Mot de passe : Comment les hackers peuvent-ils le casser ?

INTRODUCTION

Note importante : Les commandes présentées dans cet article ont un objectif purement éducatif et doivent être utilisées uniquement dans un cadre légal, comme pour tester la sécurité de vos propres systèmes ou ceux pour lesquels vous avez une autorisation explicite. Toute utilisation malveillante est strictement interdite et punie par la loi.

MOT DE PASSE, ATTENTION À LA CASSE

Les mots de passe protègent tout : vos réseaux sociaux, vos mails, vos comptes bancaires…
Pourtant, ils sont souvent la cible des hackers.
Pourquoi ?
Parce que beaucoup de gens utilisent des mots de passe faciles à deviner ou répètent les mêmes sur plusieurs sites.

Quelques chiffres pour illustrer :

  • 123456 reste le mot de passe le plus utilisé dans le monde.
  • Près de 50% des utilisateurs réutilisent le même mot de passe sur plusieurs comptes.

Ces mauvaises pratiques rendent la tâche des hackers incroyablement facile.
Et cela ne s’arrête pas là : avec des outils simples, ils peuvent tester des milliers de mots de passe en quelques secondes.

Les hackers utilisent différentes méthodes pour casser vos mots de passe.
Voici les plus courantes :

Attaque par brute force

  • Le principe : essayer toutes les combinaisons possibles jusqu’à trouver la bonne.
  • Exemple : pour un mot de passe de 4 caractères, un ordinateur peut tester toutes les combinaisons en quelques secondes.

Attaque par dictionnaire

  • Cette méthode repose sur l’utilisation de listes de mots de passe courants.
  • Exemple : des fichiers contenant des millions de mots de passe comme « qwerty », « 123456 » ou « password ».

Rainbow tables

  • Ces tables associent des mots de passe à leurs empreintes (hashes).
    Si votre mot de passe figure dans une de ces tables, il peut être craqué instantanément.

Le temps nécessaire pour casser un mot de passe dépend de sa longueur et de sa complexité. Voici une estimation pour un hacker équipé d’un matériel standard :

Type de mot de passeTemps estimé pour le casser
1234561 seconde
azerty123Quelques secondes
MotDePasse!2024Quelques jours
UnePassphraseLongueEtComplexe2024Des années
UnePassphraseAvec+DesSymb0les!&EtChiffres*Plusieurs centaines d’années

Cela montre l’importance de choisir un mot de passe long et complexe.
Avec un outil comme Hashcat ou John the Ripper, les mots de passe simples ne tiennent pas longtemps face à une attaque bien menée.

Qu’est-ce qu’un hash, et à quoi sert-il ?
Un hash est une empreinte numérique générée à partir d’un mot de passe en clair.
Lorsque vous saisissez un mot de passe sur un site, celui-ci est souvent transformé en hash avant d’être stocké dans une base de données.
Cela permet d’éviter que le mot de passe soit visible en cas de fuite.

Démonstration : Comment casser un mot de passe avec Hashcat ?

Prenons comme exemple un mot de passe simple : 123456.

Attention, les commandes ci-dessous sous réaliser sous un environnement Linux.

Étape 1 : Générer un hash

echo -n "123456" | md5sum

Cela génère le hash suivant :

e10adc3949ba59abbe56e057f20f883e

Étape 2 : Préparer un fichier dictionnaire (rockyou.txt)

Le fichier rockyou.txt contient des millions de mots de passe courants.
Voici un aperçu :

123456
password
123456789
qwerty
abc123
iloveyou

Vous pouvez télécharger ce fichier sur l’URL SecLists/rockyou.txt.tar.gz.

Une fois téléchargé, décompressez-le :

tar -xzvf rockyou.txt.tar.gz

Étape 3 : On inscrit le hash du mot de passe à découvrir dans un fichier nommé hash.txt

echo e10adc3949ba59abbe56e057f20f883e > hash.txt

Étape 4 : Casser le hash avec le logiciel Hashcat

hashcat -m 0 -a 0 hash.txt rockyou.txt

Explications des options :

  • -m 0 : spécifie que le type de hash est MD5.
  • -a 0 : indique une attaque par dictionnaire.
  • hash.txt : contient le hash à casser.
  • rockyou.txt : est le fichier de dictionnaire.

