Il peut falloir jusqu'à 26 billions d'années à un hacker pour cracker un mot de passe robuste de 16 caractères, changez vite les vôtres !

Mélina LOUPIA
09 mai 2024 à 13h56
13
Ce mot de passe est craqué instantanément © Vitalii Vodolazskyi / Shutterstock
Ce mot de passe est craqué instantanément © Vitalii Vodolazskyi / Shutterstock

Les mots de passe restent le maillon faible de nos données. Et si aucun d'entre eux n'est infaillible, une étude montre combien il est important de les rendre le plus complexes et robustes possible. Il ne faut en effet que quelques secondes pour pirater le mot de passe le plus utilisé, « 123456 ».

Cela va sans dire, mais c'est mieux en le disant : plus un mot de passe est court et simple, comme une suite de 4 lettres dans l'ordre alphabétique ou de chiffres, plus rapidement il sera craqué. Pourtant, en 2023, « 123456 » était le mot de passe le plus utilisé par les Français.

Et même si, dans l'absolu, aucun mot de passe ne sera jamais assez long ni assez complexe pour être inviolable, autant ralentir la tâche des hackers, qui pourront mettre jusqu'à des milliards d'années pour cracker les plus forts. C'est en tout cas ce qu'a mesuré le dernier rapport de chez Hive Systems. Entre quelques secondes et plusieurs dizaines de billions d'années sont nécessaires pour pirater un mot de passe, en fonction de sa longueur et de sa complexité.

L'attaque par force brute pour cracker les mots de passe

Comme Hive Systems le montre dans un tableau publié sur son compte X.com, il ne faut par exemple que 3 secondes à un pirate pour trouver un mot de passe de 4 caractères composé de majuscules et minuscules, contre… 19 quintillions (avec 30 zéros) d'années pour décoder 18 caractères composés de chiffres, de lettres en minuscules et majuscules, et de symboles différents. Autant dire qu'il n'est pas encore né, celui qui saura le cracker.

En revanche, leurs outils et méthodes, eux, sont bien là. Et pour réaliser de telles performances, les chercheurs de Hive Systems ont enfilé leurs cagoules de cyberpirates et utilisé du matériel plutôt robuste, à savoir 12 GPU GeForce RTX 4090 de NVIDIA ainsi que des processeurs généralement utilisés dans les data centers. Pour la technique, ils ont utilisé la bonne vieille attaque par force brute, qui consiste à saisir toutes les combinaisons possibles les unes après les autres. Un peu long, certes, mais efficace.

Et pour contourner le système de hachage des mots de passe, utilisé par les entreprises pour « chiffrer » les mots de passe, ils ont tout simplement listé toutes les combinaisons de caractères du clavier avant de les hacher. Il leur a ensuite suffi de dénicher les correspondances entre cette liste et la base de données des mots de passe hachés, piratée sur le site concerné.

Comment renforcer vos mots de passe

Bien sûr, des alternatives aux mots de passe existent, souvent plus simples et efficaces pour protéger vos données, et éviter le piratage des mots de passe. Microsoft vient de généraliser l'usage des passkeys, ou clés de sécurité, pour tous ses produits au grand public. Les clés de sécurité physiques permettent une sécurité supplémentaire en externalisant l'authentification.

Mais pour les irréductibles du mot de passe manuel, il reste la solution du renforcement de la sécurité. Clubic vous indique quelques bonnes pratiques pour vous aider à rendre vos mots de passe si complexes et sûrs qu'il faudra bien quelques milliards d'années aux hackers avant de les cracker.

Choisissez un mot de passe fort, avec au moins 16 caractères © Song_about_summer / Shutterstock
Choisissez un mot de passe fort, avec au moins 16 caractères © Song_about_summer / Shutterstock

La règle d'or est de ne jamais utiliser le même mot de passe pour des comptes différents. De la même façon, évitez de vous connecter sur un compte avec les identifiants d'autres comptes, tels que Google ou Facebook, pour accéder à un site de e-commerce.

