Comment voler les mots de passe d’un site Web : 5 techniques principales utilisées par les pirates pour accéder à un compte et comment se défendre

Le vol de mots de passe et de comptes repose presque exclusivement sur la naïveté des victimes qui, souvent par erreur ou par manque d’expertise technique, se sont laissé berner en ouvrant une ouverture facile à surmonter. Une fois que quelqu’un trouve un mot de passe pour un compte en ligne, il peut l’utiliser pour espionner les comptes (si vous pensez au courriel ou à Facebook) ou, pire encore, pour changer des informations ou exploiter le compte à des fins publicitaires ou commerciales. Pour comprendre comment se défendre et comment ne pas tomber dans les pièges les plus courants, il est important de savoir d’abord quelles sont les méthodes et techniques les plus utilisées pour voler les mots de passe sur internet .

Dans ce guide, nous avons rassemblé les techniques les plus courantes qui peuvent être utilisées par un hacker, avec des conseils sur ce qu’il faut faire pour éviter de tomber dans ces pièges.

Index des articles

Mots de passe simples

Si nous utilisons un mot de passe très simple, il sera deviné en quelques minutes par le hacker, qui peut avoir une base de données de mots de passe communs. En fait, le pirate essaie tous les mots de passe les plus courants de sa base de données et, une fois qu’il a trouvé le bon, il peut accéder au compte qu’il a ciblé d’une manière très simple.

Il s’agit d’une technique bruteforce avec attaque dictionnaire, l’une des plus utilisées pour trouver les mots de passe les plus simples et les plus courants que les utilisateurs peuvent utiliser. Cette vulnérabilité est encore plus grave si nous avons utilisé le même mot de passe sur plusieurs sites : une fois qu’un mot de passe a été découvert sur un site, il peut également être testé sur d’autres sites suspectés d’être liés à notre personne ou à nos comptes.

C’est pourquoi nous recommandons toujours de choisir un mot de passe robuste et éventuellement différent pour chaque compte que nous créons, afin de ne pas compromettre tous nos sites. A ce sujet, nous vous recommandons de lire nos guides sur comment tester la sécurité d’un mot de passe et comment choisir un mot de passe sécurisé pour tout compte.

Voir aussi :  Connexion à distance de Mac aux serveurs Windows, FTP et WebDav

Une autre option est d’utiliser un gestionnaire de mots de passe qui est un programme qui cache toutes les différentes touches d’accès utilisées derrière un seul mot de passe maître, qui deviendra le seul à se souvenir en mémoire.

Sites de piratage

Une autre technique par laquelle les pirates peuvent s’emparer de nos mots de passe ne concerne pas notre PC ou notre réseau en particulier : le pirate ou un groupe de pirates peut décider d’attaquer un site et forcer l’accès à la base de données avec tous les mots de passe, adresses email et données des utilisateurs enregistrés. De cette façon, le site est compromis et notre mot de passe pour y accéder entre en possession de personnes malveillantes, qui peuvent l’utiliser pour accéder à notre compte ou le revendre sur le marché noir pour faire de l’argent.

L’argument est similaire à celui du premier chapitre : si nous avons utilisé le même mot de passe sur des sites différents, si l’un d’eux est compromis, tous les autres sites seront également compromis. Pour éviter cela nous recommandons de changer les mots de passe des sites les plus utilisés et les plus sensibles(home banking, e-commerce etc.) au moins une fois par an, afin d’annuler les effets du hacking sur un site compromis (dont nous ne savons probablement encore rien).

Si les propriétaires du site compromis sont conscients des dommages, ils enverront souvent un email à tous les utilisateurs enregistrés pour les avertir de l’incident et procéder au changement de mot de passe immédiat : lorsque nous recevons ce type d’email, assurez-vous qu’ils sont authentiques puis nous procédons au changement de mot de passe immédiat (plus vite nous sommes, moins nous courons le risque).

Pour savoir si nos mots de passe sont compromis, nous pouvons consulter le site Web HaveIBeenPwned, où vous pouvez simplement entrer le courriel que nous utilisons le plus souvent sur les sites pour voir si nous avons déjà été compromis dans le passé.

Faux courriels

L’une des techniques les plus utilisées consiste à utiliser des courriels contrefaits, avec des logos et des symboles semblables à ceux de sites légitimes. Dans le chapitre précédent, le hacker pourrait nous envoyer un email déguisé en un site sûr et célèbre (PayPal, Amazon, site bancaire etc.) expliquant une prétendue attaque de hacker qui mettrait en danger nos données personnelles ou notre argent, avec des tons souvent trop sensationnels.

