Mot de passe : Comment les hackers peuvent-ils le casser ?
INTRODUCTION
Chaque jour, des millions de mots de passe sont compromis à travers le monde.
Des outils gratuits et faciles d’accès permettent à quiconque d’essayer de deviner vos mots de passe en quelques minutes.
Cela semble effrayant, n’est-ce pas ? Mais c’est une réalité.
Que vous utilisiez un mot de passe pour votre boîte mail, vos réseaux sociaux ou votre banque en ligne, cette première ligne de défense peut rapidement devenir votre plus grande vulnérabilité.
La bonne nouvelle, c’est qu’il existe des moyens simples de sécuriser vos mots de passe et de vous protéger.
Voyons cela en détails.
Note importante : Les commandes présentées dans cet article ont un objectif purement éducatif et doivent être utilisées uniquement dans un cadre légal, comme pour tester la sécurité de vos propres systèmes ou ceux pour lesquels vous avez une autorisation explicite. Toute utilisation malveillante est strictement interdite et punie par la loi.
MOT DE PASSE, ATTENTION À LA CASSE
POURQUOI LES MOTS DE PASSE SONT-ILS UNE CIBLE PRIVILÉGIÉE ?
Les mots de passe protègent tout : vos réseaux sociaux, vos mails, vos comptes bancaires…
Pourtant, ils sont souvent la cible des hackers.
Pourquoi ?
Parce que beaucoup de gens utilisent des mots de passe faciles à deviner ou répètent les mêmes sur plusieurs sites.
Quelques chiffres pour illustrer :
- 123456 reste le mot de passe le plus utilisé dans le monde.
- Près de 50% des utilisateurs réutilisent le même mot de passe sur plusieurs comptes.
Ces mauvaises pratiques rendent la tâche des hackers incroyablement facile.
Et cela ne s’arrête pas là : avec des outils simples, ils peuvent tester des milliers de mots de passe en quelques secondes.
QUELS SONT LES OUTILS POUR CASSER UN MOT DE PASSE ?
Les hackers utilisent différentes méthodes pour casser vos mots de passe.
Voici les plus courantes :
Attaque par brute force
- Le principe : essayer toutes les combinaisons possibles jusqu’à trouver la bonne.
- Exemple : pour un mot de passe de 4 caractères, un ordinateur peut tester toutes les combinaisons en quelques secondes.
Attaque par dictionnaire
- Cette méthode repose sur l’utilisation de listes de mots de passe courants.
- Exemple : des fichiers contenant des millions de mots de passe comme « qwerty », « 123456 » ou « password ».
Rainbow tables
- Ces tables associent des mots de passe à leurs empreintes (hashes).
Si votre mot de passe figure dans une de ces tables, il peut être craqué instantanément.
COMBIEN DE TEMPS FAUT-IL POUR CASSER VOTRE MOT DE PASSE ?
Le temps nécessaire pour casser un mot de passe dépend de sa longueur et de sa complexité. Voici une estimation pour un hacker équipé d’un matériel standard :
Type de mot de passe | Temps estimé pour le casser |
123456 | 1 seconde |
azerty123 | Quelques secondes |
MotDePasse!2024 | Quelques jours |
UnePassphraseLongueEtComplexe2024 | Des années |
UnePassphraseAvec+DesSymb0les!&EtChiffres* | Plusieurs centaines d’années |
Cela montre l’importance de choisir un mot de passe long et complexe.
Avec un outil comme Hashcat ou John the Ripper, les mots de passe simples ne tiennent pas longtemps face à une attaque bien menée.
COMMENT LES HACKERS CASSENT-ILS VOS MOTS DE PASSE ?
Qu’est-ce qu’un hash, et à quoi sert-il ?
Un hash est une empreinte numérique générée à partir d’un mot de passe en clair.
Lorsque vous saisissez un mot de passe sur un site, celui-ci est souvent transformé en hash avant d’être stocké dans une base de données.
