comment trouver un mot de passe
Et leurs contre-mesures ! ;)
Dans cet article nous allons expliquer comment trouver un mot de passe en passant en revue les 6 techniques les plus utilisées.
Cette article explique une nouvelle fois des principes de base sur la sécurité des mots de passe, malheureusement bien trop de personnes se font toujours piéger par ces techniques.
Il y a plusieurs techniques utilisées par les hackers malveillants pour trouver des mots de passe. Cet article vous servira de ligne de conduite pour ne pas vous faire pirater en ligne et garder vos informations en sureté.

Comment trouver un mot de passe

1. L’attaque par brute force

comment trouver un mot de passe par bruteforce
On dit que n’importe quel mot de passe peut être cracké par brute force. Ce qui est vrai.
Mais, et le « mais » a toute son importance, le temps pour y arriver peut être long, très long.
Quand je parle de « très long », on peut par exemple attendre des centaines de milliers d’années.
Ce temps est déterminé à la fois par la complexité du mot de passe et la puissance de la machine qui essaie de le trouver.
L’attaque par brute force teste « bêtement » toutes les combinaisons de nombres, lettres et caractères spéciaux jusqu’à trouver le mot de passe voulu.
Elle peut aussi être utilisée via une liste de mots clés (attaque par dictionnaire) ou par modèles de mot de passe comme nous le verrons dans la formation avec John The Ripper.
Contre-mesure: Utilisez simplement des mots de passe longs et complexes. Je donne des astuces pour les retenir dans cet article. Utilisez des combinaisons de lettres en minuscules, majuscules avec des caractères spéciaux ou des nombres.
Exemple: Un mot de passe comme « mot de passe » sera craqué très rapidement, tandis que « ch0wn-R74Y » prendra un bon bout de temps.

2. Le Social Engineering

social-engineering
Comment trouver un mot de passe ?
-> Demandez-le gentillement à la personne concernée !
Cette réponse repose sur le principe du Social engineering.
Il s’agit de manipuler une personne pour qu’elle ait confiance en son pirate afin de lui fournir d’elle même une information sensible. Il existe beaucoup d’exemples à ce sujet, comme le fameux hacker qui se fait passer pour le réparateur informatique qui a besoin du mot de passe de la secrétaire pour mettre à jour le « programme de sécurité ».
Le Social Engineering s’étend sur des domaines différents, il n’y a pas que des mots de passe qui peuvent être récupérés par ce procédé mais aussi des numéros de cartes bancaires, des données privées liées à une personne particulière, etc…
Contre-mesure: Ne faîtes pas confiance aveugle aux personnes que vous ne connaissez pas, et faîtes également attention aux personnes que vous connaissez, elles se sont potentiellement faites pirater.

3. Les Chevaux de Troie et Keyloggers

copier_coller
Plutôt radical, lorsqu’un hacker envoie un programme malveillant du type keylogger, il reçoit tout ce que sa victime tape au clavier, que le site soit en https ou non, que le mot de passe soit caché par des étoiles ou non.
Contre-mesure: Ne vous loguez pas depuis un ordinateur qui ne vous appartient pas, encore moins si vous vous connectez à votre banque. Vous pouvez utiliser des claviers virtuel, des antis-keyloggers, des techniques spéciales. Mais n’oubliez pas d’installer et de garder à jour un antivirus. Restez aussi méfiant, ne téléchargez pas n’importe quoi.

4. Le phishing

phishing hameçonnage
Le Phishing est l’une des méthodes les plus faciles et populaires pour obtenir un mot de passe de quelqu’un, exemple.
Lors d’une attaque par phishing, le hacker malveillant va typiquement envoyer un mail ou un site web à une personne en se faisant passer pour quelqu’un d’autre.
Lorsque la personne ciblée se connecte sur le faux site ou d’une manière générale donne ses informations à tord, le hacker malveillant récupère tout et part avec.
Ces pages de phishing sont régulièrement postées sur des sites d’hébergement gratuits.
Countre-mesure: Les attaques par Phishing sont très faciles à éviter. L’URL du faux site est forcément différente du site original. Par exemple, faccbook.com n’est pas facebook.com, vérifiez donc l’url d’un site avant d’y transmettre des informations.

5. Les tables rainbow

table rainbow
Une table Rainbow est une grosse liste de hashs pré-calculée pour toutes les combinaisons possibles de caractères. Un hash d’un mot de passe est obtenu à travers des algorithmes mathématiques du type md5 permettant de transformer un mot de passe en quelque chose de non reconnaissable.
Un hash est un chiffrage à sens unique, cela veut dire qu’avec le hash en question, il n’y a aucun algorithme permettant de faire la méthode inverse pour retrouver le mot de passe. Le hash est d’ailleurs supposé unique, c’est à dire que le hash de « salut » ne sera pas le même que « sAlut ».
La méthode de stockage des mots de passe la plus connue pour les sites web est d’ailleurs le hashing des mots de passe.
Mais alors comment vérifie-t-on que le mot de passe est correct lorsqu’on se connecte ?
En effet, il n’y a pas d’algorithme de déchiffrement, mais on recalcule simplement le hash et on le compare à celui stocké dans la base de données. En fait, les tables rainbow sont similaires aux attaques par brute-force, elles s’appliquent simplement sur les hash et non pas sur les mots de passe « en texte plein ».
Contre-mesure: Pareil que pour la brute-force, soyez sûr de la complexité de vos mots de passe.

6. Deviner le mot de passe

deviner mot de passe
Pour savoir comment trouver un mot de passe en le devinant, je vais commencer cette dernière technique avec un exemple tout simple :
Lors de la saisie incorrecte et répétée d’un mot de passe sous certains systèmes, on obtient une indication de mot de passe laissée par l’utilisateur lui-même.
Cette indication est censée lui permettre à lui uniquement de se rappeler de son mot de passe. Seulement, une indication du type « mon nom de famille », revient au même que de donner presque directement son mot de passe à tout le monde.
J’en parlais également dans un article, le fait de voir quelqu’un taper sur un clavier « JaimeFaceb » suffit à deviner le reste du mot de passe. Il suffit donc de quelques secondes de regard discret sur un clavier pour qu’une personne malveillante s’empare de votre mot de passe, ni vu ni connu.
Contre-mesure: N’utilisez pas vos noms, prénoms, date de naisse, numéros de téléphone, âge etc… dans vos mots de passe. Créez des mots de passe que seul vous connaissez, qui sont un minimum compliqués à deviner.
EDIT: Deux autres techniques proposée par John Doe dans les commentaires :
7) Si quelqu’un laisse son ordinateur sans surveillance, il y a un moyen facile d’obtenir la clé de son réseau WIFI. On clique sur le logo de la connexion réseau et on va dans les propriétés. Éventuellement on trouvera une case à cocher qui permettra d’afficher les vrais caractères et non les étoiles habituelles cachant le mot de passe.
8) Quand un mot de passe est trop complexe, un grand pourcentage de gens écrivent le mot de passe sur un papier qu’ils collent à l’intérieur du premier tiroir de leur bureau.
BONUS:
Beaucoup de sites comme : https://howsecureismypassword.net/ permettent de tester votre mot de passe. Celui-ci est en anglais, mais en gros si la couleur d’arrière plan est rouge, changez votre mot de passe, si elle est en vert vous êtes tranquille ! Un test est également faisable dans l’espace détente du site.