sur TOR un moyen d’accéder à certains mots de passe : des sites sont en fait disponibles à partir d’une simple recherche Google. 

En effet, soit par recherche avec certains mots clés, ou en tapant directement le nom des services, vous accédez à des logiciels permettant de cracker des mots de passe. Prenons l’exemple de deux logiciels de craquage de mots de passe accessibles :  THC Hydra et John the Ripper password cracker. Ces deux “outils” ont aussi l’intérêt – d’une certaine manière – d’être proposés gratuitement. 

Peut on alors craquer des mots de passe sans avoir à passer par un hacker et, qui plus est, sans connaissances poussées en informatique ? La réponse est … non.

Tout d’abord il faut bien avoir à l’esprit que les logiciels disponibles ne peuvent pas être manipulés facilement et doivent souvent être utilisés dans un environnement strict. Mais surtout, il s’agit d’outils de défense et de protection, et non de “cassage”. En gros, ce sont avant tout des outils destinés aux entreprises souhaitant tester la “solidité” des mot de passe utilisés. THC Hydra et John the Ripper password cracker sont donc avant tout des produits destinés à l’audit, en libre certes, mais en aucun cas pour les hackers en herbe.

Important : ces sites sont en fait des outils qui permettent l’audit d’un mot de passe dans le cadre de gestion de la sécurité au sein de l’entité. Concernant le strict volet de l’audit, vous trouverez les éléments à ce sujet en fin d’article.

Très rapidement aussi : le vol pur et simple des mots de passe

Nous sommes, dans ce cas de figure, loin des problématiques liées au piratage par attaque. Ici nous avons à faire à la protection de subtilisation, et non de “forceurs”.

Alors ce sujet peut être survolé – on abordera en dessous “l’entretien des mots de passe” pour détailler les techniques et comment s’en protéger, mais sur le simple principe du vol, contrairement au “cassage”, il s’agit généralement d’une récupération manuelle ou automatisée d’un élément confidentiel que vous n’avez pas suffisamment protégé, soit par oubli, soit par “naïveté”.

Si quelqu’un a accès à votre mot de passe via le moyen du vol et non du “cassage”, c’est que la porte était ouverte, ou bien que vous avez laissé entrer la mauvaise personne. C’est aussi simple que cela. 

Comment protéger son mot de passe ? Et de vol ? et d’attaques ?

À la question de la protection des mots de passe, il y a plusieurs niveaux de réponse :

La protection de manière générale

  • Les antivirus (qui proposent par ailleurs des solutions de gestion de mot de passe). Les antivirus sont essentiels si vous travaillez dans un environnement Windows, que cela soit dit.

La protection au niveau de votre utilisation

  • N’ouvrez pas de mails suspects ne communiquez pas vos coordonnées et vos données confidentielles (dont essentiellement les mots de passe) aux expéditeurs inconnus et aux sites non officiels. La pratique phishing (ou Hameçonnage en bon français) peut sembler tellement simple que beaucoup ne se sentent pas menacés face à ce phénomène, et pourtant, c’est l’un des moyens les plus “faciles” pour les hackers de récupérer de la donnée confidentielle, aujourd’hui encore. En plus d’infecter votre système via des logiciels ou des procédés cachés, les usurpateurs profitent aussi souvent de “l’implication” de l’utilisateur en lui mentant sur ses intentions et en lui demandant ses coordonnées confidentielles. Vous pensez faire partie des plus malins ? Sachez que les techniques sont très évoluées et des plus élaborées. Une d’entre elle consiste à envoyer un mail avec une charte graphique professionnelle, vous demandant par exemple de vous reconnectez à partir d’un lien – sur un site aux chartes graphiques quasi similaires aux sites que vous consultez régulièrement – pour valider, par exemple, de nouvelles conditions d’utilisation. Il s’agira en fait alors d’un formulaire qui enverra vos données à des pirates !
  • Éviter d’utiliser un autre ordinateur que le vôtre – surtout si il s’agit d’une machine connectée dans un espace public. Si urgence, assurez-vous de bien vous déconnecter après la manipulation (et pourquoi pas effacer l’historique et les cookies après).

Enfin, comment définir – et “entretenir” votre mot de passe ?

Comme nous l’avons vu plus haut, plus un mot de passe est compliqué, mieux il vous permettra de vous protéger des attaques et des méthodes de subtilisation. Voici les éléments à prendre en compte pour bien optimiser votre mot de passe :

Dans la définition du mot de passe

  • N’utilisez pas le même type de caractère, mais variez : chiffres, nombres, alternance majuscules/minuscules et caractères spéciaux.
  • Très important : faites en sorte, dans la mesure du possible, de ne pas générer un mot de passe “qui ait un sens”, même si il utilise une combinaisons de caractères “complexe” : ttTuUU@17493@&& sera à privilégier à NiCol@s1983.
  • Grands comptes ou secteurs sensibles, vous disposez déjà d’un moyen pour sensibiliser vos collaborateurs sur les mots de passe “dangereux”. Je vous recommande le site TeamsID, et son blog Teampassword, qui propose chaque année un classement des pires mots de passe, avec une estimation de leur volume. Pour l’année 2018, vous trouverez par exemple en haut du classement : 123456, password et 123456789. 

Dans l’entretien du mot de passe

  • Mettez à jour vos mots de passe régulièrement : ne le gardez pas 1à ans 🙁
  • N’utilisez pas le même mot de passe pour tous les sites et toutes les plateformes. C’est compliqué certes, mais soit il est recommandé d’utiliser un moyen mnémotechnique, soit générez un trousseau automatisé (Apple fait très bien cela, mais ça devient compliqué quand vous changez de machines ou d’environnement, par contre c’est très utile dans un contexte professionnel).
  • Utilisez, si cela est possible, les méthodes d’authentification à deux facteurs.