1 Français sur 5 victime de cyberattaques

Cyberattaques : 13,7 millions de Français auraient été victimes de hackers, d’après les estimations de l’éditeur d’antivirus Symantec-Norton.

Cliquer sur un lien sur Twitter dont on ne sait pas où il va vous amener, ou encore sur un lien dans un mail qui semblerait provenir d’un expéditeur légitime, sauf que vous n’êtes pas allés d’abord voir si c’était la bonne adresse mail : ce scénario vous est déjà arrivé ?

Le risque d’attaques informatiques n’épargne personne aujourd’hui, quels que soient l’âge ou la catégorie sociale de la victime. Une infection tient le plus souvent à un comportement risqué de la victime elle-même, par manque de connaissance dans ce domaine, ou par imprudence.

65 % des Français reconnaissent avoir déjà ouvert une pièce-jointe provenant d’un expéditeur inconnu, et quasiment un internaute sur cinq partage ses mots de passe avec d’autres utilisateurs, d’après l’étude de Symantec-Norton. Dans ce contexte, le nombre d’attaques informatiques ne peut être qu’impressionnant !

piratage ban

Pire, l’immense majorité des Français ne se rend pas compte que si leur ordinateur ou smartphone devient vulnérable, c’est qu’ils sont bien responsables de ce mal qui les a frappés. Le sondage de Symantec-Norton révèle que la plupart de nos compatriotes considèrent que la question de la gestion sécurisée de leurs données appartient aux fournisseurs d’accès à Internet et aux entreprises du secteur des nouvelles technologies.

Et les Français ne seraient pas les seuls à ne pas prendre les menaces informatiques au sérieux. Si 37 % seulement des internautes français indiquent qu’ils prennent toutes les mesures appropriées pour protéger leurs données, les Américains arrivent après, avec 35 %. Nos voisins européens font un peu mieux, mais la situation là aussi reste inquiétante : seulement 39 % des Britanniques et 50 % des Allemands peuvent se vanter de faire tout leur possible pour se protéger.

 

Cyberattaques : Quels sont les mots de passe testés par les hackers ?

Une société informatique a créé un pot de miel pour observer le comportement des hackers en matière de couple identifiant / mot de passe. Le moins que l’on puisse dire, c’est que l’originalité n’est pas de mise.

Tous les ans, la société Splashdata dévoile les mots de passe les plus utilisés par les internautes (voir Palmarès des mots de passe 2015 : du classique, mais avec un peu de Star Wars). Une liste où l’originalité n’a pas sa place et où les mêmes chaines de caractères (password, 123456, qwerty …) occupent les premières places du classement depuis plusieurs années.

Qu’en est-il des hackers ? Une autre société de sécurité, Rapid7, s’est en effet intéressée aux identifiants et aux mots de passe le plus souvent saisis par les pirates pour pénétrer un système. En étudiant 221 203 attaques venues de 119 pays, elle a établi deux listes.

Sans surprise, « administrator » et sa variante « Administrator » sont des identifiants testés par respectivement 35% et 24% d’entre eux, « user1 » complétant le podium devant « admin ».

Identifiants hackers Rapid7
Mots de passe hackers Rapid7

Pour les mots de passe, les « recherches » sont plus disparates : le plus souvent tenté (qui est simplement la lettre « x ») ne l’est que par 5,4% des pirates qui ont été séduits par le pot de miel de Rapid7. On trouve également dans ce classement « Zz » (4,8%) et St@rt123 (3,6%).

La liste publiée ici ne recoupe pas celle produite par Splashdata et pour cause : les hackers savent que les entreprises, qui sont pour eux la cible privilégiée, n’utilisent pas les mêmes mots de passe que le grand public, visé par l’enquête Splashdata.

Cyberattaques et Mots de passe : la sécurité vous tient hacker

password, admin, 123456, abcdef, qwerty, j’en passe et des meilleures… Voilà des mots de passe encore bien utilisés si l’on en croit le palmarès 2013 des 25 mots de passe les plus fréquents (publié par la société SplashData, éditrice de logiciels). Mais de véritables passoires en termes de sécurité ! A l’heure du cloud et des services Web qui numérisent toujours un peu plus nos vies, la vigilance ne saurait souffrir de négligences. De l’importance de sécuriser ses mots de passe, nous vous expliquons le pourquoi et le comment.

Paranoïa, quand tu nous gagnes…

On a beau être d’un naturel plutôt stoïque, la lecture du rapport P@$$1234: the end of strong password-only security publié en janvier 2013 par le cabinet d’expertise Deloitte donne tout de même quelques sueurs froides… Il s’appuie sur un travail intéressant de Mark Burnett (du site Xato.net), lequel a décortiqué une liste de 6 millions de duos login plus mot de passe uniques pour en extraire des statistiques.

  • 98,8 % de cette base d’utilisateurs emploient les 10 000 mots de passe les plus fréquents ;
  • 91 % se concentrent sur 1 000 mots de passe ;
  • 40 % font avec 100 mots de passe ;
  • 14 % (soit 840 000 personnes tout de même) piochent dans le top 10 !

Et le problème de ces mots de passe ultra bateau, dont « password » et « 123456 », c’est qu’ils représentent le degré zéro de sécurité, puisqu’ils seront les premiers à être testés par tout hacker qui se respecte. Le souci de sécurité n’est visiblement pas encore rentré dans toutes les têtes…

nuage de mots de passe
Nuage des mots de passe les plus usités, vraisemblablement sur une base d’utilisateurs américains

 

Phishing
Mais bien sûr…

Pour mieux se protéger de l’ennemi, il faut tenter de le comprendre. Comment les hackeurs fonctionnent dans les grandes lignes ? Quatre scenarii sont à envisager : le piratage en direct, le vol de bases de données, le phishing (ou plus globalement le social engineering précise Paul Rascagnères, analyste malware chez l’éditeur d’antivirus G DATA) et les virus. Le premier, qui consiste à tester tous les mots de passe possibles et imaginables dans une interface de connexion sur la base d’un identifiant connu, n’est plus possible aujourd’hui ou très rarement. Cela, parce que la grande majorité des sites sérieux bloquent les comptes au bout de quelques tentatives ratées, trop peu nombreuses même pour un mot de passe évident (quoique avec password et 123456…).

Non, le gros des dangers tient dans le vol, les virus et le social engineering. Pour ce dernier, une sorte de vol avec consentement non éclairé, la complexité d’un mot de passe n’a pas d’intérêt : le hackeur se fait passer pour quelqu’un d’autre (email, coup de fil ou faux site officiel), et s’il parvient à duper l’utilisateur, il en profite pour récupérer ses identifiants, en clair. La pratique est courante, les données sont ensuite utilisées ou revendues sur des marchés parallèles. Le seul remède dans ce cas, c’est la vigilance. Idem pour l’aspect virus, un malware avec keylogger peut intercepter vos saisies au clavier ou chiper les identifiants stockés dans le navigateur par exemple : votre ordinateur doit être protégé par un antivirus, à jour, et en programmant des analyses régulières.

Sources :

http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-820554-francais-victime-cyberattaques.html

http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-798512-quels-mots-testes-hackers.html

http://www.clubic.com/internet/article-712101-1-mots-passe-conseils-securite.html

Au sujet de l'auteur

Lire aussi :