Pour en finir avec les mots de passe

Après un long break, on reprend les articles cyber sur LE sujet sécu le plus critique: la gestion des mots de passe.

Comme on a pu le faire dans d’autres articles, afin de comprendre comment bien se sécuriser, on va se mettre dans la peau d’un.e hacker.  On met son sweat à capuche et on éteint les lumières, action !

Cet article présente des passages détaillant des techniques d'intrusion et maintien dans un SI sans y être autorisé. Ceci est réalisé uniquement à but pédagogique. En aucun cas cet article ne promeut les activités illégales décrites, se veut inciter à réaliser ces actions ou concevoir un mode d'emploi pour les réaliser. Ce sont des infractions pénales (article L.323-1 du Code pénal).

On va aujourd’hui pirater le compte instagram de Jean-Michel Dupont.

Niveau 1: “cracker” un compte instagram très peu sécurisé.

Tout d’abord on va recenser les informations qu’on a sur la victime. En quelques recherches google on va pouvoir trouver:

• Son email
• Sa nationalité / langue courante utilisée

Ok, Jean-Michel est français, on va donc chercher la liste des mots de passe les plus utilisés en France. Trouvé en 1 minute sur google !

Si tes mots de passe ressemblent à 12345, chouchou, loulou, Marseille, football -> continue à lire l’article, et ce défaut de sécurité sera une vieille histoire. 😎

On va écrire un petit script (je vous l’épargne) tout simple:

Toute les 2 minutes tu essaies de connecter à instagram avec l’email de Jean-Michel et un mot de passe de la liste.

On va se promener prendre un café au soleil,

Et au retour on peut constater que Jean-Michel a donc “sécurisé” son compte instagram avec le mot de passe loulou -> HACKED.

Conclusion: on n’utilise pas de mots de passe communs.

Bon là c’est facile.

Niveau 2: “cracker” un compte instagram un peu sécurisé.

Bon, la table des mots de passe les plus courants n’a pas fonctionné.

Alors on passe 5 minutes sur le fameux compte instagram de Jean-Michel où il raconte sa vie (passionnante), et à la 4ème photo de sa moto on comprends que Jean-Mi est très très biker !

On va préparer un faux site de e-commerce de pots d’échappements design, que l’on appellera BikerFire que l’on aura créé en 4 minutes avec n'importe quel website builder, deux trois photos sur internet et hop.

On va modifier un tout petit peu le code du site pour qu’à chaque nouvel utilisateur on reçoive un mail avec “{prénom} {nom} s’est créé un compte avec l’email {email} et le mot de passe {mot de passe}”.

On prépare un email bien aguicheur avec une offre de 75% sur un pot d’échappement cracheur de flammes que l’on envoie à Jean-Michel.

On retourne prendre un café en terrasse.

Ding ding! Vous venez de recevoir un email: “Jean-Michel Dupont vient de se connecter avec son mail jmd@gmail.com et son mot de passe Bikerfire!charlene78

Bien! Maintenant on ressort son insta et on recolle les morceaux pour comprendre le pattern de construction de ses mots de passe:

• Nom du site avec une majuscule
• Point d’exclamation pour satisfaire les caractères spéciaux obligatoires
• Le prénom de sa compagne
• Son département probablement de naissance

Et là on est capable de trouver TOUS les mots de passe de Jean-Mi, crazy hu ?

Allez on va s’amuser un peu avec un petit jeu ! 

Je vous donne un mot de passe de Jean-Michel et vous devinez sur quel site il l’utilise:

• Instagram!charlene78
• Facebook!charlene78
• Gmail!caroline78 

Facile hein ??

Ah oui! il semblerait que Jean-Michel n’ai pas changé son mot de passe gmail depuis sa séparation avec Caroline … 😅

Conclusion: On n’utilise pas de patterns prévisibles de mots de passe !

Bon, on revient du côté lumineux de la force.

Alors comment on fait pour protéger ses comptes ?

Ce qui est important pour de bons mots de passe:

• Pas de mots de passe communs comme “chouchou” “loulou” “Marseille” “football” “1234”
• Pas le même mot de passe sur tous les sites
• Pas de mots de passe prévisibles comme TonPrénom + nom du site + département + !
• Pas de mots de passe de moins de 8 à 12 charactères

Donc en gros un bon mot de passe ça ressemble à :

• EEPBuC7xfj22gXH4!
• backlands-impatient-stowing-public-craftwork

Et ce n’est jamais le même sur 2 sites.

Ok merci Tanc, mais je n’ai pas un cerveau qui peut se rappeler de trucs pareils ! Et je ne vais pas écrire ces mots de passes compliqués dans un fichier excel, word ou un post-it on est d’accord ?

Oui, et ça tombe bien parce qu’il y a un outil qui va changer ta life.

• Des comptes parfaitement isolés et sécurisés avec de vrais mots de passe
• Plus jamais besoin de te rappeler de tes mots de passe

Ce sont les password managers!

Les password manager

Un password manager c’est un outil qui conserve pour toi tous tes mots de passe, liés à tous tes comptes.

Avec leurs extensions de navigateur, tu n’as même plus besoin de te rappeler de tes mots de passe, c’est le password manager qui va s’en occuper pour toi.

Alors maintenant fonce !! 🔥

Deux recommandations cependant:

• Le mot de passe de ton password manager, appelé mot de passe maître, doit nécessairement être un mot de passe très solide que tu n’as jamais utilisé. ( note le sur un papier dans un premier temps, et au bout de quelques semaines tu t’en rappelleras puisque tu devras le rentrer environ une ou deux fois par jour pour accéder à tes comptes).
• Active l’authentication à deux facteurs sur ton password manager (c’est quand même le coffre fort de tous tes comptes hein !)

Voici une liste de password managers reconnus, honnêtement ils fonctionnent tous exactement de la même manière, et tu pourras très vite importer tes mots de passe existants. Ils ont tous une version gratuite.

• Proton Pass
• Bitwarden
• One Password

Tu souhaites mettre en place un gestionnaire de mots de passe dans ton entreprise sans prise de tête ?

Avec Qontrol.io tu vas pouvoir faire accompagner tous tes collaborateurices pour le déploiement d’un gestionnaire de mots de passe, sans que ça te prenne la tête !

Les liens ne sont pas affiliés et l'article n'est pas sponsorisé. Simplement je travaille aujourd'hui chez Qontrol, donc je vois que cet accompagnement est très utile !