La plupart des utilisateurs connaissent les bonnes habitudes en matière de sécurité en ligne. Cependant, ils ne les adoptent pas toujours de la meilleure façon, ce qui les rend vulnérables aux attaques par dictionnaire. Bien qu'ils sachent qu'ils doivent protéger leurs comptes en ligne, de nombreux utilisateurs ne respectent pas des règles simples, comme la création de mots de passe forts. En fait, une étude de Google a révélé qu'environ 65 % des personnes réutilisent leurs mots de passe sur plusieurs comptes. En outre, 59 % utilisent dans leurs mots de passe des détails personnels faciles à deviner ou à découvrir, comme le nom d'un animal de compagnie ou une date de naissance.
De plus, les gens utilisent souvent des mots de passe simples et évidents très faciles à pirater. Des études ont montré que des séquences de clavier telles que « 123456 » et « azerty », et des mots tels que « Motdepasse », « iloveyou » et « Welcome » sont parmi les plus couramment utilisés et réapparaissent régulièrement dans les fuites de données.
On peut donc en déduire que ces attaques sont très courantes – et rencontrent un taux de succès important – simplement parce que les gens ne prennent pas au sérieux la prévention des attaques par dictionnaire.
Attaques par dictionnaire : Définition
Dans sa forme la plus simple, une attaque par dictionnaire est un type d'attaque par force brute au cours de laquelle les pirates informatiques essaient de deviner le mot de passe d'un utilisateur pour ses comptes en ligne en parcourant rapidement une liste de mots, de phrases et de combinaisons de chiffres couramment utilisés. Lorsqu'une attaque par dictionnaire a permis de déchiffrer correctement un mot de passe, le pirate peut l'utiliser pour accéder aux comptes bancaires, aux profils de réseaux sociaux et même à des fichiers protégés par un mot de passe. C'est à ce moment-là que la victime du pirate informatique peut être confrontée à un véritable problème.
En quoi consiste une attaque par dictionnaire ?
Ce type de piratage utilise une approche systémique pour pirater les mots de passe. Trois étapes sont essentiellement nécessaires pour réussir ces piratages, et il peut être utile de les comprendre pour apprendre à prévenir une attaque par dictionnaire.
- En général, le pirate informatique crée une liste prédéfinie de mots de passe potentiels – un dictionnaire de force brute – qui comporte des combinaisons de mots et de chiffres courants.
- Des logiciels automatisés utilisent ensuite ce dictionnaire de force brute pour tenter de pirater des comptes en ligne.
- Une fois que l'attaque par dictionnaire a permis de s'introduire dans un compte vulnérable, le pirate informatique utilise toutes les données confidentielles enregistrées sous le profil à ses propres fins. Cette attaque peut avoir pour objectif de commettre une fraude, une action malveillante ou simplement d'accéder à des comptes à des fins lucratives.
Pour dresser la liste des mots de passe potentiels, le pirate utilise souvent par exemple des noms d'animaux communs, de personnages célèbres de la culture populaire ou d'équipes et d'athlètes de sports importants. En effet, de nombreuses personnes utilisent ce type de mots pour créer des mots de passe ayant une signification personnelle et faciles à mémoriser. La liste comprendra normalement des variantes, telles que différentes combinaisons de mots ou l'ajout de caractères spéciaux.
L'exécution de cette liste à l'aide d'outils automatisés facilite également la réussite des attaques par dictionnaire. L'utilisation conjointe d'une liste de mots de passe et d'un outil automatisé accélère considérablement la tentative de piratage d'un mot de passe et d'un compte en ligne. Si cette attaque était manuelle, elle durerait trop longtemps et donnerait au propriétaire du compte – ou à l'administrateur du système – le temps de s'en apercevoir et de se défendre.
En raison de leur mode de fonctionnement, ces attaques par dictionnaire n'ont souvent pas de cible bien précise. Au contraire, elles sont exécutées dans l'espoir que l'un des mots de passe de la liste sera correct. Toutefois, si le pirate informatique vise un lieu ou une organisation en particulier, il créera une liste de mots plus ciblée et localisée. Par exemple, s'il prévoit de commettre une attaque en Espagne, il pourrait utiliser des mots espagnols courants au lieu de mots anglais. Ou, s'il cible une organisation particulière, il peut utiliser des mots associés à cette entreprise.
Attaque par dictionnaire ou par force brute : Quelle est la différence ?
