• SarX

Comment procèdent les pirates qui s’intéressent au mot de passe serveur de votre site web?


Ils prennent d’abord quelques minutes pour vérifier si vous faites partie des 78 % d’internautes qui utilisent le même mot de passe ordinaire pour tous leurs accès.

Ils feront rapidement une vérification avec les mots de passe les plus fréquents et après seulement ils tenteront un déchiffrage un peu plus sophistiqué.

Il existe un logiciel (dont je ne vous donnerai pas le nom ici) très connu des pirates qui met moins de 10 minutes pour déchiffrer un mot de passe de 6 caractères et 40 minutes à deux heures pour les mots de passe de 8 chiffres associés à des noms ou mots.

Certains pirates trouvent un malin plaisir à étudier vos photos, vos goûts musicaux, vos lieux de vacances favoris, votre vie de famille et ainsi deviner votre mot de passe.

Un de nos clients avait ainsi présenté sur son site web commercial une page en mémoire d’un proche, décédé, lequel lui avait inspiré son goût de l’entrepreneuriat. Dans notre test d’intrusion réalisé à sa demande, nous avons supposé que le mot de passe serveur de son site web était le prénom de cette personne associé à des chiffres.

Nous avions raison pour le prénom et il nous a fallu quelques minutes pour reconstituer la suite de 4 chiffres complétant le mot de passe, qui d’après nous devait être une date commençant par 19_ _ ou 20_ _

Sarx Inc (www.sarx.net) réalise des tests d’intrusion réalistes qui donnent l’heure juste sur les éventuelles vulnérabilités.

Ces tests utilisent les méthodes actualisées, tout en étant réalisés par une agence officielle titulaire du permis provincial d’agence d’enquête ( loi 88 sur la sécurité privée).

Tout est une question de données

Les données personnelles sont l’or numérique de notre temps. Notre agence Sarx Inc collabore avec le Cercle numérique, regroupement d’experts (incluant une vraie experte des mots de passe) agissant pour la protection des données personnelles au Québec, car il était temps de prioriser les risques associés à cet enjeu.

Les pirates adorent collecter des données personnelles, parfois seulement pour le défi d’ingénierie technique ou sociale que représente l’exercice, chaque mois Google et YouTube enregistre des centaines de milliers de requêtes du style « How to crack a Facebook or Instagram password ? »

Notez que pirater votre Facebook revient à pirater aussi votre Instagram, car les deux sites sont reliés, de même Google et YouTube. Instagram est plus difficile à pirater puisque les messages lus sont éphémères et moins d’informations sont collectées.

Les noms les plus courants pour les mots de passe

Eve, Alex, Anna et Max sont parmi les plus courants, suivis de près par Ice, Tea, Pie et Summer.

Les mots de passe calendaires ne sont pas un obstacle pour les pirates et bien évidemment les prénoms de vos enfants sont testés par les mêmes pirates, d’autant plus qu’il est facile de trouver leur année de naissance.

Une proposition de solution :

Choisissez un mot de passe long et pourquoi pas une phrase complète ?

« 208Morningshuttleistreefern! » est une phrase qui n’a aucun sens (208 navette du matin est une fougère arborescente) et elle causera quelques problèmes aux pirates, bien davantage qu’une phrase cohérente : « 320Ifeelgood@thissummer ».