La sécurité de ses comptes en ligne

De Wiki AznDark Production
Révision datée du 29 juin 2023 à 12:25 par Admin (discussion | contributions)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)

Ce petit guide a pour but d'enseigner les bonnes pratiques et astuces concernant la sécurité en ligne.

Si tous les éléments de ce guide sont correctement respectés, la probabilité de se faire hacker un compte est proche de 0%.

Comment je me suis fait hacker ?

Il existe de nombreuses méthodes pour voler un compte mais presque toutes sont basés sur le même principe : la faille humaine.

Cela veut dire que c'est, dans quasiment tous les cas, une faille provenant de vous.

Qu'est-ce que le hachage de mot de passe ?

Le hachage de mots de passe peut être comparé à mixeur : imaginez que vous entrez votre mot de passe dans ce mixeur et il vous donne en retour un mélange de lettres, de chiffres et de symboles qui semblent n'avoir aucun sens. Ce mélange est unique à votre mot de passe. Si vous entrez le même mot de passe dans le mixeur, vous obtiendrez le même mélange à chaque fois. Mais si vous changez ne serait-ce qu'une seule lettre de votre mot de passe, le mélange sera complètement différent.

C'est ce qui se passe lorsque vous créez un compte en ligne. Le site prend votre mot de passe, le passe dans son mixeur (le "hacheur de mots de passe") et enregistre le mélange résultant. Lorsque vous vous connectez, vous tapez votre mot de passe, le site le passe à nouveau dans le mixeur et compare le résultat avec le mélange qu'il a enregistré. Si les deux correspondent, vous êtes autorisé à vous connecter.

L'avantage du hachage de mots de passe est qu'il permet de garder les mots de passe en sécurité. Même si quelqu'un parvenait à obtenir le mélange (le "hash"), il ne pourrait pas retrouver le mot de passe d'origine, car le processus de hachage est à sens unique. C'est comme essayer de retrouver les ingrédients d'origine après avoir mixé un smoothie. C'est pratiquement impossible.

Il est important de noter que tous les mixeurs (ou hacheurs) ne sont pas égaux, certains sont plus sécurisés que d'autres. Par exemple, un bon hacheur ajoute un peu de "sel" à chaque mot de passe avant de le hacher. Le "sel" est une suite de caractères aléatoires qui rend le mélange final encore plus difficile à deviner.

Pour plus d'informations sur ce sujet, je vous invite à aller lire la page Wikipedia.

Comment casser un "hash" ?

Le "cassage de hash" est un peu comme essayer de deviner la recette d'un smoothie en se basant seulement sur son goût final.

Comme je l'ai expliqué plus tôt, le hachage de mot de passe est un processus à sens unique. Un mot de passe est transformé en une suite de caractères (le "hash") qui ne donne aucune information sur le mot de passe original. C'est un peu comme prendre des fruits, les mixer et obtenir un smoothie. Une fois que vous avez le smoothie, il est très difficile de savoir quels fruits exacts (et dans quelle quantité) ont été utilisés.

Le "cassage de hash", c'est essayer de retrouver les ingrédients originaux (le mot de passe) à partir du smoothie (le hash). C'est un processus très difficile, mais pas impossible. Le seul moyen d'y arriver est d'utiliser un ordinateur ou un serveur assez puissant avec des programmes sophistiqués pour essayer toutes les combinaisons possibles de mots de passe jusqu'à ce qu'on trouve celle qui donne le même hash.

C'est un peu comme essayer tous les mélanges de fruits possibles jusqu'à ce que vous obteniez le même goût de smoothie. C'est pour cela que les mots de passe courts et simples sont déconseillés : il est beaucoup plus facile de deviner la recette d'un smoothie à 2 ingrédients qu'un smoothie à 160 ingrédients.

Pour compliquer davantage la tâche des pirates, certains systèmes ajoutent un "sel" au mot de passe avant de le hacher. Le "sel" est une série de caractères aléatoires qui est ajoutée au mot de passe avant le hachage. C'est comme ajouter un ingrédient secret à la recette du smoothie qui rend plus difficile la tâche de le reproduire.

En résumé, le "cassage de hash" est la tentative de deviner un mot de passe à partir de son hash. C'est une technique utilisée par les pirates informatiques, mais elle est rendue difficile par l'utilisation de mots de passe longs et complexes, ainsi que par l'utilisation de techniques comme le "salage".

La réutilisation de mots de passe

L'utilisation du même mot de passe pour différents comptes est une pratique courante, mais dangereuse, en matière de sécurité en ligne. En effet, elle présente un risque significatif de compromission de plusieurs comptes si un seul est piraté.

La réutilisation de mots de passe rend les utilisateurs vulnérables à une forme d'attaque appelée "credential stuffing". C'est une technique automatisée utilisée par les pirates pour accéder à plusieurs comptes. Les pirates exploitent le fait que beaucoup de gens utilisent le même mot de passe pour plusieurs comptes. Ils utilisent des listes de noms d'utilisateur et de mots de passe déjà compromis (généralement obtenues lors de violations de données) pour tenter de se connecter à d'autres sites.

