Le top 5 des techniques utilisées par les hackers pour pirater les mots de passe

Les cyberattaques prennent de nombreuses formes et ne cessent d’évoluer, mais il existe une méthode d’intrusion non autorisée qui a fait ses preuves au fil du temps : le piratage du mot de passe d’un utilisateur. Malgré cela, trop d’entreprises continuent de s’appuyer sur des conseils obsolètes et des politiques de mot de passe fragiles. Voici un aperçu des cinq principales techniques de piratage de mots de passe les plus utilisées par les cybercriminels, ainsi que quelques conseils pour mieux protéger les identifiants de vos utilisateurs.

1.    Attaques par force brute et par masque

Parfois, la seule façon de découvrir un mot de passe est d’essayer toutes les combinaisons possibles de lettres, de chiffres et de symboles. Si le mot de passe est vraiment aléatoire, ces méthodes sont peu efficaces et très lentes, d’où le nom d’attaque par force brute. Cependant, contre des mots de passe courants ou faibles qui suivent des schémas prévisibles, elle peut s’avérer redoutablement efficace.

Un hacker peut utiliser un ordinateur ou un groupe d’ordinateurs pour essayer toutes les variations possibles. Plus le mot de passe est long, plus le processus de piratage est difficile et chronophage. Par exemple, lors d’une étude récente, nous avons analysé le temps nécessaire pour pirater des mots de passe avec un hachage SHA256 : les durées allaient de quelques minutes à plusieurs milliards d’années, selon la complexité.

Attaques par masque

Une attaque par force brute teste toutes les combinaisons possibles (ce qui devient impossible dès que les mots de passe dépassent 12 caractères aléatoires). Mais si l’on connaît une partie du schéma du mot de passe, une attaque par masque réduit considérablement le temps nécessaire. Par exemple, de nombreuses personnes ont des mots de passe de huit caractères comprenant une majuscule et se terminant par un chiffre ou un caractère spécial. En combinant cela avec des mutations basées sur des règles (comme le “leet speak” ou l’insertion de symboles), les hackers peuvent exploiter les habitudes humaines, comme le remplacement du “e”par “3” ou du “a” par “@”, pour rendre les attaques de force brute bien plus efficaces.

2.    Attaques par dictionnaire et mutations basées sur des règles

L’attaque par dictionnaire est l’une des techniques de piratage de mots de passe les plus anciennes et les plus couramment utilisées. Elle ne consiste pas à deviner toutes les combinaisons de caractères possibles comme une attaque par force brute, mais repose sur un constat simple, la plupart des utilisateurs choisissent des mots de passe prévisibles et courants. Les utilisateurs ont tendance à choisir des mots de passe faciles à mémoriser. Même lorsque les mots de passe ne sont pas des mots du dictionnaire, ils en sont souvent dérivés :

• password123
• iloveyou!
• Liverpool2023

De ce fait, une attaque par dictionnaire bien conçue peut permettre de pirater un grand nombre de mots de passe réels en quelques minutes, en particulier si le système utilise un algorithme de hachage faible (comme SHA-1 non salé) ou n’impose aucune limitation de tentatives.

Les hackers introduisent une liste prédéfinie de mots de passe potentiels (le dictionnaire) dans un outil de craquage tel que Hashcat ou John the Ripper, qui passe chaque entrée dans l’algorithme de hachage des mots de passe de la cible. Si le hachage obtenu correspond à celui de la base de données volée, le mot de passe en clair est récupéré.

Les dictionnaires utilisés sont souvent composés de :

• Bases de données de mots de passe divulgués (par exemple : RockYou, Have I Been Pwned)
• Dictionnaires spécifiques à une langue (par exemple, listes de mots d’argot allemand ou portugais)
• Listes thématiques (par exemple, équipes sportives, paroles de chansons, pseudonymes de jeux vidéo)
• Des listes personnalisées récupérées sur les réseaux sociaux et les forums

Mutations basées sur des règles

Pour aller au-delà des correspondances exactes, les hackers utilisent des mutations basées sur des règles pour modifier dynamiquement les mots du dictionnaire. Cela augmente considérablement le nombre de mots de passe testables sans alourdir le fichier de dictionnaire.

Exemples de mutations:

• password → Password, P@ssword, password1!, passw0rd, PASSWORD
• michael → michael1990, M1chael, michael!, michael123456

Des outils tels que Hashcat permettent d’enchaîner plusieurs règles en une seule exécution, en appliquant des transformations courantes (ajout de chiffres, inversion de majuscules/minuscules, inversion de mots etc.) à chaque entrée du dictionnaire.

Les attaques avancées peuvent personnaliser même les dictionnaires selon la cible :

• S’agit-il d’une violation de données d’entreprise ? Ajoutez du jargon spécifique à l’entreprise.
• S’agit-il d’une attaque régionale ? Ajoutez des noms de villes, des références culturelles ou des dispositions de clavier (par exemple, AZERTY vs QWERTY).
• S’agit-il d’un utilisateur spécifique ? Utilisez OSINT pour trouver des noms d’animaux de compagnie, d’enfants, de loisirs et de dates d’anniversaire.

