Qu'est-ce qu'une attaque par force brute ?

Introduction de l'attaque par force brute

Bien qu'il puisse sembler grossier et peu sophistiqué, le piratage par force brute est l'un des types les plus courants d'atteintes à la cybersécurité, les cybercriminels ayant régulièrement recours à cette attaque simple. Au fond, une attaque par force brute consiste à "deviner" le nom d'utilisateur et le mot de passe d'un utilisateur pour accéder à des comptes et à des réseaux sensibles. Toutefois, son taux de réussite élevé est moins dû à l'intuition humaine qu'à des robots automatisés capables d'exécuter de nombreux processus pour trouver la bonne combinaison.

Mais comment fonctionnent les attaques par force brute et comment vous et votre organisation pouvez-vous les reconnaître et les prévenir ? Nous nous penchons ici sur ces questions et bien d'autres encore.

Définition de l'attaque par force brute

Les cyberattaques par force brute, l'une des premières méthodes de piratage, ont toujours ciblé les personnes dont les combinaisons d'utilisateurs et de mots de passe étaient faibles. Dans les premiers exemples, cela s'est fait par simple supposition et déduction humaine, souvent en utilisant des informations personnelles déjà connues pour accéder à des comptes et à des réseaux.

Par exemple, les cybercriminels utilisent souvent des mots de passe faibles (1234, mot de passe, etc.) et des noms d'utilisateur courants qui peuvent être facilement associés à des informations publiques sur l'utilisateur (nom de l'animal de compagnie, nom de la mère, anniversaires, etc.) Une fois qu'ils y ont accès, les cybercriminels se concentrent également sur les habitudes de sécurité paresseuses qui consistent à utiliser les mêmes mots de passe sur plusieurs sites ou comptes.

Aujourd'hui, cependant, des robots de plus en plus sophistiqués et des listes facilement accessibles d'informations d'identification couramment utilisées, voire de véritables informations d'identification d'utilisateurs recueillies lors de brèches antérieures, sont à la disposition des cybercriminels qui utilisent des techniques de force brute. Ces outils et ressources d'attaque par force brute permettent aux cybercriminels de tester diverses combinaisons jusqu'à ce qu'ils trouvent les informations de connexion correctes ou d'accéder instantanément à des comptes dont les mots de passe et les noms d'utilisateur n'ont pas été modifiés à la suite d'une faille de sécurité.

Dans tous les cas susmentionnés, les cybercriminels tenteront de voler davantage d'informations, d'infecter les sites et les réseaux avec des malwares et/ou de perturber les activités. Dans certains cas, cela signifie qu'une attaque par force brute est presque instantanée, alors que dans d'autres, les attaques peuvent s'étendre sur plusieurs jours, le robot essayant de déchiffrer le code. Quoi qu'il en soit, une attaque réussie signifie la même chose : un accès non autorisé à des données et à des réseaux sensibles.

Différents types d'attaques par force brute

Les professionnels de la cybersécurité connaissent bien un large éventail d'attaques par force brute. Comme cette attaque est relativement moins exigeante en main-d'œuvre que d'autres types d'attaques, de nouvelles méthodes sont en constante évolution. Voici quelques-uns des exemples les plus courants d'attaques par force brute :

Attaque simple par force brute

Le type le plus simple d'attaque par force brute est celui où les cybercriminels tentent de deviner manuellement les identifiants de connexion d'un utilisateur. Bien que cela semble presque impossible, le fait que de nombreux utilisateurs utilisent encore des mots de passe faibles et des noms d'utilisateur courants signifie que les cybercriminels peuvent encore réussir, avec un minimum de recherche nécessaire pour accéder aux comptes personnels et aux réseaux d'entreprise.

Attaque du dictionnaire

Une autre approche simple des méthodes de force brute est l'attaque par dictionnaire. Les cybercriminels consultent des dictionnaires et modifient des mots pour trouver le mot de passe correct associé à un nom d'utilisateur ciblé. Ces techniques ne sont pas strictement propres aux attaques par force brute, mais font partie de la panoplie d'outils utilisés par les cybercriminels pour déchiffrer les mots de passe faibles.

Remplissage de documents d'identité

Dans la lignée des combinaisons faibles de noms d'utilisateur et de mots de passe, le credential stuffing vise à exploiter les utilisateurs qui utilisent de manière répétée les mêmes identifiants sur plusieurs sites ou applications. Ayant déjà volé des informations d'identification dans d'autres domaines, les cybercriminels testeront les mêmes combinaisons sur plusieurs comptes. Il est efficace lorsque les utilisateurs utilisent des mots de passe identiques ou similaires pour un grand nombre ou la totalité de leurs connexions.

