ces 4 hacks prouvent qu'un bon code est essentiel

May 04, 2023
292 views

Choisir un bon mot de passe est une étape importante pour sécuriser un compte en ligne. Malheureusement, trop de personnes optent encore pour un code d’accès faible, très facile à deviner pour les attaquants. Ces quatre affaires de piratages illustrent pourtant l’importance d’un mot de passe bien sécurisé…

De nombreux internautes continuent d’opter pour un mot de passe peu sécurisé. D’après une étude de NordPass, plus de 80 % des codes choisis peuvent en effet être « crackés » en moins d’une seconde par un pirate. Pourtant, le choix d’un mauvais mot de passe n’est pas sans conséquence. Lorsque vous optez pour un code d’accès très répandu, comme le désolant « password » ou « 123456 », vous mâchez le travail des hackers. Lorsqu’il voudra tenter de pénétrer dans votre compte, le pirate commencera en effet par tester la liste des mots de passe les plus courants.

Surtout, une attaque par force brute ne tardera pas à venir à bout de votre mot de passe. Dans ce type d’attaque, des algorithmes vont tester toutes les combinaisons afin de deviner votre code. Des logiciels sont en effet capables de « cracker » un compte en ligne uniquement avec son identifiant. L’algorithme se charge de deviner le reste. Plus votre mot de passe est simple, plus le logiciel arrivera rapidement à ses fins.

Selon une étude de SecureLink, plus de 80 % des piratages d’entreprises aboutissent en exploitant les mauvaises habitudes des employés en matière de mot de passe. Les experts de Keeper Security ajoutent que 31 % des travailleurs utilisent le nom de leur enfant ou leur date d’anniversaire en guise de code secret… Ces informations sont évidemment très faciles à deviner.

À lire aussi : 40 minutes suffisent pour casser un mot de passe de 8 caractères… il en faut au moins 16 pour être serein

solarwinds123

Plusieurs piratages d’ampleur ont d’ailleurs été facilités par le choix d’un mot de passe faible, voire carrément simplissime à deviner. C’est le cas du hack de SolarWinds. En 2020, l’éditeur de logiciels a été visé par une attaque de la chaîne d’approvisionnement. Des pirates russes ont injecté un malware baptisé Sunburst dans une mise à jour du logiciel de surveillance réseau Orion, développé par SolarWinds, afin de pénétrer dans le système des clients de la société. Parmi les clients de l’entreprise, on trouve des géants de la technologie comme Microsoft, Google, Cisco, Nvidia, Intel, Malwarebytes, Mimecast, Palo Alto Networks ou encore CrowdStrike.

Au cours de l’enquête, il s’est avéré que certains serveurs de SolarWinds étaient sécurisés par un faible mot de passe : « solarwinds123 ». Il est possible que ce code d’accès, très mal choisi, ait facilité l’entrée des pirates au sein des systèmes du groupe. Celui-ci avait d’ailleurs été divulgué sur la toile quelques années plus tôt. Suite à cette révélation, plusieurs cadres supérieurs de l’entreprise ont blâmé un ancien stagiaire. C’est lui qui aurait « commis cette erreur », affirmait à l’époque l’ancien PDG de SolarWinds, Kevin Thompson.

Quoi qu’il en soit, le hack a eu de sérieuses conséquences. Plusieurs branches du gouvernement américain ont été victimes d’attaques, dont le Department of Homeland Security, dédié à la sécurité informatique nationale. Plusieurs institutions de l’Union européenne ont aussi été visées. Toutes ces cibles utilisaient le logiciel Orion. L’image de SolarWinds a été considérablement écornée par l’affaire.

Le hack du parlement irlandais

Comme le rapportent nos confrères de CyberNews, les mauvais mots de passe ont également ébranlé le parlement d’Irlande du Nord en 2018. Cette année-là, des pirates sont parvenus à deviner les mots de passe des parlementaires à l’aide d’une attaque par force brute. Apparemment, ceux-ci avaient opté pour des mots secrets fréquemment utilisés. Il n’a pas fallu longtemps aux attaquants pour pénétrer dans le système et consulter des informations privées et sensibles…

maga2020

On se souviendra aussi du piratage du compte Twitter de Donald Trump. En 2020, Victor Gevers, un expert en sécurité informatique, est parvenu à deviner le mot de passe du président des États-Unis en seulement cinq essais. Il s’agissait simplement de « maga2020! », la contraction du slogan de campagne électorale « Make America Great Again 2020 ». Dans ce cas-ci, cette négligence n’a pas eu la moindre conséquence. L’expert néerlandais s’est contenté de mettre en garde les autorités américaines.

Notez que Donald Trump avait déjà piraté quelques années plus tôt… à cause d’un mot de passe trop faible. Le magnat de l’immobilier avait en effet opté pour « yourefired » (« Vous êtes viré ») pour protéger son compte Twitter. C’était la phrase fétiche du milliardaire lorsqu’il animait l’émission de téléréalité The Apprentice.

Bo

Sans surprise, Donald Trump n’est pas la seule personnalité à pécher par de mauvaises habitudes en matière de sécurité informatique. En 2010, un Français, qui se faisait appeler « Hacker-Croll » a réussi à deviner le mot de passe du compte Twitter de Barack Obama, récemment arrivé à la Maison Blanche. Le jeune homme révèle avoir déduit le code d’accès du démocrate en s’intéressant à ses goûts et à sa personnalité. Il a rapidement déterminé que Barack Obama avait probablement choisi le nom de son chien, Bo, ou une variante, pour protéger son compte sur le réseau social.

Il a procédé de la même manière avec d’autres personnalités publiques, dont Britney Spears. Pour arriver à ses fins, « Hacker-Croll » passait son temps à étudier ses cibles, indique un détective français ayant travaillé sur l’affaire, interrogé par le Daily Mail :

« Il semblait le faire en étudiant leurs personnages – en les regardant à la télévision, en lisant leurs blogs et en apprennant généralement à les connaître. C’était apparemment une chose remarquablement facile à faire, en particulier dans le cas de célébrités internationales ».

Ces derniers exemples illustrent l’importance de ne pas choisir un mot de passe lié à vos proches, vos goûts, vos passions ou vos animaux de compagnie. Plus généralement, il vaut mieux ne pas choisir un mot qui se trouve dans le dictionnaire. On vous conseille plutôt d’opter pour une suite illogique et imprévisible de chiffres, de lettre et de symboles. Ce type de code résiste mieux aux attaques par force brute et sont impossibles à deviner.

Source: 01net