Résultat :

Hashcat compare le hash ‘e10adc3949ba59abbe56e057f20f883e‘ et cherche si il y’en a un équivalent dans son fichier dictionnaire, ce qui donne :

e10adc3949ba59abbe56e057f20f883e:123456                   
                                                          
Session..........: hashcat
Status...........: Cracked
Hash.Mode........: 0 (MD5)
Hash.Target......: e10adc3949ba59abbe56e057f20f883e

Cela montre que le mot de passe 123456 est vulnérable.

Lorsqu’un hacker accède à vos mots de passe, les conséquences peuvent être catastrophiques.
Voici quelques exemples concrets de ce qu’ils peuvent faire avec vos informations :

Accéder à vos comptes personnels

  • Votre boîte mail devient une porte d’entrée pour réinitialiser d’autres mots de passe.
  • Vos réseaux sociaux peuvent être détournés pour diffuser des contenus malveillants.

Voler vos données bancaires

  • Si vous utilisez le même mot de passe pour votre banque en ligne, vos économies peuvent être en danger.

Prendre le contrôle de votre identité numérique

  • Les hackers peuvent utiliser vos informations pour usurper votre identité, contracter des prêts ou effectuer des achats en votre nom.

Un mot de passe compromis ne passe pas toujours inaperçu.
Voici quelques indices qui doivent vous alerter :

  • Connexions inhabituelles : Vous recevez des notifications de connexion depuis des endroits que vous ne reconnaissez pas.
  • Activité étrange : Des messages que vous n’avez pas envoyés apparaissent dans votre boîte d’envoi.
  • Changement de mot de passe bloqué : Vous n’arrivez plus à accéder à un compte, car le mot de passe a été changé sans votre consentement.

En cas de doute, il faut réagir immédiatement :

  1. Changez vos mots de passe pour tous vos comptes sensibles.
  2. Vérifiez vos paramètres de sécurité, comme les numéros de téléphone ou adresses mail de récupération.
  3. Consultez l’historique des connexions pour identifier les activités suspectes.

La règle d’or : longueur + complexité + unicité.

  • Utilisez une passphrase : MonChien!2024AimeLesBalades est facile à retenir et difficile à deviner.
  • Évitez les informations personnelles : noms, dates de naissance ou mots évidents.
  • Ajoutez des caractères spéciaux : P@ssw0rd!2024 est plus sûr que password123.

Testez vos mots de passe sur howsecureismypassword.net.

Même si vous créez des mots de passe solides, en retenir un différent pour chaque compte peut vite devenir impossible.
C’est là qu’interviennent les gestionnaires de mots de passe.
Sans entrer dans les détails, sachez que ces outils permettent de :

  • Générer automatiquement des mots de passe ultra-complexes.
  • Les stocker de manière sécurisée.

👉 Pour en savoir plus sur leur fonctionnement et choisir le bon outil, j’ai écris un article à ce sujet.

La double authentification (2FA) ajoute une couche de sécurité supplémentaire.

Méthodes courantes :

  • Code SMS : Simple, mais vulnérable au SIM swapping.
  • Applications d’authentification : Google Authenticator ou FreeOTP.
  • Clé USB de sécurité : Une clé physique comme YubiKey est extrêmement sécurisée.

Comment l’activer ?

  1. Allez dans les paramètres de sécurité du site.
  2. Activez l’option 2FA.
  3. Choisissez la méthode qui vous convient.

👉 Pour en savoir plus sur le 2FA, j’ai également écris un article à ce sujet.

CONCLUSION

Les mots de passe sont souvent la première ligne de défense pour protéger votre vie numérique. Mais comme nous l’avons vu, un mot de passe faible ou mal géré peut rapidement devenir une porte d’entrée pour les hackers.

Adoptez de bonnes pratiques :

  • Créez des mots de passe longs et uniques.
  • Utilisez un gestionnaire de mots de passe.
  • Activez la double authentification.

Prenez quelques minutes aujourd’hui pour revoir vos mots de passe et sécuriser vos comptes.

Translate