Comment deviner un mot de passe?

Chacun d’entre nous a toujours rêvé de deviner un mot de passe, que cela soit celui d’un collègue ou simplement celui de son compagnon. Mais est-ce vraiment possible ?

Deviner un mot de passe n’est pas aussi difficile qu’on peut le croire. Bien entendu, les possibilités sont infinies, et on peut passer toute une vie à essayer sans pour autant trouver la bonne combinaison. Cependant, lorsque l’on a des informations un peu plus personnelles sur la personne, qu’elle soit morale ou physique, les probabilités s’amenuisent suffisamment pour augmenter ses probabilités de succès.

Faire confiance à la naïveté humaine

  • La majorité des internautes ignorent ou négligent les règles élémentaires de la sécurité informatique en optant pour un mot de passe aussi facile à retenir qu’à découvrir.
  • Lorsque l’on sait que près de 20% des gens utilisent leur prénom ou celui de leur conjoint, et que 30% font usage de la date d’anniversaire ou simplement le nom de l’animal, on se rend vite compte qu’il est facile de deviner un mot de passe pour la moitié de la population.
  • Ainsi, plutôt que des talents et des moyens informatiques de très haute qualité, un sondage sur la vie privée de la victime, ses relations ou encore le monde qui l’entoure peut parfois suffire à deviner un mot de passe dans des délais très brefs.

Les différents moyens de deviner un mot de passe

  • Bien entendu, on ne peut pas deviner un mot de passe à tous les coups, même en étant informé le mieux du monde à propos d’une personne. D’autres méthodes dites « d’attaques » sont alors utilisées par les pirates et permettent souvent le succès de la démarche lorsque le mot de passe ne présente pas de réelles difficultés.
  • L’attaque par la force brute signifie l’utilisation d’un maximum de mots de passe possibles. Ainsi, le temps d’aboutissement dépend principalement de la longueur des caractères, une dizaine variant nombres, chiffres et symboles étant pratiquement indétectable par moyen conventionnel.
  • L’autre attaque est celle par dictionnaire, en utilisant des mots potentiels issus d’une liste dans le but de deviner un mot de passe commun dans plusieurs langues. Cette technique est d’autant plus réputée pour les personnes morales, et notamment les entreprises, où le mot de passe a plus de probabilités d’être un mot international tel que « Password01 » plutôt que le nom de famille ou chien du patron.
  • Enfin, dans un domaine plus spécifique, l’attaque par empreinte va appliquer une fonction de hachage sur les mots utilisant les caractères relevés jusqu’à trouver l’équivalence. Si certaines techniques peuvent être utilisées, même d’une manière ludique, la dernière citée est bien entendue illégale.

Open source traffic analysis