Les gens disent que leurs comptes en ligne ont été « piratés », mais comment cela se passe-t-il exactement ? En réalité, les comptes sont piratés de manière assez simple. Les pirates n’utilisent pas de magie noire.

La connaissance est le pouvoir. Comprendre comment les comptes sont réellement compromis peut vous aider à sécuriser vos comptes et à éviter que vos mots de passe ne soient « piratés » en premier lieu.
Réutilisation des mots de passe, en particulier de ceux qui ont été divulgués

Beaucoup de gens – peut-être même la plupart – réutilisent des mots de passe pour différents comptes. Certaines personnes peuvent même utiliser le même mot de passe pour tous les comptes qu’elles utilisent. Cette pratique est extrêmement peu sûre.

Au cours des dernières années, les bases de données de mots de passe de nombreux sites web – même de grands sites bien connus comme LinkedIn et eHarmony – ont fait l’objet de fuites. Les bases de données de mots de passe divulgués ainsi que les noms d’utilisateur et les adresses électroniques sont facilement accessibles en ligne. Les attaquants peuvent essayer ces combinaisons d’adresses électroniques, de noms d’utilisateur et de mots de passe sur d’autres sites web et accéder à de nombreux comptes.

La réutilisation d’un mot de passe pour votre compte de messagerie vous met encore plus en danger, car ce compte pourrait être utilisé pour réinitialiser tous vos autres mots de passe si un pirate y avait accès.

Quelle que soit votre capacité à sécuriser vos mots de passe, vous ne pouvez pas contrôler la manière dont les services que vous utilisez sécurisent vos mots de passe. Si vous réutilisez vos mots de passe et qu’une entreprise fait une erreur, tous vos comptes seront en danger. Vous devriez utiliser des mots de passe différents partout – un gestionnaire de mots de passe peut vous y aider.

Keyloggers

Les enregistreurs de frappe sont des logiciels malveillants qui peuvent fonctionner en arrière-plan et enregistrer chaque frappe que vous effectuez. Ils sont souvent utilisés pour capturer des données sensibles comme les numéros de carte de crédit, les mots de passe des services bancaires en ligne et d’autres informations d’identification de comptes. Ils envoient ensuite ces données à un attaquant via Internet.

Ces logiciels malveillants peuvent arriver par le biais d’exploits – par exemple, si vous utilisez une version obsolète de Java, comme c’est le cas de la plupart des ordinateurs sur Internet, vous pouvez être compromis par un applet Java sur une page Web. Cependant, ils peuvent également arriver déguisés dans d’autres logiciels. Par exemple, vous pouvez télécharger un outil tiers pour un jeu en ligne. Cet outil peut être malveillant, capturer votre mot de passe de jeu et l’envoyer à l’attaquant par Internet.

Utilisez un bon programme antivirus, mettez vos logiciels à jour et évitez de télécharger des logiciels non fiables.

Pour aller plus loin : Un hacker divulgue une liste de données bancaires

Ingénierie sociale

Les attaquants utilisent aussi couramment des astuces d’ingénierie sociale pour accéder à vos comptes. Le hameçonnage est une forme d’ingénierie sociale très connue : l’attaquant se fait passer pour quelqu’un et vous demande votre mot de passe. Certains utilisateurs donnent leur mot de passe sans hésiter. Voici quelques exemples d’ingénierie sociale :

Vous recevez un courrier électronique prétendant provenir de votre banque, qui vous dirige vers un faux site Web bancaire dont l'URL est très similaire et vous demande de saisir votre mot de passe.
Vous recevez un message sur Facebook ou tout autre site web social d'un utilisateur qui prétend être un compte officiel de Facebook, vous demandant d'envoyer votre mot de passe pour vous authentifier.
Vous visitez un site web qui promet de vous donner quelque chose de précieux, comme des jeux gratuits sur Steam ou de l'or gratuit dans World of Warcraft. Pour obtenir cette fausse récompense, le site Web vous demande votre nom d'utilisateur et votre mot de passe pour le service.

Faites attention à qui vous donnez votre mot de passe – ne cliquez pas sur les liens dans les courriels et n’allez pas sur le site de votre banque, ne donnez pas votre mot de passe à quelqu’un qui vous contacte et vous le demande, et ne donnez pas les informations d’identification de votre compte à des sites web non fiables, surtout ceux qui semblent trop beaux pour être vrais.

Répondre aux questions de sécurité

Les mots de passe peuvent souvent être réinitialisés en répondant à des questions de sécurité. Les questions de sécurité sont généralement incroyablement faibles – souvent des choses comme « Où êtes-vous né ? », « Quel lycée avez-vous fréquenté ? » et « Quel était le nom de jeune fille de votre mère ? ». Il est souvent très facile de trouver ces informations sur les sites de réseaux sociaux accessibles au public, et la plupart des gens normaux vous diraient quel lycée ils ont fréquenté si on le leur demandait. Grâce à ces informations faciles à obtenir, les attaquants peuvent souvent réinitialiser les mots de passe et accéder à des comptes.

Idéalement, vous devriez utiliser des questions de sécurité dont les réponses ne sont pas faciles à découvrir ou à deviner. Les sites Web devraient également empêcher les gens d’accéder à un compte simplement parce qu’ils connaissent les réponses à quelques questions de sécurité, ce que certains font – mais d’autres ne le font toujours pas.

Réinitialisation des comptes de messagerie et des mots de passe

Si un pirate utilise l’une des méthodes ci-dessus pour accéder à vos comptes de messagerie, vous avez de gros problèmes. Votre compte de messagerie électronique fonctionne généralement comme votre compte principal en ligne. Tous les autres comptes que vous utilisez y sont liés, et toute personne ayant accès au compte de messagerie pourrait l’utiliser pour réinitialiser vos mots de passe sur un certain nombre de sites sur lesquels vous vous êtes inscrit avec cette adresse électronique.

C’est pourquoi vous devez sécuriser votre compte de messagerie autant que possible. Il est particulièrement important d’utiliser un mot de passe unique et de le conserver soigneusement.

Ce que le « piratage » de mot de passe n’est pas

La plupart des gens imaginent probablement que les attaquants essaient tous les mots de passe possibles pour se connecter à leur compte en ligne. Ce n’est pas le cas. Si vous essayez de vous connecter a » ou le nom de l’animal domestique de la personne.

Les attaquants ne peuvent utiliser ces méthodes de force brute que s’ils ont un accès local à vos données. Par exemple, supposons que vous stockiez un fichier crypté dans votre compte Dropbox et que des attaquants y aient accès et téléchargent le fichier crypté. Ils pourraient alors essayer de forcer le chiffrement par force brute, c’est-à-dire essayer toutes les combinaisons de mots de passe jusqu’à ce qu’une seule fonctionne.

Les personnes qui affirment que leur compte a été « piraté » sont probablement coupables d’avoir réutilisé des mots de passe, d’avoir installé un enregistreur de frappe ou d’avoir donné leurs informations d’identification à un attaquant après avoir utilisé des astuces d’ingénierie sociale. Elles peuvent également avoir été compromises à la suite de questions de sécurité faciles à deviner.

Si vous prenez les précautions de sécurité appropriées, il ne sera pas facile de « pirater » vos comptes. L’utilisation d’une authentification à deux facteurs peut également être utile : un attaquant n’aura pas seulement besoin de votre mot de passe pour entrer.