04 70 96 18 36
contact@axis-solutions.fr
Espace client
title
Logo Axis Solutions entreprise accompagnement technique et développement informatique vichyLogo Axis Solutions entreprise accompagnement technique et développement informatique vichy

7 attaques ciblant vos mots de passe & comment vous protéger

Cybersécurité

Dans cet article, nous vous présentons les 7 attaques privilégiées des cybercriminels pour découvrir ou voler vos mots de passe, ainsi que les solutions qui s’offrent à vous pour protéger vos comptes en ligne et leurs données. Car quand on sait que les cyberattaques utilisant des mots de passe volés ou compromis ont augmenté de 71% entre 2023 et 2024, il est évident que vous devez aborder votre cybersécurité de manière pro-active.

Phishing & Ingénierie Sociale

En quoi ça consiste

Le Phishing et l’Ingénierie sociale ce sont les méthodes favorites des pirates, pour vous manipuler psychologiquement et vous inciter à leur dévoiler vos mots de passe et autres données personnelles. Nous avons d’ailleurs présenté en détail ces deux pratiques dans des articles qui vous aideront à repérer les techniques d’instrumentalisation des hackers et détecter leurs emails suspects.

En résumé, les cybercriminels vous envoient des messages persuasifs semblant provenir d’organismes légitimes (banque, administration, e-comemrce) afin de vous inciter à réaliser des actions dangereuses telles que :

  • cliquer sur un lien qui vous redirige vers un site malveillant (copie frauduleuse d’un site légitime sur lequel vous êtes incité à saisir vos identifiants de connexion)
  • télécharger un malware pour vous espionner et collecter vos données sensibles à votre insu
  • leur révéler directement ces informations

Et bien sûr, ils n’hésitent pas à varier les moyens de communication pour entrer en contact avec vous (email, SMS et même appels vocaux). Ainsi, en jouant avec vos émotions et en exploitant votre confiance, ils arrivent à contourner vos mesures de protection techniques (antivirus, pare-feu, etc…) pour s’emparer de vos mot de passe.

Protégez vos mots de passe contre le Phishing & l’Ingénierie Sociale

Pour protéger vos mots de passe contre ce type d’attaques, qui visent l’humain plutôt que la machine, la vigilance et l’information sont vos principales alliées ! Voici donc des mesures concrètes que vous pouvez facilement appliquer pour déjouer les pièges des pirates :

  • soyez sceptique face aux messages non sollicités : prenez le temps de repérer le moindre indice suspect avant d’agir (fautes de syntaxe/grammaire, ton alarmiste ou urgent, pièce-jointe non sollicitée, demande inhabituelle d’informations personnelles ou financières…)
  • vérifiez la légitimité de l’expéditeur : notamment en contrôlant que l’adresse d’expédition correspond bien à celle qui vous contacte habituellement, voire en utilisant un autre mode de communication pour contacter l’organisme qui semble être à l’origine du message
  • ne cliquez jamais sur les liens d’un email ou SMS qui vous semble douteux : à la place, tapez directement l’adresse du site sur lequel on veut vous rediriger ou utilisez vos favoris
  • ne divulguez jamais vos mots de passe ou informations bancaires par email ou par téléphone : jamais un organisme sérieux ne vous demandera ces informations de cette manière
  • utilisez un antispam et configurez votre boîte mail pour envoyer toutes les tentatives de phishing et les spams à la corbeille
  • sensibilisez-vous ainsi que vos équipes à propos des bonnes pratiques de cybersécurité et des cybermenaces existantes
  • limitez la quantité d’informations personnelles que vous partagez publiquement sur le web : car moins les pirates ont d’information sur vous, moins ils ont d’éléments pour crédibiliser leurs arnaques
illustration article 7 attaques ciblant vos mots de passe & comment vous protéger : attaque n° 1 le phishing et l'ingénierie sociale

Attaque par Force Brute

En quoi ça consiste

L’attaque par Force Brute est l’une des plus anciennes techniques des hackers pour s’emparer de vos mots de passe. Mais comme elle reste très efficace pour déchiffrer des codes d’accès conçus trop simplement, elle est toujours employée.

