En tant que simples utilisateurs, nous faisons confiance aux entreprises et aux fournisseurs de services pour sécuriser nos données. Nous nous attendons à ce qu'il n'y ait pas de failles dans leurs logiciels, qu'ils forment correctement leurs employés et qu'ils ne stockent pas les identifiants et les mots de passe en clair.
Mais tout n'est pas aussi simple. Les atteintes à la cybersécurité peuvent toucher n'importe qui. Parfois, il peut sembler difficile de se protéger ou de protéger son activité. Mais certaines menaces, comme les attaques par dictionnaire, peuvent être facilement évitées.
Découvrez ce qu'est une attaque par dictionnaire et comment l'empêcher.
Qu'est-ce qu'une attaque par dictionnaire ?
Une attaque par dictionnaire est une méthode de déduction d'un mot de passe qui consiste à essayer de nombreux mots courants et leurs variations. Les auteurs utilisent de longues listes de mots de passe couramment utilisés, de noms d'animaux, de personnages de fiction, ou même de mots issus du dictionnaire - d'où le nom de l'attaque. Ils changent également certaines lettres en chiffres ou en caractères spéciaux, comme “p@ssw0rd”.
Les hackers utilisent cette attaque pour accéder à des comptes électroniques et pour déchiffrer des fichiers, ce qui constitue un problème majeur. La plupart des gens font des efforts pour sécuriser leurs comptes de messagerie ou de réseaux sociaux. Néanmoins, ils choisissent des mots ordinaires, simples et faciles à retenir pour protéger les fichiers qu'ils partagent avec d'autres personnes. S'ils sont envoyés par une connexion non sécurisée, ces fichiers sont très faciles à intercepter, et deviner le mot de passe par une attaque par dictionnaire ne représentera pas non plus un défi insurmontable.
Comment fonctionne une attaque par dictionnaire ?
Lors d'une attaque par dictionnaire, un programme saisit automatiquement des mots issus d'une liste en guise de mots de passe pour accéder à un système, un compte ou un fichier chiffré. Une attaque par dictionnaire peut être menée aussi bien en ligne que hors ligne.
Dans le cas d'une attaque en ligne, le pirate tente à plusieurs reprises de se connecter ou d'obtenir un accès comme tout autre utilisateur. Cela fonctionne mieux s'il dispose d'une liste de mots de passe probables. Si l'attaque prend trop de temps, elle risque d'être repérée par un administrateur système ou l'utilisateur réel.
En revanche, lors d'une attaque hors ligne, il n'y a pas de limite au nombre de fois où il est possible de deviner le mot de passe. Mais pour y parvenir, les pirates informatiques doivent mettre la main sur le fichier de stockage des mots de passe du système auquel ils veulent accéder, ce qui rend l'opération plus compliquée qu'une attaque en ligne. Mais dès qu'ils ont le bon mot de passe, ils peuvent se connecter sans que personne ne s'en aperçoive.
Quelle différence entre une attaque par force brute et une attaque par dictionnaire ?
Les attaques par force brute sont aussi utilisées pour deviner les mots de passe. Elles reposent avant tout sur la puissance de calcul de l'ordinateur utilisé. Lors d'une attaque par force brute, un programme saisit également de manière automatique des combinaisons de lettres, de symboles et de chiffres. Cependant, celles-ci sont dans ce cas entièrement aléatoires. Les attaques par force brute peuvent être réalisées en ligne et hors ligne.
Prenons l'exemple de l'anglais, une langue qui compte 1 022 000 mots. En utilisant l'alphabet et les chiffres de 0 à 9, vous pouvez créer 218 340 105 584 896 mots de passe à huit caractères. Ici, une attaque par dictionnaire a beaucoup plus de chances de réussir, puisque le mot de passe sera très probablement un simple mot anglais. Une attaque par force brute de base prendrait beaucoup plus de temps et aurait moins de chances de réussir.
Les attaques par dictionnaire sont intrinsèquement des attaques par force brute. La différence tient au fait que les attaques par dictionnaire sont plus efficaces. En effet, elles n'ont généralement pas besoin d'essayer un nombre aussi élevé de combinaisons pour réussir. Toutefois, si le mot de passe est véritablement unique, une attaque par dictionnaire ne fonctionnera pas. Alors, l'utilisation de la force brute est la seule option.
Comment éviter une attaque par dictionnaire de mot de passe ?
Le département informatique de toute entreprise doit prendre certaines mesures pour protéger ses systèmes contre les attaques par dictionnaire. Les attaques en ligne sont assez faciles à arrêter. Vous pouvez utiliser des captchas, mettre en place l'authentification à deux facteurs obligatoire et limiter le nombre de fois qu'un utilisateur peut tenter de se connecter avant que son compte ne soit verrouillé.
En revanche, les choses se compliquent lorsqu'il s'agit d'attaques hors ligne. Mais vous pouvez toujours recourir à l'authentification à deux facteurs et établir des règles strictes concernant les mots de passe : pas de mots de passe courants, pas de mots ou de phrases ordinaires, 12 caractères minimum, etc. Et surtout, veillez à ne pas stocker les mots de passe en clair.
Mais, en tant qu'utilisateur, que pouvez-vous faire pour éviter que vos comptes ne soient piratés ? Tout d'abord, ne soyez pas prévisible. Les meilleurs mots de passe sont ceux qui n'ont aucun sens pour la plupart des gens. N'oubliez pas que la force d'un mot de passe ne tient pas à sa longueur. Peu importe que vous choisissiez “pachycephalosaurus” ou "chat" comme mot de passe, un ordinateur met le même temps à essayer l'un ou l'autre.
Donc, créez de nouveaux mots, utilisez des caractères spéciaux ou, mieux encore, utilisez des chaînes aléatoires de lettres majuscules et minuscules, de symboles et de chiffres.
Vous avez du mal à trouver de nouveaux mots de passe ? Essayez notre générateur de mot de passe. Vous pouvez choisir les symboles à utiliser et générer des mots de passe uniques et forts pour tous vos comptes. Certes, ils sont difficilement mémorisables, mais ils sont également impossibles à deviner. Cependant, heureusement pour vous, vous n'avez plus besoin de vous souvenir de tous vos mots de passe.
Il vous suffit d'utiliser un gestionnaire de mots de passe comme NordPass pour stocker l'ensemble de vos mots de passe en toute sécurité. Comme vous êtes le seul à y avoir accès, vous êtes assuré de la sécurité de vos comptes en ligne.