Sommaire
Qu’est-ce qu’une attaque par bruteforce ? Définition
Une attaque par bruteforce, ou force brute en français, est une méthode de craquage de mots de passe que les cybercriminels utilisent pour déterminer les informations d’identification des comptes, en particulier les mots de passe.
Dans une attaque par force brute, l’attaquant dispose généralement d’un dictionnaire de termes et de mots de passe courants et les utilise pour “deviner” le mot de passe d’un utilisateur. Après avoir épuisé une liste de termes du dictionnaire, l’attaquant utilise des combinaisons de caractères jusqu’à trouver une correspondance.
Des milliers de tentatives peuvent être nécessaires avant qu’un mot de passe ne soit craqué, c’est pourquoi les attaquants utilisent des outils d’automatisation pour effectuer rapidement des milliers de tentatives.
La formation à la cybersécurité commence ici
Votre évaluation gratuite fonctionne comme suit :
- Prenez rendez-vous avec nos experts en cybersécurité afin qu’ils évaluent votre environnement et déterminent votre exposition aux menaces.
- Sous 24 heures et avec une configuration minimale, nous déployons nos solutions pour une durée de 30 jours.
- Découvrez nos technologies en action !
- Recevez un rapport mettant en évidence les vulnérabilités de votre dispositif de sécurité afin que vous puissiez prendre des mesures immédiates pour contrer les attaques de cybersécurité.
Remplissez ce formulaire pour demander un entretien avec nos experts en cybersécurité.
Un représentant de Proofpoint vous contactera sous peu.
Comment les attaques par force brute sont-elles utilisées ?
Les attaques par force brute peuvent être lancées contre une application ou sur une valeur de mot de passe hachée ou chiffrée.
Les applications Web sont généralement dotées de règles de cybersécurité qui empêchent le forçage brutal automatisé. Il est donc beaucoup plus courant pour un attaquant de forcer brutalement des mots de passe volés.
Si l’attaque est déployée contre une application, l’attaquant utilisera un logiciel d’automatisation qui exécutera une liste de noms d’utilisateur et de mots de passe contre l’application jusqu’à ce qu’il trouve une correspondance. Lorsqu’une correspondance est trouvée, l’attaquant a accès au compte de l’utilisateur si aucune autre protection n’est en place.
Une attaque par bruteforce plus courante consiste à “deviner” le mot de passe d’un utilisateur à partir de sa forme chiffrée ou hachée. Un mot de passe chiffré demande une clé privée pour être décrypté. Un attaquant ayant accès à cette clé peut déchiffrer le mot de passe ou utiliser des outils qui tentent de “deviner” la valeur de la clé.
Les mots de passe stockés sont généralement hachés, c’est-à-dire à sens unique et ne peuvent pas être décryptés. Au lieu de cela, l’attaquant utilise une liste de dictionnaires de mots de passe potentiels, les hachages, et si la valeur correspond à la valeur du mot de passe haché volé, l’attaquant a réussi à forcer brutalement le mot de passe.
Avec des mots de passe crackés, un attaquant a maintenant accès aux comptes d’utilisateurs. Les pirates visent les informations d’identification des utilisateurs pour diverses raisons. Ils peuvent vouloir voler de l’argent ou accéder aux informations personnelles identifiables (IPI) d’un utilisateur.
Un attaquant peut utiliser un compte pour injecter un code malveillant dans le système ou envoyer des fichiers malveillants à d’autres utilisateurs du système. Si un attaquant vole les informations d’identification d’un compte administrateur, il peut détourner le trafic du serveur, injecter des publicités dans le contenu du site Web, voler des données supplémentaires dans les bases de données du réseau interne ou installer des logiciels malveillants sur des infrastructures critiques. Les dommages causés par les attaques par force brute dépendent du niveau d’autorisation du compte volé et du type d’application.
Voici quelques autres actions qu’un attaquant peut entreprendre après une attaque par force brute réussie :
- Envoyer des messages aux employés ou aux utilisateurs pour les inciter à cliquer sur des liens de phishing ou à ouvrir des pièces jointes contenant des logiciels malveillants.
- Stocker le malware sur le système ou sur l’infrastructure interne. Si le malware s’exécute sur l’appareil d’un administrateur, l’attaquant pourrait voler des informations d’identification de niveau supérieur.
- Envoyer des messages aux clients pour tenter de ruiner la réputation du propriétaire de l’application.
- Détourner les processus du serveur pour injecter des logiciels malveillants comme des applications d’écoute du trafic.
- Injecter un adware sur l’application pour gagner de l’argent avec des publicités.
- Rediriger le trafic de l’utilisateur vers un serveur contrôlé par l’attaquant.
Outils d’attaque par bruteforce populaires
Les attaques par force brute sont généralement automatisées.
Un être humain peut saisir quelques mots de passe par minute dans une application, mais un ordinateur peut traiter des centaines ou des milliers (selon la vitesse de connexion) de mots de passe par minute. Les attaquants utilisent l’automatisation pour déployer des attaques par force brute. Parfois, ils utilisent leurs propres scripts créés dans leur langage favori, comme Python.
