Comprendre les cinq attaques les plus fréquentes sur les mots de passe, ce que tout COMEX devrait savoir
📩 Pour nous contacter: redaction@frenchweb.fr
Dans un environnement où les intrusions informatiques se professionnalisent, les attaques par compromission d’identifiants restent la méthode d’accès privilégiée des cybercriminels. Selon le dernier rapport IBM Cost of a Data Breach, plus de 80 % des incidents impliquent, à un moment donné, des identifiants volés ou mal protégés. Ces attaques reposent rarement sur une faille technique complexe : elles exploitent des erreurs humaines, des pratiques obsolètes et une méconnaissance persistante des méthodes utilisées.
Pour un comité exécutif, comprendre les cinq approches fondamentales permet d’évaluer la surface d’exposition réelle de l’entreprise, bien au-delà des audits techniques ou des tableaux de bord SI.
1. Le guessing : l’intuition comme point d’entrée
Le mot de passe le plus faible reste souvent celui qui a été choisi trop rapidement. Le guessing repose sur des tentatives manuelles ou automatisées d’accès, en testant des mots de passe communs ou spécifiques à une personne. Il peut s’appuyer sur des éléments visibles dans l’environnement de travail (post-it, schéma sur l’écran) ou sur des habitudes connues (prénom des enfants, dates de naissance, etc.).
La majorité des systèmes limitent ce risque par une politique de verrouillage après plusieurs tentatives infructueuses. Mais ce mécanisme reste facilement contournable si d’autres vecteurs d’attaque ne sont pas bloqués en amont.
2. Le harvesting : la récupération directe d’identifiants
Ici, l’attaquant n’essaie pas de deviner. Il observe et intercepte. Cela peut prendre la forme d’un keylogger (logiciel espion installé via un e-mail piégé ou un site compromis) qui enregistre tout ce qui est tapé sur un clavier, ou d’un site de phishing imitant un portail connu pour tromper l’utilisateur.
Dans ces cas, le mot de passe est transmis en clair à l’attaquant. Il est valide. Et souvent, il est réutilisé sur d’autres services — ce qui ouvre la voie à d’autres attaques silencieuses.
3. Le cracking : reconstituer les mots de passe à partir des bases de données hachées
Lorsqu’un attaquant accède à une base de données interne, les mots de passe y sont en général hachés — c’est-à-dire transformés par une fonction cryptographique à sens unique.
Le cracking consiste à comparer ces empreintes avec celles générées par une liste de mots de passe connus. Cette approche repose sur la disponibilité en ligne de millions de combinaisons issues de fuites passées. Si les systèmes de hachage ne sont pas renforcés (salage, étirement), un mot de passe simple peut être retrouvé en quelques secondes.
4. Le spraying : une même combinaison essayée sur tous les comptes
Contrairement aux attaques ciblées, le password spraying tente un même mot de passe sur une multitude de comptes, un par un. L’intérêt ? Éviter les verrouillages de compte liés aux échecs répétés sur une seule cible. Cette technique repose sur une hypothèse simple : dans une organisation de taille moyenne à grande, quelqu’un a probablement utilisé un mot de passe commun (ex. : « Welcome2024 »).
L’attaque passe souvent inaperçue, car elle se déroule lentement et de manière distribuée.
5. Le credential stuffing : réutiliser un mot de passe volé sur d’autres systèmes
Dernière méthode : exploiter des identifiants valides issus d’une autre plateforme (par exemple LinkedIn, un prestataire SaaS, une messagerie personnelle) et tenter l’accès sur un système professionnel.
C’est le credential stuffing. Ce type d’attaque est particulièrement redoutable pour les organisations qui ne cloisonnent pas suffisamment les usages ou qui ne vérifient pas la singularité des mots de passe entre services internes et externes. Il s’appuie sur une réalité comportementale : la réutilisation massive des mêmes mots de passe.
Ce que cela implique pour les décideurs
Comprendre ces cinq attaques, c’est comprendre que la faiblesse ne vient pas uniquement des systèmes, mais des pratiques. Elle touche tous les niveaux de l’organisation. Voici trois implications concrètes pour un COMEX :
-
- Les politiques de sécurité doivent être réalistes. Imposer des mots de passe complexes sans accompagnement conduit souvent à des contournements (post-it, fichiers partagés).
- L’adoption d’un gestionnaire de mots de passe ou d’un système de passkeys devient une mesure de protection aussi stratégique que le choix d’un antivirus.
- La supervision des connexions anormales (multiples échecs, tentatives distribuées sur plusieurs comptes) doit être remontée à un niveau de responsabilité transverse, et pas seulement traitée comme un événement technique.
Vers une posture organisationnelle plus mature
Ces attaques ne relèvent pas de l’exception. Elles sont aujourd’hui structurelles. Le nombre de bases de données compromises, l’automatisation des outils d’attaque, et la porosité croissante entre usages personnels et professionnels rendent le risque permanent. Ce sujet, souvent perçu comme technique, relève désormais de la gouvernance d’entreprise. Il convient à chaque membre du Comex de développer ses compétences et connaissances en la matière appliqué à son univers métier. Les dernières actualités de cyberattaques à l’instar de celle d’Harvest, du département des Hauts de Seine ou encore de Mark&Spencer, témoignent du caractère impératif de maitrise du sujet.
