Les gens parlent de « piratage » de leurs comptes en ligne, mais comment ce piratage se produit-il exactement ? La réalité est que les comptes sont piratés de manière assez simple – les attaquants n’utilisent pas la magie noire.
La connaissance est le pouvoir. Comprendre comment les comptes sont réellement compromis peut vous aider à sécuriser vos comptes et à empêcher que vos mots de passe ne soient « piratés » en premier lieu.
Réutiliser les mots de passe, en particulier ceux qui ont fui
De nombreuses personnes – peut-être même la plupart des gens – réutilisent les mots de passe de différents comptes. Certaines personnes peuvent même utiliser le même mot de passe pour chaque compte qu’elles utilisent. C’est extrêmement précaire. De nombreux sites Web, même de grands sites bien connus comme LinkedIn et eHarmony, ont vu leurs bases de données de mots de passe divulguées au cours des dernières années. Les bases de données de mots de passe divulgués ainsi que les noms d’utilisateur et les adresses e-mail sont facilement accessibles en ligne. Les attaquants peuvent essayer ces combinaisons d’adresse e-mail, de nom d’utilisateur et de mots de passe sur d’autres sites Web et accéder à de nombreux comptes.
La réutilisation d’un mot de passe pour votre compte de messagerie vous expose encore plus à un risque, car votre compte de messagerie pourrait être utilisé pour réinitialiser tous vos autres mots de passe si un attaquant y avait accès.
Quelle que soit votre capacité à sécuriser vos mots de passe, vous ne pouvez pas contrôler la manière dont les services que vous utilisez sécurisent vos mots de passe. Si vous réutilisez des mots de passe et qu’une entreprise se trompe, tous vos comptes seront en danger. Vous devez utiliser des mots de passe différents partout – un gestionnaire de mots de passe peut vous aider.
Enregistreurs de frappe
Les enregistreurs de frappe sont des logiciels malveillants qui peuvent s’exécuter en arrière-plan, enregistrant chaque frappe que vous effectuez. Ils sont souvent utilisés pour capturer des données sensibles telles que des numéros de carte de crédit, des mots de passe bancaires en ligne et d’autres informations d’identification de compte. Ils envoient ensuite ces données à un attaquant via Internet.
Ces logiciels malveillants peuvent arriver via des exploits – par exemple, si vous utilisez une version obsolète de Java, comme la plupart des ordinateurs sur Internet, vous pouvez être compromis via une applet Java sur une page Web. Cependant, ils peuvent également arriver déguisés dans d’autres logiciels. Par exemple, vous pouvez télécharger un outil tiers pour un jeu en ligne. L’outil peut être malveillant, capturant votre mot de passe de jeu et l’envoyant à l’attaquant via Internet.
Utilisez un programme antivirus décent, maintenez votre logiciel à jour et évitez de télécharger des logiciels non fiables.
Ingénierie sociale
Les attaquants utilisent également couramment des astuces d’ingénierie sociale pour accéder à vos comptes. L’hameçonnage est une forme d’ingénierie sociale communément connue. En gros, l’attaquant se fait passer pour quelqu’un et vous demande votre mot de passe. Certains utilisateurs transmettent facilement leurs mots de passe. Voici quelques exemples d’ingénierie sociale :
- Vous recevez un e-mail qui prétend provenir de votre banque, vous dirigeant vers un faux site Web bancaire avec une URL très similaire et vous demandant de saisir votre mot de passe.
- Vous recevez un message sur Facebook ou tout autre site social d’un utilisateur qui prétend être un compte Facebook officiel, vous demandant d’envoyer votre mot de passe pour vous authentifier.
- Vous visitez un site Web qui promet de vous donner quelque chose de précieux, comme des jeux gratuits sur Steam ou de l’or gratuit dans World of Warcraft. Pour obtenir cette fausse récompense, le site Web nécessite votre nom d’utilisateur et votre mot de passe pour le service.
