Sommaire

Les attaques sur les mots de passe

1. Introduction

Le jeu du chat et de la souris entre attaquants et défenseurs ne s’arrêtera jamais, et malheureusement, les attaquants ont souvent le dernier mot. Mais pourquoi donc ? Les mots de passe sont une partie de la réponse. En effet, il se passe rarement plus d’une semaine sans que l’on entende qu’une base de données a été compromise ou que des mots de passe de tel ou tel site sont stockés en clair suite à « une erreur de configuration ».

Deux facteurs aggravants viennent s’ajouter à cela :

Le premier est l’utilisation de mots de passe faibles, ou pire, par défaut permettant à un attaquant d’accéder rapidement au précieux sésame.

L’image suivante issue du site https://haveibeenpwned.com permet de mettre en évidence l’utilisation du mot de passe 123456789 à presque 8 millions de reprises :

images/13EP01.png

Il est fortement déconseillé d’inscrire vos mots de passe au sein du site Have I Been Pwned ou tout autre site vous proposant de calculer la complexité de votre mot de passe.

Le deuxième facteur, certainement le pire en termes de propagation, est la réutilisabilité des mots de passe permettant à un attaquant d’accéder à tous les sésames de sa victime une fois le premier mot de passe découvert.

L’image suivante également issue du site https://haveibeenpwned.com ...