En continuant votre navigation sur ce site, vous acceptez l'utilisation et l'installation de cookies assurant le fonctionnement optimal de notre service. 

Piratage : comment deviner un mot de passe simple

Envie de savoir comment un pirate ou toute personne mal intentionnée fait pour deviner un mot de passe simple ? En suivant ce guide, vous saurez vous aussi comment faire. Et comment mieux protéger vos comptes en ligne. Car malheureusement trop de personnes utilisent encore des mots de passe trop simples à deviner.

Comment deviner un mot de passe simple

Capture d’écran de l’excellente série Mr Robot (avec quelques ajouts) / source : Youtube

C’est parce qu’il sont la porte d’entrée de votre identité numérique que les mots de passe sont la cible de pirates de tous poils. Peu importe qui vous êtes ou ce que vous faites. En somme pour se jouer de la surveillance et de la disparition de l’anonymat sur le net, votre identité a pris de la valeur.

Les raisons pour lesquelles vos mots de passe peuvent intéresser quelqu’un sont malheureusement beaucoup plus nombreuses que vous ne le croyez. Il est donc grand temps de mieux vous protéger. Du coup, nous avons choisi de vous inciter à le faire en vous apprenant à deviner par vous même un mot de passe simple.

Comment deviner un mot de passe que vous savez suffisamment simple

Un monde différencie les mots de passe simples des mots de passe suffisamment sécurisés. Mais comment sait-on si un mot de passe est sécurisé ou non ? Cela tient à divers facteurs. Un mot de passe est dit sécurisé lorsqu’il utilise une combinaison de lettres majuscules et minuscules, plusieurs chiffres et caractères spéciaux.

Au vu de la puissance actuelle des ordinateurs, il doit être doté d’au moins 8 caractères (ce qui est déjà limite). Edward Snowden conseille carrément d’utiliser des « phrases de sécurité ». Pour vous donner une idée de la différence entre un mot de passe simple et un autre question décodage, John Pozadzides du blog lifehacker a créé ce tableau comparatif.

L’idée c’est que vous avez en main une connexion internet rapide, un ordinateur doté d’une bonne carte graphique, et un logiciel de brute force (qui teste toutes les combinaisons possibles). Voici combien de temps il vous faudrait pour cracker différents mots de passe :

Longueur (nb. caractères)Tout type de caractèreUniquement des lettres minuscules
3
4
5
6
7
8
9
10
11
12
13
14
0.86 secondes
1.36 minutes
2.15 heures
8.51 jours
2.21 années
2.10 siècles
20 millénaires
1 899 millénaires
180 365 millénaires
17 184 705 millénaires
1 627 797 068 millénaires
154 640 721 434 millénaires
0.02 secondes
0.046 secondes
11.9 secondes
5.15 minutes
2.23 heures
2.42 jours
2.07 mois
4.48 années
1.16 siècles
3.03 millénaires
78.7 millénaires
2,046 millénaires

 

Et là on parle d’un ordinateur personnel, l’accès à un supercalculateur peut grandement accélérer la tâche. Vous pensez que c’est hors de portée pour le commun des mortels ? Détrompez-vous ! Certains ont accès à des supercalculateurs sur leur campus. D’autres vont se tourner vers des services en ligne comme Amazon (qui propose un accès à son super-calculateur) ou T-Platform pour ne citer qu’eux.

Premier constat : trop de gens utilisent encore des mots de passe trop simples à deviner

Le constat est une véritable catastrophe, et les choses ne s’améliorent pas. En 2010 Hotmail était piraté et des centaines de millions de comptes avec leurs identifiants se sont retrouvés sur le net. Des chercheurs en sécurité en ont profité pour faire quelques statistiques sur un échantillon de 10.000 comptes. Aussi étonnant que cela puisse paraître, voici la liste des mots de passe les plus populaires :

  1. 123456
  2. 123456789
  3. alejandra
  4. 111111
  5. alberto
  6. tequiero
  7. alejandro
  8. 12345678
  9. 1234567
  10. estrella
  11. iloveyou
  12. daniel
  13. 000000
  14. roberto
  15. 654321
  16. bonita
  17. sebastian
  18. beatriz
  19. mariposa
  20. america

L’autre donnée intéressante, c’est sur la longueur des mots de passe. L’essentiel des mots de passe soit 36% faisaient entre 6 et 7 caractères, ce qui est insuffisant. 33% entre 8 et 9 caractères. La longueur 6-9 représente près de 70% des mots de passe. 42% ne contiennent que des lettres minuscules. 30% incluent un ou deux chiffres, dans une écrasante majorité 1 et/ou 2 et le plus souvent à la fin (autant dire que dans ce cas, ils ne servent à rien).

Des données redoutablement utiles pour la suite. Puisqu’avant de connaître le mot de passe, vous savez déjà assez précisément à quoi il va ressembler. Plusieurs hacks récents ont montré que les gens ne font pas forcément plus attention à la sécurité de leurs mots de passe depuis. Ainsi des données recueillies à partir du piratage de comptes de l’américain Gawker en 2014 ont montré des statistiques similaires.

Certaines personnes ne s’embêtent carrément pas et mettent le nom du site en mot de passe. Là on doit bien l’avouer, les bras nous en tombent. Ah et souvenez-vous aussi d’une chose : les gens n’aiment pas mémoriser quantité de mots de passe. Souvent en trouver un vous donnera donc accès à une grande partie de ses autres comptes. Et au pire, les suivants ne sont que la variation du premier.

