{"id":19958,"date":"2023-01-10T16:33:54","date_gmt":"2023-01-10T14:33:54","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19958"},"modified":"2023-01-10T16:33:54","modified_gmt":"2023-01-10T14:33:54","slug":"how-criminals-can-get-your-password","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/how-criminals-can-get-your-password\/19958\/","title":{"rendered":"Comment les mauvaises personnes peuvent obtenir vos mots de passe"},"content":{"rendered":"

Pour la plupart d\u2019entre nous, le mot de passe est la m\u00e9thode la plus souvent utilis\u00e9e pour s\u2019authentifier et acc\u00e9der \u00e0 un nombre incalculable de services en ligne. C\u2019est un outil beaucoup plus important pour les cybercriminels\u00a0: un raccourci qui permet de conna\u00eetre la vie d\u2019une personne, un outil de travail crucial et l\u2019acc\u00e8s \u00e0 des informations qui peuvent \u00eatre vendues. Gr\u00e2ce au mot de passe, les escrocs peuvent prendre le contr\u00f4le de vos comptes, de vos donn\u00e9es, de votre argent et de votre identit\u00e9. Ils peuvent aussi vous utiliser comme maillon faible pour s\u2019en prendre \u00e0 vos amis, \u00e0 vos proches ou \u00e0 l\u2019entreprise o\u00f9 vous travaillez ou que vous poss\u00e9dez. Pour \u00e9viter une telle situation, vous devez comprendre comment les cybercriminels peuvent obtenir votre mot de passe.<\/p>\n

Comment les cybercriminels peuvent-ils obtenir vos mots de passe ?<\/h2>\n

On pense souvent, \u00e0 tort, qu\u2019il faut commettre une erreur pour que les escrocs en ligne aient acc\u00e8s \u00e0 vos mots de passe\u00a0: t\u00e9l\u00e9charger et ex\u00e9cuter un fichier non v\u00e9rifi\u00e9 sur Internet, ouvrir un document envoy\u00e9 par un exp\u00e9diteur inconnu ou saisir les identifiants sur un site suspect. Oui, toutes ces actions peuvent simplifier le travail des cybercriminels, mais il y a bien d\u2019autres situations. Voici les m\u00e9thodes g\u00e9n\u00e9ralement utilis\u00e9es par les cybercriminels pour avoir acc\u00e8s \u00e0 vos comptes.<\/p>\n

L\u2019hame\u00e7onnage<\/h3>\n

C\u2019est en effet la m\u00e9thode de collecte des identifiants qui d\u00e9pend le plus d\u2019une erreur humaine. Des centaines de sites d\u2019hame\u00e7onnage, aid\u00e9s par des milliers de messages qui redirigent vers ces pages, apparaissent chaque jour. Pourtant, si vous pensez que cette technique d\u2019hame\u00e7onnage ne fonctionnera pas avec vous, vous avez tort. Cette m\u00e9thode est presque aussi vieille qu\u2019Internet, et les cybercriminels ont eu beaucoup de temps pour d\u00e9velopper diverses astuces d\u2019ing\u00e9nierie sociale et pour dissimuler leurs intentions. M\u00eame les professionnels ne peuvent parfois pas faire la diff\u00e9rence entre un message d\u2019hame\u00e7onnage et un message r\u00e9el.<\/p>\n

Le programme malveillant<\/h3>\n

L\u2019utilisation d\u2019un programme malveillant est l\u2019autre technique g\u00e9n\u00e9ralement utilis\u00e9e pour voler vos identifiants. Selon nos statistiques, les chevaux de Troie qui volent les informations repr\u00e9sentent une part importante des programmes malveillants actifs. Leur objectif consiste \u00e0 attendre que l\u2019utilisateur se connecte \u00e0 un site ou \u00e0 un service pour copier le mot de passe et l\u2019envoyer aux escrocs. Si vous n\u2019avez pas de solution de protection, les chevaux de Troie peuvent se cacher dans votre ordinateur pendant des ann\u00e9es. Vous ne savez pas qu\u2019il y a un probl\u00e8me puisque ces programmes ne provoquent aucun d\u00e9g\u00e2t visible et travaillent en toute discr\u00e9tion.<\/p>\n