Son mode de fonctionnement est d’ailleurs assez facile à comprendre. Les cybercriminels utilisent un logiciel qui génère et teste automatiquement sur le formulaire de connexion du site ciblé (site web, application métier, etc…) des millions de combinaisons de caractères par seconde (chiffres, lettres minuscules et majuscules, caractères spéciaux) jusqu’à trouver celle qui forme votre mot de passe. Ce qui peut prendre plus ou moins de temps selon la complexité de ce dernier.

Protégez vos mots de passe contre les attaques par Force Brute

Vous l’aurez donc compris, votre première ligne de défense face à une attaque par Force Brute, c’est de créer des mots de passe robustes. C’est à dire qui respectent les critères de cybersécurité actuels :

  • comporte 12 caractères minimum et idéalement 15 caractères ou plus
  • contient une combinaison aléatoire de lettre majuscules et minuscules, de chiffres, de caractères spéciaux ou de symboles
  • être anonyme, c’est à dire ne pas utiliser d’informations vous concernant vous ou vos proches (prénom, date de naissance, nom d’animal de compagnie, etc…).

Car plus votre mot de passe est long et complexe, plus il faudra de temps aux cybercriminels pour le déchiffrer. Alors qu’il faut seulement 2 minutes à un pirate pour découvrir un mot de passe de 6 caractères, composé uniquement de lettres minuscules.

Sachez également que pour se prémunir contre les attaques par Force Brute, certains sites web mettent en place des systèmes de sécurité qui bloquent temporairement l’accès à un compte après un certain nombre d’échecs de connexion. Mais cette mesure n’est pas une norme et certains sites peuvent ne pas en disposer. C’est pourquoi, nous vous recommandons d’activer partout où vous le pouvez, un système de notification qui vous alerte lors d’une tentative de connexion à vos comptes. Ainsi, si vous n’êtes pas à l’origine de cette tentative vous pourrez réagir rapidement en modifiant votre mot de passe.

Attaque au Dictionnaire

En quoi ça consiste

L’attaque au Dictionnaire, est une sorte de variante plus stratégique de l’attaque par Force Brute.

Dans le cas présent, les cybercriminels utilisent un logiciel qui passe en revue un dictionnaire de mots de passe et les teste automatiquement sur le formulaire de connexion ciblé. Ils gagnent ainsi un temps considérable. Car, au lieu d’essayer des millions de combinaisons de caractères, ils se concentrent sur les mots de passe les plus couramment utilisés (issus de fuites de données) ainsi que sur les mots et phrases courantes dans une langue donnée. Ici aussi, le temps nécessaire pour décrypter votre mot de passe dépend principalement de sa robustesse.

Protégez vos mots de passe contre les attaques au Dictionnaire

Contre ce type d’attaque, la solidité de votre mot de passe joue, là aussi, un rôle déterminant. Alors pour compléter les critères présentés précédemment, qui doivent vous servir de base pour construire vos mots de passe, voici des recommandations spécifiques aux attaques au Dictionnaire :

  • évitez au maximum d’utiliser des mots présents dans un dictionnaire : même en ajoutant une majuscule, un chiffre ou un symbole (exemple : soleil2025!, ou password123) ces combinaisons sont généralement testées par les logiciels des pirates
  • utilisez plutôt des acronymes personnels ou des combinaisons de mots sans rapport entre eux : créez un acronyme à partir d’une phrase qui a du sens pour vous. Exemple : « J’ai adoré mon 1er voyage en Chine, j’ai découvert plein de belles choses » devient « JAM1VeC_jDpDbC! ». Vous pouvez également combiner des mots qui n’ont aucun rapport entre eux pour former votre mot de passe. Exemple : « citron parapluie étoile café ordinateur » devient « C1Tr0nPaRa#Eto1l3@Ord »

Attaque « Man In The Middle »

En quoi ça consiste

illustration article 7 attaques ciblant vos mots de passe & comment vous protéger : attaque n° 4 l'attaque Man In The Middle

L’attaque « Man In The Middle » (aussi abrégée « MITM ») consiste à intercepter les identifiants que vous transmettez à un serveur. Comme par exemple lorsque vous vous connectez sur le site de votre banque ou sur votre logiciel métier. Bien entendu, ce processus se réalise à votre insu, et pour ne pas éveiller vos soupçons, les pirates disposent de plusieurs méthodes :

Ainsi, le cybercriminel n’a pas besoin de « découvrir » votre mot de passe. Il s’en empare simplement au moment où vous le transmettez.

