Qu’est-ce que le craquage de mot de passe ?

Mis à jour le 14 novembre 2022.

Le craquage de mots de passe est l’utilisation de programmes et d’outils pour récupérer des mots de passe stockés dans un système informatique ou envoyés via un réseau. Craquer un mot de passe peut sembler une tâche presque impossible, mais vous seriez surpris de voir à quel point cela peut être facile. Lisez la suite pour apprendre comment fonctionne le craquage de mot de passe, les techniques utilisées et comment vous protéger.

Comment fonctionne le craquage de mot de passe

Il existe des dizaines de programmes de craquage de mots de passe sur le marché, chacun avec sa propre particularité, mais tous font essentiellement l’une des deux choses suivantes : créer des variations d’un dictionnaire de mots de passe communément célèbres, ou essayer toutes les combinaisons possibles en utilisant une méthode appelée attaque par force brute.

Il est important de comprendre dès le début que les craqueurs de mots de passe professionnels ne cherchent pas à ouvrir une session sur votre compte PayPal. Ce processus est lent au début, et la plupart des services verrouilleront les tentatives d’ouverture de session répétées de toute façon. Au lieu de cela, les pros travaillent sur les fichiers de mot de passe qu’ils téléchargent à partir de serveurs violés. Les fichiers de mots de passe stockent les informations essentielles dont vous avez besoin lors de l’ouverture d’une session, telles que les informations de votre compte. Ces fichiers sont généralement faciles d’accès à partir du niveau racine de la plupart des systèmes d’exploitation de serveur ou sont maintenus par des applications individuelles. Les fichiers peuvent être protégés avec des algorithmes de chiffrement faibles, qui ne représentent pas vraiment un obstacle pour le cybercriminel déterminé.

Une fois que les criminels obtiennent une liste de mots de passe, ils peuvent prendre autant de mesures qu’ils le souhaitent pour la briser. Leur principal but n’est pas toujours de craquer un mot de passe individuel, mais d’exécuter des tests sur l’ensemble du fichier, renversant leurs cibles une par une. Le matériel graphique moderne rend cela incroyablement rapide. Par exemple, certains produits commerciaux peuvent tester des milliards de mots de passe par seconde sur un ordinateur de bureau standard à l’aide d’un processeur graphique haut de gamme.

Techniques de craquage de mots de passe

Voici deux des techniques de craquage de mots de passe les plus courantes.

Craquement de dictionnaire

Un craquement de dictionnaire est une technique qui utilise des listes de mots de passe communs, la substitution de liste de mots et la vérification de modèle pour trouver des mots de passe communément utilisés. Il n’est pas difficile de trouver des listes de mots de passe compromis. Certains sites Web les publient et les listes sont disponibles sur le Dark Web à peu de frais.

Après avoir déchiffré le fichier du mot de passe, une attaque de dictionnaire utilise des chaînes de caractères et des variations de texte pour tester différentes combinaisons. Par exemple, de nombreuses personnes ajoutent des numéros à leurs noms ou noms d’utilisateur, qui peuvent être stockés en texte brut. Si un utilisateur nommé Robert a le mot de passe « Robert123 », une attaque de dictionnaire le déchiffrera en quelques instants. Le logiciel passe simplement par toutes les combinaisons possibles pour identifier celles qui fonctionnent.

Si l’on ne dispose que de peu d’informations sur les personnes figurant dans la base de données, le travail est encore plus ardue. Par exemple, les gens utilisent fréquemment les noms des enfants, les adresses, les numéros de téléphone, les équipes sportives et les anniversaires comme mots de passe, seuls ou en combinaison avec d’autres caractères. Étant donné que la plupart des gens ajoutent des caractères à la fin du mot de passe, il est facile pour les craqueurs de dictionnaire de parcourir toutes ces possibilités probables.

