De nombreux internautes continuent d’opter pour un mot de passe peu sécurisé. D’après une étude de NordPass, plus de 80 % des codes choisis peuvent en effet être « crackés » en moins d’une seconde par un pirate. Pourtant, le choix d’un mauvais mot de passe n’est pas sans conséquence. Lorsque vous optez pour un code d’accès très répandu, comme le désolant « password » ou « 123456 », vous mâchez le travail des hackers. Lorsqu’il voudra tenter de pénétrer dans votre compte, le pirate commencera en effet par tester la liste des mots de passe les plus courants.
« Les mots de passe sont l’une des premières barrières critiques entre une personne, un acteur de la menace et une cyberattaque réussie », déclare Loïc Guézo, le directeur de la stratégie cybersécurité pour l’Europe chez Proofpoint, dans un communiqué adressé à 01Net.
Surtout, une attaque par force brute ne tardera pas à venir à bout de votre mot de passe. Dans ce type d’attaque, des algorithmes vont tester toutes les combinaisons afin de deviner votre code. Des logiciels sont en effet capables de « cracker » un compte en ligne uniquement avec son identifiant. L’algorithme se charge de deviner le reste. Plus votre mot de passe est simple, plus le logiciel arrivera rapidement à ses fins.
Selon une étude de SecureLink, plus de 80 % des piratages d’entreprises aboutissent en exploitant les mauvaises habitudes des employés en matière de mot de passe. Les experts de Keeper Security ajoutent que 31 % des travailleurs utilisent le nom de leur enfant ou leur date d’anniversaire en guise de code secret… Ces informations sont évidemment très faciles à deviner.
À l’occasion de la Journée mondiale du mot de passe, qui a eu lieu le jeudi 2 mai 2024, on revient sur plusieurs cas où un bon code bien sécurisé aurait pu éviter une cyberattaque, et les conséquences qui en découlent.
À lire aussi : l’une des pires cyberattaques de 2024 repose sur une incroyable négligence
solarwinds123
Plusieurs piratages d’ampleur ont d’ailleurs été facilités par le choix d’un mot de passe faible, voire carrément simplissime à deviner. C’est le cas du hack de SolarWinds. En 2020, l’éditeur de logiciels a été visé par une attaque de la chaîne d’approvisionnement. Des pirates russes ont injecté un malware baptisé Sunburst dans une mise à jour du logiciel de surveillance réseau Orion, développé par SolarWinds, afin de pénétrer dans le système des clients de la société. Parmi les clients de l’entreprise, on trouve des géants de la technologie comme Microsoft, Google, Cisco, Nvidia, Intel, Malwarebytes, Mimecast, Palo Alto Networks ou encore CrowdStrike.
Au cours de l’enquête, il s’est avéré que certains serveurs de SolarWinds étaient sécurisés par un faible mot de passe : « solarwinds123 ». Il est possible que ce code d’accès, très mal choisi, ait facilité l’entrée des pirates au sein des systèmes du groupe. Celui-ci avait d’ailleurs été divulgué sur la toile quelques années plus tôt. Suite à cette révélation, plusieurs cadres supérieurs de l’entreprise ont blâmé un ancien stagiaire. C’est lui qui aurait « commis cette erreur », affirmait à l’époque l’ancien PDG de SolarWinds, Kevin Thompson.
Quoi qu’il en soit, le hack a eu de sérieuses conséquences. Plusieurs branches du gouvernement américain ont été victimes d’attaques, dont le Department of Homeland Security, dédié à la sécurité informatique nationale. Plusieurs institutions de l’Union européenne ont aussi été visées. Toutes ces cibles utilisaient le logiciel Orion. L’image de SolarWinds a été considérablement écornée par l’affaire.
Le piratage de Microsoft par Midnight Blizzard
En janvier 2024, Microsoft s’est rendu compte que des cybercriminels russes sont parvenus à pénétrer dans la boîte mail de plusieurs de ses dirigeants. Après une enquête minutieuse, le géant américain a découvert que les hackers, affiliés au gang russe Midnight Blizzard, ont piraté un compte de test, inutilisé par l’entreprise. Grâce aux permissions accordées à ce compte, les pirates mandatés par la Russie ont pu consulter les messages échangés par des dirigeants et plusieurs employés du groupe.
Comme l’admet Microsoft, les pirates n’ont eu aucun mal à compromettre le compte. Celui-ci était en effet sécurisé avec un mot de passe considéré comme faible. Au cours d’une attaque intitulée la pulvérisation de mot de passe, ou « password spraying », les criminels ont testé une série de codes répandus. Rapidement, le compte a été compromis, offrant un accès à des informations confidentielles. Microsoft n’a pas souhaité préciser quel mot de passe avait été choisi.
