Pour la plupart d’entre nous, le mot de passe est la méthode la plus souvent utilisée pour s’authentifier et accéder à un nombre incalculable de services en ligne. C’est un outil beaucoup plus important pour les cybercriminels : un raccourci qui permet de connaître la vie d’une personne, un outil de travail crucial et l’accès à des informations qui peuvent être vendues. Grâce au mot de passe, les escrocs peuvent prendre le contrôle de vos comptes, de vos données, de votre argent et de votre identité. Ils peuvent aussi vous utiliser comme maillon faible pour s’en prendre à vos amis, à vos proches ou à l’entreprise où vous travaillez ou que vous possédez. Pour éviter une telle situation, vous devez comprendre comment les cybercriminels peuvent obtenir votre mot de passe.
Comment les cybercriminels peuvent-ils obtenir vos mots de passe ?
On pense souvent, à tort, qu’il faut commettre une erreur pour que les escrocs en ligne aient accès à vos mots de passe : télécharger et exécuter un fichier non vérifié sur Internet, ouvrir un document envoyé par un expéditeur inconnu ou saisir les identifiants sur un site suspect. Oui, toutes ces actions peuvent simplifier le travail des cybercriminels, mais il y a bien d’autres situations. Voici les méthodes généralement utilisées par les cybercriminels pour avoir accès à vos comptes.
L’hameçonnage
C’est en effet la méthode de collecte des identifiants qui dépend le plus d’une erreur humaine. Des centaines de sites d’hameçonnage, aidés par des milliers de messages qui redirigent vers ces pages, apparaissent chaque jour. Pourtant, si vous pensez que cette technique d’hameçonnage ne fonctionnera pas avec vous, vous avez tort. Cette méthode est presque aussi vieille qu’Internet, et les cybercriminels ont eu beaucoup de temps pour développer diverses astuces d’ingénierie sociale et pour dissimuler leurs intentions. Même les professionnels ne peuvent parfois pas faire la différence entre un message d’hameçonnage et un message réel.
Le programme malveillant
L’utilisation d’un programme malveillant est l’autre technique généralement utilisée pour voler vos identifiants. Selon nos statistiques, les chevaux de Troie qui volent les informations représentent une part importante des programmes malveillants actifs. Leur objectif consiste à attendre que l’utilisateur se connecte à un site ou à un service pour copier le mot de passe et l’envoyer aux escrocs. Si vous n’avez pas de solution de protection, les chevaux de Troie peuvent se cacher dans votre ordinateur pendant des années. Vous ne savez pas qu’il y a un problème puisque ces programmes ne provoquent aucun dégât visible et travaillent en toute discrétion.
Les chevaux de Troie qui volent les informations ne sont pas les seuls programmes malveillants qui cherchent à obtenir vos mots de passe. Les cybercriminels envoient parfois un skimmer sur le site ; un programme qui vole tout ce que l’utilisateur saisit dont ses identifiants, ses renseignements personnels, ses informations bancaires, etc.
Des fuites tierces
Il s’avère que cette erreur peut être commise par quelqu’un d’autre. Il suffit que vous utilisiez un service Internet non sécurisé ou que vous soyez client d’une entreprise dont la base de données des clients a été divulguée sur Internet. Évidemment, les entreprises qui s’occupent vraiment de la cybersécurité ne conservent pas vos mots de passe, ou du moins elles le font dans un format chiffré. Vous ne pouvez jamais être certain que les mesures adoptées sont suffisantes. Par exemple, la fuite de données dont l’application SuperVPN a été victime cette année contenait les informations personnelles et les identifiants de connexion de 21 millions d’utilisateurs.
D’autre part, certaines entreprises ne peuvent pas éviter le stockage de vos mots de passe. Oui, je parle du piratage tristement célèbre du gestionnaire de mots de passe LastPass. Selon les dernières informations, un acteur de menace inconnu a eu accès au système de stockage basé sur le Cloud et donc aux données de certains clients, dont les sauvegardes des coffres-forts des clients. Heureusement, ces coffres-forts étaient correctement chiffrés et LastPass n’a jamais conservé ou connu les clés de déchiffrement. Que se serait-il passé si les clients de LastPass avaient utilisé un mot de passe déjà divulgué par une autre source pour verrouiller leur coffre-fort ? Si, au moment de la création du compte, ils ont utilisé un mot de passe non sécurisé, les cybercriminels pourraient désormais avoir accès à tous leurs comptes en même temps.
Les courtiers d’accès initial
Et nous en arrivons à une autre source de mots de passe volés : le marché noir. Les cybercriminels modernes préfèrent se spécialiser dans un domaine. Ils peuvent très bien voler vos mots de passe mais ne pas s’en servir : c’est plus rentable de les vendre en gros. L’achat de telles bases de données de mots de passe attire les cybercriminels puisqu’ils obtiennent tout en même temps : les utilisateurs ont tendance à utiliser le même mot de passe pour plusieurs comptes et plateformes, et les associent généralement à la même adresse e-mail. Ainsi, si les escrocs possèdent le mot de passe d’un service, ils peuvent avoir accès aux autres comptes de la victime, qu’il s’agisse d’un jeu vidéo, de leur adresse e-mail personnelle ou de sites réservés aux adultes.
Les bases de données des entreprises qui ont été divulguées et contiennent, ou non, des identifiants sont également vendues sur le marché noir. Le prix de ces bases de données dépend de la quantité et du secteur de l’entreprise : certaines bases de données de mots de passe ne coûtent que quelques centaines de dollars.
