Six types d’attaques de mot de passe

Attaques de mot de passe courantes et comment les stopper

Attaques de mot de passe courantes

Voici six types d'attaques de mots de passe courantes et les étapes que vous pouvez suivre pour les empêcher ou au moins réduire leurs chances de réussite.

Attaque par dictionnaire

Une attaque qui profite du fait que les utilisateurs ont tendance à employer des mots communs et des mots de passe courts. Le pirate utilise une liste de mots communs, le dictionnaire, et les essaye, bien souvent avec des chiffres avant et/ou après les mots, à l'encontre des comptes d'une entreprise pour chaque nom d'utilisateur. (Les noms d'utilisateur sont généralement très simples à identifier car ils sont presque toujours basés sur le nom des employés.)

Force brute

Utilisation d'un programme pour générer des mots de passe potentiels ou même des ensembles de caractères aléatoires. Ces attaques commencent par les mots de passe faibles et couramment utilisés, comme Motdepasse123 puis évoluent. Les programmes qui exécutent ces attaques essayent habituellement des variantes avec des majuscules et minuscules.

Interception de trafic

Au cours de cette attaque, le cyber-escroc utilise un logiciel comme les renifleurs de paquet pour surveiller le trafic réseau et enregistrer les mots de passe lorsqu'ils sont transmis. De la même manière que l'écoute clandestine ou l'interception d'une ligne téléphonique, le logiciel surveille et enregistre les informations cruciales. Bien évidemment, si cette information (comme les mots de passe) n'est pas chiffrée, la tâche est plus simple. Cependant, même les informations chiffrées peuvent être déchiffrées, selon le niveau de sécurité de la méthode de chiffrement utilisée.

Attaque de l'intercepteur

Au cours de cette attaque, le programme du pirate ne surveille pas seulement les informations qui sont transmises mais s'introduit lui-même activement au milieu de l'interaction, en empruntant généralement l'identité d'un site Web ou d'une application. Cela permet au programme d'enregistrer les identifiants de l'utilisateur ainsi que d'autres informations sensibles comme les numéros de compte et de sécurité sociale. Les attaques de l'intercepteur sont souvent facilitées par les attaques d'ingénierie sociale qui attirent l'utilisateur vers un site factice.

Attaque de l'enregistreur de frappe

Un cyber-escroc parvient à installer un logiciel qui enregistre les touches saisies sur le clavier par l'utilisateur, lui permettant ainsi de connaître non seulement le nom d'utilisateur et le mot de passe d'un compte, mais également le site Web ou l'application exacte sur laquelle l'utilisateur s'est connecté avec les identifiants. Ce type d'attaque survient généralement après une autre attaque au cours de laquelle le logiciel malveillant enregistreur de frappe est installé sur son ordinateur.

Attaques d'ingénierie sociale

Les attaques d'ingénierie sociale font référence à une vaste gamme de méthodes pour obtenir des informations de la part des utilisateurs. Voici certaines des techniques utilisées :

  • Hameçonnage : e-mails, SMS, etc. envoyés pour amener l'utilisateur à fournir ses identifiants, à cliquer sur un lien qui installe un logiciel malveillant ou à accéder à un site Web factice.
  • Harponnage : similaire au hameçonnage mais avec des e-mails/SMS plus élaborés et personnalisés, basés sur des informations déjà recueillies auprès des utilisateurs. Par exemple, il est possible que le pirate sache que l'utilisateur possède un type particulier d'assurance et y fasse référence dans l'e-mail ou utilise le logo et la mise en page de l'entreprise pour rendre l'e-mail authentique.
  • Appât : les pirates laissent des clés USB ou autres appareils infectés dans des lieux publics ou professionnels, en espérant qu'ils soient récupérés et utilisés par les employés.
  • Quid pro quo : le cyber-escroc usurpe l'identité de quelqu'un, comme un employé de l'assistance technique, et interagit avec un utilisateur pour lui soutirer des informations.

Déjouer les attaques de mot de passe

Les mots de passe complexes sont généralement la première défense contre les attaques de mots de passe. Les instructions NIST les plus récentes recommandent l'utilisation de mots de passe faciles à se rappeler/difficiles à deviner. Le mélange de majuscules, minuscules, chiffres et caractère spéciaux peut aider. Mieux encore, éviter l'utilisation des mots et phrases courantes. Il faut absolument éviter les mots spécifiques au site (y compris le nom de l'application à laquelle vous vous connectez par exemple). NIST recommande également de comparer les mots de passe dans un dictionnaire des mots de passe considérés comme étant faibles.

La formation des employés est également importante. L'une des meilleures défenses contre les techniques d'ingénierie sociale est d'apprendre aux utilisateurs les techniques utilisées par les pirates et comment les reconnaître.

Néanmoins, les mots de passe complexes et la formation ne suffisent plus de nos jours. La puissance informatique permet aux cyber-escrocs d'exécuter des programmes sophistiqués pour obtenir des identifiants ou en essayer un nombre colossal. C'est pourquoi NIST recommande de ne pas compter uniquement sur les mots de passe. Plus précisément, les entreprises doivent adopter des outils comme l'authentification unique et l'authentification à plusieurs facteurs, également connue sous le nom d'authentification à deux facteurs.

L'authentification unique permet d'éliminer les mots de passe en laissant les employés se connecter à leurs applications et sites à l'aide d'un seul identifiant. Les utilisateurs ont uniquement besoin d'un seul mot de passe complexe. L'authentification à plusieurs facteurs nécessite une information supplémentaire lorsque l'utilisateur se connecte, comme un code PIN généré par une application telle que OneLogin Protect ou une authentification à l'aide d'une empreinte digitale. L'information supplémentaire complexifie l'usurpation d'identité par le cyber-escroc.

Related Resources:

Quels types d'attaques l'authentification à plusieurs facteurs permet-elle d'éviter ?

Découvrez comment l'authentification à plusieurs facteurs peut permettre d'éviter les cyberattaques et failles de sécurité courantes.

En savoir plus

3 leçons que Game of thrones nous apprend au sujet de la cybersécurité

Existe-t-il des similitudes entre la défense de la garde de nuit et celle des équipes de cybersécurité dans le monde réel ? À vous d'en juger.

Lire l'article

Qu'est-ce que la cybersécurité et pourquoi est-elle indispensable ?

Comprenez ce que signifie la cybersécurité, les différents types de cyberattaque et découvrez comment les éviter.

En savoir plus