3.    Rainbow tables

Un Rainbow table est une base de données précalculée associant des hachages à leurs mots de passe en clair correspondants. Comme les algorithmes de hachage sont publics, il est possible de générer à l’avance des millions de hachages de mots de passe courants, qu’un hacker peut ensuite comparer à ceux volés dans une fuite. Au lieu de générer un nouveau hachage pour chaque essai, il lui suffit de rechercher une correspondance dans la table. Cependant, il existe de nombreuses méthodes de hachage et une infinité de variations de mots de passe, ce qui rend la création et le stockage de ces tables rapidement ingérables.

Face à des hachages rapides non salés (comme LM/NTLM dans les anciennes versions de Windows), les Rainbow tables sont d’une efficacité redoutable. Mais le salage des mots de passe peut neutraliser cette méthode. Si le serveur ajoute des valeurs aléatoires avant ou après chaque mot de passe (valeurs connues uniquement de lui), les hachages obtenus ne correspondent plus aux valeurs connues. Un sel unique par utilisateur détruit leur utilité, car il faudrait une nouvelle table pour chaque sel.

4.    Credential stuffing

Les utilisateurs réutilisent souvent le même mot de passe de base sur plusieurs services. Si un mot de passe est piraté sur un site, un hacker peut rapidement essayer ce même mot de passe ou des variantes sur d’autres plateformes auxquels l’utilisateur peut avoir accès. C’est ce qu’on appelle le credential stuffing (bourrage d’identifiants). Les cybercriminels automatisent les connexions sur divers services à l’aide de combinaisons d’identifiants volés, en utilisant des outils comme Hydra ou Medusa.

Avec des milliards d’identifiants exposés, les hackers n’ont même plus besoin de pirater de nouveaux mots de passe : il leur suffit de tester des combinaisons e-mail/mot de passe connus sur des services connus. Un seul mot de passe réutilisé peut exposer toute une entreprise.

5.    Piratage de mots de passe par l’IA

Les chercheurs ont commencé à entraîner des réseaux de neurones sur d’immenses listes de mots de passe. Contrairement aux dictionnaires statiques, ces modèles apprennent les schémas linguistiques, les dates d’anniversaire, les mouvements sur clavier et les références culturelles, pour ensuite générer des tentatives de mot de passe qui imitent de manière crédible la créativité humaine. Des études ont montré que les outils de piratage assistés par l’IA comme PassGAN peuvent retrouver environ 50 à 70 % des mots de passe à eux seuls. Lorsqu’ils sont utilisés en complément d’outils traditionnels (par exemple, Hashcat), ils augmentent davantage le taux de réussite global.

Si les outils basés sur l’IA continuent de progresser à ce rythme, il est probable que ces techniques surpassent bientôt toutes les autres méthodes évoquées.

Comment rendre les mots de passe plus difficiles à pirater ?

Les systèmes modernes ne stockent jamais les mots de passe en clair (et si c’est le cas, vous avez un sérieux problème !). Ils les transforment via une fonction de hachage, produisant une chaîne de caractères fixe, apparemment aléatoire, qui ne peut être inversée, du moins en théorie. Pour renforcer la sécurité, la plupart des systèmes ajoutent plusieurs couches de protection :

1. Salage (salting) : ajout d’une valeur unique et aléatoire (16 à 32 octets) au début ou à la fin de chaque mot de passe avant le hachage. Le salage garantit que deux utilisateurs ayant le même mot de passe obtiennent des hachages différents, rendant les Rainbow tables inefficaces.
2. Key Derivation Functions (KDFs) : contrairement aux algorithmes de hachage rapides comme SHA1 ou MD5, les KDF ralentissent délibérément le calcul. Elles vous permettent d’ajuster la durée, la mémoire et le niveau de parallélisme requis pour chaque tentative, ce qui complique le piratage. Les trois plus populaires aujourd’hui sont :
   • bcrypt : basé sur le chiffrement Blowfish avec un facteur de coût pour augmenter le nombre d’itérations. Consultez les recherches de Specops sur les temps de piratage de bcrypt.
   • scrypt : ajoute une contrainte mémoire pour décourager les hackers via GPU et ASIC.
   • Argon2 : offre la plus grande flexibilité.
3. Pepper: une clé secrète, stockée séparément de la base de données (par exemple, dans une variable d’environnement). Même si un hacker accède à votre base de données, s’il ne dispose pas du pepper, il ne pourra pas valider ses hypothèses.

Riposter face aux piratages de mots de passe

Le piratage et la défense des mots de passe constituent un jeu du chat et de la souris sans fin. Les hackers inventent constamment de nouvelles techniques. Aujourd’hui, c’est l’IA générative ; demain, ce sera peut-être le piratage par force brute amplifié par l’informatique quantique. Mais il est possible de reprendre l’avantage.

L’intégration de Specops Password Policy à votre Active Directory vous aide à appliquer les dernières recommandations et à rester conforme aux exigences réglementaires. Grâce à des fonctionnalités comme les dictionnaires personnalisés et des politiques de mot de passe uniques et personnalisables, vous pouvez empêcher les utilisateurs de créer des mots de passe faibles et vulnérables aux techniques de piratage. De plus, Specops Password Policy analyse en permanence votre Active Directory à la recherche de mots de passe qui ont été piratés ou compromis.

Gardez une longueur d’avance sur les cybercriminels grâce à des politiques de mot de passe sécurisées et éliminez les mots de passe déjà piratés. Réservez une démonstration dès aujourd’hui.