Voir aussi :  Comment protéger vos courriels et votre boîte aux lettres

Le but est de générer la peur : paniqué en fait nous cliquerons sur le lien dans l’email, qui nous ramènera à une page où entrer l’ancien mot de passe. Après avoir entré les données requises, la page « disparaîtra » et ne sera plus accessible : nous sommes juste caduti victime d’une attaque de phishingen plein essor. Reconnaître de faux courriels peut exiger beaucoup d’expérience ou de bonnes compétences en informatique,mais parfois un peu de bonne ruse suffit : si nous recevons le courriel d’une banque sur laquelle nous n’avons pas de compte, comment le compte peut-il être compromis et mettre l’argent présumé à risque ?

Si au lieu de cela nous recevons un email d’un site ou d’une banque où nous sommes réellement clients, mieux vaut éviter tout lien dans l’email et procéder au changement de mot de passe en passant par le site officiel : de cette façon, tant dans le cas où l’email était faux et dans lequel l’email était vrai, nous aurons changé le mot de passe en prenant soin de nous protéger contre tout problème éventuel. Pour augmenter la sécurité de nos courriels, nous pouvons utiliser également un filtre anti-spam recommandé dans notre guide des meilleurs services anti-spam pour protéger le courriel corporatif et web.

Pages Web non protégées

Heureusement, ce type d’attaque tombe en désuétude, mais jusqu’à il y a quelques années, il était l’un des plus populaires et des plus faciles à réaliser. Les pages Web sans cryptage (commençant par HTTP) fournissent leur contenu en clair sur le Web, donc lorsque nous nous connectons à elles, toutes les données sont interceptables avec un renifleur réseau ou en interceptant le trafic Web (Man-in-the-Middle attaque).

Si on insère un mot de passe dans une page non cryptée, il sera facilement intercepté par un hacker, sans nécessairement être un maître sur le terrain : les programmes de snorting sont accessibles et offrent souvent des interfaces simples, de sorte qu’ils peuvent aussi être utilisés par ceux qui ne connaissent rien en informatique.

Pour éviter ce type d’attaque, veillons à n’utiliser que des sites à accès crypté et sécurisé (pages web commençant par HTTPS) : toutes les données échangées entre le navigateur et le site seront ainsi cryptées et difficiles à intercepter. Tous les sites les plus connus sont déjà passés en HTTPS, mais pour forcer l’accès aux pages sécurisées sur tous les sites, nous vous recommandons de lire notre guide surfer en https sur tous les sites bancaires, boutiques, Facebook et autres, avec connexion sécurisée.

Voir aussi :  Masquer les publicités en ligne Google, Facebook et Youtube

Enregistreur de frappe

Dans ce cas, le pirate utilise un programme spécial caché sur l’ordinateur de la victime pour effectuer le vol des mots de passe et des données ; le keylogger enregistre toutes les touches tapées sur le clavier et envoie les données capturées vers l’extérieur, sur le site Web du pirate. En cas de tromperie (via de faux emails) ou d’accès direct au PC à compromettre, le pirate peut intercepter toutes les données de la victime sans qu’il s’en aperçoive.

Certains keyloggers avancés sont disponibles sous forme de petits dispositifs qui s’interposent entre les ports USB ou PS/2, afin d’intercepter les données au niveau matériel : ils sont très difficiles à détecter et pratiquement impossibles à arrêter, mais nécessitent un accès physique à l’ordinateur afin de récupérer les données.

Pour vous protéger contre les logiciels de keyloggers, nous devons installer un bon antikeylogger, comme ceux vus dans le meilleur guide gratuit Anti-keyloggers contre les logiciels malveillants qui espionnent sur votre ordinateur. Si nous ne voulons pas installer d’autres programmes, il peut être utile d’utiliser le clavier à l’écran lors de la saisie des mots de passe, afin d’éviter la capture par les keyloggers : ci-dessous nous trouvons l’article sur comment utiliser le clavier virtuel à l’écran pour écrire protégé des keyloggers et vols de mots de passe.

Autres conseils utiles

Autres conseils généraux pour protéger nos mots de passe sont :

  • Utilisez un antivirus mis à jour sur votre ordinateur, comme ceux recommandés dans notre guide meilleur antivirus pour PC gratuit.
  • Utiliser un VPNquand nous nous connectons à des réseaux publics et des hotspots ; les meilleurs VPN à essayer nous pouvons trouver dans l’article les meilleurs services et programmes VPN gratuits pour surfer en toute sécurité et gratuitement.
  • Créer un réseau Wi-Fi sécurisé à domicile, comme décrit dans notre guide sécuriser votre connexion WiFi à domicile et vous protéger des intrusions réseau.

Tous les conseils donnés dans ce guide peuvent rendre l’accès à nos données et mots de passe très difficile pour les pirates informatiques, mais rappelez-vous qu’un très bon pirate entre partout sans problème : la seule chose que nous pouvons faire est de le ralentir suffisamment pour rendre le « jeu » peu pratique (le classique « le jeu ne vaut pas la chandelle »).