\u00a0<\/p>\n

Les chevaux de Troie qui volent les informations ne sont pas les seuls programmes malveillants qui cherchent \u00e0 obtenir vos mots de passe. Les cybercriminels envoient parfois un skimmer sur le site\u00a0; un programme qui vole tout ce que l\u2019utilisateur saisit dont ses identifiants, ses renseignements personnels, ses informations bancaires, etc.<\/p>\n

Des fuites tierces<\/h3>\n

Il s\u2019av\u00e8re que cette erreur peut \u00eatre commise par quelqu\u2019un d\u2019autre. Il suffit que vous utilisiez un service Internet non s\u00e9curis\u00e9 ou que vous soyez client d\u2019une entreprise dont la base de donn\u00e9es des clients a \u00e9t\u00e9 divulgu\u00e9e sur Internet. \u00c9videmment, les entreprises qui s\u2019occupent vraiment de la cybers\u00e9curit\u00e9 ne conservent pas vos mots de passe, ou du moins elles le font dans un format chiffr\u00e9. Vous ne pouvez jamais \u00eatre certain que les mesures adopt\u00e9es sont suffisantes. Par exemple, la fuite de donn\u00e9es dont l\u2019application SuperVPN a \u00e9t\u00e9 victime cette ann\u00e9e contenait les informations personnelles et les identifiants de connexion de 21 millions d\u2019utilisateurs.<\/p>\n

\u00a0<\/p>\n

D\u2019autre part, certaines entreprises ne peuvent pas \u00e9viter le stockage de vos mots de passe. Oui, je parle du piratage tristement c\u00e9l\u00e8bre du gestionnaire de mots de passe LastPass. Selon les derni\u00e8res informations, un acteur de menace inconnu a eu acc\u00e8s au syst\u00e8me de stockage bas\u00e9 sur le Cloud et donc aux donn\u00e9es de certains clients, dont les sauvegardes des coffres-forts des clients. Heureusement, ces coffres-forts \u00e9taient correctement chiffr\u00e9s et LastPass n\u2019a jamais conserv\u00e9 ou connu les cl\u00e9s de d\u00e9chiffrement. Que se serait-il pass\u00e9 si les clients de LastPass avaient utilis\u00e9 un mot de passe d\u00e9j\u00e0 divulgu\u00e9 par une autre source pour verrouiller leur coffre-fort\u00a0? Si, au moment de la cr\u00e9ation du compte, ils ont utilis\u00e9 un mot de passe non s\u00e9curis\u00e9, les cybercriminels pourraient d\u00e9sormais avoir acc\u00e8s \u00e0 tous leurs comptes en m\u00eame temps.<\/p>\n

Les courtiers d\u2019acc\u00e8s initial<\/h3>\n

Et nous en arrivons \u00e0 une autre source de mots de passe vol\u00e9s\u00a0: le march\u00e9 noir. Les cybercriminels modernes pr\u00e9f\u00e8rent se sp\u00e9cialiser dans un domaine. Ils peuvent tr\u00e8s bien voler vos mots de passe mais ne pas s\u2019en servir\u00a0: c\u2019est plus rentable de les vendre en gros. L\u2019achat de telles bases de donn\u00e9es de mots de passe attire les cybercriminels puisqu\u2019ils obtiennent tout en m\u00eame temps\u00a0: les utilisateurs ont tendance \u00e0 utiliser le m\u00eame mot de passe pour plusieurs comptes et plateformes, et les associent g\u00e9n\u00e9ralement \u00e0 la m\u00eame adresse e-mail. Ainsi, si les escrocs poss\u00e8dent le mot de passe d\u2019un service, ils peuvent avoir acc\u00e8s aux autres comptes de la victime, qu\u2019il s\u2019agisse d\u2019un jeu vid\u00e9o, de leur adresse e-mail personnelle ou de sites r\u00e9serv\u00e9s aux adultes.<\/p>\n

