Piratage : comment deviner un mot de passe simple
Envie de savoir comment un pirate ou toute personne mal intentionnée fait pour deviner un mot de passe simple ? En suivant ce guide, vous saurez vous aussi comment faire. Et comment mieux protéger vos comptes en ligne. Car malheureusement trop de personnes utilisent encore des mots de passe trop simples à deviner.
C’est parce qu’il sont la porte d’entrée de votre identité numérique que les mots de passe sont la cible de pirates de tous poils. Peu importe qui vous êtes ou ce que vous faites. En somme pour se jouer de la surveillance et de la disparition de l’anonymat sur le net, votre identité a pris de la valeur.
Les raisons pour lesquelles vos mots de passe peuvent intéresser quelqu’un sont malheureusement beaucoup plus nombreuses que vous ne le croyez. Il est donc grand temps de mieux vous protéger. Du coup, nous avons choisi de vous inciter à le faire en vous apprenant à deviner par vous même un mot de passe simple.
Comment deviner un mot de passe que vous savez suffisamment simple
Un monde différencie les mots de passe simples des mots de passe suffisamment sécurisés. Mais comment sait-on si un mot de passe est sécurisé ou non ? Cela tient à divers facteurs. Un mot de passe est dit sécurisé lorsqu’il utilise une combinaison de lettres majuscules et minuscules, plusieurs chiffres et caractères spéciaux.
Au vu de la puissance actuelle des ordinateurs, il doit être doté d’au moins 8 caractères (ce qui est déjà limite). Edward Snowden conseille carrément d’utiliser des “phrases de sécurité”. Pour vous donner une idée de la différence entre un mot de passe simple et un autre question décodage, John Pozadzides du blog lifehacker a créé ce tableau comparatif.
L’idée c’est que vous avez en main une connexion internet rapide, un ordinateur doté d’une bonne carte graphique, et un logiciel de brute force (qui teste toutes les combinaisons possibles). Voici combien de temps il vous faudrait pour cracker différents mots de passe :
| Longueur (nb. caractères) | Tout type de caractère | Uniquement des lettres minuscules |
|---|---|---|
| 3 4 5 6 7 8 9 10 11 12 13 14 |
0.86 secondes 1.36 minutes 2.15 heures 8.51 jours 2.21 années 2.10 siècles 20 millénaires 1 899 millénaires 180 365 millénaires 17 184 705 millénaires 1 627 797 068 millénaires 154 640 721 434 millénaires |
0.02 secondes 0.046 secondes 11.9 secondes 5.15 minutes 2.23 heures 2.42 jours 2.07 mois 4.48 années 1.16 siècles 3.03 millénaires 78.7 millénaires 2,046 millénaires |
Et là on parle d’un ordinateur personnel, l’accès à un supercalculateur peut grandement accélérer la tâche. Vous pensez que c’est hors de portée pour le commun des mortels ? Détrompez-vous ! Certains ont accès à des supercalculateurs sur leur campus. D’autres vont se tourner vers des services en ligne comme Amazon (qui propose un accès à son super-calculateur) ou T-Platform pour ne citer qu’eux.
Premier constat : trop de gens utilisent encore des mots de passe trop simples à deviner
Le constat est une véritable catastrophe, et les choses ne s’améliorent pas. En 2010 Hotmail était piraté et des centaines de millions de comptes avec leurs identifiants se sont retrouvés sur le net. Des chercheurs en sécurité en ont profité pour faire quelques statistiques sur un échantillon de 10.000 comptes. Aussi étonnant que cela puisse paraître, voici la liste des mots de passe les plus populaires :
- 123456
- 123456789
- alejandra
- 111111
- alberto
- tequiero
- alejandro
- 12345678
- 1234567
- estrella
- iloveyou
- daniel
- 000000
- roberto
- 654321
- bonita
- sebastian
- beatriz
- mariposa
- america
L’autre donnée intéressante, c’est sur la longueur des mots de passe. L’essentiel des mots de passe soit 36% faisaient entre 6 et 7 caractères, ce qui est insuffisant. 33% entre 8 et 9 caractères. La longueur 6-9 représente près de 70% des mots de passe. 42% ne contiennent que des lettres minuscules. 30% incluent un ou deux chiffres, dans une écrasante majorité 1 et/ou 2 et le plus souvent à la fin (autant dire que dans ce cas, ils ne servent à rien).
