Comment les hackers volent-ils vos mots de passe ?

Selon Google, l’attaque du type phishing reste la plus dangereuse. En faisant croire à l’utilisateur qu’il est sur une page légitime, elle permet de collecter les mots de passe, mais aussi d’autres informations qui peuvent être demandées pour valider une connexion.

Comment votre compte Google (Gmail, Android, etc.) fini-t-il entre les mains des hackers ? C’est en quelques sortes la question que la firme de Mountain View s’est posée et à laquelle elle tente de répondre via une étude qu’elle a menée avec l’université UC Berkeley.

De mars 2016 à mars 2017, les deux entités ont analysé des marchés noirs où les mots de passe sont revendus, ainsi que des outils de keylogging et de phishing.

« Au total, ces sources nous ont aidé à identifier 788 000 informations d’identification volées via les keyloggers, 12 millions volées via le phishing et 3,3 milliards d’informations exposées à cause des fuites de données subies par des services tiers », indique Google.

L’étude porte sur les utilisateurs des services de la firme de Mountain View (donc, les comptes Google). Mais les mêmes tactiques sont utilisées pour accéder à des comptes sur d’autres services en ligne.

Le phishing reste la plus grande menace

Parmi les trois risques évoqués par Google, celui-ci estime que l’attaque du type phishing reste la plus sévère pour les utilisateurs de Google.

Pour rappel, cette technique consiste à demander le mot de passe, le login des utilisateurs et d’autres informations via des formulaires déguisés en pages légitimes. Par exemple, pour obtenir votre mot de passe Google, des personnes malveillantes peuvent vous faire croire que vous êtes sur le formulaire de connexion de la firme de Mountain View alors qu’en vérité, votre mot de passe sera directement envoyé vers leurs serveur.

L’étude de Google a révélé que dans le cas des informations d’identification exposées par les fuites de données, 12 % incluaient une adresse Gmail et un mot de passe. Mais seulement 7 % des mots de passe pouvaient être utilisé.

En revanche, dans le cas des attaques via phishing ou via keyloggers, les hackers obtiennent 12 à 25 % de mots de passe valides. D’autre part, comme le mot de passe ne suffit parfois pas pour obtenir un accès au compte Google, 82 % des outils de phishing analysés permettent de recueillir d’autres informations comme la localisation et l’adresse IP, parfois nécessaires pour se connecter.

Cette étude permet à Google de renforcer la protection de ses utilisateurs. Grâce à celle-ci, la firme a déjà pu sécuriser 67 millions de comptes avant qu’ils ne soient utilisés par des individus malveillants.

Voici quelques formes d'attaques des mots de passe

• Test de solidité 

Vos mots de passe doivent être « durs » (longs (minimum 12 caractères), complexes (chiffres, lettres minuscules et majuscules, signes spéciaux mélangés), impossibles à s'en souvenir (dans le genre 1aXùU95tBéµ7), tenus totalement secrets, impossibles à déceler même si l'on vous regarde le frapper au clavier à cause de caractères choisis un peu partout sur le clavier...)

• Attaque "Tables Arc en ciel" (Rainbow tables)

Attaques par Tables Arc en ciel (Rainbow Tables) (technique)
Les attaques en "Force brute" prenant trop de temps et les attaques par Dictionnaires prenant trop de place mémoire, il a fallu trouver un "Compromis Temps / Mémoire". Ce sont les "Tables Arc en ciel" ("Rainbow tables").

• Attaque en "Force brute"

Le cybercriminel, qui s'est procuré un mot de passe chiffré (son cryptage sous la forme d'un "code de hachage" appelé aussi "chiffre clé"), ou les millions de "chiffres clé" des clients d'une banque, d'un site e-marchand, d'un réseau social etc. ..., par divers procédés de piratage, va utiliser un logiciel spécialisé et, éventuellement, du matériel spécialisé, pour attaquer en "Force brute" les "chiffres clé" (codes de hachage) qu'il s'est procuré et remonter du "chiffre clé" (code de hachage) au mot de passe en clair, bien que le "hachage" soit considéré comme une opération univoque (il n'est, en théorie, pas possible de remonter d'un "code de hachage" (un "chiffres clé") au texte d'origine en clair). Cette forme d'attaque en "Force brute" (ou "Recherche exhaustive") contre les "codes de hachage" des mots de passe (les "chiffres clé") consiste à tenter toutes les combinaisons possibles de caractères des "codes de hachage" jusqu'à trouver les bonnes combinaisons qui correspondent aux "mot de passe" d'origine.

Si l'algorithme de hachage utilisé est, par exemple, SHA-1, qui "crypte" les mots de passe en "chiffres clé" (codes de hachage) de 160 bits de long, le nombre de calculs qui doivent être effectués est 2 ^ 160 (2 puisque chaque position binaire (chaque bit) ne peut prendre que deux valeurs, 0 ou 1, à la puissance 160 puisque le hachage se fait sur 160 bits).

•  Attaques par keylogger

Un keylogger est un dispositif matériel ou logiciel capturant les frappes au clavier. Lorsque les frappes concernent les zones de "login" et de "Mot de passe" d'un formulaire, le poseur du keylogger récupère ces informations en clair. En amont du keylogger il y a tous les moyens de nature virale pour introduire le keylogger dans un ordinateur (Cheval de Troie, Downloader...).

• Attaques par sniffing sur protocole

Sniffing sur HTTPS (attaque technique en sniffing nécessitant, en plus, de casser le cryptage TLS 1.0)
Lorsque la communication entre le client (vous) et le serveur (de la banque en ligne...) est établie de manière sécurisée, avec le protocole HTTPS, le cryptage utilise un algorithme de chiffrement comme SSL ou TLS.
TLS 1.0 est la norme depuis 2001, en dépit de TLS 1.1 publié en 2006 et TLS 1.2 publié en 2008. Or TLS 1.0 est affecté d'une vulnérabilité, connue de longue date, du chiffrage utilisé : Cipher Block Chaining. Un simple code en JavaScript inséré dans une page (piégée par un hacker) du site consulté permet d'insérer dans un paquet récupéré par un "renifleur" ("sniffer") la valeur du cookie de session. Cette valeur est la clé de cryptage et va servir à décrypter la communication.