Cela permet d’éviter que le mot de passe soit visible en cas de fuite.
Démonstration : Comment casser un mot de passe avec Hashcat ?
Prenons comme exemple un mot de passe simple : 123456
.
Attention, les commandes ci-dessous sous réaliser sous un environnement Linux.
Étape 1 : Générer un hash
echo -n "123456" | md5sum
Cela génère le hash suivant :
e10adc3949ba59abbe56e057f20f883e
Étape 2 : Préparer un fichier dictionnaire (rockyou.txt)
Le fichier rockyou.txt contient des millions de mots de passe courants.
Voici un aperçu :
123456
password
123456789
qwerty
abc123
iloveyou
Vous pouvez télécharger ce fichier sur l’URL SecLists/rockyou.txt.tar.gz.
Une fois téléchargé, décompressez-le :
tar -xzvf rockyou.txt.tar.gz
Étape 3 : On inscrit le hash du mot de passe à découvrir dans un fichier nommé hash.txt
echo e10adc3949ba59abbe56e057f20f883e > hash.txt
Étape 4 : Casser le hash avec le logiciel Hashcat
hashcat -m 0 -a 0 hash.txt rockyou.txt
Explications des options :
-m 0
: spécifie que le type de hash est MD5.-a 0
: indique une attaque par dictionnaire.hash.txt
: contient le hash à casser.rockyou.txt
: est le fichier de dictionnaire.
Résultat :
Hashcat compare le hash ‘e10adc3949ba59abbe56e057f20f883e‘ et cherche si il y’en a un équivalent dans son fichier dictionnaire, ce qui donne :
e10adc3949ba59abbe56e057f20f883e:123456
Session..........: hashcat
Status...........: Cracked
Hash.Mode........: 0 (MD5)
Hash.Target......: e10adc3949ba59abbe56e057f20f883e
Cela montre que le mot de passe 123456
est vulnérable.
QUE PEUVENT FAIRE LES HACKERS AVEC VOTRE MOT DE PASSE ?
Lorsqu’un hacker accède à vos mots de passe, les conséquences peuvent être catastrophiques.
Voici quelques exemples concrets de ce qu’ils peuvent faire avec vos informations :
Accéder à vos comptes personnels
- Votre boîte mail devient une porte d’entrée pour réinitialiser d’autres mots de passe.
- Vos réseaux sociaux peuvent être détournés pour diffuser des contenus malveillants.
Voler vos données bancaires
- Si vous utilisez le même mot de passe pour votre banque en ligne, vos économies peuvent être en danger.
Prendre le contrôle de votre identité numérique
- Les hackers peuvent utiliser vos informations pour usurper votre identité, contracter des prêts ou effectuer des achats en votre nom.
QUELS SONT LES SIGNES QUE VOTRE MOT DE PASSE A ÉTÉ COMPROMIS ?
Un mot de passe compromis ne passe pas toujours inaperçu.
Voici quelques indices qui doivent vous alerter :
- Connexions inhabituelles : Vous recevez des notifications de connexion depuis des endroits que vous ne reconnaissez pas.
- Activité étrange : Des messages que vous n’avez pas envoyés apparaissent dans votre boîte d’envoi.
- Changement de mot de passe bloqué : Vous n’arrivez plus à accéder à un compte, car le mot de passe a été changé sans votre consentement.
En cas de doute, il faut réagir immédiatement :
- Changez vos mots de passe pour tous vos comptes sensibles.
- Vérifiez vos paramètres de sécurité, comme les numéros de téléphone ou adresses mail de récupération.
- Consultez l’historique des connexions pour identifier les activités suspectes.
COMMENT CHOISIR UN MOT DE PASSE SOLIDE ?
La règle d’or : longueur + complexité + unicité.
- Utilisez une passphrase : MonChien!2024AimeLesBalades est facile à retenir et difficile à deviner.