Le hack du parlement irlandais
Comme le rapportent nos confrères de CyberNews, les mauvais mots de passe ont également ébranlé le parlement d’Irlande du Nord en 2018. Cette année-là, des pirates sont parvenus à deviner les mots de passe des parlementaires à l’aide d’une attaque par force brute. Apparemment, ceux-ci avaient opté pour des mots secrets fréquemment utilisés. Il n’a pas fallu longtemps aux attaquants pour pénétrer dans le système et consulter des informations privées et sensibles…
maga2020
On se souviendra aussi du piratage du compte Twitter de Donald Trump. En 2020, Victor Gevers, un expert en sécurité informatique, est parvenu à deviner le mot de passe du président des États-Unis en seulement cinq essais. Il s’agissait simplement de « maga2020! », la contraction du slogan de campagne électorale « Make America Great Again 2020 ». Dans ce cas-ci, cette négligence n’a pas eu la moindre conséquence. L’expert néerlandais s’est contenté de mettre en garde les autorités américaines.
Notez que Donald Trump avait déjà piraté quelques années plus tôt… à cause d’un mot de passe trop faible. Le magnat de l’immobilier avait en effet opté pour « yourefired » (« Vous êtes viré ») pour protéger son compte Twitter. C’était la phrase fétiche du milliardaire lorsqu’il animait l’émission de téléréalité The Apprentice.
Bo
Sans surprise, Donald Trump n’est pas la seule personnalité à pécher par de mauvaises habitudes en matière de sécurité informatique. En 2010, un Français, qui se faisait appeler « Hacker-Croll » a réussi à deviner le mot de passe du compte Twitter de Barack Obama, récemment arrivé à la Maison Blanche. Le jeune homme révèle avoir déduit le code d’accès du démocrate en s’intéressant à ses goûts et à sa personnalité. Il a rapidement déterminé que Barack Obama avait probablement choisi le nom de son chien, Bo, ou une variante, pour protéger son compte sur le réseau social.
Il a procédé de la même manière avec d’autres personnalités publiques, dont Britney Spears. Pour arriver à ses fins, « Hacker-Croll » passait son temps à étudier ses cibles, indique un détective français ayant travaillé sur l’affaire, interrogé par le Daily Mail :
« Il semblait le faire en étudiant leurs personnages – en les regardant à la télévision, en lisant leurs blogs et en apprennant généralement à les connaître. C’était apparemment une chose remarquablement facile à faire, en particulier dans le cas de célébrités internationales ».
Ces derniers exemples illustrent l’importance de ne pas choisir un mot de passe lié à vos proches, vos goûts, vos passions ou vos animaux de compagnie. Ceux-ci sont bien trop faciles à deviner, que ce soit par un individu proche de vous avec de mauvaises intentions ou un pirate inconnu qui cherche à vous piéger.
« Si vous utilisez une phrase de passe dans votre mot de passe, assurez-vous de ne jamais utiliser de mots ou d’expressions courants, de noms ou de dates associés à vous ou à des membres directs de votre famille », explique Loïc Guézo.
Plus généralement, il vaut mieux ne pas choisir un mot qui se trouve dans le dictionnaire. On vous conseille plutôt d’opter pour une suite illogique et imprévisible de chiffres, de lettre et de symboles. Ce type de code résiste mieux aux attaques par force brute et sont impossibles à deviner. Par facilité, n’hésitez pas à vous tourner vers un gestionnaire de mots de passe muni d’un générateur. Ces solutions permettent de générer un mot de passe bien sécurisé pour vous protéger des hackers.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
> le pirate commencera en effet par tester la liste des mots de passe les plus courants.
je ne comprends pas que tous les sites relayent cette même phrase depuis si longtemps.
Aujourd’hui quasi-tous les sytemes bloquent l’authentification apres 3 ou 4 tentatives de connexions infructueuses, en ajoutant du captcha ou autre chose.
si le hackeur veut tester une liste de mots il va y passer des années à ce rythme.
donc meme si votre mot de passe tres simple est dans la liste, s’il est en fin de position vous êtes tranquille pour tres longtemps
“plusieurs cadres supérieurs de l’entreprise ont blâmé un ancien stagiaire. C’est lui qui aurait « commis cette erreur », affirmait à l’époque l’ancien PDG de SolarWinds, Kevin Thompson.”
Ce n’est pas la faute dudit stagiaire, mais plutôt de son responsable (technique) pour ne pas avoir vérifié et validé son travail. Et on ne laisse pas un stagiaire seul gérer un (ou des) server(s) aussi critiques qui impacteraient les plus grosses entreprises de la tech (et toutes les autres d’ailleurs). Par définition un stagiaire est là pour apprendre, il ne connait pas forcément toutes les bonnes pratiques, même si le choix d’un bon mot de passe relève du bon sens.