Il faut moins d'une minute pour deviner la moitié des mots de passe, ne l'oubliez jamais

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 20 juin 2024 à 12h58

Ah, les (mauvaises) habitudes en matière de mot de passe © Alexandre Boero / Clubic

La dernière étude du spécialiste de la cybersécurité, Kaspersky, révèle que près d'un mot de passe sur deux peut être deviné en un éclair ou presque. Les cybercriminels y parviennent grâce à de multiples techniques.

Malgré les nombreuses recommandations successives des autorités et des médias faites depuis des années, le refrain de la faiblesse des mots de passe semble éternel. Les résultats de la recherche menée par Kaspersky sont en tout cas sans appel : 45% des 193 millions de mots de passe disponibles sur le dark web peuvent être devinés par des pirates informatiques en une minute tout au plus.

La fragilité des mots de passe une fois de plus pointée du doigt

Les experts cyber ont analysé près de 200 millions de mots de passe qui peuvent avoir été récupérés puis publiés sur le dark web de différentes manières. Kaspersky précise d'ailleurs avoir relevé 32 millions de tentatives d'attaques menées par des voleurs de mots de passe envers des particuliers, pour la seule année 2023.

Pour le reste, la rapidité de compromission des mots de passe est stupéfiante. 45% (soit 87 millions) d'entre eux ont été « devinés » en moins d'une minute, 14% entre 1 minute et 1 heure. Seuls 4% des mots de passe analysés ne mettent qu'entre 1 mois et 1 an pour être compromis. Kaspersky élargit la discussion en précisant que néanmoins, 23% des mots de passe pourraient être considérés comme nécessitant plus d'un an pour être déchiffrés.

Mais si les statistiques sont ce qu'elles sont et peuvent varier d'une étude à une autre, d'une technologie de déchiffrement éprouvée à une autre, elles dégagent une tendance qui est souvent identique. Elle est confirmée par les séquences de vocabulaire les plus souvent utilisées. Les noms propres (« kevin », « ahmed », « daniel », « nguyen », « kumar »), les mots populaires (« google », « love », « gamer », « forever »), et les mots de passe standard (« password », « admin », « team », « 12345 »), tous indémodables, sont toujours des stars du mot de passe.

A découvrir

Meilleur antivirus, le comparatif en septembre 2024

06 septembre 2024 à 17h34

Comparatifs services

Il y a quand même de vrais bons élèves

Kaspersky ajoute qu'à peine 2 mots de passe sur 10 (19%) étudiés parmi les 193 millions contiennent les signes d'une combinaison robuste, difficile à déchiffrer. Ouf, il y a quand même dans le lot des identifiants qui ne comportent donc pas de mot du dictionnaire, et qui mélangent des minuscules, majuscules, chiffres et symboles.

Parmi les techniques utilisées, il y a l'attaque par force brute, la fameuse méthode de l'essai-erreur qui consiste à essayer toutes les combinaisons possibles de caractères, dans l'ordre, jusqu'à trouver une correspondance. On peut aussi citer le voleur d'informations, dit infostealer, qui est un logiciel intelligent capable de collecter des identifiants.

Il ne faut pas non plus négliger l'utilisation d'algorithmes intelligents, qui sont construits sur un ensemble de données de mots de passe et permettent de calculer la fréquence de nombreuses combinaisons de caractères, puis d'effectuer des sélections parmi les plus courantes, jusqu'aux plus rares.

Kaspersky Standard

9 / 10

Télécharger

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Piratage / Cybercriminalité

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

sylvebarbe78

Ouais, j’ai testé les miens. Résultat :il faudrait plus de 16 milliards d’années pour les cracker avec les calculateurs les plus puissants au monde. A condition qu’ils ne se retrouvent pas sur le Darknet à la suite de piratage.