- Évitez les informations personnelles : noms, dates de naissance ou mots évidents.
- Ajoutez des caractères spéciaux : P@ssw0rd!2024 est plus sûr que password123.
Testez vos mots de passe sur howsecureismypassword.net.
POURQUOI DÉLÉGUER LA GESTION DE VOS MOTS DE PASSE ?
Même si vous créez des mots de passe solides, en retenir un différent pour chaque compte peut vite devenir impossible.
C’est là qu’interviennent les gestionnaires de mots de passe.
Sans entrer dans les détails, sachez que ces outils permettent de :
- Générer automatiquement des mots de passe ultra-complexes.
- Les stocker de manière sécurisée.
👉 Pour en savoir plus sur leur fonctionnement et choisir le bon outil, j’ai écris un article à ce sujet.
POURQUOI ACTIVER LA DOUBLE AUTHENTIFICATION ?
La double authentification (2FA) ajoute une couche de sécurité supplémentaire.
Méthodes courantes :
- Code SMS : Simple, mais vulnérable au SIM swapping.
- Applications d’authentification : Google Authenticator ou FreeOTP.
- Clé USB de sécurité : Une clé physique comme YubiKey est extrêmement sécurisée.
Comment l’activer ?
- Allez dans les paramètres de sécurité du site.
- Activez l’option 2FA.
- Choisissez la méthode qui vous convient.
👉 Pour en savoir plus sur le 2FA, j’ai également écris un article à ce sujet.
CONCLUSION
Les mots de passe sont souvent la première ligne de défense pour protéger votre vie numérique. Mais comme nous l’avons vu, un mot de passe faible ou mal géré peut rapidement devenir une porte d’entrée pour les hackers.
Adoptez de bonnes pratiques :
- Créez des mots de passe longs et uniques.
- Utilisez un gestionnaire de mots de passe.
- Activez la double authentification.
Prenez quelques minutes aujourd’hui pour revoir vos mots de passe et sécuriser vos comptes.
Un grand merci pour cet article très éclairant sur les techniques pour se protéger. C’est décidé, 2025 sera l’année de mes nouveaux mots de passe !
En plus, en tant que coach en storytelling stratégique, j’adore l’idée que le mot de passe soit une phrase mémorable. Donc qui raconte une histoire ou pose une intention. C’est une excellente manière de hacker son cerveau à chaque fois que l’on écrit son mot de passe. Cela s’appelle la visualisation créatrice. Avant de lire ton article, je n’avais jamais pensé au mot de passe comme outil de visualisation. 🙂
Bonjour Magalie,
Merci beaucoup pour ta lecture et ton commentaire 🙂
Oui, il est tout à fait possible de créer des mots de passe complexes tout en restant simple, en utilisant quelques astuces, comme remplacer les « O » par des zéros (0), etc.
Cela dit, je te conseille d’utiliser un gestionnaire de mots de passe qui les mémorise pour toi. Car, même en optant pour des phrases, on finit par s’emmêler les pinceaux avec tous les comptes que l’on a 😉
Merci Jérémy pour ces conseils précieux et tellement utiles. J’essaye de modifier petit à petit mes mauvaises habitudes car je prends de plus en plus conscience du danger à ne pas suivre tes bonnes pratiques.
Bonjour Laura,
Merci pour ta lecture et ton commentaire 🙂
Très bonne initiative pour l’amélioration de ta sécurité numérique 😉
N’hésites pas si tu as besoins de conseils supplémentaires ou si tu as des questions.
Merci pour ton article. Il m’a permis de réaliser l’importance de renforcer mes mots de passe et d’éviter leur réutilisation. Je compte également explorer l’utilisation d’un gestionnaire de mots de passe pour mieux les sécuriser. Actuellement, mes mots de passe sont enregistrés sur mes appareils, ce qui m’évite de devoir les réécrire. Cependant, en cas de perte de mon ordinateur ou de mon téléphone, j’avais pour habitude de les noter à la main, ce qui peut être contraignant et risqué.