Protégez vos mots de passe contre les attaques MITM

Comme ce type d’attaques exploite les failles de sécurité d’un réseau informatique, pour intercepter vos identifiants, vous devez être particulièrement vigilant sur ces points pour protéger vos mots de passe :

  • vérifiez que le site sur lequel vous souhaitez vous connecter, ou faire des achats, est sécurisé : c’est à dire qu’il utilise le protocole HTTPS pour chiffrer la connexion entre votre navigateur et le serveur du site (URL qui commence par « http:// », icone cadenas présente dans la barre d’adresse de votre navigateur)
  • renforcez la sécurité de votre routeur wifi d’entreprise : modifiez notamment ses paramètres par défaut (nom d’utilisateur et mot de passe, nom du réseau, protocole de chiffrement, etc…) qui sont génériques et donc très souvent connus par les pirates
  • évitez de vous connecter sur des réseaux wifi publics (gares, restaurants, centres-commerciaux, etc…) : ces réseaux wifi sont accessibles à tous sans mot de passe pour se connecter. Ils ne sont donc pas sécurisés. Si vous n’avez pas le choix, utilisez impérativement un VPN. Il protège vos données contre le vol et préserve votre anonymat en ligne. Mais surtout, n’effectuez aucune action sensible (opérations bancaires, achats en ligne, connexion à votre boîte mail, vos réseaux sociaux, etc…) sans l’avoir activé au préalable
  • désactivez le wifi sur vos appareils lorsque vous n’en avez pas besoin : pour que ces derniers ne se connectent pas automatiquement à des réseaux non-sécurisés

Keylogger

En quoi ça consiste

Un keylogger (ou « enregistreur de frappe »), c’est un logiciel utilisé par les pirates pour enregistrer secrètement toutes les touches que vous tapez sur votre clavier. Une fois installé sur votre PC ou votre mobile, il fonctionne sans que vous ne vous en rendiez compte et transmet au cybercriminel toutes les lettres, chiffres et autres caractères que vous pouvez taper. Vous comprendrez donc aisément qu’avec un tel type de programme il peut facilement récupérer vos mots de passe. Même lorsque vous les modifiez…

De plus, souvent, vous ne vous rendez pas non plus compte de son installation sur votre appareil. L’infection a généralement lieu lorsque vous :

  • téléchargez des programmes crackés
  • installez certains programmes gratuits cachant des extensions malveillantes
  • fréquentez des sites douteux (streaming, téléchargement illégal, sites pour adultes…)
  • cliquez sur des publicités en ligne trompeuses
  • êtes déjà victime d’un Cheval de Troie

Protégez vos mots de passe contre les Keylogger

Pour protéger vos mots de passe contre ce type d’attaques particulièrement sournoises, voici donc les bonnes pratiques à suivre :

  • utilisez un antivirus à jour sur tous vos appareils connectés à Internet
  • appliquez les mises à jour de vos logiciels, systèmes d’exploitation et navigateurs dès qu’elles vous sont proposées : pour corriger d’éventuelles failles de sécurité exploitable par les hackers
  • n’ignorez pas les avertissements de sécurité de votre navigateur : et ne cliquez pas non plus sur « continuer quand même », car il est fort probable que le site que vous cherchez à visiter soit infecté par des scripts ou logiciels malveillants
  • servez-vous d’un bloqueur de publicités pour vous protéger contre les publicités malveillantes
  • télécharger vos applications et programmes uniquement depuis les sites des éditeurs / stores officiels (Google Play, Apple Store, etc…)
  • ne cliquez jamais sur les pièces-jointes non sollicitées que vous pouvez recevoir : même par curiosité, car vous risqueriez de télécharger un malware par mégarde
illustration article 7 attaques ciblant vos mots de passe & comment vous protéger : attaque n° 5 le keylogger

Credential Stuffing

En quoi ça consiste

Le Credential Stuffing (ou « bourrage d’identifiants ») est une méthode simple mais redoutable, qui s’appuie sur le fait que de nombreux utilisateurs réutilisent un même mot de passe pour se connecter sur plusieurs sites.

