AVIS D’EXPERT – Matthieu Jouzel, Solutions Engineer chez BeyondTrust, propose aux lecteur de Solutions-Numériques une série d’avis d’expert sur les attaques de mots de passe. Voici la troisième* d’entre elles.
Une fois qu’un hacker a accès à un système ou un site web, il est tentant pour lui de vouloir voler la base de données contenant les identifiants et mots de passe de quiconque s’y connecte. Le vol d’une base de données offre trois avantages. Le premier est la découverte d’identifiants utilisateur hautement privilégiés permettant d’interagir avec le système. Aussi, cela donne accès à de très nombreux identifiants possiblement utilisés sur de nombreux systèmes. Pour finir, cela permet d’accéder à la base de données en mode déconnecté, sans devoir se soucier du nombre ou de la fréquence des connexions.
Rares sont les systèmes aujourd’hui qui n’encodent pas les mots de passe des utilisateurs, pour les enregistrer sous forme de valeurs et non de texte. Contrairement au chiffrement, avec les données encodées, il est impossible de revenir à la version d’origine. La fonction de hachage est irréversible. La seule possibilité pour un hacker est de découvrir la clé et de créer des versions encodées de mots de passe, à comparer avec la liste volée.
Examinons deux types d’attaques de hachage.
-
Lire aussi...
L’attaque “Pass-the-Hash” (PtH)
La technique “Pass-the-Hash” (PtH) permet à un hacker de s’authentifier auprès d’une ressource en utilisant le hachage NTLM (NT LAN Manager, soit le protocole d’identification de Windows) du mot de passe d’un utilisateur, et non le mot de passe en caractères lisibles. Il peut alors s’authentifier auprès d’un serveur ou service distant pratiquant l’authentification LM ou NTLM.
Une attaque PtH exploite une faille du protocole d’authentification. Le hachage du mot de passe demeure statique pour toutes les sessions jusqu’à ce que le mot de passe soit changé. Cette attaque permet de viser tout type de serveur ou de service compatible avec l’authentification LM ou NTLM, sous Windows, Unix, Linux, ou tout autre système d’exploitation.
Des malwares peuvent venir fouiller la mémoire à la recherche de mots de passe hachés donnant accès à tout compte, service, application ou processus où le mot de passe est toujours actif. Des capacités de commande, de contrôle et d’automatisation facilitent dès lors les mouvements latéraux du hacker ou l’exfiltration de données.
Si les attaques PtH sont plus fréquentes sur les systèmes Windows, elles visent aussi les endpoints Unix et Linux. Il existe des moyens modernes de s’en protéger. Cependant, le simple est de changer fréquemment de mot de passe ou d’utiliser un mot de passe à usage unique fait que le mot de passe haché change entre deux sessions. Les solutions de gestion de mot de passe, avec rotation fréquente des mots de passe ou jeton de sécurité personnalisé, sont très utiles à cet égard.
-
L’attaque « Rainbow Table »
Le hachage cryptographique étant complexe, rares sont les fonctions fiables disponibles. Les hackers en profitent pour générer des tables de hachage, c’est-à-dire des listes de mots de passe hachés, combinées à des données volées. Une table de hachage liste les mots de passe lisibles et hachés pour une fonction cryptographique donnée, tandis que les Rainbow Tables le font pour plusieurs fonctions. Les données sont ensuite réduites à des volumes plus facilement gérables.
Pour se protéger des attaques par tables de hachage et Rainbow Tables, il faut « compliquer » le hachage, autrement dit ajouter un encodage unique à chaque mot de passe. Même si la fonction de hachage est la même, le hachage lui n’est pas le même avec et sans encodage. Cela multiplie les étapes. Utiliser des mots de passe uniques, longs et complexes, ainsi que l’authentification multifactorielle permet également de se protéger contre les attaques par tables de hachage et Rainbow Tables.
Les entreprises font volontiers appel à des hackers éthiques (white hat) et à des spécialistes des tests de pénétration pour rendre leurs réseaux de sécurité plus résilients et mieux se protéger du piratage de mot de passe. Cependant, le marché des logiciels de piratage se développe en parallèle. Les logiciels suivants sont les plus connus pour ces types de piratage de mots de passe : Cain and Abel, John the Ripper, Hydra, Hashcast et Aircrack. Il en existe aussi des spécialistes, pour pirater les mots de passe Wifi, Windows, etc. Les logiciels modernes d’investigation comportent des fonctionnalités de piratage de mot de passe. Les logiciels de piratage les plus aboutis proposent plusieurs stratégies de piratage pour plus de productivité.
*Lire les deux premières tribunes
Les 5 méthodes courantes d’attaque de mot de passe
Décryptage : les attaques ciblées par ingénierie sociale