Le cassage de mot de passe


image passcracking.jpg (61.1kB)

Ce type de cybercriminalité est très répandu. On en distingue de deux genres:

  • L'attaque par force brute, consiste pour un pirate à tester un nombre important de combinaisons de caractères, à l'aide d'un logiciel, afin de trouver votre mot de passe et accéder à vos profils.
  • L'attaque par dictionnaire, consiste à tester un nombre important de combinaisons de caractères à l'aide d'un logiciel, en y incluant des mots du dictionnaire. D'où l'intérêt d'éviter d'utiliser de tels mots lors de la construction d'un mot de passe.

Comment se prémunir au mieux ?


Pour construire un mot de passe robuste
1°) Faire un mot de 15 caractères minimum. Plus le mot sera long, plus il sera difficile à casser.
2°) Il doit contenir au moins une majuscule, une minuscule, un chiffre et un caractère spécial. Éviter les lettres contenant des accents, les tildes, les cédilles, etc.
3°) Ne pas y inclure des mots ou des données intuitifs (mots du dictionnaire, dates de naissance, etc.)
4°) Il est possible de s'appuyer sur des vérificateurs de mots de passe en ligne : Nothing2hide, Kaspersky
5°) Il est possible d'utiliser des coffres-forts de mots de passe (qui permettent de générer aléatoirement des mots solides et de vérifier la force des mots construits manuellement).
Exemples : Keepass, Bitwarden


Pour utiliser correctement son mot de passe
1°) Ne jamais l'écrire sur un support visible (exemple : post-it sur votre écran) tout comme on ne laisse pas sa clé de maison disponible sous le paillasson en partant.
2°) Ne jamais utiliser le même mot de passe pour plusieurs services et comptes. Sinon, de la même manière qu'un trousseau de clés, quelqu'un qui le récupère peut s'ouvrir l'accès à une grande partie voire la totalité de vos données (bancaires, personnelles,...).
3°) Ne jamais le transmettre à quelqu'un d'autre, car même une personne de confiance peut en faire mauvais usage involontairement (par exemple en le tapant sans vigilance à proximité d'un oeil malveillant).
4°) Penser à le changer au moins une fois par an car, tout comme les serrures de votre domicile au bout d'un moment, il devient défaillant.


Mes données sont-elles menacées ?


Il existe des outils de vérification de fuite de données, liées à une adresse-mail ou un numéro de téléphone.

En français : Firefox Monitor (inscription gratuite requise)
En anglais: ';--have I been pwned (pas d'inscription requise)
Les gestionnaires de mot de passe peuvent aussi proposer cette fonctionnalité (souvent dans leurs options payantes).


Pour aller plus loin

Comprendre les fonctions de HACHAGE en 5 min

Cyberattaque Cybersécurité