Bien que le piratage par dictionnaire soit un type d'attaque par force brute, il existe une différence importante entre les deux. Tandis que les attaques par dictionnaire utilisent une liste prédéfinie de mots pour tenter systématiquement de pirater les mots de passe d'un compte, les attaques par force brute n'utilisent pas de liste et passent en revue toutes les combinaisons aléatoires de lettres, de symboles et de chiffres susceptibles d'être utilisées pour créer un mot de passe. Ainsi, les attaques par dictionnaire sont généralement plus efficaces et ont plus de chances de réussir, simplement parce qu'elles ont beaucoup moins de combinaisons à essayer.
Avec 26 lettres de l'alphabet et 10 nombres à un chiffre, soit un total de 36 caractères, le nombre de combinaisons possibles qu'une attaque par force brute doit effectuer pour réussir est presque irréalisable. À titre d'exemple, pour une attaque par force brute visant à pirater un mot de passe de 10 caractères, il y aurait 3,76 quadrillions de mots de passe alphanumériques potentiels à examiner.
Toutefois, l'avantage des attaques par force brute est qu'elles sont plus susceptibles d'être en mesure de pirater des mots de passe difficiles et uniques grâce à leur approche par essais et erreurs. Étant donné qu'elles parcourent une liste très complète de mots de passe possibles, la probabilité que ces attaques parviennent à trouver la bonne combinaison de caractères d'un mot de passe donné est plus élevée.
Comment se prémunir contre les attaques par dictionnaire ?
Comprendre ce qu'est une attaque par dictionnaire et son fonctionnement est une première étape dans ce processus de prévention. Pour les personnes qui prennent au sérieux la prévention des attaques par dictionnaire, les conseils suivants peuvent s'avérer utiles :
- Évitez les mots de passe dans la mesure du possible : Le moyen le plus simple et le plus infaillible d'éviter le piratage par dictionnaire est d'éliminer complètement l'utilisation des mots de passe. À la place, lorsque l'option est disponible, utilisez des solutions d'authentification sans mot de passe et des identifiants biométriques pour sécuriser vos comptes.
- Utilisez des mots de passe aléatoires : Essayez d'éviter de créer des mots de passe qui contiennent des détails personnels, comme des dates de naissance, des noms d'animaux domestiques ou d'autres informations qui peuvent être facilement devinées. Un gestionnaire de mots de passe peut aider à créer, stocker et saisir les mots de passe dans un format sécurisé.
- Évitez les mots de passe évidents : Il est surprenant de constater que de nombreuses personnes utilisent comme mots de passe des combinaisons de mots et de chiffres simples et faciles à pirater, comme « Motdepasse123 » ou « abcd1234 ». Ces derniers sont les plus susceptibles d'être piratés, car les attaques par dictionnaire sont spécifiquement conçues pour décoder les mots de passe faciles à deviner.
- Optez pour une phrase de passe : Au lieu de choisir une combinaison de mots et de chiffres comme mot de passe, créez des phrases complètes pour accéder à vos comptes. Elles sont beaucoup plus difficiles à deviner, mais sont souvent faciles à mémoriser pour les utilisateurs. Par exemple, une personne qui aime le football pourrait utiliser la phrase « Je veux être attaquant pour le PSG ». Pour rendre la phrase de passe encore plus sûre, ajoutez des chiffres, des caractères et des lettres majuscules aléatoires, et transformez-la en « J€V€uX^tr€@tt@Qu@nTpOUrl€PSG! ».
- Utilisez l'authentification à deux facteurs : Configurez vos comptes de manière à ce que chaque connexion nécessite deux facteurs d'authentification (ou plus). Par exemple, un mot de passe, un mot de passe à usage unique généré par une application d'authentification et une empreinte digitale.
- Essayez les applications d'authentification : Dans la mesure du possible, essayez d'utiliser des applications d'authentification à la place des mots de passe ou en complément de ceux-ci. Nombre de ces applications peuvent être facilement téléchargées sur un téléphone portable et liées à un compte particulier, et fournissent des mots de passe uniques générés de manière aléatoire à chaque tentative de connexion.
- Limitez les tentatives de connexion : Certains sites Internet et applications limitent désormais le nombre de tentatives de connexion autorisées au cours d'une période donnée. Si cette option est disponible, activez-la pour chaque compte afin d'éviter les piratages par dictionnaire.