Faites attention à qui vous donnez votre mot de passe – ne cliquez pas sur les liens dans les e-mails et n’allez pas sur le site Web de votre banque, ne donnez pas votre mot de passe à quiconque vous contacte et vous le demande, et ne donnez pas les informations d’identification de votre compte à des personnes non fiables sites Web, en particulier ceux qui semblent trop beaux pour être vrais.
Répondre aux questions de sécurité
Les mots de passe peuvent souvent être réinitialisés en répondant aux questions de sécurité. Les questions de sécurité sont généralement incroyablement faibles – souvent des choses comme « Où êtes-vous né ? », « À quel lycée êtes-vous allé ? » et « Quel était le nom de jeune fille de votre mère ? ». Il est souvent très facile de trouver ces informations sur des sites de réseaux sociaux accessibles au public, et la plupart des gens normaux vous diraient dans quel lycée ils sont allés si on leur demandait. Grâce à ces informations faciles à obtenir, les attaquants peuvent souvent réinitialiser les mots de passe et accéder aux comptes.
Idéalement, vous devriez utiliser des questions de sécurité avec des réponses qui ne sont pas facilement découvertes ou devinées. Les sites Web doivent également empêcher les gens d’accéder à un compte simplement parce qu’ils connaissent les réponses à quelques questions de sécurité, et certains le font, mais d’autres ne le font toujours pas.
Réinitialisation du compte de messagerie et du mot de passe
Si un attaquant utilise l’une des méthodes ci-dessus pour accéder à vos comptes de messagerie, vous avez de plus gros problèmes. Votre compte de messagerie fonctionne généralement comme votre compte principal en ligne. Tous les autres comptes que vous utilisez y sont liés, et toute personne ayant accès au compte de messagerie peut l’utiliser pour réinitialiser vos mots de passe sur n’importe quel nombre de sites sur lesquels vous vous êtes inscrit avec l’adresse e-mail.
Pour cette raison, vous devez sécuriser au maximum votre compte de messagerie. Il est particulièrement important d’utiliser un mot de passe unique et de le garder soigneusement.
Ce que le « piratage » de mot de passe n’est pas
La plupart des gens imaginent probablement que les attaquants essaient tous les mots de passe possibles pour se connecter à leur compte en ligne. Ce n’est pas le cas. Si vous essayez de vous connecter au compte en ligne de quelqu’un et que vous continuez à deviner des mots de passe, vous serez ralenti et empêché d’essayer plus d’une poignée de mots de passe.
Si un attaquant était capable d’accéder à un compte en ligne simplement en devinant des mots de passe, il est probable que le mot de passe était quelque chose d’évident qui pouvait être deviné dès les premiers essais, comme « mot de passe » ou le nom de l’animal de compagnie de la personne.
Les attaquants ne pouvaient utiliser de telles méthodes de force brute que s’ils avaient un accès local à vos données – par exemple, disons que vous stockiez un fichier crypté dans votre compte Dropbox et que les attaquants y aient accès et téléchargent le fichier crypté. Ils pourraient alors essayer de forcer brutalement le cryptage, en essayant essentiellement chaque combinaison de mot de passe jusqu’à ce qu’elle fonctionne.
EN RELATION: Qu’est-ce que le typosquatting et comment les escrocs l’utilisent-ils ?
Les personnes qui disent que leurs comptes ont été « piratés » sont probablement coupables de réutiliser des mots de passe, d’installer un enregistreur de frappe ou de donner leurs informations d’identification à un attaquant après des astuces d’ingénierie sociale. Ils peuvent également avoir été compromis à la suite de questions de sécurité faciles à deviner.
Si vous prenez les précautions de sécurité appropriées, il ne sera pas facile de « pirater » vos comptes. L’utilisation de l’authentification à deux facteurs peut également aider – un attaquant aura besoin de plus que votre mot de passe pour entrer.
Crédit image : Robbert van der Steeg sur Flickr, asenat sur Flickr