Obtnenez un anti-ransomware gratuit
Téléchargez gratuitement Avast One pour vous préserver des ransomwares, virus et autres menaces. Obtenez une protection rapide et en temps réel pour votre Mac.
- Sécurité
- Confidentialité
- Performances
Le meilleur mot de passe est un mot de passe fort, mais vous n’êtes pas le seul à avoir du mal à trouver de bons mots de passe. Un mot de passe inviolable empêche les pirates de s’introduire dans vos comptes et appareils, tout en protégeant vos comptes et vos données personnelles. Apprenez à créer des mots de passe forts grâce à nos astuces et conseils d’experts et protégez vos comptes contre les fuites avec Avast BreachGuard.
Les cybercriminels peuvent cracker, pirater ou obtenir votre mot de passe de bien des façons. Ils peuvent utiliser un logiciel de cracking dédié, vous piéger via une campagne de phishing (hameçonnage) ou rechercher des indices dans ce que vous publiez sur les médias sociaux. Mais en général, ils achètent tout simplement les mots de passe sur le dark web.
Cette article contient :
Le piratage de mots de passe est une activité lucrative, et si vous utilisez le même mot de passe depuis des années et sur plusieurs sites, il est probable qu’il ait déjà été compromis. Dans le cadre d’une violation de données, les pirates volent les identifiants d’utilisateur, compilent toutes les informations dans une énorme liste, puis la vendent à d’autres cybercriminels qui l’utilisent à leurs propres fins.
Si vous êtes assez prudent pour empêcher vos mots de passer d’apparaître dans ces listes, les cybercriminels n’auront d’autre choix que d’essayer de les cracker. Nous allons vous présenter les différentes méthodes de cracking de mots de passe afin que vous sachiez comment créer des mots de passe aussi forts que possible.
Attaque par force bruteUne attaque par force brute consiste à essayer des mots de passe l’un après l’autre jusqu’à tomber sur le bon. Et pour automatiser cette tâche, il existe de puissants logiciels. Les outils d’attaque par force brute permettent de produire un maximum de combinaisons pour découvrir un mot de passe le plus rapidement possible.
En 2012, un pirate a fait la démonstration d’un cluster de 25 cartes graphiques (GPU) capable de générer 350 milliards de suppositions par seconde. En moins de six heures, cela lui a permis de cracker n’importe quel mot de passe Windows de 8 caractères (avec lettres majuscules et minuscules, chiffres et caractères spéciaux). Il a notamment pu obtenir les mots de passe de plus de 90 % de la base d’utilisateurs de LinkedIn.
Depuis lors, on préconise des mots de passe plus longs. Chaque caractère supplémentaire multiplie le nombre total de possibilités de manière exponentielle. Plus un mot de passe comporte de caractères, plus il faudra de suppositions pour qu’un pirate le découvre. Le cracking des mots de passe de 15 caractères ou plus peut prendre des centaines ou des milliers d’années.
Attaque par dictionnaireLes attaques par dictionnaire ont un rapport avec les attaques par force brute, mais au lieu d’essayer des chaînes de caractères aléatoires, elles consistent à générer des mots de passe composés d’un ensemble prédéfini de mots. Si votre mot de passe est constitué d’un seul mot, une attaque par dictionnaire pourra rapidement le cracker.
Si vous préférez utiliser des mots standard pour vos mots de passe, associez-en plusieurs pour créer une phrase de passe. Cette technique permet de créer des mots de passe forts, capables de déjouer de nombreuses attaques par dictionnaire. Les mots de votre phrase de passe doivent être complètement aléatoires, sinon les logiciels de cracking pourront la deviner.
Phishing (hameçonnage)Les cybercriminels plus subtils peuvent tenter de vous manipuler pour vous amener à divulguer votre mot de passe. Il s’agit d’une technique sournoise appelée « phishing ». Souvent menées par e-mail, les attaques de phishing sont des communications qui semblent provenir d’une source de confiance (institution financière, site web bien connu, ou même un dirigeant de votre entreprise).
Les e-mails de phishing invitent généralement leur cible à saisir ses identifiants de connexion sur des imitations de sites web. Ces attaques recourent à des techniques d’ingénierie sociale et malheureusement, de nombreuses victimes de phishing ne se rendent compte du problème que trop tard.
Les e-mails ne sont pas les seuls vecteurs de phishing. Les appels téléphoniques (et l’usurpation de numéro de téléphone) sont toujours populaires, tout comme les SMS et les réseaux sociaux. De nombreux « robocalls » (appels automatisés) – en particulier ceux qui portent sur les cartes de crédit ou les comptes en banque – sont d’ailleurs le premier vecteur de tentative de phishing.
Maintenant que vous avez compris en quoi consiste le piratage de mots de passe, vous pouvez créer des mots de passe spécialement conçus pour résister à ces techniques. Notez qu’en matière de phishing, la force de votre mot de passe n’a aucune importance. C’est à vous de rester vigilant face aux tentatives de phishing.
Pour les attaques par force brute ou par dictionnaire, nous avons identifié trois bonnes pratiques pour des mots de passe plus solides. Pour bénéficier d’une meilleure protection contre le piratage, modifiez vos mots de passe en suivant ces quelques règles d’or.
N’utilisez pas de mots de passe trop évidents ou trop typiques. Voici une petite liste des types de mots de passe à éviter :
Séquence de chiffres ou de lettres (« abcde », « 12345 »...).
Mot de passe comportant tout ou une partie de votre nom.
Mot de passe comportant des informations personnelles (date d’anniversaire, lieu de naissance...).
Série de caractères répétitifs (« aaaaa », « 0000 »...).
Le mot « mot de passe » (ou « password »). Aussi invraisemblable que cela puisse paraître, il y a toujours des gens qui utilisent ce type de mots de passe.
Votre mot de passe ne devrait comporter aucune information personnelle. En allant sur les médias sociaux, les pirates peuvent facilement recueillir des informations sur n’importe qui, et les utiliser dans leurs tentatives de piratage.
Comme expliqué plut haut, les attaques par force brute utilisent une combinaison de caractères après l’autre pour finalement générer celle que vous avez choisie comme mot de passe. Voici comment vous préserver de cette technique :
Utilisez 15-20 caractères ou plus. Plus un mot de passe est long, plus il est fort. Chaque caractère supplémentaire augmente les combinaisons potentielles de mot de passe, ce qui prolonge considérablement le temps nécessaire à une attaque par force brute.
Utilisez plusieurs types de caractères. Ce n’est pas pour rien que de plus en plus d’organisations exigent des mots de passe composés de lettres majuscules et minuscules ainsi que de symboles et de chiffres. Lorsque vous incluez tous les types de caractères possibles, vous maximisez le nombre de possibilités par caractère, ce qui rend votre mot de passe plus difficile à pirater.
Évitez les caractères de substitution courants. Les pirates programment leur logiciel de cracking pour qu’il tienne compte des échanges de caractères typiques (comme « 0 » lieu de « O »). « 410|\|3 » est aussi facile à craquer que « ALONE », et donc le leet speak n’est pas non plus une bonne solution.
Évitez les suites de touches de clavier. Les chemins de clavier faciles à mémoriser (comme azerty ou qsdf) ne sont pas plus difficiles à pirater que des mots ordinaires. Ce type de mot de passe est loin d’être sûr.
Vous pouvez déjouer les attaques par dictionnaire en évitant les mots de passe simples et faciles à deviner. Associez plusieurs mots pour créer des phrases de passe extra-longues, très résistantes aux attaques par dictionnaire et aux tentatives standard d’attaque par force brute.
Lorsque vous créez une phrase de passe, assurez-vous que les mots qui la composent n’ont pas de lien évident entre eux. Les logiciels de piratage peuvent deviner des mots apparentés, mais vous pouvez les contrer avec des mots aléatoires.
Protégez vos comptes avec des phrases de passe fortes.
Chez Avast, on s’y connaît en cybersécurité. Après des années d’expérience, nous savons ce qui rend certains mots de passe plus difficiles à pirater que d’autres, et nous connaissons la meilleure façon de les créer.
Vous trouverez ci-dessous nos méthodes de création de mots de passe préférées. Utilisez-les pour déconcerter tout pirate, que ce soit pour créer des identifiants de connexion en ligne ou pour protéger par mot de passe des fichiers et des dossiers importants sur votre PC.
Cette technique reprend l’approche de la phrase de passe et l’élève de quelques crans en matière de sécurité. Déjouez les pirates en choisissant des mots peu courants, tels que des noms propres, des noms de personnages historiques, des mots archaïques ou même des mots dans d’autres langues.
Pour mémoriser plus facilement votre nouvelle phrase de passe, vous pouvez construire une histoire à partir des mots que vous choisissez. Pensez à quelque chose que vous n’oublierez pas, de sorte que vous n’aurez pas à récupérer les mots de passe que vous avez oubliés. Pour rendre votre mot de passe encore plus fort, ajoutez des caractères spéciaux (autres que de le tiret du bas) entre les mots. Vous pouvez également remplacer des lettres par des caractères, mais évitez les substitutions courantes.
Regardez cette phrase de passe : SunTzu-cheesesteak-transistor-Noël-obrigado. Le grand stratège militaire Sun Tzu avait peut-être un tel penchant pour les sandwichs au fromage qu’il a reçu pour Noël un appareil à fromage alimenté par un transistor, pour lequel il a exprimé ses remerciements en portugais.
Créée par l’expert en cybersécurité Bruce Schneier, la méthode de la phrase consiste à transformer une phrase en mot de passe à l’aide d’une règle que vous créez vous-même. Par exemple, vous pouvez extraire les deux premières lettres de chaque mot de votre phrase, puis les enchaîner pour créer un mot de passe.
« Nebraska est le meilleur album de Bruce Springsteen » devient alors NeeslemeialbBrSp. Notez que pour plus de sécurité, nous avons pris soin de choisir une phrase comportant des signes de ponctuation ainsi que plusieurs lettres majuscules.
Ici, ce n’est pas tant le contenu de votre mot de passe que le fait de le saisir qui le rend très facile à mémoriser. Utilisez le générateur de mots de passe aléatoires d’Avast pour créer des mots de passe aléatoires jusqu’à en trouver un facile à taper. S’il s’agit d’un mot de passe que vous pouvez lire et mémoriser assez facilement, c’est encore mieux.
Une fois que vous avez trouvé un mot de passe qui vous plaît, entraînez-vous à le taper jusqu’à ce que cela devienne un automatisme. La prochaine fois que vous vous connecterez, vos doigts sauront déjà quoi faire.
Maintenant que vous avez de nouveaux mots de passe, forts et créatifs, vous devez veiller à les garder privés.
Vous devez tout d’abord vous assurer que votre messagerie n’a pas été piratée. Utilisez Avast Hack Check pour voir si l’un de vos mots de passe a été divulgué – si c’est le cas, vous devez le changer immédiatement. Si vous utilisez votre adresse e-mail pour vous connecter à des plateformes, changez également le mot de passe de votre adresse e-mail.
Avast BreachGuard recherche toute fuite de vos données personnelles sur le dark web. Les violations de données sont fréquentes, et les données volées sont souvent mises en vente sur le marché noir pour d’autres cybercriminels. Si et quand BreachGuard détecte vos données, il vous alerte immédiatement afin que vous puissiez agir au plus vite pour changer vos mots de passe et sécuriser vos comptes.
Les sites web ont désormais pour habitude de chiffrer les mots de passe de leurs utilisateurs. Ainsi, même si des pirates parviennent à pénétrer dans leurs bases de données, ils devront déchiffrer les informations volées pour pouvoir les utiliser. Tout site web qui stocke encore des mots de passe en texte brut n’a rien à faire sur l’Internet d’aujourd’hui.
Il en va de même pour l’utilisation du protocole HTTPS. Ne saisissez pas d’identifiants de connexion ou d’informations personnelles sensibles sur un site web qui utilise encore le HTTP. Si vous devez créer un compte sur un site utilisant le HTTP, faites-le avec un mot de passe unique, que vous n’utilisez pour aucun autre compte.
Devenue une pratique de sécurité standard, l’authentification à deux facteurs (2FA) et son cousin élargi l’authentification à plusieurs facteurs (MFA) ajoutent des couches de protection supplémentaires à votre connexion. Si un pirate obtient votre mot de passe, il devra surmonter au moins un obstacle supplémentaire avant de pouvoir accéder à vos données.
Parmi les mesures d’authentification courantes, on retrouve les codes envoyés par SMS, les applications d’authentification mobile, le scan des empreintes digitales ou faciales, ou encore un jeton physique. Mais comme les pirates peuvent usurper ou intercepter des SMS, comme l’a montré un piratage de Reddit en 2018, nous ne recommandons pas les SMS comme méthode 2FA.
Les clés de sécurité physiques font partie des méthodes MFA les plus sûres. Disponibles en plusieurs versions (USB, NFC et Bluetooth), elles ne donnent accès qu’au détenteur de la clé. De cette manière, elles sont beaucoup plus sûres que la vérification par SMS, à condition que vous ne perdiez pas votre clé.
L’Alliance FIDO est un groupe dédié à la vérification et à la normalisation de la MFA. Utilisez les services approuvés par la FIDO (Google, PayPal et Amazon) pour une authentification et une protection de haut niveau.
Intégrez ces bonnes pratiques de sécurité dans votre routine pour améliorer la sécurité de votre connexion :
Utilisez un VPN lorsque vous êtes sur des réseaux Wi-Fi non sécurisés, comme le Wi-Fi public gratuit dans un aéroport ou dans un café. Utiliser un VPN empêchera toute personne malveillante d’intercepter vos informations de connexion.
Ne transmettez jamais votre mot de passe en texte clair. N’envoyez jamais votre mot de passe par e-mail ou par SMS à quiconque.
Choisissez des questions de sécurité difficiles à deviner lorsque vous créez de nouveaux comptes. Il y a beaucoup d’informations vous concernant sur Internet. Lorsque vous choisissez des questions de vérification, ne choisissez pas des options dont les réponses sont faciles à trouver.
Changez régulièrement vos mots de passe. Même si un pirate parvient à s’emparer de vos informations d’identification, il ne pourra pas les utiliser si vous avez mis à jour votre mot de passe entre-temps.
Ne stockez pas vos mots de passe dans un navigateur. Si quelqu’un s’empare de votre appareil, la porte lui sera grande ouverte. Tout mot de passe enregistré dans votre navigateur est un point d’entrée potentiel. Utilisez donc toujours un navigateur sécurisé.
Utilisez un programme antivirus puissant. Si le pire se produit et qu’un pirate obtient votre mot de passe, le meilleur logiciel antivirus vous protégera contre les intrusions et les logiciels malveillants.
Utilisez un gestionnaire de mots de passe. Si vous créez des mots de passe uniques pour chaque compte, vous pouvez les stocker en toute sécurité avec un gestionnaire de mots de passe digne de confiance. Stockez vos mots de passe de façon sécurisée tout en protégeant vos appareils et vos données personnelles grâce au gestionnaire de mots de passe intégré au logiciel de sécurité premium d’Avast.
En suivant les conseils présentés ci-dessus, vous deviendrez une cible beaucoup plus difficile pour tout cybercriminel. Protégez-vous et protégez toujours vos informations en utilisant des mots de passe forts, uniques et difficiles à pirater.
Même les mots de passe les plus forts ne peuvent pas vous aider si l’un de vos comptes est compromis par une violation de données. Les cybercriminels mettent souvent en vente des données volées sur le dark web, mais Avast BreachGuard analyse en permanence Internet pour détecter vos données si et quand elles sont exposées après une fuite.
Protégez vos comptes avec des mots de passe forts, uniques et difficiles à pirater, puis protégez-les encore plus avec Avast BreachGuard.