Attaque par dictionnaire : comment l’empêcher ?

La technique consiste à tester consécutivement de nombreux mots réels présents dans des dictionnaires de différentes langues, ainsi que des mots de passe couramment utilisés tels que « 123456 », dans le but de briser les barrières d’accès aux systèmes protégés par mot de passe. Ce type d’attaque par mot de passe repose sur le fait avéré qu’un grand nombre d’utilisateurs choisit les mêmes mots de passe, faciles à retenir, mais aussi faciles à deviner pour les criminels.

Différents types de logiciels d’attaque par dictionnaire sont utilisés, sous Python notamment, qui sont également capables de combiner plusieurs mots dans la recherche d’un mot de passe. Au fil des années, le nombre de cyberattaques augmente, mais l’utilisateur moyen ne dispose toujours pas de mots de passe forts et sûrs. La répétition des erreurs les plus courantes lors du choix d’un mot de passe, comme le nom de son équipe ou de son athlète préféré, est devenue un thème récurrent. Le côté positif, c’est qu’il est facile de les corriger en suivant quelques conseils de base.

Il faut savoir que les cybercriminels utilisent cette méthode non seulement pour accéder aux services des utilisateurs tels que la messagerie électronique ou les réseaux sociaux, mais qu’ils utilisent également l’attaque par dictionnaire pour tenter de contourner la sécurité des réseaux Wi-Fi, de pénétrer dans le système d’accès des jeux vidéo, ou encore le système d’entreprise des organisations.

Une attaque par mot de passe est généralement plus efficace qu’une attaque par force brute, car de nombreux utilisateurs ont tendance à utiliser un mot existant dans leur langue comme mot de passe pour tous leurs comptes, par facilité. Les attaques par dictionnaire ont peu de chance de réussir si vous utilisez un mot de passe sécurisé avec des lettres majuscules et minuscules mélangées à des chiffres (alphanumériques) et tout autre type de symboles. Alors, protégez-vous des logiciels malveillants !

Dans une attaque par dictionnaire, le cybercriminel utilise une liste de mots dans l’espoir que le mot de passe de l’utilisateur soit un mot couramment utilisé ou un mot de passe vu sur des sites précédents. Les attaques par dictionnaire sont optimales pour les mots de passe basés sur un seul mot. Pour effectuer une attaque par force brute, un pirate peut utiliser un outil pour essayer toutes les combinaisons de lettres et de chiffres, en espérant finalement deviner le mot de passe. Si le pirate sait qu’une organisation exige des caractères spéciaux dans son mot de passe, il peut demander à l’outil d’inclure des lettres, des chiffres et des symboles. Tout mot de passe, aussi fort soit-il, est vulnérable à cette attaque, mais cette méthode prendra un certain temps.

Les attaques par force brute et par dictionnaire peuvent être menées aussi bien en ligne que hors ligne. Lorsque les hackers tentent de pirater votre mot de passe en ligne, ils se connectent au système qu’ils attaquent. Toutefois, le nombre de tentatives pour deviner le mot de passe peut être limité et la victime est susceptible de découvrir que quelqu’un essaie de s’introduire dans le système.

Les cyberattaques hors ligne sont plus dangereuses, car les pirates disposent déjà d’une base de données contenant les mots de passe chiffrés volés. Ils peuvent prendre leur temps pour les déchiffrer, ce qui rend souvent les attaques hors ligne plus fructueuses.

Utiliser un mot de passe sécurisé rendra la tâche d’un attaquant plus difficile, mais pas impossible. Pour éviter la tâche fastidieuse de mémorisation des mots de passe pour tous les services et appareils, il existe des applications qui les gèrent à votre place, comme NordPass. Le gestionnaire de mots de passe demande de se souvenir d’un seul mot de passe, qui donne accès au reste des informations d’identification des services.

En mettant ces conseils en pratique, vous évitez la tentation d’utiliser des mots de passe simples qui sont répétés par des milliers de personnes et risquent donc d’être découverts par des criminels. Par exemple, une étude Censuswide menée en 2021 a révélé que le mot de passe le plus populaire de la planète pour la 5e année consécutive est « 123456 ». Il n’est donc pas surprenant que 10 % des utilisateurs utilisent les 25 principaux mots de passe, parmi lesquels : « mot de passe », « mot de passe1(2, 3, 4, etc.) », « football », « amour », la combinaison de touches « AZERTY » ou encore « Star Wars ». Enfin, pensez à utiliser les données biométriques, quand cela est possible sur votre appareil.

Heureusement, il existe d’autres mesures préventives que les internautes et les entreprises peuvent prendre pour empêcher ou détecter ces tentatives d’attaque :

• Réduire la vitesse des connexions répétées. Il est peu probable qu’un utilisateur final remarque un retard de 0,1 seconde lors de la connexion, mais ce retard s’accumule rapidement pour un pirate, surtout s’il ne peut pas paralléliser ses tentatives.
• Verrouiller vos comptes. Un système peut être configuré pour verrouiller un compte après un nombre déterminé de tentatives de connexion. De nombreux sites Web activeront des protections supplémentaires pour les comptes présentant des tentatives répétées de mot de passe incorrects.
• Mettre à jour vos mots de passe. Les systèmes exigent généralement que les utilisateurs changent leurs mots de passe tous les 90 jours, voire tous les 30 jours. C’est notamment le cas de la plupart des banques en ligne en France.
• Installer un VPN. Un VPN masque en partie votre activité en ligne, atténuant ainsi le risque d’être piraté. La fonctionnalité Protection Anti-menaces de NordVPN bloque les publicités gênantes, qui sont un moyen courant d’implanter des logiciels malveillants dans votre appareil.