Bien souvent, lorsqu’un individu doit concevoir un nouveau mot de passe, il va se creuser la tête et choisir une information personnelle qui lui correspond, puis la modifier en changeant des éléments ou en ajoutant des caractères spéciaux.
Malheureusement, c’est une mauvaise stratégie : la totalité de vos mots de passe devraient être générés aléatoirement. Nous allons voir pourquoi dans cet article.
I) OSINT : la phase de recherche du hacker
Lorsqu’un hacker prépare une attaque un minimum travaillée, la première étape par laquelle il passe s’appelle OSINT — Open Source Intelligence — et consiste à rechercher des informations publiquement (en source ouverte) sur sa ou ses cibles.
Le pirate va observer le profil de la victime afin de récolter des renseignements personnels tels que le nom de ses proches, son âge, ses loisirs, etc. afin d’identifier des prétextes pertinents dans le cadre d’un mail de phishing mais aussi afin de deviner ses mots de passe.
Cet exemple de post Facebook datant du 26 mars 2020 représente une mine d’or pour un hacker. La publication est une chaîne qui encourage à copier ce message sur son propre mur en divulguant un grand nombre d’informations personnelles..
Le hacker peut donc identifier ici l’âge de l’individu, son sport préféré, son statut matrimonial et une grande quantité d’informations utiles pour construire un scénario d’attaque ou deviner ses mots de passe.
Ce post est un exemple de ce qui se fait de pire, mais même si vous n’êtes pas habitué à poster ce type de message, vous dévoilez sans doute les mêmes informations, mais de manière non centralisée.
En récoltant les informations que vous avez publiées sur les différents réseaux sociaux, un hacker parviendra sans trop de difficultés à réunir ces informations sur vous.
Sur LinkedIn, il aura accès à vos anciens emplois ou au nom de vos collègues et sur Instagram, il obtiendra des informations sur votre famille, vos relations ou encore vos destinations de vacances.
Si vous ne générez pas votre mot de passe aléatoirement, il y a des chances qu’un hacker utilise les éléments pour l’identifier.
Une fois qu’il a récolté suffisamment d’informations, il va chercher à générer un dictionnaire de mots de passe potentiels afin de forcer l’accès à vos comptes privés.
II) Comment un pirate génère une liste de mots de passe potentiels ?
Afin de générer une liste de mots de passe, le pirate va utiliser un outil de génération de dictionnaire comme Cupp. Il va ensuite insérer des informations sur sa victime comme le nom, prénom, date de naissance, nom du partenaire et de l’entreprise, etc.
Il est également possible d’ajouter des mots-clefs à propos de la cible comme par exemple son sport préféré.
On peut ensuite ajouter des caractères spéciaux. En effet, nombreuses sont les personnes qui s’imaginent avoir un mot de passe sécurisé en ajoutant “!” ou “.” à la fin de leur mot de passe.
Nous utilisons généralement les mêmes caractères spéciaux pour nos mots de passe ce qui facilite le travail du hacker.
Avec Cupp, le hacker peut également choisir d’ajouter à la liste des numéros aléatoires à la fin ainsi que d’activer le leet mode.
Ce leet mode permet de générer des mots en remplaçant les a par @ ou 4, les E par 3, les T par 7 et les L par 1. Effectivement, de nombreux utilisateurs imaginent avoir un mot de passe complexe en effectuant ces changements.
Vous pouvez donc vous apercevoir que ces techniques sont peu efficaces face à un hacker déterminé.
En choisissant tous les paramètres cités plus haut, le hacker obtient une liste composée de milliers de mots de passe potentiels, comme vous pouvez le voir sur l’image ci-dessous.
Tous ces mots de passe peuvent être testés facilement sur les systèmes mal sécurisés ou sur des bases d’identifiants extraites lors d’un piratage.
III) Générer un mot de passe de façon aléatoire avec les gestionnaires de mots de passe
Maintenant que nous avons vu la facilité avec laquelle un pirate peut identifier vos mots de passe, nous allons nous intéresser à une solution, les gestionnaires de mots de passe.
Nous avons écrit un article pour vous aider à avoir une bonne gestion de vos mots de passe.
Les gestionnaires de mots de passe vous permettent de les garder à l’abri. Il vous suffira de retenir un seul mot de passe “maître” qui vous servira à accéder à l’ensemble de vos mots de passe.
Ces outils proposent de générer vos mots de passe en plus de les stocker. Certains sont payants, mais d'autres sont accessibles gratuitement.
Conclusion
Pour conclure, générer des mots de passe aléatoirement est essentiel pour sécuriser ses accès.
En vous inspirant d’éléments de votre vie trouvables sur Internet en quelques clics, votre mot de passe risque d’être devinable via un attaque par dictionnaire grâce à un outil comme Cupp.
D’une manière plus générale, pour vous protéger il faut à la fois être conscient des informations que vous partagez, mais aussi vérifier vos options de confidentialité sur vos profils en ligne afin de contrôler l’exposition des informations que vous partagez sur les réseaux sociaux.