Moins de 50 façons de perdre vos identifiants

Que ce soit la fuite massive de données des hôtels Marriott ou le piratage moins étendu de votre compte Facebook, la question reste la même : comment ces pirates ont-ils fait pour s’introduire dans vos comptes ?

Il existe au moins 50 façons pour les cybercriminels de pirater vos comptes, mais ils ne les utilisent probablement pas toutes. En fait, ils n’en utilisent certainement qu’une poignée. En connaissant chaque stratégie, vous êtes plus à même de vous défendre et de protéger l’intégrité de vos identifiants et mots de passe de comptes. Voici 7 façons dont les cybercriminels peuvent dérober vos mots de passe et identifiants — et 7 moyens de vous protéger.

1. La force brute

Dans une attaque par force brute, un cybercriminel essaie simplement plusieurs combinaisons de mots de passe et voit lesquelles fonctionnent — en tâtonnant. Cette stratégie s’est nettement améliorée au fil du temps, pour deux raisons. Premièrement, les pirates peuvent générer par informatique de longues listes d’identifiants potentiels. Deuxièmement, grâce aux vastes bases de données de mots de passe dérobées de sources comme Yahoo et LinkedIn, les pirates possèdent de bonnes analyses statistiques sur les vrais mots de passe utilisés.

Faites l’impasse sur les mauvais mots de passe – utiliser des mots de passe trop simples comme « 1234 » ou « azerty » est un bon moyen de se faire avoir. Utilisez des mots de passe complexes de 12 caractères au moins, comprenant des majuscules, minuscules, chiffres et symboles.

2. Le « credential stuffing »

Dans ce type d’attaque, les pirates essaient de se connecter à des comptes grâce à une liste d’identifiants volés. Ils le font à grande échelle via des requêtes de connexion automatiques et le font intelligemment avec de vrais identifiants — quoique dérobés — comme les noms et les mots de passe.

Ne recyclez pas vos mots de passe – le stuffing fonctionne car de vastes bases de données d’identifiants et de mots de passe sont disponibles sur le marché noir, et qu’une grande partie des gens réutilise les mêmes combinaisons sur plusieurs comptes.

3. Votre site d’e-commerce préféré ou votre FAI

Il ne suffit pas de bien protéger vos données privées. Il est aussi question de savoir comment les autres protègent les données qu’ils ont sur vous. Qu’il s’agisse d’une chaîne d’hôtels, d’un grand magasin ou de votre médecin, tous ces établissements possèdent des données sur vous. Que ce soit parce qu’ils ne se protègent pas suffisamment, qu’ils stockent des données non chiffrées ou qu’ils n’utilisent pas l’authentification à deux facteurs, les résultats sont les mêmes pour vous : vos identifiants privés ont été divulgués et se retrouvent disponibles sur le marché noir.

Changez vos mots de passe régulièrement. Regardez les actualités. Si une faille a eu lieu sur un site sur lequel vous avez un compte, modifiez ce mot de passe. Grâce aux nouvelles réglementations comme le GDPR, il y a des chances pour que l’entreprise ayant subi la fuite de données vous contacte directement.

4. Hameçonnage

L’hameçonnage implique des e-mails et des sites frauduleux qui ont été conçus pour ressembler aux vrais : le texte, les couleurs et les logos sont identiques. Ils veulent que vous cliquiez sur un lien ou que vous saisissiez votre mot de passe. Une fois cela fait, vous venez de donner vos identifiants aux pirates sur un plateau d’argent. Généralement distribuées par e-mail, les tentatives d’hameçonnage par PayPal ciblent généralement les particuliers et les fausses factures utilisent souvent des comptes d’entreprise.

Soyez sceptique – que ce soit à la maison ou au travail, faites attention là où vous cliquez.

5. Les Wi-Fi publics

Par définition, un Wi-Fi public n’est pas privé. Alors qu’il est clair que les contenus en ligne ne sont pas sûrs, il existe un risque moins connu, celui que vos identifiants de compte soient dérobés par les pirates qui surveillent le trafic réseau.

Enfermez-vous – utilisez un VPN en bonne et due forme pour que vos communications et vos identifiants soient transférés dans un pli bien chiffré.

6. Les malwares qui dérobent les données

Les cybercriminels peuvent utiliser un assortiment de malwares capables de dérober absolument tout — des fichiers sur votre appareil où les mots de passe sont stockés jusqu’aux keyloggers qui suivent tout ce que vous tapez au clavier.

Utilisez une application antivirus – installez une application antivirus éprouvée sur votre appareil et mettez-la à jour.

7. Ne laissez rien derrière vous

Ce bout de papier collé sous votre machine avec une liste de noms de comptes et de mots de passe pourrait bien être volé ou dérobé. Cela s’est passé l’année dernière avec un membre du personnel de la Maison Blanche, qui avait oublié sa liste à un arrêt de bus.

Installez un gestionnaire de mots de passe. Pour de vrai.

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.