6 façons de se faire voler ses mots de passe

Les mots de passe ne sont plus une garantie de sécurité depuis longtemps. Six façons dont les mots de passe peuvent être volés - et comment les solutions sans mot de passe peuvent empêcher cela.

sans mot de passe
Depositphotos, hyrons

Selon le 2023 Rapport d'enquête sur les violations de données de Verizon, 86 % des violations de sécurité recensées dans le rapport sont dues à des mots de passe volés, faibles ou obsolètes. Dans 74 % des cas, il s'agit d'une erreur humaine, par exemple d'une attaque d'ingénierie sociale.

Méthodes d'attaque

En général, les attaquants disposent de toute une série d'approches pour compromettre les mots de passe, comme l'écrit ForgeRock. Certaines d'entre elles existent déjà depuis des années, mais l'utilisation de l'IA générative a notamment favorisé le développement de nouvelles méthodes d'attaque :

  • Ingénierie sociale et hameçonnage : Les approches d'ingénierie sociale et de phishing fonctionnent en incitant les utilisateurs à divulguer volontairement leurs mots de passe au moyen de faux e-mails, sites web, messages texte ou appels téléphoniques. Il est de plus en plus difficile de distinguer ces messages falsifiés des messages légitimes. Par exemple, les pirates se font passer pour les dirigeants d'une entreprise auprès de ses employés afin de les convaincre de suivre les instructions contenues dans les faux messages sans trop se poser de questions et de divulguer, par exemple, la propriété intellectuelle et d'autres données confidentielles de l'entreprise.
  • Attaques par force brute : Lors d'une attaque par force brute, les pirates testent systématiquement toutes les variantes de mots de passe possibles jusqu'à ce qu'ils trouvent la bonne. Avec les outils et les applications logicielles disponibles aujourd'hui, y compris ceux qui utilisent l'IA générative, les pirates habiles peuvent tester des milliards de variantes et de combinaisons en peu de temps - les mots de passe particulièrement faibles sont ainsi rapidement craqués.
  • Attaques par bourrage de crâne : Dans cette approche, les pirates comptent sur le fait que les utilisateurs réutilisent leurs mots de passe pour plusieurs comptes. Avec des données d'identification volées une fois, les pirates peuvent donc accéder à de nombreux comptes différents.
  • MFA-Prompt Bombing (bombarder l'utilisateur de requêtes) : Même l'authentification multi-facteurs (MFA) n'est pas une garantie de sécurité parfaite contre les attaques. Dans l'une des méthodes d'attaque les plus sophistiquées de ces dernières années, également basée sur le principe de l'ingénierie sociale, les pirates envoient une nuée de fausses notifications MFA push aux terminaux jusqu'à ce qu'un utilisateur inattentif en valide une, donnant ainsi accès au pirate.
  • les logiciels malveillants : Il existe différents types de logiciels malveillants spécialement conçus pour voler des données de connexion ainsi que d'autres informations confidentielles. L'une de ces variantes est l'enregistreur de frappe (ou "espion de clavier"), qui permet à un pirate d'enregistrer les frappes de touches sur un terminal et de reproduire ainsi une saisie de mot de passe. D'autres variantes peuvent par exemple surveiller les presse-papiers et les mémoires intermédiaires pour y trouver des informations confidentielles et les envoyer à l'attaquant. Une autre possibilité est celle des Credential Harvesters, qui sont installés directement sur des pages web ou dans des applications et y enregistrent le processus de connexion et les données nécessaires à cet effet.
  • L'IA générative : Les pirates utilisent également de plus en plus l'IA générative pour craquer automatiquement les mots de passe et développer de nouveaux logiciels malveillants encore plus rapidement et efficacement. Cela permet de réaliser des attaques de phishing encore plus raffinées et ciblées, qui semblent bien plus convaincantes que jamais. En outre, l'IA générative permet de créer ce que l'on appelle des "deep fakes", qui combinent par exemple des données réelles préalablement dérobées, comme des numéros d'imposition ou de sécurité sociale, avec des informations personnelles falsifiées, afin de créer une toute nouvelle identité fictive. Ces fausses identités peuvent ensuite être utilisées, par exemple, pour demander des crédits ou des cartes de crédit, ouvrir des comptes ou faire des demandes de prestations sociales ou de soins médicaux.

Les solutions sans mot de passe sont l'avenir

Il existe différentes approches pour rendre le vol de mots de passe plus difficile, mais la seule façon de l'empêcher complètement est de supprimer les mots de passe, selon ForgeRock. L'authentification sans mot de passe minimise non seulement les risques d'attaque basés sur l'utilisation des données de connexion, mais augmente également la productivité des employés et la satisfaction des clients en simplifiant l'accès aux systèmes et aux services. Résultat : une entreprise plus sûre avec des utilisateurs plus satisfaits et moins de temps et d'argent consacrés au support.

Pour plus d'informations sur l'authentification sans mot de passe.

(Visité 509 fois, 1 visites aujourd'hui)

Plus d'articles sur le sujet

ACTUALITÉS SUR LA SÉCURITÉ

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
Vous pouvez vous désinscrire à tout moment !
close-link