Les médias sociaux sont le rêve de tout attaquant. Les gens publient librement des informations personnelles sur leurs profils ou tweetent à plusieurs reprises sur les équipes sportives ou les célébrités qu’ils suivent. Ce sont des chemins naturels pour un craquage de dictionnaire à venir.

Une attaque de force brute

Une attaque de force brute est exactement ce qu’il semble être – une technique pour révéler ces mots de passe tenaces qui ne peuvent pas être déverrouillés par un dictionnaire. Les processeurs multicœurs et les unités de traitement graphique d’aujourd’hui ont rendu les tactiques de force brute plus pratiques qu’elles ne l’étaient auparavant.

Les machines qui peuvent être achetées pour moins de 1 000 $ sont capables de tester des milliards de mots de passe par seconde. Étant donné que les mots de passe courts sont les plus faciles à deviner, les attaquants utilisent généralement des tactiques de force brute pour déchiffrer les mots de passe de cinq ou six caractères qui ont résisté à l’approche du dictionnaire, un processus qui peut ne prendre que quelques heures.

Pour les mots de passe plus longs, la force brute et les techniques de dictionnaire peuvent être combinées pour réduire le domaine des combinaisons possibles. Certains logiciels de craquage par force brute utilisent également des tables arc-en-ciel, qui sont des listes de codes qui peuvent parfois être utiles dans le texte chiffré de l’ingénierie inverse.

Le craquage de mot de passe est-il illégal ?

L’utilisation du craquage de mot de passe pour son propre mot de passe n’est pas illégal si vous exploitez des données locales en votre possession, si vous avez la permission du propriétaire légitime, si vous agissez en tant qu’agent de la loi et si vous respectez les lois locales. D’autre part, craquer le mot de passe de quelqu’un d’autre peut être illégal, mais c’est une zone grise.

Les programmes de craquage de mots de passe ne sont pas non plus illégaux, car il existe des raisons parfaitement valides et légales de les utiliser. Les professionnels de la sécurité utilisent ces outils pour tester la force de leurs propres mots de passe, et les craqueurs de mot de passe sont largement utilisés par les organismes d’application de la loi pour combattre le crime. Comme pour toute technologie, ces outils peuvent être utilisés à bon ou à mauvais escient.

Restez protégé des craquages de mot de passe

Le plus grand problème avec la protection de mot de passe est que beaucoup de gens n’utilisent pas de mots de passe complexes. Lorsqu’il s’agit de créer des mots de passe, les mots de passe plus longs sont plus difficiles à déchiffrer que les mots de passe courts et les mots de passe qui comportent des combinaisons aléatoires de caractères sont plus sûrs que ceux qui correspondent à un modèle existant. Un mot de passe à 13 chiffres qui mélange des caractères alphanumériques et des symboles de ponctuation est considéré comme impossible à craquer avec la technologie d’aujourd’hui.

Malheureusement, peu de gens peuvent se souvenir d’une chaîne de caractères aléatoire de 13 chiffres, et encore moins de chaînes multiples pour différents logins. Dommage – du point de vue sécuritaire – les ordinateurs deviennent plus rapides et craquent des mots de passe encore plus facilement. Il y a cinq ans, un mot de passe à huit chiffres était jugé assez fort. Dans cinq ans, 18 chiffres pourraient être trop faibles.

C’est là qu’une solution de gestion des mots de passe est précieuse. Les gestionnaires de mots de passe tels que Keeper vous permettent de stocker des mots de passe, des fichiers et plus encore. Keeper peut également générer de nouveaux mots de passe forts et uniques et les stocker dans votre coffre. Une fois stockés dans votre coffre, vos mots de passe sont sécurisés et la seule façon d’y accéder est votre mot de passe maître. Les gestionnaires de mots de passe peuvent également être protégés par l’authentification à deux facteurs (2FA), qui est considérée comme pratiquement indéchiffrable dans tous les domaines et il est fortement recommandé de la mettre en œuvre.

Protégez-vous contre le craquage de mot de passe – commencez votre essai gratuit de Keeper aujourd’hui.