Les hackers créent tout d’abord d’énormes bases de données, constituées d’identifiants (nom d’utilisateur, email…) et de mots de passe ayant fuités lors de précédentes violations de données. Puis ils utilisent un logiciel qui va automatiquement tester ces combinaisons sur une multitude de sites (services bancaires, e-commerce, boîtes mail, etc…). Leur objectif étant d’accéder à des comptes où la victime a utilisé le même couple identifiant/mot de passe que celui qui a précédemment fuité.

Protégez vos mots de passe contre le Credential Stuffing

Contre ce type d’attaques liées aux fuites de données, voici les mesures spécifiques que vous pouvez prendre pour protéger vos mots de passe :

  • adoptez un mot de passe unique pour chacun de vos comptes : ne réutilisez pas le même pour vous connecter sur plusieurs sites
  • dans l’idéal utilisez un gestionnaire de mot de passe : pour créer et garder en sécurité vos mots de passe complexes et uniques. De plus, certains de ces logiciels disposent de fonctionnalités qui vous alertent si l’un de vos mots de passe a fuité
  • surveillez régulièrement les fuites de données grâce à des outils dédiés : vous trouverez plusieurs solutions gratuites et faciles à prendre en main, dans notre article destiné à vous apprendre à vous protéger efficacement contre les fuites de données personnelles
  • si vous découvrez que l’un de vos comptes est concerné par une fuite de données, modifiez immédiatement son mot de passe

Password Spraying

En quoi ça consiste

Le Password Spraying (ou « pulvérisation de mots de passe ») c’est l’exact inverse d’une attaque par Force Brute. Au lieu d’effectuer de multiples tentatives de connexion avec des mots de passe différents, sur un même compte, les hackers en ciblent plusieurs avec un même mot de passe.

Pour ce faire, ils utilisent un logiciel qui va automatiquement tester un par un des mots de passe couramment utilisés (exemple : « 12345678 » ou « azerty123 ») sur un grand nombre de comptes en ligne. Si une combinaison d’identifiant/mot de passe fonctionne, ils ont alors un accès total au compte de leur victime (espace bancaire, boîte mail, etc…). Ainsi, cela leur permet de contourner les systèmes de verrouillage de comptes qui peuvent s’activer après un trop grand nombre de tentatives de connexion dans un certain délai.

Protégez vos mots de passe contre le Password Spraying

Pour faire face au Password Spraying, respectez les critères de conception et de gestion des mots de passe présentés tout au long cet article (mot de passe complexe, unique, géré via un gestionnaire de mots de passe, etc…). De cette manière, vous diminuerez grandement le risque que les pirates s’emparent de vos comptes.

En complément, activez la double authentification, partout où vous le pouvez. Si un cybercriminel arrive à accéder à votre compte il sera bloqué sans le code de validation nécessaire pour approuver la connexion.

Vous disposez désormais d’un éventail de solutions concrètes à appliquer pour protéger vos mots de passe contre ces attaques qui les ciblent. Mais ne baissez pas votre garde, car les pirates peuvent combiner plusieurs méthodes pour s’emparer de vos précieux sésames. Et ils sont à l’affut de la moindre erreur de votre part qui pourrait leur faciliter la tâche. Alors pour vous assurer que vos cyberdéfenses sont imprenables, contactez nos équipes techniques ! Après un audit approfondi de votre parc informatique, elles vous recommanderont des outils et stratégies de protection personnalisées qui viendront renforcer la sécurité de votre infrastructure.

Je protège mon entreprise contre les cyberattaques
.

Pour compléter votre lecture, découvrez aussi :

illustration article télétravail comment sécuriser son activité ?illustration article télétravail comment sécuriser son activité ?
Télétravail : comment sécuriser son activité ?
La crise du COVID est à l'origine d'une démocratisation du télétr...
illustration article bots malveillants : les dangers pour votre site webillustration article bots malveillants : les dangers pour votre site web
Bots malveillants : les dangers pour votre site web
Certains bots, ou robots informatiques, sont dits malveillants car ils peuvent ...
illustration article qu'est-ce qu'un pare-feu et quel est son rôle ?illustration article qu'est-ce qu'un pare-feu et quel est son rôle ?
Qu'est-ce qu'un pare-feu et quel est son rôle ?
Le terme "pare-feu" (ou firewall en anglais) revient souvent lorsque ...
keyboard_arrow_up