brice_wernet

1er problème: les mots de passe sont basés sur l’informatique de papi. Les caractères ASCII, les caractères « spéciaux », mais le refus dans encore beaucoup de site (ou le blocage du compte) si on met des caractères unicodes, dans d’autres langues (et même en Français si vous avez un Azerty+: le caractère « … » ne passe pas toujours ainsi que les guillemets français) nous limite énormément.
2ème problème: Nos claviers eux-même sont limités. Très très limités. Spécialement en France où on ne peut pas de base faire les accents qu’on souhaite.
3ème problème: le manque de volonté de passer par un gestionnaire d’identité. Quand est-ce que FranceConnect sera un fournisseur OpenID reconnu?

guillaume218

voilà tout le pb… pas mal de personnes finissent par enregistrer leur mot de passe trop complexe dans des navigateurs ou l’utiliser sur plusieurs plateformes, au final leur mot de passe qui mettrait des années à être cracké en bruteforce se retrouve à la vue de tous dans les bdd de comptes de sites web qui se sont fait infiltrés…
Voir sur un post-it collé sur le clavier de leur pc…

mcbenny

A propos de ce « 2eme probleme », je t’invite a regarder un clavier anglo-saxon et a me dire si c’est plus facile d’inserer un caractere accentue.
Chaque pays a son adaptation en fonction de sa langue. On a au moins la chance d’avoir certains caractères accentués tres présents dans notre langue, donc on a accès relativement facilement à toute une gamme déjà.
Et si je mets des accents ici, sachant que je suis sur un clavier Mac anglo-saxon, ça me prend 1 seconde par caractère accentué ! Alors des gens qui n’y pensent pas par défaut, imagine !

MattS32

Ça ne l’est pas. Mais il n’y a pas d’accent en anglais, donc c’est normal… Les claviers suisses, canadiens ou espagnols sont mieux foutus que le français pour les accents, avec des approches différents (les claviers suisses ont toutes les lettres accentuées, et en combinant avec shift on fait les majuscules, les claviers canadiens et espagnols ont tous les accents en dead keys).

Le clavier français est vraiment bancal, on a une partie des lettres accentuées en direct, mais aucune en majuscule, et pour les majuscules, y a des dead keys pour certains accents, mais il manque l’accent aigu et la cédille… Et il manque aussi les ligatures, pourtant présentes dans des mots courants en français, alors qu’on se tape des caractères peu courants, comme le symbole de la livre, le symbole monétaire générique ou le symbole paragraphe…

Kaggan

Je pense, au contraire, que ton analyse est basée uniquement sur une volonté de compléxification sans même penser à la sécurisation. Faire des mots de passes complexes qu’on ne peut pas retenir ne sert à rien. Trop long ou trop alambiqué et c’est fini, on note, on enregistre, on utilise les mêmes. Un mot de passe doit être dur à deviner mais simple à retenir. Si tu emploies deux mots de passes complexes mais simple à retenir comme, par exemple Aa1!LechatachiedanssalitiereAa1! et Aa1!ClubiccestcarreAa1! tu as deux mots de passes dur à deviner, dur à brut force, très sécurisés mais très simple à retenir. Là tu as fait de la sécurité intelligente.

Beaucoup d’entreprises abandonnent les mots de passes complexes au profit de clé de sécurité plug and play car quand on demande trop de complexité l’humain abandonne. Il est donc bien plus efficace de chercher la simplicité et l’efficacité. Du coup, caractères spéciaux, accents, tout ça c’est à bannir car ça décourage les gens de trouver de vrai mots de passe sécurisés.

Avec ma méthode, je connais par cœur mes 16 mots de passes principaux et aucun ne fait moins de 27 caractères. Pourquoi ? Parce qu’ils sont simple à retenir et dur à deviner.

Kaggan

et n’oublions pas le symbole le plus important mais que tout le monde oublie alors qu’il est sensé être présent dans quasiment une phrases sur deux, l’espace insécable fine (oui, celui qui se met juste avant une ponctuation, entre un nombre et son unité comme pour 5 h 35 min, oui, il y a un espace mais qui reste collé et cet espace est plus petit qu’un espace normal). C’est une particularité française mais cet espace insécable fine doit normalement se retrouver quasiment partout (surtout que le français ne tolère pas son remplacement ou sa suppression).

xryl

Spécialement en France où on ne peut pas de base faire les accents qu’on souhaite.