Exemples d’outils utilisés par les pirates pour forcer les mots de passe :
- Aircrack-ng
- John the Ripper
- L0phtCrack
- Hashcat
- DaveGrohl
- Ncrack
Outre les outils de craquage de mots de passe, les attaquants utilisent également des scanners de vulnérabilité sur les systèmes pour identifier les logiciels obsolètes et découvrir des informations sur l’application cible.
Les administrateurs doivent toujours veiller à ce que les serveurs accessibles au public soient mis à jour et corrigés, et utiliser un logiciel de surveillance pour identifier les scans sur le système.
Proofpoint Security Awareness Training
Une approche ciblée et pilotée par les données pour renforcer la résilience des utilisateurs
Types d’attaques par force brute
La définition générale des attaques par force brute consiste à “deviner” les informations d’identification des utilisateurs en utilisant toutes les combinaisons de caractères jusqu’à ce qu’une correspondance soit trouvée.
Cependant, les pirates utilisent diverses stratégies de force brute pour obtenir les meilleurs résultats. Les entreprises doivent connaître tous les types d’attaques par force brute pour développer des stratégies de protection.
Les types d’attaques par force brute sont les suivants :
- Les attaques par force brute simples : Un attaquant devine le mot de passe d’un utilisateur en saisissant une combinaison de valeurs à partir d’informations connues sur l’utilisateur ciblé. Ces informations peuvent provenir d’informations trouvées en ligne ou d’une attaque d’ingénierie sociale.
- Attaques par dictionnaire : De nombreuses attaques par force brute utilisent une liste de dictionnaires de mots, de phrases et de mots de passe courants téléchargés sur Internet.
- Attaques hybrides par force brute : Une attaque hybride utilise une combinaison de méthodes simples et de méthodes par dictionnaire. Les attaquants combinent leurs connaissances sur l’utilisateur ciblé avec des mots et des phrases du dictionnaire. Cette méthode utilise des informations privées comme la date d’anniversaire de l’utilisateur, ainsi qu’un mot du dictionnaire, qui est courant dans les mots de passe générés par les utilisateurs.
- Les attaques par force brute inversée : Les méthodes de mots de passe par force brute inversée prennent une liste de mots de passe connus et les soumettent automatiquement à une application jusqu’à ce qu’un nom d’utilisateur soit trouvé. Les attaquants qui utilisent cette méthode téléchargent souvent une liste de mots de passe volés sur les marchés du darknet et les appliquent aux comptes d’utilisateurs pour trouver une correspondance d’identifiants.
- Credential Stuffing : Les utilisateurs utilisent souvent les mêmes mots de passe sur plusieurs sites. Un attaquant qui obtient l’accès aux mots de passe des utilisateurs sur un site essaiera les mêmes sur d’autres sites. C’est ce qu’on appelle le “credential stuffing”.
Comment se protéger contre les attaques par force brute ?
Plusieurs stratégies sont à la disposition des administrateurs pour les aider à prévenir et à détecter les attaques par force brute.
La première étape consiste à créer de meilleures règles de mots de passe afin que les utilisateurs ne puissent pas créer de mots de passe faibles. Pour les systèmes non critiques, les mots de passe doivent comporter au moins 10 caractères avec des lettres majuscules, des caractères spéciaux et des chiffres.
Pour les systèmes critiques, les mots de passe doivent comporter au moins 12 caractères. Avec un chiffrement fort des mots de passe, il faudrait des décennies à un ordinateur pour réussir à forcer un mot de passe.
Les stratégies suivantes peuvent également être utilisées pour stopper les attaques par force brute :
- Utiliser des salts : Un salt est une valeur ajoutée utilisée dans le hachage des mots de passe. L’utilisation d’un salt réduit les chances de réussite d’une attaque par force brute, car l’attaquant doit connaître le mot de passe et la valeur du salt.
- Limitation du nombre de tentatives de mots de passe : L’application peut limiter le nombre de tentatives de mot de passe avant de verrouiller le compte et afficher un CAPTCHA lorsque trop de tentatives sont effectuées. Cela permet de stopper les attaques automatiques par force brute et de ralentir les attaques jusqu’à ce qu’il ne soit plus possible de passer en revue des centaines de mots de passe potentiels.
- Verrouillez les comptes après un trop grand nombre de tentatives de connexion : Cela empêchera l’attaquant de poursuivre ses attaques par force brute.
- Bloquez les adresses IP suspectes : Si une adresse IP envoie trop de tentatives de connexion, le système peut soit bloquer l’IP automatiquement pendant un court moment, soit un administrateur peut l’ajouter manuellement à une liste noire.
- Authentification à deux facteurs (MFA) : Si un attaquant réussit à forcer brutalement un mot de passe, l’authentification à deux facteurs empêchera l’authentification sur le compte.
Les logiciels de surveillance détectent les attaques par force brute et alertent les administrateurs en cas de comportement suspect. Lorsque des attaques par force brute sont détectées, l’application peut faire l’objet d’une tentative de prise de contrôle du compte. Ces attaques pourraient être la cause d’examens supplémentaires du réseau pour déterminer si une violation de données a eu lieu.