Mais pourquoi les hackers en ont-ils autant après vos données personnelles ? Pour l’argent. Si leur motif semble évident, les moyens mis en œuvre pour collecter ces informations diffèrent d’un pirate à l’autre.
Au travers d’un quiz, plongez au cœur des questions que les hackers se posent et des compétences dont ils ont besoin. Et découvrez pourquoi ils privilégient certaines méthodes, comme l’hameçonnage, plutôt que d’autres.
Quiz : comment procèderiez-vous si vous étiez un hacker ?
Pour chacune des situations suivantes, découvrez les principales alternatives qui s’offrent aux hackers, et les solutions qu’ils ont tout intérêt à mettre en œuvre pour optimiser les chances de parvenir à leurs fins.
J’ai besoin d’accéder à la boîte e-mail d’une personne pour y extraire d’importantes informations confidentielles. Quelle solution dois-je privilégier ?
- Je me fais passer pour son service de messagerie et je lui envoie un faux e-mail de réinitialisation de mot de passe pour l’obtenir,
- J’utilise une attaque par force brute et teste alors une série de mots de passe successifs jusqu’à trouver le bon,
- Je fouille sur le dark web dans toutes les fuites de données disponibles en vue de mettre la main sur des identifiants et mot de passe de la cible.
Réponse : 1
Google lui-même s’est posé la question : quelle est la méthode la plus utilisée par les hackers pour trouver des mots de passe ? Selon une étude menée en 2017 par la firme de Mountain View, le dark web constitue une belle ressource pour les hackers, avec à cette date plus de 3 milliards de données de connexion. Surtout que ces informations sont majoritairement disponibles gratuitement ou pour seulement quelques euros. De quoi arriver facilement et rapidement à ses fins. Pour autant, cette méthode est de plus en plus détrônée par l’hameçonnage (ou « phishing » en anglais).
Le phishing rencontre un grand succès auprès des hackers. Toujours selon ce rapport, plus de 12 millions d’internautes ont déclaré cette année-là s’être fait voler leur mot de passe par ce biais. En optant pour cette méthode, les pirates informatiques ont l’avantage d’accéder au mot de passe actuel de l’utilisateur. Quoi de plus fiable que des données provenant directement de la source ?
Notez qu’une poignée de hackers privilégient quant à eux les malwares, et notamment les spywares pour enregistrer toutes les données saisies au clavier par l’internaute, dont les mots de passe. Mais cette pratique reste marginale par rapport aux deux précédentes (moins de 800 000 cas au sein de l’étude de Google).
La grande majorité des sites internet réclament des mots de passe de 8 caractères minimum, avec une majuscule, une minuscule et un symbole. Combien de temps me faut-il pour le trouver en utilisant la force brute ?
- 5 minutes seulement, ces recommandations sont une erreur,
- 17 jours, c’est long, mais bien loin d’être impossible,
- 17 000 ans, avec les méthodes actuelles, c’est presque impossible.
Réponse : 1
Selon une étude menée par le spécialiste de la cybersécurité Hive Systems, un hacker n’a besoin que de 5 minutes pour cracker un mot de passe aussi complexe. En revanche, en passant à 12 caractères, ce type de mot de passe devient quasiment introuvable. Sur la base des technologies actuelles, une vie entière ne suffirait pas pour l’obtenir.
D’où l’importance de créer des mots de passe suffisamment longs et forts pour l’ensemble de ses comptes en ligne, sans compter qu’ils doivent être uniques. Pour y parvenir, les gestionnaires de mots de passe sont vos meilleurs alliés.
Pour autant, le risque zéro n’existe pas. Les entreprises peuvent, elles aussi, être victimes de violation de données et communiquer malgré elles vos identifiants et mots de passe. Aussi, dès que vous avez un doute sur leur compromission, la CNIL vous recommande de les modifier et autant que possible d’activer l’authentification multifactorielle.
Je veux pousser ma victime à me faire un règlement d’argent, quelle est la meilleure méthode pour y parvenir ?
- Je lui fais croire que j’ai des vidéos tendancieuses d’elle et lui envoie des SMS et des e-mails de menace avec demande de rançon,
- Je lui fais croire qu’elle doit payer une amende et je crée un faux site de l’État pour l’inciter à régler la somme,
- Je crée une fausse offre d’emploi et demande à mes victimes une certaine somme pour finaliser le processus de recrutement.
