Même si la Journée mondiale du mot de passe (qui se tient chaque année le premier jeudi du mois de mai) est passée, notre intérêt pour la sécurité des mots de passe perdure, et nous espérons que le vôtre aussi. Au lieu d’analyser des mots de passe artificiels « en éprouvette » créés pour mener des études en laboratoire, nous avons préféré rester dans le monde réel en examinant de vrais mots de passe ayant fait l’objet de fuites sur le Dark Web. Et les résultats sont alarmants : 59 % de ces mots de passe peuvent être piratés en moins d’une heure, et il suffit d’une carte graphique moderne et d’un peu de savoir-faire pour y parvenir.
L’article du jour explique comment les pirates informatiques piratent les mots de passe et comment les contrecarrer (attention, spoiler : il convient d’utiliser une protection fiable et de vérifier automatiquement les éventuelles fuites liées à vos mots de passe).
La méthode habituelle pour pirater des mots de passe
Tout d’abord, précisons ce que nous entendons par « pirater un mot de passe ». Nous voulons parler du fait de pirater le hachage d’un mot de passe, c’est-à-dire une séquence unique de caractères représentant ce mot de passe. Les entreprises stockent généralement les mots de passe des utilisateurs d’une des trois manières suivantes :
- En texte clair. Il s’agit du moyen le plus simple et le plus transparent : si le mot de passe d’un utilisateur est, imaginons, azerty12345, il est stocké sur le serveur de l’entreprise sous la forme azerty12345. En cas de violation de données, il suffit au pirate informatique de saisir le mot de passe avec le nom d’utilisateur correspondant afin de se connecter. Bien sûr, cette méthode est viable si l’authentification à deux facteurs (2FA) n’est pas activée, mais même si c’est le cas, il arrive que les cybercriminels réussissent à intercepter les mots de passe à usage unique.
- Sous forme hachée. Cette méthode a recours à des algorithmes de hachage comme MD5 et SHA-1 afin de transformer chaque mot de passe en une valeur de hachage unique, qui prend la forme d’une chaîne de caractères de longueur fixe et qui est stockée sur le serveur. Lorsque l’utilisateur saisit son mot de passe, le système convertit la séquence de caractères saisie en un hachage, puis compare celui-ci au hachage enregistré sur le serveur. Si les deux hachages correspondent, le mot de passe est correct. Par exemple, si votre mot de passe est azerty12345, une fois « traduit » en SHA-1, il ressemblera à ceci : 4e17a448e043206801b95de317e07c839770c8b8. Les pirates informatiques qui parviennent à obtenir ce hachage doivent ensuite le déchiffrer pour obtenir azerty12345 (et il s’agit là de la partie « piratage du mot de passe »), par exemple en utilisant des tables arc-en-ciel. Le mot de passe piraté peut alors être utilisé pour accéder non seulement au service compromis, mais aussi potentiellement à d’autres comptes pour lesquels ce mot de passe a été réutilisé.
- Sous forme hachée salée. Cette méthode, qui n’a rien à voir avec un délicieux plat à emporter, permet d’ajouter une séquence de données aléatoire appelée sel à chaque mot de passe avant de le hacher. Un sel peut être statique ou généré dynamiquement. Une séquence mot de passe + sel est introduite dans l’algorithme, ce qui donne un hachage différent. Ainsi, les tables arc-en-ciel pré-calculées deviennent inutiles pour les pirates informatiques. L’utilisation de cette méthode pour stocker des mots de passe rend ces derniers beaucoup plus difficiles à pirater.
Dans le cadre de notre étude, nous avons constitué une base de données contenant 193 millions de mots de passe en texte clair ayant fait l’objet d’une fuite. Où les avons-nous obtenus ? Il convient simplement de savoir où chercher. Nous les avons tous trouvés sur le Dark Web, où de tels « trésors » sont souvent accessibles gratuitement. Nous avons utilisé cette base de données pour vérifier les éventuelles fuites liées aux mots de passe des utilisateurs, mais sachez que nous ne stockons et que nous ne voyons aucun de ces mots de passe. Pour en savoir plus sur la structure interne d’un coffre-fort numérique de mots de passe et sur la manière dont nous parvenons à comparer vos mots de passe avec des mots de passe ayant fait l’objet d’une fuite sans les connaître, consultez notre [placeholder KPM].
