Les hackers aussi utilisent des mots de passe simples

Mot de passe

Le mot de passe est l'un des seuls, si ce n'est le seul, rempart qui existe entre vous et votre double numérique. S'assurer qu'il ne soit pas découvert - quelque soit le moyen - devrait donc être une priorité. Et la chose devrait l'être d'autant plus si vous êtes un hacker. Pourtant, il semblerait bien que ce soit le cadet de leurs soucis.

Difficile d’imaginer que ceux qui s’introduisent sur les sites Internet, déploient des armées de botnets ou implantent des trojans à tout va n’accordent pas, ou si peu, d’importance à leurs mots de passe. Antonin Hyza, employé par le spécialiste de la sécurité informatique Avast, a eu l’occasion d’analyser des milliers de malwares. Collectionner les mots de passe utilisés fait partie de son travail.

Sur les 40 000 en sa possession, la longueur moyenne des mots de passe n’est que de six caractères… six ! Autant dire qu’il ne faudrait que quelques secondes pour le découvrir, même s’il est composé de lettres, chiffres et symboles. Parmi les 1 601 mots de passe déchiffrés, seulement 52 avaient plus de 12 caractères – longueur considérée comme étant le minimum requis pour un mot de passe fort en 2014 -. Et outre la taille, près de 10% ne sont que des mots communs. Certains hackers laissent même les mots de passe par défaut… difficile à croire, non ? C’est pourtant la vérité !

Les années passent et ce qui était une technique viable il y a 20 ans ne l’est clairement plus aujourd’hui. Oubliez par exemple le « leet speak » – qui consiste à remplacer certaines lettres par des chiffres, un a en 4, un e en 3, etc -, les machines connaissent ces trucs par cœur. Il existe d’ailleurs de nombreux outils permettant d’évaluer la complexité d’un mot de passe.

Ceci dit, s’il fallait vraiment expliciter le pourquoi du comment un tel laxisme dans les mots de passe, nous pourrions émettre l’hypothèse que les comptes en ligne auxquels ils sont rattachés ne sont finalement qu’écrans de fumée, rendant impossible une éventuelle identification dudit hacker… Espérons-le pour eux en tout cas !

Tags :Sources :Geek
Dernières Questions sur UberGizmo Help
  1. On sent le pro de la sécurité informatique qui se cache derrière ces lignes. Heureusement qu’il y a le dernier paragraphe qui vient limiter la casse…
    99.95% des mots de passe recueillis viennent de logiciels « créés » par des script kiddies et des lamers grace à Visual Basic ou des logiciels déjà faits. Ils sont détestés par les « vrais » hackers, car ils n’ont aucune connaissance en informatique et se proclament « lai rois du maunde rpz anonymous wesh » –‘

    Je n’ai pas la prétention de dire que je suis un expert en sécurité informatique, et je suis encore très loin d’avoir le niveau. Mais j’utilise des mdp d’au moins 45 caractères pour chaque adresse mail que j’ai, et minimum 25 caractères pour chaque site sur lequel je suis inscrits. Avec cette précaution, un peu de mémoire, et si on n’est pas suffisamment couillon pour se faire avoir par du social engineering, on est tranquille. Certes, cela peut paraitre exagéré, mais depuis 10 ans, je n’ai jamais été piraté.

    1. Par rapport à ton dernier paragraphe:
      1) rien n’assure que le site web sur lequel on s’inscrit ne stocke pas le mdp en clair -> un compte = un mot de passe, si long soit-il
      2) si le site web se fait pirater (citons des « petits » comme Orange, Sony qui se sont faits pirater leurs bases clients), le mot de passe même chiffré se balade dans une base de hackers -> les mots de passe doivent être changés régulièrement

      Pour moi, la seule solution pour gérer ces deux impératifs est un logiciel type KeePass qui génère / stocke des mots de passe. Et ça aussi ça se discute car il faut ensuite limiter l’accès à KeePass 😉

  2. De quels logiciels tu parles toi? Créés par des script kiddies? de quoi tu parles d’où les mots de passe recueillis ont été générés?
    45 caractères lol avec ça le plus gros danger est d’oublier son mot de passe et plus d’être attaqué. C’est très exagéré de s’imposer ça à moins de travailler à la défense et de posséder les codes de la bombe atomique dans sa boîte mail hahaha ou au moins une info sensible quoi pas juste un compte paypal avec 10€ dessus.
    Et puis malgré ces précautions avec un keylogger t’es foutu ou si tu as utilisé le même mot de passe sur 2 différents sites, idem

    1. Les logiciels en question (trojans, botnets) ne sont pas crées mais utilisés par des skidies (grande nuance)
      Le meilleur mdp est facile à retenir par un humain et difficile à deviner pour une machine: une phrase à teneure personnelle de plus de 12 caractères sera incassable par un algo de bruteforce, 45 c’est complètement abusé

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité