Les attaques par dictionnaire sont une méthode courante utilisée par les pirates pour essayer de déchiffrer des mots de passe et de s’introduire dans des comptes en ligne.
Bien que ces attaques puissent être efficaces contre les personnes ayant une mauvaise sécurité de compte, il est extrêmement facile de vous en protéger en utilisant des mots de passe forts et l’authentification à deux facteurs. Cet article explique comment fonctionnent les attaques par dictionnaire et comment les prévenir.
Définition d’une attaque par dictionnaire
Une attaque par dictionnaire est un type d’attaque par force brute où un attaquant utilise un programme pour tenter de deviner votre mot de passe en testant une grande sélection de mots et expressions, un par un. Le dictionnaire dans le terme est littéral ; l’attaquant parcourt tous les mots du dictionnaire, ainsi que les mots de passe couramment utilisés ou les structures de mots de passe (comme les noms et les dates).
Cela signifie que si vous avez protégé votre compte avec motdepasse123 ou quelque chose de similaire, il est probable qu’un attaquant l’a inclus dans son dictionnaire. Il en va de même pour les mots de passe divulgués lors d’une violation, car de nombreuses personnes réutilisent leurs mots de passe plusieurs fois, soit à cause de la fatigue des mots de passe soit simplement par manque de conscience.
Beaucoup de personnes essaient d’améliorer la sécurité de leurs mots de passe en utilisant des chiffres ou des symboles à la place des lettres, comme P@55word ou quelque chose de similaire. Cependant, les attaquants ont compris cette tactique et remplacent les lettres, chiffres et symboles dans les phrases couramment utilisées.
Un exemple réussi d’attaque par dictionnaire a été l’incident de sécurité Dropbox en 2012, où un attaquant a obtenu le mot de passe d’un employé de Dropbox, l’a ajouté à son dictionnaire et a ainsi pu accéder aux systèmes de Dropbox. Jusqu’à 68 millions d’identifiants d’utilisateurs ont été divulgués dans cette attaque, ce qui en fait l’une des plus graves de l’histoire du cloud.
Se protéger contre les attaques par dictionnaire
Aussi graves que puissent être les attaques par dictionnaire, elles sont parmi les plus faciles à éviter. Tout d’abord, les services en ligne ont une part de responsabilité ici, car ils devraient avoir des systèmes en place qui verrouillent un utilisateur faisant plusieurs tentatives d’accès. Comme les attaques par dictionnaire nécessitent de nombreuses tentatives, c’est un bon moyen de les contrecarrer.
Mais vous pouvez rendre une attaque par dictionnaire pratiquement impossible en créant des mots de passe forts pour tous vos comptes (et assurez-vous que chaque mot de passe soit unique pour plus de sécurité). Tout mot de passe que vous utilisez plus d’une fois vous expose à une attaque, comme cet employé de Dropbox l’a découvert.
Pour créer un mot de passe fort, vous avez besoin de deux choses : il doit contenir au moins 16 caractères et être aléatoire. Aléatoire signifie exactement cela : vous ne pouvez pas utiliser un mot courant en substituant des lettres avec des chiffres. Les attaquants sont au courant de cela et contournent ce procédé facilement.
Pour créer des mots de passe aléatoires, vous devriez utiliser un générateur de mots de passe, qui fera un meilleur travail que n’importe quel humain. Bien sûr, il reste à se souvenir de ce mot de passe aléatoire. C’est là qu’interviennent les gestionnaires de mots de passe.
Comment Proton peut-il aider à lutter contre les attaques par dictionnaire ?
Un gestionnaire de mots de passe est un programme qui génère, stocke et remplit automatiquement vos mots de passe lorsque vous naviguez sur le web. Il s’agit de la seule solution viable pour utiliser des mots de passe aléatoires. Un gestionnaire de mots de passe améliore également grandement votre qualité de vie en ligne, car remplir automatiquement vos mots de passe en un clic est merveilleux si vous les avez précédemment saisis manuellement.
Cependant, chez Proton, nous avons estimé que la plupart des gestionnaires de mots de passe sur le marché laissaient beaucoup à désirer, c’est pourquoi nous avons développé Proton Pass. Il offre des fonctionnalités essentielles, comme générer et sauvegarder des mots de passe, mais va bien plus loin.
Pour commencer, Proton Pass offre une protection de bout en bout, qui chiffre vos mots de passe en permanence. Même si votre trafic vers nos serveurs était intercepté, les attaquants n’obtiendraient que des données chiffrées, inutilisables pour eux.
Nous proposons également Pass Monitor, un outil qui vous permet de savoir lesquels de vos mots de passe sont faibles et donc plus susceptibles de faire l’objet d’une attaque par dictionnaire. Il vous alerte également lorsque l’une de vos adresses e-mail a été exposée lors d’une fuite de données, vous donnant la possibilité de changer votre mot de passe avant qu’une attaque ne se produise.
Lorsque vous utilisez Proton Pass pour générer un mot de passe, vous avez également beaucoup plus d’options qui améliorent l’entropie du mot de passe, ou son caractère aléatoire. De plus, vous pouvez choisir entre des mots de passe forts et aléatoires ou de longues phrase secrète, beaucoup plus faciles à retenir, parfaites pour sécuriser l’accès à votre gestionnaire de mots de passe.
Nous proposons également des clé d’accès (passkey), une technologie de pointe permettant une authentification sans mots de passe, vous mettant ainsi à l’abri des attaques par dictionnaire. Peu de gestionnaires de mots de passe offrent cette fonctionnalité et aucun n’est aussi flexible que Proton Pass, vous permettant d’utiliser les clé d’accès (passkey) sur tout système qui les prend en charge.
Nous pouvons offrir ces fonctionnalités avancées, et plus encore, car nous sommes entièrement financés par des abonnements, sans capital-risque, sans entreprise qui fait de la publicité et dépendons donc de vous pour rester en activité. C’est pourquoi nous vous ferons toujours passer en premier, vous, notre communauté. Si vous voulez faire partie de ce mouvement, rejoignez Proton Pass dès aujourd’hui.