Les attaques par force brute sont souvent menées par des robots ou par des scripts ...

Le couple d'identification que l'on retrouve pour se connecter soit sur une machine (son système), soit sur un site Web, est constitué de l'identifiant de la personne et naturellement du mot de passe associé. Souvent, les pirates connaissent déjà la première valeur, ils leur restent à trouver le mot de passe. Les Brutes forces ont été crée pour cela.

Les applications les plus courantes doivent protéger de ce genre d’attaque et inclure du chiffrement, des clés API (une interface de programmation d'application ou interface de programmation applicative), ou suivre par exemple le protocole SSH.

Craquer un mot de passe n'est qu'une étape, en effet dans la chaîne de destruction d'un pirate.L'ataque peut être utilisée pour accéder à des profils utilisateur, des boîtes emails, des comptes en banque, ou pour compromettre les API ou tout autre service nécessitant une connexion et des informations d'identification.

 

350 000 ans pour trouver 13 caractères

Comme pour submerger un site de requête pour trouver le moyen d’accéder à un seul compte est chronophage, les pirates ont développé des parades. « Des outils automatisés sont disponibles pour faciliter les attaques par force brute, avec des noms comme Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng et Rainbow.

Beaucoup peuvent trouver un seul mot du dictionnaire en une seconde. Des outils comme ceux-ci fonctionnent contre de nombreux protocoles informatiques (FTP, MySQL, SMPT et Telnet) et permettent aux pirates de forcer les routeurs WiFi, d'identifier les mots de passe faibles, de révéler les mots de passe dans un système stockage chiffré et de traduire les mots en leetspeak : "don'thackme" devient "d0n7H4cKm3", par exemple ».
Le succès d'une attaque par force brute se mesure au temps qu'il faut pour réussir à craquer un mot de passe. Un mot de passe de sept caractères prendrait, à raison de 15 millions de tentatives de frappe par seconde, 9 minutes pour être craqué. Un mot de passe de 13 caractères prendrait plus de 350 000 ans. De même, pour une clé de chiffrement à 128 bits, 2128 combinaisons sont possibles, alors qu'avec un chiffrement à 256 bits, un attaquant devrait essayer 2256 combinaisons. Avec la technologie actuelle, il faudrait des milliards d'années pour toutes les deviner.
Même si les attaquants utilisent des GPU (partie graphique) pour accélérer considérablement le nombre de combinaisons tentées par seconde, l'augmentation de la complexité des mots de passe et l'utilisation d'un chiffrement fort peuvent rendre la tâche de forcer ces identifiants pratiquement irréalisables.

Les types d'attaques par la force brute

Les attaques traditionnelles par force brute : un attaquant essaie toutes les combinaisons de caractères possibles jusqu’à trouver la bonne.

Attaques par force brute inversée : les mots de passe les plus courants sont essayés pour différents comptes, sur différents sites.

Le credential stuffing : l’attaque consiste à tenter d'utiliser des noms d'utilisateur et des mots de passe volés sur des sites ou des services pour détourner ces comptes vers d'autres services et applications.

Attaques du dictionnaire : les bots parcourent un dictionnaire ou des listes de mots de passe courants issus d'autres violations de données.

Attaques rainbow-table : il s’agit ici de trouver un mot de passe par son empreinte (hash). A partir d'une liste de tous les mots de passes possibles, on va calculer pour chacun son empreinte, et la comparer à l’empreinte que l’on veut cracker. Si les deux empreintes sont identiques, on a trouvé le mot de passe. Le travail à distance augmente les attaques par force brute.

Moins de 20% des violations au sein des PME impliquent la force brute, et moins de 10% pour les grandes organisations. Cette tendance est restée largement inchangée par rapport aux itérations de 2019 et 2018 du rapport, mais la pandémie récente pourrait avoir changé la donne. « Les entreprises du monde entier ont adopté des politiques de travail à distance, ce qui a eu un impact direct sur les cybermenaces », « Les cybercriminels n’ont pas mis longtemps à comprendre que le nombre de serveurs RDP [remote desktop protocol] mal configurés augmenterait, d'où la multiplication des attaques ».

Sans donner de chiffres précis, le chercheur de Kaspersky indique que « depuis le début du mois de mars, le nombre d'attaques Bruteforce.Generic.RDP a grimpé en flèche dans le monde entier et il est peu probable que les attaques contre les infrastructures d'accès à distance s'arrêtent de sitôt, étant donné le nombre de ressources d'entreprise qui ont maintenant été mises à la disposition des télé-travailleurs ».
Se prémunir contre ce type de piratage

Bien qu'aucune technique ne soit infaillible contre une attaque par force brute, les organisations peuvent prendre des mesures qui vont demander plus de temps et de ressources informatiques pour réussir l’attaque. Parmi les bonnes pratiques figurent :

- L’utilisation de mots de passe longs et complexes (idéalement avec un chiffrement de 256 bits) ;
- Pimenter les empreintes de mots de passe. M. Emm conseille de stocker ces chaînes de caractères dans une base de données séparée, de les récupérer et de les ajouter au mot de passe avant de le hacher, afin que les employés ayant le même mot de passe aient des empreintes différentes ;
- Avoir une bonne politique de mots de passe en communiquant aux employés les bonnes pratiques ;
- Bloquer les tentatives de connexion ou exiger une réinitialisation du mot de passe au bout d’un certain nombre de tentatives incorrectes ;
- Limiter le temps d’authentification ;
- Activer les captchas ;
- Activer l'authentification à facteurs multiples lorsque cela est possible ;
- Envisager l'utilisation d'un gestionnaire de mots de passe.

Écrire un commentaire

Capcha
Entrez le code de l'image

Fil RSS des commentaires de cet article