Réponse : 2
Le chantage avec demande de rançon à la clé semble de prime abord être une solution efficace pour récolter une belle somme d’argent. Pourtant, il n’en est rien. Une étude de Bitdefender a démontré que les victimes ne paient pas si facilement leurs ravisseurs, et ce, même lorsqu’il s’agit leur image et de leur notoriété.
Selon les conclusions de cette enquête, seuls 32 % des Français plieraient face à la menace et en moyenne les internautes ne seraient pas prêts à verser plus de 450 euros pour récupérer leurs données. Une somme plutôt dérisoire, donc.
L’hameçonnage reste à ce jour la pratique la plus répandue pour récolter des fonds. Pour autant, de nouvelles méthodes ont fait leur apparition.
Parmi elles, les arnaques aux faux conseillers bancaires ou aux fausses offres d’emploi. Comme le rapporte le Financial Times, ces dernières ont explosé Outre-Atlantique, soutenues par le développement du télétravail. Concrètement, les pirates informatiques se font passer pour un recruteur, publient une annonce sur une plateforme reconnue, puis sous couvert de formations ou de demandes de visa de travail, réclament des fonds au candidat. Pour être crédibles, ils vont même jusqu’à faire passer des entretiens en visioconférence.
J’ai besoin de déposer un fichier malveillant dans l’ordinateur de ma cible, quelle est la méthode à privilégier ?
- Je m’infiltre à son domicile et tente de brancher ma clé USB à son ordinateur,
- Je dépose le programme malveillant dans une page web qu’il consulte régulièrement pour qu’il s’installe sur son PC,
- Par e-mail, dans une pièce jointe, c’est parfait.
Réponse : 3
Un récent rapport de l’opérateur américain Verizon révèle que 84 % des intrusions de fichiers malveillants se font par e-mails. Ces logiciels peuvent prendre plusieurs formes. Les spywares se chargent d’enregistrer les activités de l’utilisateur, comme les saisies au clavier, tandis que les rootkits permettent au hacker de prendre le contrôle de l’appareil concerné. Avec les ransomwares, les pirates chiffrent les données du PC puis négocient une rançon contre leur déblocage.
Simple à mettre en œuvre, cette procédure est également facile à « industrialiser ». Fausses promotions, usurpation de services reconnus, les stratégies ne manquent pas pour inciter les internautes à ouvrir ces e-mails. D’ailleurs, contrairement aux idées reçues, les programmes malveillants ne sont pas toujours cachés dans une pièce jointe, mais peuvent aussi être intégrés au cœur d’une image. D’où l’importance de désactiver leur téléchargement automatique.
Je suis à deux doigts d’accéder à l’espace client d’une banque en ligne de l’une de mes cibles, mais la double authentification par SMS est activée. Que puis-je faire ?
- Je laisse tomber, c’est tout simplement impossible,
- J’utilise mon logiciel de force brute pour trouver le code envoyé par SMS,
- Par SMS ? C’est la pire des méthodes de double authentification.
Réponse : 3
Bien que la CNIL, ainsi que l’ANSSI recommandent une authentification multifactorielle (2FA), toutes ne se valent pas. La double authentification par SMS est l’une des moins efficaces en la matière. Interception du message sur le réseau mobile, SIM swapping… Il y a beaucoup de failles.
Mieux vaut opter pour des applications mobiles spécialisées telles que Google Authentificator ou Microsoft Authentificator. Celles-ci délivrent un code à usage unique et temporaire, qui se réinitialise toutes les 30 secondes. Aucun risque donc qu’un pirate ne mette la main dessus à temps.
Bitdefender propose des solutions tout-en-un pour protéger ses appareils et ses données
Des solutions de cybersécurité comme celles de Bitdefender existent pour protéger efficacement vos données, votre identité et vos appareils.
Bitdefender Premium Security Plus s’impose comme l’un des outils les plus complets du marché et peut vous prémunir contre la plupart des attaques et même contre l’usurpation d’identité. Virus, malwares, spywares, ransomwares, sites frauduleux, SMS et e-mails de phishing, tout est automatiquement bloqué par le système.
Pour aller encore plus loin, Bitdefender Premium Security Plus scanne aussi le dark web à la recherche de vos informations personnelles et vous alerte dès qu’elles sont compromises. La solution vous délivre également une série de conseils avisés pour reprendre la main sur l’ensemble de vos données.
En prime, Bitdefender Premium Security Plus est particulièrement simple à utiliser et interactif. Et en ce moment, cette solution est affichée à seulement 69,98 euros par an, au lieu de 179,99 euros.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.