Kaspersky : Il suffit d’une minute pour craquer un mot de passe
juin 2024 par Kaspersky
Une étude réalisée par les experts de Kaspersky révèle que près de la moitié des mots de passe peuvent être devinés par les cybercriminels en moins d’une minute. Les conclusions du rapport, passant au crible 193 millions de mots de passe mis à disposition sur le Dark Web, piratés par des infostealers, par force brute, ou via des algorithmes intelligents, sont édifiantes.
Selon les résultats de la recherche menée par les experts de Kaspersky, 45 % des mots de passe analysés (87 millions) peuvent être devinés par les cybercriminels en l’espace d’une minute. Les chercheurs ont également identifié les combinaisons de caractères les plus fréquemment utilisées lors de la création de mots de passe. Seules 23 % des combinaisons (44 millions) se sont révélées suffisamment difficiles à décrypter pour déjouer les tentatives des fraudeurs, qui ont pris plus d’un an pour y parvenir.
Les données télémétriques de Kaspersky révèlent que plus de 32 millions de tentatives d’attaques par des stealers de mots de passe ont pris pour cible les particuliers en 2023, des chiffres qui soulignent l’importance cruciale d’une bonne l’hygiène numérique et de la mise en place d’une stratégie proactive en matière de mots de passe.
En juin 2024, Kaspersky a analysé 193 millions de mots de passe trouvés dans le domaine public sur diverses ressources du Dark Web. Les résultats indiquent que la majorité des mots de passe examinés ne sont pas assez robustes et peuvent être facilement compromis en utilisant des algorithmes intelligents.
La rapidité de compromission des mots de passe est répartie comme suit :
• 45% (87 millions) en moins d’une minute.
• 14 % (27 millions) entre 1 minute et 1 heure.
• 8% (15 millions) entre 1 heure à 1 jour.
• 6% (12 millions) entre 1 jour à 1 mois.
• 4% (8 millions) entre 1 mois à 1 an.
Les experts n’ont identifié que 23 % (44 millions) des mots de passe comme étant persistants, c’est-à-dire dont la compromission prendrait plus d’un an.
La majorité des mots de passe examinés (57 %) contiennent un mot du dictionnaire, ce qui réduit considérablement la force d’un mot de passe. Parmi les séquences de vocabulaire les plus couramment utilisées, plusieurs groupes peuvent être distingués :
• Noms propres : « ahmed », « nguyen », « kumar », « kevin », « daniel ».
• Mots populaires : « forever », « love », « google », « hacker », « gamer ».
• Mots de passe standard : « password », « qwerty12345 », « admin », « 12345 », « team ».
L’analyse a montré que seuls 19 % des mots de passe contiennent les signes d’une combinaison forte et difficile à déchiffrer, comme un mot ne figurant pas dans le dictionnaire, des lettres minuscules et majuscules, ainsi que des chiffres et des symboles, et aucun mot du dictionnaire standard. Dans le même temps, l’étude a révélé que 39 % de ces mots de passe peuvent être devinés en moins d’une heure à l’aide d’algorithmes intelligents.
Le point le plus inquiétant réside sans doute dans le fait que les attaquants n’ont pas besoin de connaissances approfondies ou d’équipements coûteux pour déchiffrer les mots de passe. Un processeur d’ordinateur portable standard et performant sera capable de trouver la combinaison correcte pour un mot de passe de 8 lettres minuscules ou chiffres en utilisant la force brute en seulement 7 minutes. Les cartes graphiques récentes peuvent même s’acquitter de la tâche en 17 secondes. En outre, des algorithmes intelligents pour deviner les mots de passe déchiffrent facilement les remplacements de caractères tels que « e » par « 3 », « 1 » par « ! » ou « a » par « @ », ainsi que des séquences populaires telles que « qwerty », « 12345 », « asdfg ».
« Inconsciemment, les êtres humains créent des mots de passe « humains », contenant des mots du dictionnaire dans leur langue maternelle, des noms, des chiffres, etc., autant d’éléments faciles à mémoriser pour nos cerveaux déjà bien sollicités. Même les combinaisons en apparence fortes sont rarement complètement aléatoires et peuvent donc être devinées par des algorithmes. Dans ces conditions, la solution la plus fiable consiste à générer des mots de passe totalement aléatoires à l’aide de gestionnaires de mots de passe. Ces applications peuvent stocker en toute sécurité d’importants volumes de données, offrant ainsi une protection complète et solide des données de l’utilisateur » commente Yuliya Novikova, responsable de l’équipe Digital Footprint Intelligence de Kaspersky.
Plus d’informations sur l’étude sur Securelist et sur le blog Kaspersky.
À propos de l’étude
L’étude a été conduite sur la base de 193 millions de mots de passe trouvés sur diverses ressources publiques du Dark Web.
Dans le cadre de leur enquête, les chercheurs de Kaspersky ont utilisé les algorithmes suivants pour deviner les mots de passe :
• Bruteforce - la force brute est une méthode pour deviner un mot de passe qui consiste à essayer systématiquement toutes les combinaisons possibles de caractères jusqu’à ce que la bonne soit trouvée.
• Zxcvbn - Il s’agit d’un algorithme de notation avancé disponible sur GitHub. Pour un mot de passe existant, l’algorithme détermine son schéma. Ensuite, l’algorithme compte le nombre d’itérations de recherche nécessaires pour chaque élément du schéma. Ainsi, si le mot de passe contient un mot, sa recherche prendra un nombre d’itérations égal à la longueur du dictionnaire. En disposant du temps de recherche pour chaque élément du schéma, nous pouvons calculer la force du mot de passe.
• Smart guessing algorithm - il s’agit d’un algorithme d’apprentissage. Sur la base de l’ensemble des mots de passe des utilisateurs, il peut calculer la fréquence des différentes combinaisons de caractères. Il peut ensuite générer des essais à partir des variantes les plus fréquentes et de leur combinaison jusqu’aux moins fréquentes.