Second constat : il est très facile de se procurer les outils pour cracker des mots de passe

Alors toutes ces données c’est très bien, mais comment fait-on pour cracker un mot de passe, concrètement ? Tout d’abord, vous pouvez essayer d’entrer les mots de passe les plus simples, et malheureusement encore trop utilisés à la main. La liste plus haut peut vous servir de point de départ. Il y a aussi celle-ci plus centrée sur la France :

  • motdepasse
  • 123456
  • 12345678
  • abc123
  • azerty
  • qwerty
  • singe
  • Letmein
  • dragon
  • 111111
  • baseball
  • jetaime
  • jesaispas
  • 1234567
  • coucherdesoleil
  • maitre
  • 123123
  • bienvenu
  • ombre
  • Ashley
  • football
  • Jesus
  • Michael
  • ninja
  • mustang
  • motdepasse1

Tentez des variations avec codes postaux (une étonnante habitude en France), les chiffres 1 et/ou 2 à la fin, une année (à piocher dans les années 80 et 90) genre mustang75, ninja31300 etc. Et lorsque vous en avez marre de rentrer tout cela à la main… installez un logiciel pour vous faciliter la tâche. En plus de vous éviter un travail extrêmement rébarbatif, ce genre de logiciels vous permettra d’attaquer un mot de passe au moyen de deux techniques qui ont fait leurs preuves.

On parle bien sûr de l’attaque brute-force qui va tester toutes les combinaisons possibles une par une et l’attaque par dictionnaire qui teste des entrées prédéfinies. Les principaux noms en la matière sont Aircrack, Cain and Abel, John the Ripper, Hashcat, Hydra, DaveGrohl et ElcomSoft. Tous ont très facile à trouver, certains sont open source, d’autres sont payants (et plutôt chers).

Le must c’est de disposer d’une carte graphique qui dépote, car les GPU sont nettement plus efficaces pour ce genre de travail que les CPU.

Troisième constat : on oublie trop souvent la force de l’ingénierie sociale

Et si pour découvrir un mot de passe simple, il suffisait de le demander à la victime ? L’ingénierie sociale et l’enquête sont deux méthodes redoutablement efficaces pour retrouver le mot de passe de quelqu’un. C’est un secret de polichinelle, et c’est d’ailleurs très bien montré dans la série Mr Robot.

Vous pouvez par exemple cliquer sur « mot de passe perdu » pour accéder aux questions de sécurité, chercher le numéro de téléphone de la personne, l’appeler, lui dire que vous avez une information hyper importante à lui communiquer et lui demander la réponse aux questions de sécurité avant de tout lui dire. Simple comme bonjour, et terriblement efficace.

Dans d’autres cas, contacter la personne ne sera même pas nécessaire. Vous pourrez répondre aux questions de sécurité simplement en allant consulter les informations qu’il vous manque en vous baladant sur les réseaux sociaux. Comme vous le voyez, les moyens ne manquent pas. Nous espérons en tout cas que grâce à ce tutoriel vous verrez où vous pouvez agir pour mieux protéger vos comptes en ligne.

On l’a d’ailleurs vu avec le dernier piratage en date de Yahoo qui a touché un milliard de comptes, tout le monde n’est pas logé à la même enseigne, les mots de passe étant protégés dans la base de données par un cryptage. Ainsi seuls ceux qui ont utilisé un mot de passe trop simple seront faciles à deviner.


Qu’avez-vous pensé de cet article ?
Commentaires
  • Fabien

    Sans rentrer dans les détails techniques, ça n’est tout de même pas si simple de cracker des mots de passes, même s’ils sont simples. Déjà, beaucoup de services en ligne empêchent de faire un nombre trop important de requêtes sur un site pour une même adresse ip. En gros, si le serveur détecte qu’une machine est en train d’envoyer des infos (comme un formulaire de connexion) trop de fois par secondes, c’est que c’est probablement un logiciel qui tente ou de cracker un mdp, ou de récupérer des données automatiquement, d’où le fameux système de captcha, qui vérifie que vous n’êtes pas une machine. Le simple fait donc de limiter la soumission d’un nouveau mdp à un serveur à une fois toutes les 5 secondes ne va pas vous pénaliser, mais peut drastiquement augmenter le temps craquage d’un mdp pour une machine.
    Ensuite, en théorie (je ne sais pas si c’est le cas sur tous les services web), on ne stocke jamais un mdp en clair dans une base de données, on stocke un hash. Un hash, c’est une suite de caractères (environ 32) qui est obtenue à partir de n’importe quelle autre suite de caractères. Par exemple, le mot « chat » donnera un hash de type « gfht67hyuh67r9 ». Ainsi, il est très simple de transformer « chat » en « gfht67hyuh67r9 », mais très complexe de retrouver « chat » à partir de son hash. Du coup, si quelqu’un pirate une base de données, il n’a que des hash, pas le vrai mdp. Maintenant il faut quand même veiller à changer ne serait-ce qu’une lettre pour chaque mdp de chaque service en ligne, car si le mdp est le même partout, une fois un mdp hacké, il est très simple d’accéder à tous les comptes d’une personne.
    Bien sûr, il est toujours plus sécurisé d’utiliser des mdp complexes, cela va de soi.

    • Et pourtant les piratages de comptes ne sont pas si rares ! Vis à vis de la limite du nombre de logins que tu évoques, tout dépend des cas. Par exemple, lorsqu’on possède déjà le hash, ce n’est pas un problème. Et puis elle n’est pas forcément en place partout. Il est donc possible de pirater un compte moins sécurisé (permettant le brute force) en espérant que le mot de passe soit le même sur plusieurs comptes. D’autres techniques que je n’ai pas évoquées ici impliquent de s’introduire dans la base de donnée pour voler les hash. Mais l’idée derrière cet article était évidemment plus d’inciter à adopter des mots de passe plus sécurisés que d’apprendre à faire quelque chose d’illégal ;)

dea9d8c975e3426e70e30c62b4bda9ea3333333333333333333333333