Comment les mots de passe se font réellement voler

Imaginez que vous recevez un email vous disant que votre compte a été compromis. Vous changez immédiatement votre mot de passe, soulagé d'avoir évité le pire. Mais quelques jours plus tard, vous recevez un autre email d'un service différent signalant une autre violation. Vous vous demandez : comment quelqu'un a-t-il pu accéder à deux comptes aussi rapidement ? La réponse ne vient probablement pas d'un « hacker » qui aurait cassé votre mot de passe en déchiffrant un code. Elle vient probablement d'un chemin beaucoup plus simple — et beaucoup plus courant. Ce guide explique comment les mots de passe se font réellement voler, et pourquoi les solutions qu'on vous vend ordinairement (comme « un mot de passe super compliqué ») résolvent seulement une partie du problème. Les brèches de données : quand une entreprise laisse fuir ses coffres La cause la plus fréquente d'une compromission de mot de passe est une brèche de données — un incident où un attaquant accède à la base de données d'une entreprise qui stocke vos identifiants. Cela arrive souvent parce que les serveurs ne sont pas correctement sécurisés, qu'il existe une vulnérabilité dans le logiciel qu'ils utilisent, ou qu'un employé commande une erreur de configuration. Quand une brèche se produit, l'attaquant extrait généralement les mots de passe stockés. Mais voici un point important : la plupart des services professionnels ne stockent pas votre mot de passe en clair. À la place, ils appliquent une fonction mathématique appelée un « hash » qui transforme votre mot de passe en une longue chaîne de caractères apparemment aléatoire. C'est comme si votre mot de passe était enfermé dans une boîte à sens unique : n'importe qui peut y mettre quelque chose, mais personne ne peut le récupérer tel quel. Cependant, cette protection n'est pas infaillible. Si un mot de passe est faible ou courant, un attaquant peut utiliser des listes pré-calculées appelées « rainbow tables » pour essayer de le retrouver en inversant le hash. Et même un hash solide ne vous protège pas si l'attaquant utilise votre identifiant volé — souvent votre adresse email — sur d'autres services où vous avez réutilisé le même mot de passe. Le credential stuffing : réutiliser un accès déjà volé C'est là que le credential stuffing entre en jeu. Supposez qu'un service moins connu — un forum, un petit site de shopping, une appli de jeu — se fait pirater. L'attaquant obtient une liste de 10 millions de paires email-mot de passe. Au lieu de chercher à casser les mots de passe, l'attaquant écrit simplement un script automatisé qui essaie ces mêmes identifiants sur d'autres services : Gmail, Facebook, votre banque, votre service de streaming favori. Pourquoi cela marche si bien ? Parce que beaucoup de gens réutilisent le même mot de passe — ou des variations mineures — sur plusieurs sites. L'attaquant n'a pas besoin de génie criminel. Il a besoin simplement d'automatisation et de statistiques. Même si seul 1 % des combinaisons marche, c'est 100 000 comptes compromis. Le phishing : quand vous donnez vos identifiants de plein gré Le phishing prend une approche complètement différente. Au lieu de pirater une base de données, l'attaquant vous envoie un email (ou un SMS, ou un message sur un réseau social) qui semble venir d'un service que vous utilisez. Le message vous dit que votre compte a un problème de sécurité et vous demande de cliquer sur un lien pour vous reconnecter. Le lien vous mène vers une page qui ressemble presque parfaitement à la vraie. Vous entrez votre email et votre mot de passe. Et dans les deux secondes, l'attaquant les possède. Le phishing ne requiert pas de compétences techniques sophistiquées — juste de la persuasion et une bonne imitation. Et malheureusement, il marche sur des millions de personnes chaque année, même des gens techniquement avertis qui ont un moment de distraction. Le malware : quand un tiers-parti surveille votre ordinateur Un autre vecteur commun est le malware — un logiciel malveillant installé sur votre ordinateur, tablette ou téléphone, souvent via un site susurrant, un email avec pièce jointe, ou une extension de navigateur apparemment inoffensive. Un type de malware appelé un « keylogger » enregistre tout ce que vous tapez — y compris vos mots de passe quand vous vous connectez. Un autre type, un « stealer », fouille dans les fichiers stockés localement ou utilise des accès au navigateur pour extraire les mots de passe que votre navigateur se souvient. Contrairement aux brèches de données ou au phishing, qui sont des événements discrets, le malware est une intrusion continue. L'attaquant vous surveille. Alors, que faire réellement ? La première étape est d'utiliser un gestionnaire de mots de passe — un logiciel qui génère et stocke des mots de passe uniques et forts pour chaque service. Cela signifie que si un service se fait pirater, seul ce service est compromis. Votre mot de passe pour la banque est complètement différent de celui pour votre email ou votre réseau social. La deuxième étape est d'activer l'authentification multi-facteur (MFA en abrégé) — une couche de sécurité supplémentaire qui demande une deuxième preuve d'identité au-delà du mot de passe. Les clés de sécurité matérielles (des petits appareils USB ou NFC que vous possédez physiquement) sont la forme la plus robuste. Même si quelqu'un a votre mot de passe, il ne peut pas se connecter sans la clé. Les codes temporaires générés par une appli (comme Google Authenticator) sont moins robustes que les clés matérielles parce qu'ils peuvent potentiellement être compromis par le malware mentionné plus haut, mais ils sont infiniment mieux que rien. La troisième étape est simplement la vigilance — remarquer les emails suspects, les URL bizarres, les demandes inattendues de mot de passe. Mais soyons honnêtes : aucune de ces solutions n'élimine complètement le risque. Un gestionnaire de mots de passe peut être piraté. L'authentification multi-facteur peut être contournée (par des techniques comme le SIM swapping, bien que ce soit rare et ciblé). Vous êtes toujours exposé au risque qu'une entreprise ait des pratiques de sécurité médiocres. C'est la réalité d'Internet. Ce que vous pouvez faire, c'est rendre chaque attaque significativement plus difficile — et créer des recoupements de défense pour que aucune brèche unique ne vous détruise. Le mot de passe n'est jamais un secret permanent à cause de tous les chemins par lesquels il peut être exposé. C'est pourquoi les bonnes pratiques — mots de passe uniques, MFA, et prudence face aux communications inattendues — comptent réellement.