Trois techniques que les attaquants utilisent tous les jours et ce que tu peux faire concrètement pour t'en protéger.
Il y a une idée reçue très répandue : les pirates sont des génies qui cassent des codes complexes dans l’obscurité. La réalité est bien plus banale et bien plus inquiétante. La plupart du temps, ils entrent simplement par la porte d’entrée. Parce que la serrure est mauvaise, ou que personne ne surveille les tentatives.
Voici comment ça se passe concrètement, sans jargon technique.
— D'abord, deux choses à ne pas confondre
Avant tout, une distinction utile qui revient souvent dans la sécurité en ligne :
🤵 Authentification
Vérifier que tu es bien qui tu prétends être.
C’est l’étape du mot de passe.
🔑 Autorisation
Vérifier ce que tu as le droit de faire une fois connecté.
C’est l’étape des permissions.
Cet article parle de la première étape — comment un attaquant cherche à se faire passer pour toi.
— Technique 1 deviner ton identifiant
Le problème que peu de gens voient
Avant même de s’attaquer à ton mot de passe, un attaquant doit savoir quel identifiant utiliser. Et les sites web aident souvent sans le vouloir.
Essaie de te souvenir : la dernière fois que tu t’es trompé de mot de passe sur un site, qu’est-ce qui s’est affiché ?
Imaginez la scène. Vous vous trompez de mot de passe lors de la connexion.
● Cas A : Le site affiche “Identifiant ou mot de passe incorrect”. C’est neutre, un pirate ne peut rien en tirer.
● Cas B : Le site affiche “Ce mot de passe ne correspond pas à ce compte”.
En voulant vous aider, le site vient de commettre une erreur. Il confirme à l’attaquant que l’identifiant existe bel et bien. C’est le premier pas pour une attaque ciblée.
Beaucoup de sites web aident les pirates sans s’en rendre compte. Un formulaire d’inscription qui indique “Ce nom d’utilisateur est déjà pris”, ou une URL de profil public qui affiche le nom de connexion, sont de vraies mines d’or.
En analysant ces petits détails, un attaquant peut dresser la liste exacte de tous les comptes existants sur un site, sans jamais avoir à taper un seul mot de passe.
Ce que ça change pour toi
Sur ton propre site ou application, le message d’erreur de connexion ne devrait jamais indiquer si c’est l’identifiant ou le mot de passe qui est faux. Un seul message générique, toujours identique.
— Technique 2 deviner ton mot de passe
L'illusion du mot de passe "fort"
Tu connais sûrement la règle : au moins 8 caractères, une majuscule, un chiffre, un caractère spécial. Le problème, c’est que tout le monde applique cette règle de la même façon. Et les attaquants le savent.
Quand un site force ce format, les mots de passe que les humains créent suivent des patterns prévisibles. On prend un mot familier, on met une majuscule au début, on remplace des lettres par des chiffres, on ajoute un point d’exclamation à la fin.
Un attaquant ne teste pas des combinaisons aléatoires ça prendrait des millénaires. Il teste des patterns humains, dans l’ordre de probabilité. Mypassword1! sera testé bien avant une vraie chaîne aléatoire.
Il y a pire : quand les entreprises forcent les changements de mot de passe réguliers, les utilisateurs font des variations minimes. Mypassword1! devient Mypassword2! puis Mypassword3!. Un attaquant qui a eu accès à un ancien mot de passe peut anticiper le suivant.
Ce que ça change pour toi
Un mot de passe fort n’est pas un mot avec des substitutions c’est une chaîne qui n’a aucun sens pour un humain. Une phrase aléatoire de quatre mots sans lien (cheval-lampe-nuage-fenêtre) est plus solide que P@ssw0rd!. Et un gestionnaire de mots de passe génère et retient des mots de passe vraiment aléatoires à ta place.
Les changements de mots de passe forcés régulièrement sont contre-productifs : ils poussent les utilisateurs à créer des variations prévisibles. Mieux vaut un long mot de passe aléatoire changé rarement qu’un mot de passe court changé tous les mois.
— Technique 3 contourner la double authentification
Le 2FA n'est pas magique
La double authentification (2FA) — ce code à 6 chiffres que tu reçois par SMS ou via une application — est une excellente protection. Mais elle a une faille logique que beaucoup d’applications reproduisent par inadvertance.
Voici comment ça se passe normalement quand tu te connectes avec 2FA :
Étape 1
Tu entres ton identifiant et ton mot de passe.
Étape 2
Le site t’envoie un code. Tu le saisis pour confirmer.
Étape 3
Tu es connecté et tu accèdes à ton compte.
La faille: C’est un problème de logique. Imaginez un bâtiment sécurisé : vous passez une première porte avec votre mot de passe, puis un garde vous demande votre code 2FA pour ouvrir la seconde porte.
La faille, c’est que certains sites déverrouillent la seconde porte automatiquement si vous connaissez l’adresse de la pièce du fond. Si un pirate a votre mot de passe, il lui suffit de taper directement l’URL de votre page profil dans son navigateur. Le site le laisse entrer par la porte de derrière, en oubliant totalement de vérifier s’il a tapé le code 2FA.
C’est une faille de logique, pas de cryptographie. Le code est techniquement correct c’est l’application qui ne vérifie pas qu’il a été utilisé. Si tu développes ou fais développer un site, cette vérification doit être explicite à chaque page protégée, pas seulement au moment de la connexion.
Ce que ça change pour toi
En tant qu’utilisateur : active le 2FA partout où c’est possible, et préfère une application d’authentification (Proton Auth, Authy…) à un SMS.
Les SMS peuvent être interceptés. En tant que propriétaire d’un site ou d’une application : fais auditer la logique de tes flux de connexion, pas seulement la solidité des mots de passe.
— Ce que tu peux faire maintenant
Trois actions concrètes, par ordre de priorité
1 Active la double authentification sur tous tes comptes importants.
Email professionnel, hébergeur, nom de domaine, outils de paiement. Ce sont les clés de ton business.
2 Utilise un gestionnaire de mots de passe.
Proton Pass, Bitwarden, 1Password… Un mot de passe unique et aléatoire par service plus jamais de variantes prévisibles.
3 Si tu as un site ou une application, vérifie les messages d'erreur de connexion.
Ils ne doivent jamais confirmer si c’est l’identifiant ou le mot de passe qui est faux.
DamSecFlow
Don’t Toast your Host