Attaque hybride par force brute

Combinant les attaques simples par force brute et les attaques par dictionnaire, les piratages hybrides par force brute commencent généralement par le fait que les cybercriminels connaissent déjà un nom d'utilisateur spécifique. Ils utilisent ensuite des techniques de devinette et de dictionnaire pour découvrir un mot de passe qui peut être une combinaison de mots connus et de caractères, lettres et chiffres.

Attaque par force brute inversée

En commençant par un mot de passe connu ou courant, les cybercriminels tentent de relier ces informations d'identification à des noms d'utilisateur spécifiques en interrogeant de grandes bases de données. Par exemple, un mot de passe faible peut facilement être associé à de nombreux noms d'utilisateur connus, ce qui donne à l'attaquant de nombreuses possibilités de travail.

Différents types d'outils d'attaque par force brute

Les outils connus d'attaque par force brute sont les suivants

• THC-Hyrda - Outil open-source, THC-Hyrda analyse de nombreuses combinaisons de mots de passe à l'aide de techniques simples de force brute ou de dictionnaire. En constante évolution, il peut s'attaquer à plusieurs systèmes d'exploitation et à plus de 50 protocoles.
• Aircrack-ng - Cette suite d'outils tente d'évaluer la sécurité des réseaux Wi-Fi et d'exporter des données qui peuvent ensuite être utilisées pour créer de faux points d'accès où des informations d'identification peuvent être recueillies.
• John the Ripper - Autre outil de force brute open-source, John the Ripper est un outil de récupération de mots de passe qui prend en charge des centaines de cracks de mots de passe d'utilisateurs. Cette attaque s'applique généralement aux mots de passe des utilisateurs de macOS, Unix et Windows, ainsi qu'à la prise en charge générique des clés privées chiffrées et des fichiers de documents, des serveurs de bases de données, des applications web et du trafic réseau.

Exemples d'attaques par force brute

De nombreux exemples de force brute ont fait la une des journaux, et d'autres encore ont probablement été dissimulés par de grandes entreprises. Parmi les attaques les plus connues, on peut citer

• 2009 - Des cybercriminels ont utilisé des scripts automatisés de cassage de mots de passe sur des comptes Yahoo.
• 2015 - Des attaquants par force brute se sont introduits dans près de 20 000 comptes Dunkin Donuts.
• 2017 - Des cybercriminels ont utilisé la force brute pour accéder aux réseaux internes des parlements britannique et écossais.
• 2018 - Un bug de Firefox a exposé les mots de passe principaux à des attaques par force brute.
• 2021 - Des cybercriminels ont accédé aux réseaux de test de T-Mobile et ont utilisé des techniques de force brute pour accéder à d'autres serveurs informatiques.

Comment prévenir les attaques par force brute

La prévention des attaques par force brute au sein d'une organisation relève généralement de la responsabilité des utilisateurs individuels. Cependant, il existe également des bonnes pratiques définies par les équipes de cybersécurité qui peuvent vous aider. Dans les deux cas, ces conseils peuvent aider à prévenir ou à ralentir les attaques par force brute afin que les équipes de cybersécurité puissent identifier les problèmes et y remédier.

Pour les utilisateurs :

• Ne déduisez jamais de mots de passe ou de noms d'utilisateur à partir d'informations accessibles au public en ligne.
• Utilisez autant de caractères différents que possible lors de la définition des mots de passe.
• Utilisez une combinaison de lettres (majuscules et minuscules), de chiffres et de symboles pour les mots de passe.
• Utilisez des identifiants différents pour chaque compte.
• N'utilisez pas de motifs communs ou de combinaisons populaires.

Pour les administrateurs :

• Assurez-vous que les utilisateurs du réseau suivent les conseils ci-dessus pour créer des mots de passe forts.
• Mettez en œuvre des politiques de verrouillage qui bloquent les comptes après plusieurs tentatives de connexion infructueuses.
• Mettez en place des délais de connexion progressifs qui bloquent les comptes pendant de courtes périodes après chaque échec de connexion. Cela permettra de ralentir les attaques massives par force brute.
• Utilisez des outils Captcha pour empêcher les robots d'effectuer des attaques massives par force brute.
• Mettez en place une authentification à deux facteurs sur les comptes particulièrement vulnérables aux cybercriminels.

En outre, les équipes de cybersécurité peuvent souhaiter mettre en œuvre des mesures de cryptage sur les données les plus sensibles, ce qui rend leur accès beaucoup plus difficile pour les cybercriminels, même s'ils parviennent à pénétrer dans le réseau.

Conclusion : attaque par force brute

La prévention étant toujours la meilleure défense, prenez dès à présent des mesures pour sécuriser vos systèmes contre les techniques d'attaque par force brute.

Découvrez les solutions de Mimecast pour la détection et la prévention des attaques par force brute.