Vous êtes sur la page 1sur 3

PROTECTION

DE LA VIE PRIVEE DANS LE MONDE NUMERIQUE

TRANSCRIPTION DE L’AUDIO


Module 1. Protéger ses données et son identité numérique. Comment vous
vole-t-on vos données ?
Nous allons maintenant essayer de comprendre comment un attaquant essaie d'usurper
notre identité afin de nous voler nos données.

Quand nous accédons à un service, comme une boîte aux lettres électronique ou un réseau
social comme Facebook, il y a 4 phases pour accéder au service. Il y a une première phase
d'enregistrement dans laquelle nous avons défini notre compte et notre mot de passe, une
phase de stockage dans laquelle le service va retenir notre mot de passe afin de pouvoir
nous authentifier plus tard, la phase d'authentification propre de contrôle d'accès de
l'identité et une dernière étape de régénération quand nous oublions nos mots de passe.

Pour un attaquant, usurper notre identité, ça veut dire récupérer l'identifiant et


l'authentifiant que nous avons créés lors de l'enregistrement au service. Très souvent,
trouver l'identifiant est une chose facile, c'est une donnée publique, par exemple un nom
de compte pour Facebook. L'attaquant a principalement 4 grandes méthodes pour essayer
de trouver l'authentifiant qui va lui permettre d'accéder au service et d'usurper notre
identité. Donc, on peut résumer en 4 verbes : demander, deviner, attaquer etiIntercepter.

La première méthode est très certainement la plus originale. Elle consiste à demander à
l'utilisateur de nous fournir le mot de passe. C'est ce qu'on appelle l'ingénierie sociale et
donc ça consiste à duper des gens afin qu'ils nous révèlent les authentifiants qu'ils ont
utilisés pour accéder à un service. C'est une technique qui est très très efficace et qui joue
vraiment sur les relations humaines. On remarque aussi que beaucoup de gens partagent
volontairement leur mot de passe avec d'autres personnes pour des raisons de liens
sociaux. Et dans ces 2 situations, on voit toujours que l'humain est au centre de l'attaque.
On va exploiter le stress ou des conditions particulières qui vont faire que la personne va
vous révéler son authentifiant. Il existe aussi des attaques plus complexes, c'est ce qu'on
appelle l'hameçonnage, qui consiste à duper la personne afin de la faire se connecter à un
faux service qui va ressembler comme 2 gouttes d'eau au service original, et donc la
personne va utiliser son mot de passe pour accéder au service et, sans le savoir, elle s'est
connectée à un autre service et son mot de passe est révélé à l'attaquant.

PROTECTION DE LA VIE PRIVEE DANS LE MONDE NUMERIQUE

TRANSCRIPTION DE L’AUDIO

La deuxième méthode que peut utiliser un attaquant afin d'usurper votre identité, c'est de
deviner l'authentifiant. Donc, on va vraiment essayer de trouver cet authentifiant par soi-
même. Prenons le cas d'un mot de passe à 3 chiffres. La probabilité qu'un attaquant
réussisse à trouver votre authentifiant en choisissant au hasard est de 1 pour 1000. On
imagine donc très facilement que s'il a un grand nombre d'essais, l'attaquant sera capable
de trouver votre mot de passe. Heureusement pour nous, très souvent, les sites limitent le
nombre d'essais, ce qui fait que ce type d'attaque est généralement impossible. Mais elle
montre bien qu'il va falloir faire attention sur le choix du mot de passe afin d'éviter qu'un
attaquant puisse le trouver trop facilement.

La troisième méthode que peut utiliser un attaquant pour usurper votre identité est
d'attaquer le service plutôt que de vous attaquer individuellement. En effet, retrouver
votre mot de passe est intéressant, ça permet à l'attaquant d'usurper votre identité, mais il
n'attaque qu'une personne. S'il est capable de retrouver tous les mots de passe de tous les
utilisateurs, c'est bien plus intéressant, il récupère beaucoup plus de données. Qui connaît
les mots de passe de tous les utilisateurs ? Les services, nécessairement, connaissent tous
les mots de passe car ils ont besoin de les connaître pour pouvoir faire le contrôle d'accès.
Ce qui veut dire que les attaquants vont s'intéresser aux services plutôt qu'aux utilisateurs
séparément. Que se passe-t-il lorsqu'un attaquant réussit à s'introduire frauduleusement
sur un service ?

Heureusement pour nous, les services ne stockent pas nos mots de passe en clair. Au
moment de l'enregistrement, quand vous avez défini votre mot de passe, le service va
récupérer le mot de passe, le transformer en empreinte en utilisant un procédé
cryptographique et le stocker pour pouvoir vous authentifier ultérieurement. Comment va
faire l'attaquant une fois qu'il a récupéré les empreintes de tous les utilisateurs ? Pour
passer des empreintes au mot de passe, il va utiliser ce qu'on appelle un casseur de mots
de passe. Que va faire le casseur de mots de passe ? Il va prendre des collections de mots
de passe et il va essayer de calculer les empreintes de tous ces mots de passe et de voir s'il
y a des correspondances entre les empreintes qu'il a obtenues et les empreintes qu'il a
calculées. Donc, il existe de nombreux outils pour essayer de casser vos mots de passe. On
en trouve de nombreux en ligne, comme John the Ripper ou hashcat.

Une quatrième méthode pour récupérer votre mot de passe et usurper votre identité
consiste à essayer d'intercepter le mot de passe au moment de l'authentification. Si les
communications ne sont pas sécurisées, un attaquant sera capable de récupérer votre mot

PROTECTION DE LA VIE PRIVEE DANS LE MONDE NUMERIQUE

TRANSCRIPTION DE L’AUDIO

de passe. Donc, ce type de communication a tendance à être abandonnée sur Internet et ce
sont les communications de type http. Et donc, très souvent, votre navigateur sera capable
de vous indiquer que la communication n'est pas sûre. Il faut privilégier les communications
sécurisées, ce qu'on appelle https et qui sont symbolisées par un cadenas dans votre
navigateur, car elles utilisent des procédés cryptographiques pour protéger les
communications des éventuelles personnes qui seraient susceptibles de les intercepter.

Vous aimerez peut-être aussi