Les attaques classiques sur les mots de passe

Les attaques sur les mots de passe, et de manière générale sur tous les systèmes protégés par des mécanismes d'authentification, sont permanentes. Elles se déclinent en trois familles bien distinctes que je vais détailler ci-dessous.

Dans le principe, il existe trois familles d'attaques qui peuvent viser vos mots de passe, dans le but en général d'accéder aux ressources protégées par ces mots de passe :

  • L'ingénierie sociale
  • L'attaque par force brute
  • L'attaque hors-ligne

L'ingénierie sociale

C'est sans doute l'attaque la plus visible pour l'utilisateur. En effet, elle consiste à abuser de sa confiance, à le tromper, à l'induire en erreur. L'attaquant fait en sorte que sa future victime croit à la bonne foi d'un email, d'une page web pirate, d'un SMS, ou d'un interlocuteur au téléphone. Si il est suffisamment habile, la personne ciblée va tomber dans le piège et finir par révéler volontairement son identifiant et son mot de passe.
L'exemple le plus fréquent est probablement l'email d'hameçonnage ("phishing") qui tombe de temps en temps dans votre boîte email. Ce sont dans la majorité des cas des tentatives non ou peu ciblées : le pirate envoie le même message à des centaines ou des milliers d'adresses email, et attend que les victimes mordent à l'hameçon.

La seule parade contre ce type d'attaque : la prudence, et la réflexion avant toute action. Les attaques par ingénierie sociale peuvent aussi être lancées par des gens extrêmement avisés qui vont vous cibler précisément, en se faisant passer pour une personne que vous connaissez par exemple.

L'attaque par force brute

On parle d'attaque par force brute quand un individu, ou plus couramment un programme, teste une série de logins et de mots de passe pour accéder à un compte utilisateur. Ce type d'attaque se produit des dizaines de millions de fois par jour, en grande majorité de manière aveugle : des machines vont tenter de se connecter à des comptes sur différents services (email bien sûr, mais aussi service d'administration distante, module de gestion de blog, etc.). Ces tentatives aveugles sont parfois très efficaces, et ont pu mener à la création d'énormes botnets comme Mirai qui a fait parler de lui récemment.
Il peut arriver que les attaques par force brute soient plus ciblées, comme par exemple quand elles sont le fait d'un proche, ou d'une personne que vous connaissez, qui tente d'accéder à l'un de vos comptes en ligne ou à votre téléphone, etc.

La seule parade contre ce type d'attaque pour l'utilisateur est un mot de passe de bonne qualité et différent pour chaque compte. Si votre mot de passe est trop simple ou trop prévisible, une attaque par force brute finira par tomber dessus.

L'attaque hors-ligne

L'attaque hors-ligne est sans doute la plus intéressante. C'est aussi la plus dangereuse à grande échelle. Le scénario d'une telle attaque est le suivant :

  • un pirate parvient à copier le contenu d'une base de données contenant les identifiants et mots de passe des utilisateurs d'une application, d'un site web, etc.
  • si son intrusion passe inaperçu (c'est en général le cas), il dispose de plusieurs semaines, voire mois ou années, pour casser les mots de passe présents dans ces données
  • il peut ensuite exploiter ces milliers, ou millions de logins, mots de passe, adresses email, etc. tranquillement
  • il peut aussi décider de revendre tout ou partie de ces données au marché noir
Ce type d'attaques est plus courant que vous pourriez le penser. Actuellement on estime que 5 millions de mots de passe se retrouvent dans la nature chaque mois, et certaines fuites sont particulièrement notables et massives.
Alors bien sûr, si vous utilisez un mot de passe différent pour chaque site, ce genre d'attaque aura un impact limité sur vous. Cela dit, l'accès à votre compte mail, à votre insu, peut avoir des répercussions incroyables, mais c'est toujours moins grave que d'accéder avec le même login et le même mot de passe à l'ensemble de vos comptes.

Le cloisonnement est donc un élément vital de votre sécurité, car il n'y a absolument rien que vous puissiez faire pour empêcher une fuite de données quand vous êtes simple utilisateur d'un site web ou d'un service en ligne. Et plus votre mot de passe est de bonne qualité, plus il résistera longtemps à l'attaque hors-ligne du pirate.

L'attaque hors-ligne, aussi sophistiquée qu'elle puisse être, nécessite énormément de puissance de calcul, et il est très rare qu'un pirate parvienne à casser l'intégralité des mots de passe d'une base de données dérobée. En général il s'arrête quand l'effort n'est plus rentable : vous avez donc tout intérêt à faire en sorte que votre mot de passe se trouve parmi ceux qu'il n'est pas rentable de tenter de casser. Ceci dit, ne sous-estimez pas la puissance des logiciels de casse de mots de passe. Vous pourriez être surpris.

photo Christiaan Colen CC BY-SA 2.0