AVIS D’EXPERT – Les attaques par force brute ciblent autant les systèmes distants que locaux. Cette méthode procède de multiples tentatives jusqu’à trouver la bonne combinaison. Simple et directe, elle peut aussi prendre énormément de temps. On voit comment Matthieu Jouzel, Solution Engineer chez BeyondTrust.
Les attaques par force brute consistent à compromettre des comptes et des identités en cherchant à deviner des mots de passe, des identifiants, des clés de chiffrement ou d’autres informations. Elles sont largement employées parce qu’elles requièrent peu de compétences techniques. Il suffit à un pirate d’installer un logiciel spécial, de télécharger une base de données identifiant/mot de passe, de configurer les paramètres du programme et d’attendre les résultats. Elles peuvent être étonnamment efficaces, mais en grande partie parce que les mots de passe les plus courants sont vraiment très faciles à deviner. Obligés de devoir mémoriser de nombreux mots de passe, les gens ont tendance à privilégier des mots de passe simples, dont ils se rappelleront facilement. Selon NordPass, les mots de passe les plus fréquents en 2022 étaient : password, 123456, 123456789, guest, qwerty. De plus, près de 65 % des gens reconnaissent réutiliser des mots de passe. Et ils sont 43 % à avoir déjà communiqué leur mot de passe à un tiers. Surtout, 45 % seulement des gens confirment changer de mot de passe après une compromission. Bien que plusieurs méthodes et outils permettent de lutter contre les tentatives de piratage de mots de passe par force brute, beaucoup continuent de les ignorer. L’une des principales raisons concerne les mesures de sécurité (comme l’authentification multifactorielle) qui peuvent ralentir le processus d’authentification ou le rendre moins intuitif.
Les 8 catégories les plus courantes d’attaques par force brute
Il existe différents types d’attaque par force brute. Voici les catégories les plus courantes :
- L’attaque par force brute simple. De simples programmes et scripts pour automatiser le piratage de mot de passe peuvent effectuer plusieurs centaines de tentatives par seconde.
- L’attaque par dictionnaire. Plus rapide, cette technique interroge une base de données de mots et d’expressions courants souvent utilisés comme mots de passe. Les mots de passe que des hackers ont fait fuiter de différents services sont recensés dans ces dictionnaires publiquement accessibles ou en vente sur le dark web…
- L’attaque hybride combinant les deux premières catégories. Souvent, les gens ajoutent des chiffres à leur mot de passe (ex : leur année de naissance). Un cybercriminel peut commencer avec une liste d’un dictionnaire et y ajouter des chiffres ou des caractères spéciaux.
- Le bourrage d’identifiants (Credential Stuffing). Le hacker se sert d’identifiants et de mots de passe ayant été exposés lors de compromissions de données antérieures pour espérer s’introduire dans d’autres comptes car nombre de personnes réutilisent volontiers le même mot de passe sur plusieurs plateformes.
- L’attaque inversée. Le hacker utilise un seul ou un petit nombre de mots de passe à combiner avec de longues listes d’identifiants.
- L’attaque de table arc-en-ciel. Les mots de passe sont souvent conservés sous une forme chiffrée dans les systèmes informatiques. Quand un utilisateur entre un mot de passe, il est converti en une valeur de hachage qui est alors comparée à la valeur de hachage enregistrée. Une attaque de table arc-en-ciel utilise des tables précompilées de valeurs de hachage pour de possibles mots de passe, si bien qu’un pirate peut très bien rechercher le hachage d’un mot de passage et remonter à sa valeur en texte clair.
- L’attaque par force brute distribuée. Ici, les cybercriminels utilisent plusieurs machines ou dispositifs pour perpétrer l’attaque, souvent avec l’aide d’un botnet, pour accélérer le processus et compliquer la détection de l’attaque par le système visé.
- Le piratage personnel. Le hacker vise le compte d’un utilisateur en particulier, collectant via OSINT et un spyware autant de données que possible sur la victime, y compris de possibles identifiants et des détails personnels. Ils entrent ensuite les informations collectées sur la cible dans un programme couplé à un dictionnaire identifiant/mot de passe sur mesure.
Se défendre contre les attaques par force brute
Les méthodes les plus efficaces et éprouvées pour défendre les comptes, les identités et les systèmes des attaques par force brute sont les suivantes : activer l’authentification multifactorielle (MFA) si c’est possible, créer un mot de passe composé de lettres minuscules et majuscules, de chiffres, de caractères spéciaux et long d’au moins 12 caractères, changer son mot de passe aussi souvent que possible, ou encore utiliser des identifiants et des mots de passe uniques pour ses différents comptes. Mais il est compliqué de mémoriser plusieurs mots de passe complexes. Il est donc recommandé d’utiliser des gestionnaires de mots de passe et de mots de passe privilégiés pour automatiser l’application des meilleures pratiques de sécurité des mots de passe, aussi bien pour les comptes privilégiés humains et machines, qui sont les plus à risque.
Pour protéger les ressources de l’entreprise, il faut également : instaurer des mécanismes d’authentification multifactorielle, appliquer les règles de robustesse des mots de passe (nombre minimum de caractères, minuscules et majuscules, répétitions limitées et inclusion de chiffres et de caractères spéciaux), utiliser la méthode CAPTCHA, établir des règles et la reconnaissance de schémas pour éviter les tentatives de connexion illégitimes, supprimer les comptes inactifs pour réduire le nombre de cibles potentielles des hackers, utiliser des systèmes IDS/IPS pour surveiller le trafic réseau et identifier des marqueurs et anomalies révélateurs d’une attaque par force brute et, pour finir, appliquer une stratégie ITDR (Identity Threat Detection and Response) combinant intelligence des menaces, détection et orchestration de la réponse pour dépasser le bruit des données et pouvoir identifier et bloquer les attaques.
Réduire sa vulnérabilité aux attaques par force brute
Les attaques par force brute demeurent une menace constante du fait de leur simplicité et de l’utilisation généralisée de mots de passe faibles. Même si ces attaques ne sont qu’une des méthodes employées par les hackers, le fait qu’elles continuent d’aboutir invite les utilisateurs et les entreprises à adopter au plus vite des mesures de sécurité robustes. Les entreprises qui sont en mesure d’identifier et de corriger les pratiques de mots de passe insuffisantes, d’automatiser la gestion des mots de passe et de mettre en œuvre plusieurs couches de sécurité par l’authentification sont celles qui pourront réduire grandement leur surface exposée aux attaques par force brute. Mais n’oublions pas que ce n’est qu’une méthode d’attaque parmi d’autres et que les hackers sont désormais des professionnels hautement qualifiés. Si l’attaque ne donne pas de résultat rapidement, le cybercriminel passera à un autre vecteur d’attaque.
Matthieu Jouzel, Solution Engineer chez BeyondTrust