Ensuite, même si la tentation de stocker ses mots de passe sur son navigateur, de les consigner dans un document de son ordinateur ou même sur le cloud est grande, en cas de piratage, vous perdrez tout. N'hésitez donc pas à opter pour le chiffrement.

Pour renforcer la sécurité de vos mots de passe, rien de tel qu'une couche supplémentaire. L'authentification à deux facteurs ou plus, bien que parfois pénible, vous garantit qu'en cas de piratage, le hacker ne pourra pas aller plus loin que votre login et votre mot de passe.

Enfin, le gestionnaire de mots de passe reste un allié de choix, il fait tout à votre place. Ou presque. Il vous demandera juste… un mot de passe maître pour accéder à tous les autres, qu'il aura déterminés, chiffrés et stockés pour vous.

Meilleur gestionnaire de mots de passe, le comparatif en mai 2024
A découvrir
Meilleur gestionnaire de mots de passe, le comparatif en mai 2024
30 avr. 2024 à 14:11
Comparatifs services

Source : Hive Systems

Mélina LOUPIA

Mélina LOUPIA

Ex-journaliste société, l'univers du web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet m'ouvre l'appétit. De la dernière trend TikTok au reels le plus liké, je suis issu...

Lire d'autres articles

Ex-journaliste société, l'univers du web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet m'ouvre l'appétit. De la dernière trend TikTok au reels le plus liké, je suis issue de la génération Facebook que la guerre intestine entre Mac et PC passionne encore. En daronne avisée, Internet, ses outils, pratiques et régulation font partie de mes loisirs favoris (ça, le lineart, le tricot et les blagues pourries). Ma devise: l'essayer, c'est l'adopter, mais en toute sécurité.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (13)