Le coût du piratage des mots de passe
Les cartes graphiques modernes constituent le meilleur outil pour analyser le niveau de sécurité d’un mot de passe. Par exemple, la carte RTX 4090 associée à l’outil de récupération de mots de passe hashcat atteint un taux de 164 milliards de hachages par seconde (GH/s) pour les hachages MD5 salés.
Imaginons un mot de passe composé de 8 caractères utilisant à la fois des lettres latines (toutes minuscules ou toutes majuscules) et des chiffres (avec 36 caractères possibles par position). Le nombre de combinaisons uniques possibles est de 2,8 billions (calculé en portant 36 à la puissance huit). Un processeur puissant, doté d’une puissance de traitement de 6,7 GigaHashes par seconde (GH/s), pourrait pirater par force brute un tel mot de passe en sept minutes. Cependant, la RTX 4090 mentionnée précédemment y parvient en seulement 17 secondes.
Si un processeur graphique haut de gamme de ce type coûte un peu moins de 2 000 dollars, les pirates informatiques qui ne sont pas en mesure de s’en procurer un peuvent facilement louer de la puissance de calcul pour quelques dollars de l’heure seulement. Mais que se passerait-il s’ils louaient une douzaine de RTX 4090 en même temps ? La puissance d’un tel système serait suffisante pour traiter facilement des fuites massives de bases de données de hachage.
59 % des mots de passe piratables en moins d’une heure
Nous avons testé le niveau de sécurité des mots de passe à l’aide d’algorithmes de force brute et de déduction intelligente. Alors que la force brute passe en revue toutes les combinaisons de caractères possibles dans l’ordre jusqu’à trouver une correspondance, les algorithmes de déduction intelligente sont formés à partir d’un ensemble de données de mots de passe pour calculer la fréquence de diverses combinaisons de caractères et effectuer des sélections en commençant par les combinaisons les plus courantes, et en poursuivant jusqu’aux combinaisons les plus rares. Vous pouvez en apprendre plus à propos des algorithmes utilisés dans la version complète de notre étude sur Securelist.
Les résultats sont déconcertants : sur les 193 millions de vrais mots de passe que nous avons analysés, l’algorithme intelligent a pu pirater pas moins de 45 % d’entre eux (c’est-à-dire 87 millions de mots de passe !) en moins d’une minute, 59 % en moins d’une heure, et 67 % en moins d’un mois ; de plus, à peine 23 % des mots de passe analysés peuvent être considérés comme réellement forts, dans la mesure où il faudrait plus d’un an pour les pirater.
Le temps de piratage | Pourcentage de mots de passe piratables à l’aide de la méthode indiquée | |
Force brute | Déduction intelligente | |
Moins d’une minute | 10 % | 45 % |
De 1 minute à 1 heure | +10 % (20 %) | +14 % (59 %) |
De 1 heure à 1 jour | +6 % (26 %) | +8 % (67 %) |
De 1 jour à 1 mois | +9 % (35 %) | +6 % (73 %) |
De 1 mois à 1 an | +10 % (45 %) | +4 % (77 %) |
Plus d’un an | +55 % (100 %) | +23 % (100 %) |
Il convient de noter que pirater tous les mots de passe de la base de données ne prend pas beaucoup plus de temps que d’en pirater un seul (!). À chaque itération, après avoir calculé le hachage de la combinaison de caractères suivante, le pirate informatique vérifie si la même combinaison existe dans la base de données générale. Si tel est le cas, le mot de passe en question est marqué comme « piraté », après quoi l’algorithme continue de deviner d’autres mots de passe.
Pourquoi les algorithmes de déduction intelligente sont-ils si efficaces ?
