Nouvelle année, nouvelles habitudes pour les mots de passe

Économisez jusqu’à
Blog/Le b.a.-ba de la sécurité en ligne/

Le jargon de la sécurité des mots de passe : l'attaque par dictionnaire

Lukas Grigas
Rédacteur en cybersécurité
dictionary

Contenu:

En tant que simples utilisateurs, nous faisons confiance aux entreprises et aux fournisseurs de services pour sécuriser nos données. Nous nous attendons à ce qu'il n'y ait pas de failles dans leurs logiciels, qu'ils forment correctement leurs employés et qu'ils ne stockent pas les identifiants et les mots de passe en clair.

Mais tout n'est pas aussi simple. Les atteintes à la cybersécurité peuvent toucher n'importe qui. Parfois, il peut sembler difficile de se protéger ou de protéger son activité. Mais certaines menaces, comme les attaques par dictionnaire, peuvent être facilement évitées.

Découvrez ce qu'est une attaque par dictionnaire et comment l'éviter.

Qu'est-ce qu'une attaque par dictionnaire ?

Une attaque par dictionnaire est une méthode systématique consistant à deviner un mot de passe en essayant plusieurs mots communs et leurs variations simples. Les attaquants utilisent de longues listes de mots de passe couramment utilisés, des noms d'animaux de compagnie populaires, des personnages fictifs voire des mots provenant tout simplement du dictionnaire. Ils changent également certaines lettres par des chiffres ou caractères spéciaux, par exemple « m0tdep@sse ».

Les pirates utilisent cette attaque pour accéder à des comptes électroniques et pour déchiffrer des fichiers, ce qui constitue un problème majeur. La plupart des individus font des efforts pour sécuriser leurs comptes de messagerie ou de réseaux sociaux. Néanmoins, ils choisissent des mots ordinaires, simples et faciles à retenir pour protéger les fichiers qu'ils partagent avec d'autres personnes. S'ils sont envoyés via une connexion non sécurisée, ces fichiers sont très faciles à intercepter. Deviner le mot de passe avec une attaque par dictionnaire ne représentera pas non plus un défi insurmontable.

Comment fonctionne une attaque par dictionnaire ?

Lors d'une attaque par dictionnaire, un programme saisit automatiquement des mots issus d'une liste dans le champ du mot de passe pour accéder à un système, un compte ou un fichier chiffré. Une attaque par dictionnaire peut être menée aussi bien en ligne que hors ligne.

Dans le cas d'une attaque en ligne, le pirate tente à plusieurs reprises de se connecter ou d'obtenir un accès comme n'importe quel autre utilisateur. Cela fonctionne mieux s'il dispose d'une liste de mots de passe probables. Si l'attaque prend trop de temps, elle risque d'être repérée par un administrateur système ou l'utilisateur en lui-même.

En revanche, lors d'une attaque hors ligne, il n'y a pas de limite de tentatives pour deviner le mot de passe. Mais pour y parvenir, les pirates informatiques doivent mettre la main sur le fichier de stockage des mots de passe du système auquel ils veulent accéder, ce qui rend l'opération plus complexe qu'une attaque en ligne. Mais dès qu'ils ont le bon mot de passe, ils peuvent se connecter sans que personne ne s'en aperçoive.

Quelle est la différence entre une attaque par force brute et une attaque par dictionnaire ?

Les attaques par force brute sont également utilisées pour deviner les mots de passe. Elles reposent avant tout sur la puissance de calcul de l'ordinateur utilisé. Lors d'une attaque par force brute, un programme saisit également de manière automatique des combinaisons de lettres, de symboles et de chiffres. Cependant, celles-ci sont dans ce cas entièrement aléatoires. Les attaques par force brute peuvent être réalisées en ligne et hors ligne.

Prenons l'exemple de l'anglais, une langue qui compte 1 022 000 mots. En utilisant l'alphabet et les chiffres de 0 à 9, vous pouvez créer 218 340 105 584 896 mots de passe à huit caractères. Ici, une attaque par dictionnaire a beaucoup plus de chances de réussir, puisque le mot de passe sera très probablement un simple mot du dictionnaire. Et ce sera très probablement le cas. Une attaque par force brute de base prendrait beaucoup plus de temps et aurait moins de chances de réussir.

Fondamentalement, les attaques par dictionnaire sont des attaques par force brute. La différence tient au fait que les attaques par dictionnaire sont plus efficaces. En effet, leur réussite ne nécessite généralement pas autant de tentatives. Toutefois, si le mot de passe est véritablement unique, une attaque par dictionnaire ne fonctionnera pas. L'utilisation de la force brute devient alors la seule option.

Comment éviter une attaque par dictionnaire ?

Le service informatique de toute entreprise doit prendre certaines mesures pour protéger ses systèmes contre les attaques par dictionnaire. Les attaques en ligne sont assez faciles à arrêter. Vous pouvez utiliser des captchas, mettre en place l'authentification à deux facteurs obligatoire et limiter le nombre de tentatives de connexion avant le verrouillage des comptes.

En revanche, les choses se compliquent dans les attaques hors ligne. Cependant, vous pouvez également utiliser l'authentification à deux facteurs et mettre en place des règles strictes concernant les mots de passe : pas de mots de passe populaires, pas de mots ou de phrases courants, un minimum de 12 caractères, etc. Et surtout, assurez-vous de ne pas stocker les mots de passe sous forme de texte brut.

Mais, en tant qu'utilisateur, que pouvez-vous faire pour éviter que vos comptes ne soient piratés ? Tout d'abord, ne soyez pas prévisible. Les meilleurs mots de passe sont ceux qui n'ont aucun sens pour la plupart des gens. N'oubliez pas que la force d'un mot de passe ne tient pas à sa longueur. Peu importe que vous choisissiez « pachycephalosaurus » ou « chat » comme mot de passe ; un ordinateur prendra le même temps pour essayer l’un ou l’autre.

Créez plutôt de nouveaux mots, utilisez des caractères spéciaux ou, mieux encore, utilisez des chaînes aléatoires de lettres majuscules et minuscules, de symboles et de chiffres.

Vous avez du mal à trouver de nouveaux mots de passe ? Essayez notre générateur de mot de passe. Vous pouvez choisir les symboles à utiliser et générer des mots de passe uniques et forts pour tous vos comptes. Certes, ils sont difficilement mémorisables, mais ils sont également impossibles à deviner. Mais pas d'inquiétudes, vous n'avez plus besoin de vous souvenir de tous vos mots de passe.

Utilisez simplement un gestionnaire de mots de passe comme NordPass pour stocker tous vos mots de passe en toute sécurité. Comme vous êtes le seul à y avoir accès, vous êtes assuré de la sécurité de vos comptes en ligne.

S’abonner aux actualités de NordPass

Recevez les dernières actualités et astuces de NordPass directement dans votre boîte de réception.