Certains services du darknet regroupent les bases de données et les mots de passe divulgués et proposent un accès payant ou unique à leur collection. En octobre 2022, le célèbre groupe de rançongiciels LockBit a piraté une entreprise de santé et a volé la base de données clients qui contenait des informations médicales. Le groupe vendait des abonnements qui permettaient d’accéder aux renseignements sur le darknet et aurait acheté l’accès initial sur ce même marché noir.
Des attaques par force brute
Dans certains cas, les cybercriminels n’ont pas besoin d’une base de données volée pour obtenir vos mots de passe et pirater vos comptes. Ils peuvent se servir d’une attaque par force brute. En d’autres termes, ils essaient des milliers de mots de passe différents mais typiques jusqu’à ce qu’un fonctionne. En effet, cette méthode ne semble pas très fiable. Pourtant, ils n’ont pas besoin d’essayer toutes les combinaisons possibles. Certains outils, comme les générateurs de liste de mots, peuvent générer la liste des mots de passe éventuellement courants (dictionnaires par force brute) à partir des informations personnelles de la victime.
Ces programmes ressemblent à un bref questionnaire sur la victime : nom, prénom, date de naissance, partenaire, enfants et animaux de compagnie. Les escrocs peuvent aussi ajouter d’autres mots-clés qu’ils connaissent à propos de la victime. Grâce à ce mélange de mots, de noms, de dates et d’autres données, les générateurs de liste de mots créent des milliers de mots de passe différents que les cybercriminels utilisent lorsqu’ils essaient de se connecter.
Pour utiliser cette méthode, les cybercriminels doivent d’abord effectuer des recherches, et les bases de données divulguées sont particulièrement utiles dans ce cas. Elles contiennent certaines informations importantes comme la date de naissance, les adresse ou les réponses aux « questions secrètes ». Le partage excessif d’informations sur les réseaux sociaux est une autre source de données importante. Il peut s’agit d’un commentaire aussi innocent que celui qui accompagne une photo du 6 décembre : « Aujourd’hui c’est l’anniversaire de mon adorable toutou ».
Mot de passe divulgué ou obtenu par force brute : conséquences
Certaines conséquences sont évidentes : les cybercriminels peuvent prendre le contrôle de votre compte et le garder pour vous demander de payer une rançon, pour arnaquer vos contacts et vos amis en ligne, ou pour vider votre compte bancaire s’ils ont réussi à obtenir le mot de passe du site ou de l’application de votre banque. Pourtant, leurs tentatives ne sont pas toujours aussi directes.
Par exemple, de plus en plus de jeux utilisent une monnaie spécifique et des microtransactions, ce qui amène de plus en plus d’utilisateurs à associer une méthode de paiement à leur compte. C’est pourquoi les amateurs de jeux vidéo sont une cible intéressante pour les cybercriminels. En ayant accès au compte, ils peuvent voler les gains du jeu, comme les tenues, les objets rares ou la monnaie du jeu, ou utiliser la carte bancaire de la victime à des fins malveillantes.
Les bases de données divulguées et les informations obtenues en faisant des recherches sur vos comptes peuvent être utilisées par appât du gain, pour nuire à votre réputation ou pour causer d’autres dégâts sociaux, dont la divulgation de données personnelles (doxing). Si vous êtes célèbre, on peut vous faire chanter et vous offrir deux possibilités : révéler vos données personnelles (ce qui pourrait nuire à votre réputation) ou vous demander de payer.
Vous pouvez aussi être victime de cette attaque même si vous n’êtes pas célèbre : on révèle des informations qui permettent de vous identifier, comme votre identité, l’adresse de votre domicile, votre lieu de travail, votre numéro de téléphone, votre compte bancaire et bien d’autres renseignements personnels. Les attaques de divulgation de données personnelles peuvent donner lieu à des situations relativement inoffensives, comme l’abonnement à diverses listes de diffusion ou la livraison de fausses commandes de pizzas en votre nom, mais aussi à d’autres incidents beaucoup plus dangereux comme le harcèlement en ligne, l’usurpation d’identité ou le harcèlement en personne.
Enfin, si vous utilisez le même mot de passe pour vos comptes personnels et professionnels, les cybercriminels peuvent prendre le contrôle de votre adresse e-mail professionnelle et s’en servir pour compromettre la messagerie électronique de l’entreprise où vous travaillez ou pour lancer des attaques ciblées.
Comment protéger vos comptes contre les accès indésirables
Tout d’abord, n’oubliez pas les règles de sécurité des mots de passe :
- N’utilisez pas le même mot de passe pour plusieurs comptes ;
- Choisissez des mots de passe longs et complexes ;
- Conservez-les en lieu sûr ;
- Modifiez-les dès que vous entendez que le service ou le site que vous utilisez a été victime d’une fuite de données.
Notre gestionnaire de mots de passe peut vous aider à effectuer toutes ces tâches. Il est inclus dans nos solutions de sécurité pour les PME et pour les particuliers.
Voici quelques conseils supplémentaires :
- Activez l’authentification à deux facteurs dans la mesure du possible. Ce système apporte une couche de sécurité supplémentaire et empêche les cybercriminels d’accéder au compte, même si quelqu’un a réussi à obtenir votre identifiant et votre mot de passe.
- Configurez les réseaux sociaux pour plus de confidentialité. Il sera plus difficile de trouver des informations à votre sujet, et cela va donc compliquer l’utilisation du dictionnaire par force brute pour attaquer vos comptes.
- Arrêtez de partager trop d’informations personnelles, même si elles ne sont visibles que par vos amis. L’ami d’aujourd’hui peut être l’ennemi de demain.