Les humains sont prévisibles. Nous choisissons rarement des mots de passe vraiment aléatoires, et nos efforts pour les générer sont dérisoires par rapport à ceux déployés par les machines. Nous nous appuyons sur des expressions, des dates, des noms et des modèles habituels, et c’est précisément cela que les algorithmes de déduction intelligente sont capables d’exploiter.
De plus, le cerveau humain est ainsi fait que si vous demandez à un panel de personnes de choisir un nombre entre 1 et 100, la plupart d’entre elles choisiront… les mêmes nombres ! En effet, la chaîne YouTube Veritasium a sondé plus de 200 000 personnes et a constaté que les numéros les plus populaires étaient 7, 37, 42, 69, 73 et 77.
Même lorsque nous tentons de créer des chaînes de caractères aléatoires, nous avons tendance à privilégier les touches situées au centre du clavier. Environ 57 % de tous les mots de passe que nous avons analysés contiennent un mot du dictionnaire ou une combinaison fréquente de symboles. Fait inquiétant, 51 % de ces mots de passe peuvent être piratés en moins d’une minute, 67 % en moins d’une heure, et seulement 12 % en plus d’un an. Cependant, seuls quelques mots de passe consistent uniquement en un mot du dictionnaire, qui peut être déchiffré en moins d’une minute. Pour en savoir plus sur les tendances que nous avons rencontrées en matière de mots de passe, consultez l’article de Securelist.
Les algorithmes intelligents permettent de venir rapidement à bout des mots de passe contenant des éléments du dictionnaire. De plus, ils détectent même les caractères de substitution, tant et si bien que si vous écrivez « mot de pa$$e » au lieu de « mot de passe » ou « @dmin » au lieu de « admin », votre mot de passe ne sera pas beaucoup plus fort. L’utilisation de mots courants et de séquences de nombres est également risquée. Dans 4 % des mots de passe que nous avons analysés, ce qui suit apparaît quelque part :
- 12345
- 123456
- love
- 12345678
- 123456789
- admin
- team
- qwer
- 54321
- mot de passe
Recommandations
Les points à retenir de notre étude pratique sont les suivants :
- De nombreux mots de passe d’utilisateurs ne sont pas assez forts, 59 % d’entre eux pouvant être piratés en moins d’une heure.
- L’utilisation de mots significatifs, de noms et de séquences de caractères standard dans votre mot de passe réduit considérablement le temps nécessaire pour deviner votre mot de passe.
- Le mot de passe le moins sécurisé est un mot de passe entièrement composé de chiffres, ou uniquement de mots.
Pour assurer la sécurité de vos comptes, tenez compte de ces recommandations simples :
- Générez des mots de passe complexes à l’aide de Kaspersky Password Manager.
- Si vous décidez de créer vous-même votre mot de passe, utilisez des phrases secrètes mnémotechniques plutôt que des combinaisons significatives de mots, de noms ou d’éléments du dictionnaire.
- N’utilisez jamais un même mot de passe sur plusieurs sites, car toutes les entreprises ne stockent pas les données des utilisateurs de manière sécurisée.
- N’enregistrez jamais vos mots de passe dans un navigateur.
- Conservez vos mots de passe dans un gestionnaire de mots de passe sécurisé et créez un mot de passe principal inviolable pour ce dernier.
- Vérifiez la résistance de votre mot de passe au piratage à l’aide d’un vérificateur de mots de passe ou directement dans votre Kaspersky Password Manager. Ce dernier identifie les mots de passe faibles et les mots de passe en double, vérifie tous vos mots de passe en les comparant à des bases de données compromises, et vous avertit si une correspondance est trouvée.
- Utilisez Kaspersky Premium pour surveiller en permanence en arrière-plan tous les comptes liés à votre numéro de téléphone et à votre adresse email, ainsi qu’à ceux et celles des membres de votre famille, afin de détecter la moindre fuite de données.
- Activez la 2FA dans la mesure du possible. À ce propos, Kaspersky Password Manager vous permet également d’enregistrer des jetons 2FA et de générer des codes à usage unique.