Je corrige pour toi, spécialement sur l’implémentation de Microsoft du clavier Français. Tu peux faire les accents que tu veux avec un Mac ou un Linux (par exemple ÀÇÉÊ) simplement en pressant Caps lock puis la touche minuscule de l’accent. Sur Microsoft, il faut changer sa disposition de clavier, car celle par défaut est bidon. Tu as des exemples ici ou ici. Le premier lien est celui qui est le plus compatible avec l’informatique en général (c’est à dire Caps Lock + touche accentuée minuscule), le second est très « Microsoftien », où il faut faire Alt Gr + Shift + touche accentuée minuscule.

Le problème M$, c’est qu’ils ont réussi à s’installer dans l’état civil, et comme la plupart des fonctionnaires n’ont pas appris à faire des majuscules accentuées, les accents ont disparu des prénoms sur les CI et passeport, après c’est quasiment impossible à faire récupérer. Ainsi, la majorité des Éric sont légalement des Eric, les Émilie des Emilie, etc… (sans parler des patronymes).

Jolan

« La fameuse méthode de l’essai-erreur qui consiste à essayer toutes les combinaisons possibles de caractères, dans l’ordre, jusqu’à trouver une correspondance. »

Je suis désolé mais si cette méthode fonctionne sur un site web, c’est que le site web a un problème. Pour rappel, une carte bleu c’est seulement 4 chiffres et ce n’est pas piratable pour autant. Un site web ne doit pas accepter plusieurs soumissions dans la seconde pour le même compte, car cela veux dire que ce n’est pas un être humain à l’autre bout. Un site web doit bloquer le compte (pour une certaine période ou autre) en cas d’échecs répétés.

La force brute ne doit pouvoir fonctionner que pour décrypter un fichier, car ce dernier ne peut appliquer aucune rétorsion.
Pour tout le reste (web, machine Windows ou Linux, téléphone) il existe des système de blocage (machine, compte ou ip) en cas d’échecs trop répétés et qui interdise la force brute.
J’ai pas dis qu’il fallait utiliser 123456 pour autant.

MattS32

Tout a fait. Et c’est souvent comme ça que sont obtenu les mots de passe qui fuitent sur le dark web. Au départ, il y a un service qui se fait voler sa base de données. Et à partir de là, on peut faire une attaque par brute force sur les hash pour tenter d’en casser (d’autant plus facile si le service utilise un sel constant).

D’ailleurs ça me fait penser à un truc finalement… Compte tenu de ça, le fait que 45% des mots de passe trouvés sur le darkweb soient faibles ne nous renseigne pas réellement sur la vraie proportion de mots de passe faible dans l’ensemble des mots de passe utilisés par les gens. Parce que face à une grosse base de hash de mots de passe, ce sont justement seulement les plus faibles qui vont être retrouvés par brute force, pas les plus fort, et donc forcément les mots de passe faibles se retrouvent sur-représentés parmi les mots de passe trouvés.

Après, il y a aussi un moyen de protection tout simple contre la force brute même sur une base de données : respecter les bonnes pratiques en matière de hachage des mots de passe… Ça fait plus de dix ans que tous les experts préconisent d’utiliser un algorithme de hachage « lent » et dont la complexité peut facilement être augmenté au fil du temps (ce qui se fait aujourd’hui avec des algorithmes dont on peut configurer le nombre d’itérations, et quand on veut augmenter le nombre d’itérations, soit on met directement à jour les hash en base si l’algo permet de calculer le hash à n + m itérations à partir du hash à n itérations, soit on le fait quand la personne se connecte si l’algo nécessite le mot de passe clair).

Si il faut 500ms de temps CPU pour calculer un hash au lieu de quelques µs, ça réduit très fortement les chances de succès d’un bruteforce. Même un simple PIN à 6 chiffres, ça tient déjà en moyenne 3 jours de temps CPU dans ce cas, et un mot de passe alphanumérique de 6 caractères tient en moyenne 450 ans de temps CPU…