- Réinitialisation forcée : Les attaques par dictionnaire reposent souvent sur des tentatives multiples pour pirater un mot de passe. Minimisez la probabilité d'une attaque réussie en forçant la réinitialisation du mot de passe après un certain nombre de tentatives infructueuses. Si vous ne pouvez pas activer cette option automatiquement sur vos comptes, vous pouvez peut-être mettre en place une version plus manuelle en permettant aux comptes en ligne de vous envoyer un email en cas d'échec d'une tentative de connexion. Si vous découvrez que quelqu'un tente d'accéder à votre compte, en particulier si vous recevez plusieurs notifications de ce type à la suite, vous pouvez modifier votre mot de passe pour le sécuriser.
- Évitez d'utiliser certains mots : En évitant d'utiliser des mots communs dans tous vos mots de passe, vous ajoutez une couche de protection supplémentaire à la sécurité de votre compte.
Les gestionnaires de mots de passe peuvent-ils contribuer à la prévention des attaques par dictionnaire ?
Les gestionnaires de mots de passe peuvent s'avérer utiles pour gérer les identifiants de vos comptes en toute sécurité et minimiser la probabilité d'être victime d'un piratage par dictionnaire. Les applications comme Kaspersky Password Manager offrent une série d'avantages qui peuvent vous aider à sécuriser vos mots de passe. Voici quelques raisons d'utiliser gestionnaire de mots de passe :
- Utilisez un seul mot de passe : Si vous vous servez d'un gestionnaire de mots de passe, il vous suffit de vous souvenir d'un mot de passe principal pour vous connecter à votre compte et gérer tous vos autres identifiants de comptes individuels.
- Générez des mots de passe forts et aléatoires : La plupart de ces programmes permettent aux utilisateurs de créer des mots de passe très forts, générés de manière aléatoire. Comme ils n'utilisent pas de phrases ni de mots courants, ils sont généralement à l'abri du piratage par dictionnaire. Bien entendu, une attaque par force brute peut toujours fonctionner.
- Accédez facilement à vos comptes : Les gestionnaires de mots de passe offrent souvent la possibilité de stocker en toute sécurité les données de connexion de chaque compte individuel, puis de remplir automatiquement ces données à chaque tentative de connexion à un site Internet, à un compte ou à une application.
- Partagez vos mots de passe en toute sécurité : S'il est nécessaire de partager les mots de passe d'un compte – avec des amis, des membres de la famille ou des collègues, par exemple – les gestionnaires de mots de passe permettent aux utilisateurs de le faire en toute sécurité, tout en gérant l'accès.
- Utiliser un espace de stockage sécurisé : De nombreux gestionnaires de mots de passe offrent désormais la possibilité de stocker des documents personnels, des dossiers médicaux et des photos dans un format chiffré, de sorte que toutes les données confidentielles restent en sécurité.
Mesures à prendre pour éviter une attaque par dictionnaire
Le piratage par dictionnaire est un type très courant de cybercriminalité utilisé par les pirates informatiques pour accéder aux comptes personnels d'une personne, y compris les comptes bancaires, les profils de réseaux sociaux et les emails. Grâce à cet accès, les pirates peuvent perpétrer toutes sortes d'actions, allant de la fraude financière aux publications malveillantes sur les réseaux sociaux, en passant par d'autres cybercrimes comme le phishing. Cependant, la prévention des attaques par dictionnaire peut être aussi simple que la mise en œuvre de certaines mesures de protection pour minimiser le risque d'être victime de ces attaques. L'adoption de bonnes habitudes de gestion des mots de passe, le recours à différents types d'authentification ou encore l'utilisation de gestionnaires de mots de passe facilement accessibles peuvent contribuer à sécuriser les mots de passe et les comptes.
Kaspersky Endpoint Security a reçu trois prix AV-TEST récompensant les meilleures performances, la meilleure protection et la meilleure convivialité pour un produit de sécurité de terminaux d'entreprise en 2021. Dans tous les tests, Kaspersky Endpoint Security a fait preuve de performances, d'une protection et d'une convivialité exceptionnelles pour les entreprises.
Autres articles et liens connexes :
- Les meilleurs conseils en matière de cyberhygiène pour assurer votre sécurité en ligne
- Conseils pour générer des mots de passe forts et uniques
- Comment protéger vos données en ligne en utilisant un gestionnaire de mots de passe
Produits et services connexes :