Auriez-vous des recommandations pour les conserver de manière sécurisée ? Par exemple, est-il risqué de les stocker dans un fichier Word enregistré sur Google Docs, sachant que personne n’a accès à mon compte ? Cela me semble une solution pratique pour récupérer mes mots de passe en cas d’oubli, mais je me demande si c’est réellement sûr.
Bonjour Asma,
Merci pour ta lecture et ton commentaire 🙂
Concernant les mots de passe stockés sur ton ordinateur ou smartphone, tu as raison, il y a un risque de perte en cas de panne ou de perte de ton matériel.
Cependant, le plus gros risque reste lié aux virus : si un malware exporte les fichiers de configuration de ton navigateur, un hacker peut facilement les réinstaller sur son propre ordinateur. Il aurait ainsi accès à ton historique, à tes mots de passe, et bien plus encore.
Pour le stockage sur Google Docs, le risque est de te faire pirater ton compte Gmail, ce qui ouvrirait l’accès à tous les services liés à ton compte Google. Cela dit, avoir un document sauvegardé hors de ton appareil est déjà une bonne pratique.
Personnellement, j’utilise Bitwarden comme gestionnaire de mots de passe. Si quelqu’un parvenait à récupérer les fichiers de mon gestionnaire, ils seraient chiffrés et illisibles sans le mot de passe principal. C’est là toute la force d’un gestionnaire de mots de passe : tes données restent protégées, même en cas de vol. En plus, comme les mots de passe sont sauvegardés hors de ton appareil, tu ne les perds pas si ton matériel est cassé.
Je vais d’ailleurs publier prochainement un article détaillé sur Bitwarden, en complément de celui que j’ai déjà écrit sur les gestionnaires de mots de passe 😉
Merci pour cet article qui nous rappelle à la dure réalité du monde numérique.
J’opte pour la bonne résolution 2025: changer mes mots de passe qui ne sont pas assez sécurisés .
Merci encore pour ce rappel car même si on le sait, parfois on ne prend pas les bonnes mesures efficaces
Bonjour Ketty,
Merci pour ta lecture et ton commentaire 🙂
Très bonne résolution, bravo 🙂
Si tu as des questions, ou besoin de conseils, hésites pas à me passer un message 😉
Merci Jérémy pour ces informations utiles. En effet à l’heure du tout digital, il est important que tout le monde soit conscient des vulnérabilités liés aux mots de passe et apprendre des techniques simples pour se protéger.
L’ utilisation du même mots de passe pour plusieurs comptes est souvent lié à la peur d’oublier et la saturation mentale. Ainsi la technique du passphrase est une méthode facile et personnalisé de surmonter cette barrière. À mettre en pratique.
Bonjour Ida,
Merci pour ta lecture et ton commentaire 🙂
Oui, utiliser une phrase comme mot de passe augmente considérablement la complexité pour un hacker qui tenterait de le déchiffrer.
Cependant, pour éviter la peur de l’oubli, il est toujours utile d’avoir un gestionnaire de mots de passe, qui s’en chargera pour nous 😉
N’hésite pas si tu as des questions ou besoin de conseils sur le sujet 🙂
Ouh la la tout cela est inquiétant quand on y pense…
Merci pour tous ces conseils et ces explications simples pour un sujet très technique…
Bonjour Estelle,
Merci pour ta lecture et ton commentaire 🙂
Oui, et à l’heure où les cyberattaques sont légions, il est important de se protéger 🙂
Merci Jérémy pour cet article qui nous plonge directement dans le concret et qui nous sensibilise sur la sécurité des mots de passe. C’est très intéressant ! Je suis stupéfait d’apprendre qu’à l’heure actuelle, « 123456 » reste l’un des mots de passe les plus utilisés ! X__X D’autant plus que la plupart des sites ont désormais certaines exigences minimales de complexité pour les mots de passe, ce qui est une très bonne chose, en plus du 2FA comme tu l’as mentionné. J’ai bien aimé les exemples de commandes car elles montrent concrètement comment un cracker peut s’y prendre pour s’emparer de mots de passe. Et la réutilisation du même mot de passe pour des comptes différents est un vrai problème. Perso, j’utilise KeePass comme gestionnaire de mots de passe. Il génère un mot de passe complexe différent pour chacun de mes comptes et je n’ai même pas à les retenir, ce qui est très pratique. 🙂
Bonjour David,
Merci beaucoup pour ta lecture et ton commentaire 🙂
Oui, j’étais également surpris de découvrir cela lors de mes recherches.