\u00a0<\/p>\n

\"Publicit\u00e9

Publicit\u00e9 publi\u00e9e sur un forum de cybercriminels\u00a0: quelqu\u2019un offre 280 000 noms d\u2019utilisateur et mots de passe de diverses plateformes de jeux vid\u00e9o pour seulement 4 000 dollars.<\/p><\/div>\n

\u00a0<\/p>\n

Les bases de donn\u00e9es des entreprises qui ont \u00e9t\u00e9 divulgu\u00e9es et contiennent, ou non, des identifiants sont \u00e9galement vendues sur le march\u00e9 noir. Le prix de ces bases de donn\u00e9es d\u00e9pend de la quantit\u00e9 et du secteur de l\u2019entreprise\u00a0: certaines bases de donn\u00e9es de mots de passe ne co\u00fbtent que quelques centaines de dollars.<\/p>\n

\u00a0<\/p>\n

Certains services du darknet regroupent les bases de donn\u00e9es et les mots de passe divulgu\u00e9s et proposent un acc\u00e8s payant ou unique \u00e0 leur collection. En octobre 2022, le c\u00e9l\u00e8bre groupe de ran\u00e7ongiciels LockBit a pirat\u00e9<\/a> une entreprise de sant\u00e9 et a vol\u00e9 la base de donn\u00e9es clients qui contenait des informations m\u00e9dicales. Le groupe vendait des abonnements qui permettaient d\u2019acc\u00e9der aux renseignements sur le darknet et aurait achet\u00e9 l\u2019acc\u00e8s initial sur ce m\u00eame march\u00e9 noir.<\/p>\n

\u00a0<\/p>\n

\"Les

Les services d\u2019un darknet qui proposent un acc\u00e8s payant aux bases de donn\u00e9es vol\u00e9es.<\/p><\/div>\n

\u00a0<\/p>\n

Des attaques par force brute<\/h3>\n

Dans certains cas, les cybercriminels n\u2019ont pas besoin d\u2019une base de donn\u00e9es vol\u00e9e pour obtenir vos mots de passe et pirater vos comptes. Ils peuvent se servir d\u2019une attaque par force brute. En d\u2019autres termes, ils essaient des milliers de mots de passe diff\u00e9rents mais typiques jusqu\u2019\u00e0 ce qu\u2019un fonctionne. En effet, cette m\u00e9thode ne semble pas tr\u00e8s fiable. Pourtant, ils n\u2019ont pas besoin d\u2019essayer toutes les combinaisons possibles. Certains outils, comme les g\u00e9n\u00e9rateurs de liste de mots, peuvent g\u00e9n\u00e9rer la liste des mots de passe \u00e9ventuellement courants (dictionnaires par force brute) \u00e0 partir des informations personnelles de la victime.<\/p>\n

Ces programmes ressemblent \u00e0 un bref questionnaire sur la victime\u00a0: nom, pr\u00e9nom, date de naissance, partenaire, enfants et animaux de compagnie. Les escrocs peuvent aussi ajouter d\u2019autres mots-cl\u00e9s qu\u2019ils connaissent \u00e0 propos de la victime. Gr\u00e2ce \u00e0 ce m\u00e9lange de mots, de noms, de dates et d\u2019autres donn\u00e9es, les g\u00e9n\u00e9rateurs de liste de mots cr\u00e9ent des milliers de mots de passe diff\u00e9rents que les cybercriminels utilisent lorsqu\u2019ils essaient de se connecter.<\/p>\n

\"Service

Service capable de g\u00e9n\u00e9rer un dictionnaire pour les attaques par force brute \u00e0 partir des informations sur la victime.<\/p><\/div>\n

\u00a0<\/p>\n

Pour utiliser cette m\u00e9thode, les cybercriminels doivent d\u2019abord effectuer des recherches, et les bases de donn\u00e9es divulgu\u00e9es sont particuli\u00e8rement utiles dans ce cas. Elles contiennent certaines informations importantes comme la date de naissance, les adresse ou les r\u00e9ponses aux \u00ab\u00a0questions secr\u00e8tes\u00a0\u00bb. Le partage excessif d\u2019informations sur les r\u00e9seaux sociaux est une autre source de donn\u00e9es importante. Il peut s\u2019agit d\u2019un commentaire aussi innocent que celui qui accompagne une photo du 6 d\u00e9cembre : \u00ab\u00a0Aujourd\u2019hui c\u2019est l\u2019anniversaire de mon adorable toutou\u00a0\u00bb.<\/p>\n

