Eh oui en 2023 c’est encore possible, et plus souvent qu’on ne le croit.
Le vol d’un mot de passe est le premier vecteur d’attaque informatique loin devant l’exploitation des failles logicielles ou matérielles qui sont techniquement plus complexes à mener à bien.
Comprenez moi bien, une fois que votre identifiant et son mot de passe sont compromis, la personne qui les possèdent a non seulement accès à vos données et vos droits directs, mais peut aussi souvent les utiliser pour d’autres attaques.
Par exemple pour prendre le contrôle sur d’autres applications en changeant leur mot de passe ou bien encore exploiter des données privées ou des applications internes pour obtenir encore d’autres informations d’accès de la part de vos collègues.
Elle pourra aussi tester ces identifiants sur d’autres point d’entrés si vous commettez l’erreur d’utiliser le même mot de passe dans des contextes et des niveaux de sécurité différents.
Bref, se faire voler sont mot de passe est loin d’être anodin et engage votre responsabilité bien plus que vous ne le pensez, et même si par défaut vous n’êtes pas personnellement une cible de choix pour les attaquants, l’expression « l’occasion fait le larron » est particulièrement adaptée.
Alors comment en arrive t-on là ?
La force brute
C’est sans doute la plus connue des attaques mais sûrement pas la plus efficace.
Elle consiste, une fois l’identifiant connu, à tester toute les combinaisons de mots de passe (avec un robot bien sûr), jusqu’à trouver le bon. Mais elle présuppose plusieurs choses : d’abord que vous soyez nommément une cible, ensuite que le système d’authentification ne se bloque pas au bout d’un certains nombre d’essais, et enfin de disposer de la puissance d’attaque pour tester suffisamment de combinaisons afin d’avoir une chance de trouver la bonne, tout ca n’est pas forcément simple.
Ce type d’attaque après avoir eu sa période de gloire est devenu plus rare , notamment parce que l’attaquant, sauf à disposer d’un botnet (un réseau d’ordinateurs parités sous contrôle), a de fortes chances de se faire localiser.
Le site piraté
Il nous est tous arrivé de créer un compte sur des sites web et de réutiliser le mot de passe. Certains de ces sites, y compris pour certains à vocation professionnelle, ont laissé fuiter leurs données, moralité le login et le mot de passe se retrouvent disponibles sur internet pour quelques euros voire gratuitement .
Je vous parle de sites aussi sérieux que LinkedIn, Adobe, ou encore Yahoo, sans compte les milliers de petits sites disparus depuis longtemps .
Le site https://haveibeenpwned.com/ qui a collecté les données publiques de nombreuses compromissions pourra vous donner une idée des sites dont vous avez été victime et de leur nombre (pour mon compte 8 fois, autant sur mon email personnel que professionnel).
Le keylogger
Il s’agit d’un programme sur votre machine, qui conserve une trace de tout ce que vous tapez , identifiant et mot de passe compris, éventuellement il pourra capturer des écrans ou réaliser une vidéo de vos actions.
Bien sûr, il le diffusera à son commanditaire, qui pourra en faire le malveillant usage prévu.
Ce type de programme est normalement détecté par les antivirus, avec toute la confiance limitée que je leur accorde, on en revient donc à ne pas télécharger de programme dont la source n’est pas parfaitement connue.
Le phishing
la dernière méthode est connue sous ce nom imprononçable, mais on pourra la nommer « exploitation de la naïveté humaine» cela reviendrait au même. Elle consiste à vous pousser à cliquer sur un lien, qui vous enverra vers un site contrefait, imitation du site légitime et vous demandera de vous identifier, votre compte et votre mot de passe finiront encore une fois dans les mains de votre attaquant.
C’est sans doute actuellement l’attaque la plus fréquente, car elle permet de viser des cibles très larges, dont l’attaquant espère qu’un pourcentage même faible tombera dans le panneau.
Ainsi donc se fait voler son mot de passe n’est pas une fatalité, dès lors qu’il n’est pas affiché sur un post-it collé sur l’écran de votre ordinateur.
Olivier Piochaud, PDG d’Apsynet