(KASPERSKY) – Une étude menée par les experts de Kaspersky révèle que près de la moitié des mots de passe peuvent être devinés par des cybercriminels en moins d’une minute. Les conclusions de ce rapport, qui a examiné 193 millions de mots de passe disponibles sur le Dark Web, piratés par des voleurs d’informations, par force brute ou via des algorithmes intelligents, sont révélatrices.
Selon les résultats de l’étude menée par les experts de Kaspersky, 45 % des mots de passe analysés (soit 87 millions) peuvent être devinés par les cybercriminels en une minute. Les chercheurs ont également identifié les combinaisons de caractères les plus fréquemment utilisées lors de la création de mots de passe. Seulement 23 % des combinaisons (soit 44 millions) se sont révélées suffisamment difficiles à déchiffrer pour déjouer les tentatives des fraudeurs, qui ont mis plus d’un an à y parvenir.
Les données de télémétrie de Kaspersky révèlent que plus de 32 millions de tentatives d’attaques de vol de mots de passe ont ciblé des individus en 2023, des chiffres qui soulignent l’importance cruciale d’une bonne hygiène numérique et de la mise en place d’une stratégie de mot de passe proactive.
En juin 2024, Kaspersky a analysé 193 millions de mots de passe trouvés dans le domaine public sur diverses ressources du Dark Web. Les résultats indiquent que la majorité des mots de passe examinés ne sont pas suffisamment forts et peuvent être facilement compromis à l’aide d’algorithmes intelligents.
La vitesse de compromission des mots de passe se décompose comme suit :
- – 45 % (87 millions) en moins d’une minute.
- – 14% (27 millions) entre 1 minute et 1 heure.
- – 8 % (15 millions) entre 1 heure et 1 jour.
- – 6 % (12 millions) entre 1 jour et 1 mois.
- – 4 % (8 millions) entre 1 mois et 1 an.
Les experts ont identifié seulement 23 % (44 millions) des mots de passe comme étant persistants, ce qui signifie qu’il faudrait plus d’un an pour les compromettre.
La majorité des mots de passe examinés (57 %) contiennent un mot du dictionnaire, ce qui réduit considérablement la force d’un mot de passe. Parmi les séquences de vocabulaire les plus couramment utilisées, on peut distinguer plusieurs groupes :
- – Noms propres : « ahmed », « nguyen », « kumar », « kevin », « daniel ».
- – Mots populaires : « pour toujours », « amour », « google », « hacker », « gamer ».
- – Mots de passe standard : « password », « qwerty12345 », « admin », « 12345 », « team ».
L’analyse a montré que seulement 19 % des mots de passe contiennent des signes d’une combinaison forte et difficile à déchiffrer, comme un mot qui ne figure pas dans le dictionnaire, des lettres minuscules et majuscules, ainsi que des chiffres et des symboles, et aucun mot du dictionnaire standard. Dans le même temps, l’étude a révélé que 39 % de ces mots de passe peuvent être devinés en moins d’une heure à l’aide d’algorithmes intelligents.
Le point le plus inquiétant est peut-être que les pirates n’ont pas besoin de connaissances approfondies ni d’équipement coûteux pour déchiffrer les mots de passe. Un processeur d’ordinateur portable standard et performant sera capable de trouver la bonne combinaison pour un mot de passe de 8 lettres minuscules ou de chiffres en utilisant la force brute en seulement 7 minutes. Les cartes graphiques récentes peuvent même accomplir la tâche en 17 secondes. De plus, les algorithmes intelligents de devinette de mots de passe déchiffrent facilement les remplacements de caractères tels que « e » par « 3 », « 1 » par « ! » ou « a » par « @ », ainsi que les séquences courantes telles que « qwerty », « 12345 », « asdfg ».
« Inconsciemment, les humains créent des mots de passe « humains », contenant des mots de dictionnaire dans leur langue maternelle, des noms, des chiffres, etc., qui sont tous faciles à mémoriser pour notre cerveau déjà surmené. Même les combinaisons apparemment fortes sont rarement complètement aléatoires et peuvent donc être devinées par des algorithmes. Dans ces conditions, la solution la plus fiable consiste à générer des mots de passe totalement aléatoires à l’aide de gestionnaires de mots de passe. Ces applications peuvent stocker en toute sécurité de grands volumes de données, offrant ainsi une protection complète et solide des données des utilisateurs. » commente Yuliya Novikova, responsable de l’équipe Digital Footprint Intelligence de Kaspersky.
Plus d’informations sur l’étude sur SecureList et sur le blog Kaspersky.
À propos de l’étude
L’étude a été menée sur la base de 193 millions de mots de passe trouvés sur diverses ressources publiques du Dark Web. Dans le cadre de leur enquête, les chercheurs de Kaspersky ont utilisé les algorithmes suivants pour deviner les mots de passe :
- – Force brute – la force brute est une méthode pour deviner un mot de passe qui consiste à essayer systématiquement toutes les combinaisons possibles de caractères jusqu’à ce que la bonne soit trouvée.
- – Zxcvbn – Il s’agit d’un algorithme de notation avancé disponible sur GitHub. Étant donné un mot de passe existant, l’algorithme détermine son modèle. Ensuite, l’algorithme compte le nombre d’itérations de recherche nécessaires pour chaque élément du modèle. Ainsi, si le mot de passe contient un mot, sa recherche prendra un nombre d’itérations égal à la longueur du dictionnaire. En disposant du temps de recherche pour chaque élément du motif, nous pouvons calculer la force du mot de passe.
- – Algorithme de devinette intelligent – c’est un algorithme d’apprentissage. Sur la base des mots de passe de tous les utilisateurs, il peut calculer la fréquence des différentes combinaisons de caractères. Il peut ensuite générer des tests depuis les variantes les plus fréquentes et leur combinaison jusqu’aux variantes les moins fréquentes.
Transférer les nouvelles mondiales
 – .){kind=link}