Mot de passe divulgu\u00e9 ou obtenu par force brute\u00a0: cons\u00e9quences<\/h2>\n

Certaines cons\u00e9quences sont \u00e9videntes\u00a0: les cybercriminels peuvent prendre le contr\u00f4le de votre compte et le garder pour vous demander de payer une ran\u00e7on, pour arnaquer vos contacts et vos amis en ligne, ou pour vider votre compte bancaire s\u2019ils ont r\u00e9ussi \u00e0 obtenir le mot de passe du site ou de l\u2019application de votre banque. Pourtant, leurs tentatives ne sont pas toujours aussi directes.<\/p>\n

\u00a0<\/p>\n

Par exemple, de plus en plus de jeux utilisent une monnaie sp\u00e9cifique et des microtransactions, ce qui am\u00e8ne de plus en plus d\u2019utilisateurs \u00e0 associer une m\u00e9thode de paiement \u00e0 leur compte. C\u2019est pourquoi les amateurs de jeux vid\u00e9o sont une cible int\u00e9ressante pour les cybercriminels. En ayant acc\u00e8s au compte, ils peuvent voler les gains du jeu, comme les tenues, les objets rares ou la monnaie du jeu, ou utiliser la carte bancaire de la victime \u00e0 des fins malveillantes.<\/p>\n

\u00a0<\/p>\n

Les bases de donn\u00e9es divulgu\u00e9es et les informations obtenues en faisant des recherches sur vos comptes peuvent \u00eatre utilis\u00e9es par app\u00e2t du gain, pour nuire \u00e0 votre r\u00e9putation ou pour causer d\u2019autres d\u00e9g\u00e2ts sociaux, dont la divulgation de donn\u00e9es personnelles (doxing<\/em>). Si vous \u00eates c\u00e9l\u00e8bre, on peut vous faire chanter et vous offrir deux possibilit\u00e9s\u00a0: r\u00e9v\u00e9ler vos donn\u00e9es personnelles (ce qui pourrait nuire \u00e0 votre r\u00e9putation) ou vous demander de payer.<\/p>\n

\u00a0<\/p>\n

Vous pouvez aussi \u00eatre victime de cette attaque m\u00eame si vous n\u2019\u00eates pas c\u00e9l\u00e8bre\u00a0: on r\u00e9v\u00e8le des informations qui permettent de vous identifier, comme votre identit\u00e9, l\u2019adresse de votre domicile, votre lieu de travail, votre num\u00e9ro de t\u00e9l\u00e9phone, votre compte bancaire et bien d\u2019autres renseignements personnels. Les attaques de divulgation de donn\u00e9es personnelles peuvent donner lieu \u00e0 des situations relativement inoffensives, comme l\u2019abonnement \u00e0 diverses listes de diffusion ou la livraison de fausses commandes de pizzas en votre nom, mais aussi \u00e0 d\u2019autres incidents beaucoup plus dangereux comme le harc\u00e8lement en ligne, l\u2019usurpation d\u2019identit\u00e9 ou le harc\u00e8lement en personne.<\/p>\n

\u00a0<\/p>\n

Enfin, si vous utilisez le m\u00eame mot de passe pour vos comptes personnels et professionnels, les cybercriminels peuvent prendre le contr\u00f4le de votre adresse e-mail professionnelle et s\u2019en servir pour compromettre la messagerie \u00e9lectronique de l\u2019entreprise o\u00f9 vous travaillez ou pour lancer des attaques cibl\u00e9es.<\/p>\n

Comment prot\u00e9ger vos comptes contre les acc\u00e8s ind\u00e9sirables<\/h2>\n

Tout d\u2019abord, n\u2019oubliez pas les r\u00e8gles de s\u00e9curit\u00e9 des mots de passe\u00a0:<\/p>\n