Des données redoutablement utiles pour la suite. Puisqu’avant de connaître le mot de passe, vous savez déjà assez précisément à quoi il va ressembler. Plusieurs hacks récents ont montré que les gens ne font pas forcément plus attention à la sécurité de leurs mots de passe depuis. Ainsi des données recueillies à partir du piratage de comptes de l’américain Gawker en 2014 ont montré des statistiques similaires.
Certaines personnes ne s’embêtent carrément pas et mettent le nom du site en mot de passe. Là on doit bien l’avouer, les bras nous en tombent. Ah et souvenez-vous aussi d’une chose : les gens n’aiment pas mémoriser quantité de mots de passe. Souvent en trouver un vous donnera donc accès à une grande partie de ses autres comptes. Et au pire, les suivants ne sont que la variation du premier.
Second constat : il est très facile de se procurer les outils pour cracker des mots de passe
Alors toutes ces données c’est très bien, mais comment fait-on pour cracker un mot de passe, concrètement ? Tout d’abord, vous pouvez essayer d’entrer les mots de passe les plus simples, et malheureusement encore trop utilisés à la main. La liste plus haut peut vous servir de point de départ. Il y a aussi celle-ci plus centrée sur la France :
- motdepasse
- 123456
- 12345678
- abc123
- azerty
- qwerty
- singe
- Letmein
- dragon
- 111111
- baseball
- jetaime
- jesaispas
- 1234567
- coucherdesoleil
- maitre
- 123123
- bienvenu
- ombre
- Ashley
- football
- Jesus
- Michael
- ninja
- mustang
- motdepasse1
Tentez des variations avec codes postaux (une étonnante habitude en France), les chiffres 1 et/ou 2 à la fin, une année (à piocher dans les années 80 et 90) genre mustang75, ninja31300 etc. Et lorsque vous en avez marre de rentrer tout cela à la main… installez un logiciel pour vous faciliter la tâche. En plus de vous éviter un travail extrêmement rébarbatif, ce genre de logiciels vous permettra d’attaquer un mot de passe au moyen de deux techniques qui ont fait leurs preuves.
On parle bien sûr de l’attaque brute-force qui va tester toutes les combinaisons possibles une par une et l’attaque par dictionnaire qui teste des entrées prédéfinies. Les principaux noms en la matière sont Aircrack, Cain and Abel, John the Ripper, Hashcat, Hydra, DaveGrohl et ElcomSoft. Tous ont très facile à trouver, certains sont open source, d’autres sont payants (et plutôt chers).
Le must c’est de disposer d’une carte graphique qui dépote, car les GPU sont nettement plus efficaces pour ce genre de travail que les CPU.
Troisième constat : on oublie trop souvent la force de l’ingénierie sociale
Et si pour découvrir un mot de passe simple, il suffisait de le demander à la victime ? L’ingénierie sociale et l’enquête sont deux méthodes redoutablement efficaces pour retrouver le mot de passe de quelqu’un. C’est un secret de polichinelle, et c’est d’ailleurs très bien montré dans la série Mr Robot.
Vous pouvez par exemple cliquer sur “mot de passe perdu” pour accéder aux questions de sécurité, chercher le numéro de téléphone de la personne, l’appeler, lui dire que vous avez une information hyper importante à lui communiquer et lui demander la réponse aux questions de sécurité avant de tout lui dire. Simple comme bonjour, et terriblement efficace.
Dans d’autres cas, contacter la personne ne sera même pas nécessaire. Vous pourrez répondre aux questions de sécurité simplement en allant consulter les informations qu’il vous manque en vous baladant sur les réseaux sociaux. Comme vous le voyez, les moyens ne manquent pas. Nous espérons en tout cas que grâce à ce tutoriel vous verrez où vous pouvez agir pour mieux protéger vos comptes en ligne.
On l’a d’ailleurs vu avec le dernier piratage en date de Yahoo qui a touché un milliard de comptes, tout le monde n’est pas logé à la même enseigne, les mots de passe étant protégés dans la base de données par un cryptage. Ainsi seuls ceux qui ont utilisé un mot de passe trop simple seront faciles à deviner.