Squeak
Aucun pirate ne va perdre son temps à essayer de découvrir un mot de passe par recherche exhaustive, d’autant plus que le nombre de tentatives est limité sur la plupart des services en ligne… Un mot de passe, aussi robuste soit-il, devient vulnérable en cas de fuite de données par exemple et le mot de passe seul ne suffit plus aujourd’hui pour sécuriser certains comptes importants. L’authentification à deux facteurs est devenu un allié de taille.
Keorl
Bonne pioche, un quintillion fait bien 10^30 en français !<br /> Mais le tableau dans le tweet est en anglais, et leurs «&nbsp;quintillions&nbsp;» à eux ne font que 10^18 parce qu’ils n’ont pas pigé le système quand ils nous ont piqué les mots. Pour nous, ça fait 19 trillions (10^18).<br /> Je ne retrouve pas dans ce tableau le 26 du titre. Sur la ligne «&nbsp;16 caractères&nbsp;», ça monte à «&nbsp;3 quadrillions&nbsp;» anglophones, soit 3 de nos billiards (10^15) (ce qui fait tout de même plus que 26 billions)
Valmont69
Comme le montre l’article, l’attaque par «&nbsp;brute force&nbsp;» ne va aboutir que sur des mots passe très simples et sur des services très peu sécurisés (normalement un compte et désactivé après un certain nombre de tentatives, généralement 5).<br /> Il sera plus intéressant d’essayer de réutiliser des mots de passe provenant d’un site qui s’est fait voler ses données ou d’utiliser un dictionnaire de mot de passe et enfin si la cible est clairement identifiée et vaut la peine d’y passer du temp, le social engineering est une méthode qui a fait ses preuves soit pour déduire le mot de passe ou pour obtenir la réponse de la question permettant de réinitialiser le mot de passe (d’ailleurs je ne comprends pas qu’on autorise encore des services à utiliser cette technique de réinitialisation de mot de passe).
Fraydz
Ça manque de liens d’affiliation pour un article qui fait si peur
dredd
Samir vient de palier ce manque on dirait.
serged
D’ici 26 billions d’années, les processeurs iront encore plus vite, donc on n’en a plus pour longtemps…
e_garfield
(C’est donc bien la taille qui compte)<br />
frigolu
Pour tester de nombreux mots de passe, on utilise l’IP spoofing et/ou une rotation de proxys. Mon serveur mail était constamment attaqué jusqu’à ce que je ne bloque des plages d’adresses et n’autorise que 2 tentatives avant un bannissement définitif de l’IP. Aujourd’hui, il subit quelques attaques par jour tout au plus. Mais le mot de passe est de 32 caractères alphanumériques et symboles, je ne me fais pas de soucis concernant les attaques par force brute.
zztop69
Squeak:<br /> L’authentification à deux facteurs est devenu un allié de taille.<br /> quand c’est possible , c’est encore assez limité , les sites qui proposent la double authentification .<br /> et souvent , meme pas possible avec une cle de securite usb ( par exemple ) .
MattS32
De toute façon dès que ça passe par le réseau, la force brute c’est mort, sauf si vraiment c’est un mot de passe extrêmement faible.<br /> Par rapport aux temps évoqués dans l’article, une force brute distante, c’est au bas mot 20 fois plus lent. Leur machine avec 12 GPU arrive à mouliner 1.7 millions de hash bcrypt par seconde, un serveur d’application classique en fera sans doute pas plus de 80 000 (faut déjà un très gros CPU à plusieurs dizaines de cœurs pour un tel débit, et encore, si il fait rien d’autre en même temps… or pour traiter une requête qui arrive par le réseau, y a pas que le hash du mot de passe à faire…)… Sans même parler de la latence réseau qui va aussi limiter le débit.<br /> Donc le bruteforce, ce n’est de toute façon envisageable que si on est certain que le mot de passe est très faible (genre service limité à un PIN numérique de seulement quelques chiffres) ou si on a choppé le hash du mot de passe, et qu’on peut donc faire l’attaque en local, avec beaucoup de puissance et très peu d’overhead. Et faut bien sûr aussi que la cible justifie la débauche de puissance nécessaire… Monopoliser dix GPU pendant un mois, pour casser le mot de passe de la banque en ligne du français moyen, c’est pas rentable.
Core-ias
L’authentification à deux facteurs est devenu un allié de taille.<br /> En plus c’est très utile pour les enquêtes d’avoir de multiples traces voir même de confirmer une identité.<br /> Après HTTPS, voici l’authentification en deux parties sur les sites illégaux.
Werehog
L’article précise bien que l’attaque brute force se fait en comparant avec une base de données volée, en comparant les hash…<br /> Mais je pense que l’attaque la plus « facile » c’est dénicher une base où les mots de passe ne sont pas ou très mal protégés (ça existe hélas) et tenter la même combinaison email/mot de passe sur d’autres sites, vu que la plupart des gens n’utilisent qu’un mot de passe. C’est redoutable.
Mr-Ragga
Un de mes MDP a fini sur le dark, non pas que quelqu’un ait généré mon MDP mais bien à une fuite d’un site web ! Style google / microsoft / SONY etc … Donc bon, 3 10 ou même 50 caractères, ça ne changera rien !
Valmont69
Mr-Ragga:<br /> Donc bon, 3 10 ou même 50 caractères, ça ne changera rien !<br /> C’est pour cette raison qu’un même mot de passe ne doit pas être utilisé pour s’authentifier sur plusieurs sites.
codeartemis37
oui, mais s’il n’y a pas de fuites de données mais que quelqu’un utilise «&nbsp;password&nbsp;» comme mot de passe…
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Réseaux Wi-Fi et sécurité des données : qui voit quoi ? Réseaux Wi-Fi et sécurité des données : qui voit quoi ?
Vous utilisez LastPass ? Le gestionnaire vous conseille de changer au plus vite votre mot de passe principal Vous utilisez LastPass ? Le gestionnaire vous conseille de changer au plus vite votre mot de passe principal
Protégez votre identité numérique : suivez ces conseils pour éviter les menaces Protégez votre identité numérique : suivez ces conseils pour éviter les menaces
Gestionnaires de mots de passe : que dire sur la gestion des clés d’identification (passkeys) ? Gestionnaires de mots de passe : que dire sur la gestion des clés d’identification (passkeys) ?
Comment réagir en cas de fuite de données ? Comment réagir en cas de fuite de données ?