Le déploiement d’une politique de mots de passe sur les sites Internet a commencé, mais très tardivement. Et parfois, la politique reste vraiment basique, du type : 8 caractères avec un chiffre…
Mais heureusement, les choses évoluent dans le bon sens 🙂
Keepass est une bonne solution, je trouve que son principal inconvénient est l’utilisation en local 🙂
À moins que tu ne l’utilises à distance via un partage SAMBA ou NFS, ce que je faisais avant de passer sur un serveur Bitwarden auto-hébergé.
Bonjour, Jérémy
Tout comme Laura, le fait de créer une phrase m’a particulièrement parlé. En tant que prof de lettres, les citations sont particulièrement importantes et cela va m’aider à revoir mes mots de passe très peu sécurisés jusque là.
Merci pour cet article éclairant !
Voici une version corrigée et légèrement reformulée pour plus de clarté et fluidité :
Bonjour Lison,
Merci pour ta lecture et ton commentaire 🙂
Oui, tu peux tout à fait utiliser des citations ou des phrases pour complexifier tes mots de passe sans effort 😉
N’hésite pas à te tourner vers un gestionnaire de mots de passe, qui s’occupera de tout retenir pour toi 😉
Merci pour ton article ! Ma compagne rouspète souvent car, étant d’un naturel un peu naïf et n’ayant aucune mémoire, j’utilise le même mot de passe standard pour à peu près tout (bon c’est ni AZERTY ni 12345) ! Pour l’instant, je croise les doigts, mais je retiens tes astuces pour combiner complexité/facilité.
Bonjour Denis,
Merci pour ta lecture et ton commentaire 🙂
J’imagine bien la scène avec ta compagne 😉
Dans un premier temps, pour améliorer la sécurité sans trop changer tes habitudes, tu peux remplacer ton mot de passe actuel par une petite phrase, comme l’exemple que j’ai donné dans l’article.
Un mot de passe complexe apporte déjà beaucoup, car en cas de vol du « hash » (empreinte numérique), le déchiffrer serait trop long pour un hacker, qui préfèrera passer à autre chose.
N’hésite pas si tu as des questions ou besoin de conseils supplémentaires 🙂
Ayant de multiples comptes, je suis une grande collectionneuse de mots de passe (y compris ceux des personnes de mon entourage que je suis parfois obligée de gérer!). Et comme évidemment on en perd certains, je suis obligée de changer, donc de multiplier les complications… merci donc pour les astuces que tu donnes, qui vont bien m’aider à organiser tout ça sans saturer ma modeste mémoire !
Bonjour Aurélie,
Merci pour ta lecture et ton commentaire 🙂
Dans ce cas, il serait préférable que tu optes pour un gestionnaire de mots de passe en ligne. Cela te permettra de centraliser tous les mots de passe que tu gères en un seul endroit, hors de ton matériel (et donc insensible à une casse ou un vol).
Par exemple, tu peux créer un compte Bitwarden en ligne. La version gratuite offre déjà une utilisation basique, qui répond bien souvent aux besoins courants.
Cela t’évitera le stress de tenir un fichier (non sécurisé) ou, pire, de risquer de le perdre.
N’hésite pas si tu as besoin de conseils ou si tu as des questions 🙂