Par exemple, disons qu'un site de commerce électronique a subi une violation de données et qu'un pirate a obtenu une liste de noms d'utilisateur et de mots de passe. Le pirate peut ensuite utiliser ces informations pour tenter de se connecter à d'autres sites (banques, courrier électronique, réseaux sociaux, etc.) en pariant sur le fait que certaines personnes utilisent le même mot de passe partout.

C'est pourquoi il est essentiel d'utiliser des mots de passe uniques pour chaque compte. Si un mot de passe est compromis, l'utilisation de mots de passe distincts empêche le pirate d'accéder à vos autres comptes.

Un gestionnaire de mots de passe peut être un outil précieux pour gérer différents mots de passe (comme Bitwarden). Ces programmes stockent de manière sécurisée tous vos mots de passe et peuvent même générer des mots de passe forts et uniques pour chaque compte. Cela permet d'éliminer le besoin de se souvenir de nombreux mots de passe tout en maintenant un haut niveau de sécurité.

L'authentification à 2 facteurs (2FA)

L'authentification à deux facteurs (2FA, souvent abgrégé "double auth") est une mesure de sécurité qui nécessite deux niveaux d'identification pour accéder à un compte. Il s'agit d'une couche de sécurité supplémentaire au-delà de l'usage du simple mot de passe. Le deuxième facteur peut être un code généré sur votre téléphone, une notification push sur laquelle cliquer, une empreinte digitale ou une reconnaissance faciale.

L'objectif de la double authentification est de créer une barrière supplémentaire contre le vol de compte. Même si un attaquant réussit à obtenir votre mot de passe, il lui sera toujours difficile d'accéder à celui-ci sans le deuxième facteur.

Il est fortement recommandé d'activer la 2FA chaque fois qu'elle est disponible. Cela peut sembler être une étape supplémentaire fastidieuse, mais elle offre une protection significative contre le vol d'identité et de compte.

Il existe plusieurs méthodes de 2FA, dont certaines sont plus sécurisées que d'autres. Par exemple, l'utilisation d'une application d'authentification comme Google Authenticator, Duo ou Authy, qui génère des codes de vérification sans connexion réseau, est généralement plus sûre que l'envoi d'un SMS, qui pourrait être intercepté.

Les liens malveillants

Les liens malveillants sont des liens qui vous dirigent vers des sites web ou des téléchargements dangereux conçus pour installer des logiciels malveillants sur votre ordinateur ou voler vos informations personnelles (via des failles zéro-day par exemple). Souvent, ces liens sont envoyés par e-mail, par SMS, ou via des applications de messagerie comme Discord. Ils peuvent également être envoyés à partir du compte d'un ami qui a été compromis.

Voici comment cela fonctionne : le pirate accède au compte d'une personne (par exemple, en devinant son mot de passe ou en utilisant une attaque de phishing), puis envoie un message contenant un lien malveillant à tous les contacts de cette personne. Parce que le message semble provenir d'un ami, beaucoup de gens cliquent sur le lien sans y penser à deux fois.

Lorsque vous cliquez dessus, plusieurs choses peuvent se produire. Parfois, vous serez redirigés vers un site web qui ressemble à un site légitime (banque, Discord, autre) et vous demande de vous connecter. Si vous saisissez votre nom d'utilisateur et votre mot de passe, ces informations sont envoyées directement aux pirates.

D'autres fois, le lien peut déclencher le téléchargement d'un logiciel malveillant qui peut effectuer tout un tas d'actions comme par exemple voler vos informations personnelles (mots de passe enregistrés, cookies de session, etc), vous espionner, ralentir votre ordinateur, ou même verrouiller vos fichiers et vous demander de payer une rançon pour les récupérer. Une faille zero day du navigateur peut également être utilisée, dans ce cas tout se fera de manière transparente, sans téléchargement apparent et sans que vous ne vous rendiez compte de quoi que ce soit avant qu'il ne soit trop tard.

Que faire pour sécuriser mes comptes ?

  • Ayez un mot de passe d'une longueur de 16 caractères ou plus.
  • Ayez un mot de passe complexe, comprenant lettres minuscules et majuscules, chiffres et caractères spéciaux.
  • Générez des mots de passe totalement aléatoires, sans utiliser une quelconque logique (pas de dérivation d'un mot, nom d'un animal, etc).
  • Utilisez un mot de passe différent pour chaque compte.
  • Ne notez jamais vos mots de passe sur papier ou tout autre document non sécurisé.
  • Utilisez un gestionnaire de mots de passe comme Bitwarden.
  • Activez la double authentification (2FA) partout où elle est disponible.
  • Ne prêtez jamais votre PC ou votre téléphone à des personnes en qui vous n'avez pas confiance.
  • Ne cliquez jamais sur des liens suspects même si ils ont été envoyé par un proche ou un ami.
  • Changez régulièrement vos mots de passe.
Récupérée de « https://wiki.azndark.com/index.php?title=La_sécurité_de_ses_comptes_en_ligne&oldid=332 »