Le piratage de mots de passe ne repose pas uniquement sur des prouesses informatiques. Il s’agit le plus souvent d’un mélange d’automatisation massive, d’exploitation de la psychologie humaine et de surveillance de proximité. Voici les 6 techniques les plus couramment utilisées par les cybercriminels pour voler vos mots de passe.
Sommaire :
L’attaque par force brute : la puissance de calcul brute
Considérée comme l’une des méthodes les plus anciennes par la CNIL, l’attaque par force brute consiste à tester systématiquement toutes les combinaisons possibles de caractères jusqu’à trouver la bonne. L’efficacité de cette méthode dépend directement de deux facteurs : la puissance de calcul du pirate et la complexité du mot de passe.
Selon une étude de Hive Systems, la disparité est flagrante. Une suite de 8 chiffres peut être craquée instantanément. En revanche, une combinaison de 8 caractères mélangeant majuscules, minuscules et symboles peut exiger plusieurs dizaines d’années d’efforts, même avec un matériel de pointe. Néanmoins, il n’y a pas que les caractères qui comptent : plus un mot de passe est long, plus difficile il est de le craquer.
L’attaque par dictionnaire : l’efficacité par le tri
Proche de la force brute, l’attaque par dictionnaire est plus ciblée. Au lieu de tester des combinaisons aléatoires, le logiciel essaie des listes préétablies de termes fréquents : mots du langage courant, noms propres, personnages de fiction ou dates de naissance. Cette technique intègre également les mots de passe les plus souvent compromis lors de fuites de données (comme « admin » ou « password123 ») ainsi que leurs variantes prévisibles (ex: « p4ssw0rd »).
Bien souvent, ces listes sont constituées sur des mots de passe déjà divigulgués dans le cas des fuites. On les appelle les wordlist en cybersécurité et n’importe qui peut en trouver sur le web. Comme le souligne l’éditeur NordPass, cette méthode est plus rapide que la force brute car elle nécessite moins de tentatives pour aboutir à un résultat.
Le phishing (Hameçonnage) : la manipulation psychologique
Le phishing est sans doute la technique la plus répandue. Ici, le pirate ne s’attaque pas au système, mais à l’utilisateur. En se faisant passer pour une entité de confiance (banque, administration, employeur), le cybercriminel envoie un e-mail ou un SMS contenant un lien malveillant.
Le succès du phishing repose sur la création d’un sentiment d’urgence (menace de fermeture de compte, amende impayée). L’utilisateur, pressé par le stress, clique sur un lien qui le dirige vers une fausse page de connexion où il saisit lui-même ses identifiants, les livrant ainsi directement à l’attaquant.
Le bourrage d’identifiants (Credential Stuffing)
Cette technique repose sur une mauvaise habitude tenace : la réutilisation d’un même mot de passe sur plusieurs services. Les pirates récupèrent des milliards de combinaisons identifiant/mot de passe sur le dark web, issues de violations de données passées.
Grâce à des scripts automatisés capables de résoudre les CAPTCHA simples, ils testent ces combinaisons sur une multitude d’autres plateformes (sites e-commerce, réseaux sociaux, banques). Bien que le taux de réussite ne soit que de 0,1 %, le volume est tel qu’un pirate possédant un million d’identifiants peut espérer compromettre environ 1 000 comptes.
Les enregistreurs de frappe (Keyloggers)
Plus sophistiquée, cette méthode utilise un logiciel malveillant (malware) installé à l’insu de la victime, souvent via une pièce jointe infectée. Une fois en place, le keylogger enregistre chaque pression sur les touches du clavier et transmet ces informations à un serveur distant.
Cette technique permet non seulement de récupérer les mots de passe, mais aussi d’intercepter des conversations privées, des coordonnées bancaires ou des documents confidentiels au moment même où ils sont rédigés. C’est le forme de piratage qui visent le plus souvent les smartphones.
Le shoulder surfing : l’espionnage physique
Le shoulder surfing ou regard par-dessus l’épaule ne nécessite aucun outil informatique. Il s’agit simplement d’observer une personne saisir son code PIN ou son mot de passe dans un lieu public (distributeur automatique, station-service, open space).
Elle est peut-être basique, mais cette technique reste redoutable pour dérober des accès physiques ou des codes de cartes bancaires. C’est souvent la première étape qu’accomplissent les voleurs avant d’arracher le smartphone.
Comment neutraliser ces menaces ?
La mise en place de barrières simples permet de réduire drastiquement les risques de compromission. Suivant chaque technique, voici quelques contre-mesures.
- Complexité et longueur : un mot de passe robuste doit comporter au moins 12 caractères variés (majuscules, minuscules, chiffres, symboles) et éviter toute référence personnelle (prénom, animal de compagnie).
- L’unicité absolue : chaque service doit posséder son propre mot de passe pour éviter l’effet domino du credential stuffing. Sinon, utilisez un gestionnaire de mot de passe.
- L’authentification à deux facteurs (2FA) : activer une double vérification (code SMS, application d’authentification ou biométrie) constitue un rempart efficace, même si le mot de passe est découvert.
- La discrétion : éviter de saisir des informations sensibles dans des environnements publics ou sans protection d’écran adéquate.
Pour ce dernier point, la nouvelle fonctionnalité des Galaxy S26 de Samsung est la bienvenue. Elle vous permet d’assombrir votre écran et de cacher certaines informations à des regards indiscrets.
IdealoGeek est un média indépendant. Soutiens-nous en nous ajoutant à tes favoris sur Google Actualités :
