Qu'est-ce qu'une attaque par force brute ? Comment protéger les comptes d'utilisateurs

Les mots de passe seuls ne protègent pas les comptes d'utilisateurs, mais vous le pouvez.

Définir un mot de passe commun juste pour le plaisir vous donne une assurance déguisée de sécurité. Mais les mots de passe sont souvent prévisibles, ce qui fait de vous une cible facile pour les attaques par force brute.

Les attaques par force brute tentent de voler ou de déchiffrer vos informations sensibles ou d'infecter les systèmes avec des logiciels malveillants en craquant les informations d'identification des utilisateurs ou les clés de chiffrement. Des solutions de sécurité comme   authentification multifacteur (MFA)   systèmes mettent en place une défense solide pour protéger les comptes d'utilisateurs contre les attaques par force brute.

Vous pouvez implémenter MFA pour les utilisateurs comme première ligne de défense et l'enrichir de diverses mesures préventives.

Qu'est-ce qu'une attaque par force brute ?

Une attaque par force brute est une approche systématique consistant à vérifier les combinaisons possibles d'identifiants d'utilisateur et de mots de passe pour infiltrer un système d'authentification et se connecter avec succès à une application Web ou à un système d'exploitation.

Les attaques par force brute ne se limitent pas aux seuls identifiants et mots de passe des utilisateurs. En général, l'attaque par force brute fait référence au nombre de tentatives faites pour révéler des informations sensibles par le biais d'un processus cohérent d'essais et d'erreurs. Ils incluent également la devinette et la validation des clés de cryptage plausibles créées lors de la définition du mot de passe, communément appelée recherche de clé exhaustive .

Les attaquants utilisent principalement des attaques par force brute pour casser les mots de passe (c'est-à-dire exploiter les vulnérabilités des mots de passe définis et obtenir un accès non autorisé). Ce type de   cyber-attaque   pénètre les mécanismes d'authentification et permet à des pirates malveillants d'accéder à vos ressources informatiques.

Les attaques par force brute sont des attaques cryptanalytiques qui sont utilisées lorsque les attaquants ne trouvent pas de vulnérabilités qu'ils peuvent facilement exploiter. Cela n'a aucun sens pour un attaquant de faire des efforts significatifs pour exploiter une vulnérabilité qui peut ne pas offrir les avantages escomptés.

Dans de tels scénarios, les attaques par force brute deviennent un instrument potentiel de choix pour les attaquants, car elles sont plus faciles à exécuter et peuvent offrir des avantages non éthiques substantiels si elles sont menées avec succès. Les attaquants automatisent le processus de devinette de mot de passe avec un ensemble d'identifiants de connexion et de mots de passe et récoltent les bénéfices en cassant les protocoles d'authentification et de cryptage.

Les mots de passe courts sont plus faciles et relativement plus rapides à deviner dans le processus d'attaque, mais les mots de passe plus longs peuvent prendre beaucoup de temps et de puissance de calcul.

Pourquoi les pirates mènent-ils des attaques par force brute ?

Les cybercriminels mènent généralement des attaques par force brute pour découvrir vos informations sensibles et accéder à votre système. L'intention derrière une attaque peut être d'utiliser vos informations pour accéder et faire converger une cyberattaque beaucoup plus importante contre vos actifs ou votre organisation.

Les pirates peuvent mener une attaque pour forcer brutalement les mots de passe ou les phrases secrètes, rendant vos comptes et vos réseaux vulnérables à une violation de données. La collecte des informations d'identification des utilisateurs pour des tiers peut également être un objectif possible d'une attaque par force brute. Ces informations d'identification peuvent être utilisées ultérieurement pour tirer des avantages contraires à l'éthique des données de la victime ou nuire à sa réputation publique.

Les acteurs de la menace peuvent utiliser une attaque par force brute pour mener   ingénierie sociale   attaques en envoyant des e-mails de phishing via des comptes d'utilisateurs compromis.

Quand les pirates utilisent-ils une attaque par force brute ?

Les pirates malveillants empruntent généralement la voie de l'attaque par force brute lorsqu'ils ont amplement le temps de victimiser leur cible. Une attaque par force brute peut être un processus long et chronophage. Cela implique de parcourir plusieurs combinaisons de mots de passe ou clés de cryptage possibles.

À mesure que la longueur de la chaîne des informations d'identification de l'utilisateur augmente, le temps de craquage prévu augmente également. C'est un processus de navigation lent mais simple. Avec suffisamment de temps, un attaquant peut mener une attaque par force brute pour casser les systèmes basés sur des mots de passe et accéder aux actifs des victimes sans exploiter les vulnérabilités techniques.

Types d'attaques par force brute

Il existe différentes techniques qu'un attaquant peut utiliser pour faire converger une attaque par force brute. Vous devez disposer d'un mécanisme de défense fiable pour vous protéger contre les attaques.

Attaques simples par force brute

Une simple attaque par force brute implique qu'un attaquant fasse des suppositions logiques pour casser votre système d'authentification. Ceux-ci ne sont pas assistés par des outils logiciels mais sont basés sur les détails qu'ils pourraient avoir sur vous.

Par exemple, vérifier "nom12345" ou "nom@123" et plusieurs autres variantes comme mots de passe numériques et alphanumériques. Pour le numéro d'identification personnel (PIN), un attaquant peut parcourir votre année de naissance ou votre année de naissance dans l'ordre inverse et des numéros similaires pertinents pour vous ou votre famille.

Attaques par force brute hybrides

Les attaquants devinent des mots de passe possibles au-delà de la portée de leur logique pour mener une attaque par force brute hybride en pensant à des combinaisons de mots courants (ou tendance) avec des caractères aléatoires. Cela inclut la vérification des mots de passe comme "marvel2020" ou "bitcoin36000" et des variantes similaires.

Il part d'une logique externe pour identifier les mots de passe potentiels et se poursuit par une approche simple pour essayer et tester plusieurs combinaisons possibles.

Inverser les attaques par force brute

Les attaques par force brute inversée commencent par un mot de passe connu et le testent par rapport à plusieurs identifiants d'utilisateur. Les attaquants utilisent généralement des mots de passe divulgués partagés sur Internet comme tremplin pour trouver des identifiants d'utilisateur correspondants pour accéder aux actifs d'une cible.

Dans une attaque par force brute inversée, un attaquant ne cible pas un utilisateur spécifique mais trouve un ID utilisateur pour un mot de passe particulier.

Bourrage d'informations d'identification

Le credential stuffing abuse du fait que de nombreux utilisateurs peuvent avoir les mêmes noms d'utilisateur et mots de passe sur plusieurs systèmes. Les attaquants utilisent des paires de noms d'utilisateur et de mots de passe piratés sur divers sites Web pour trouver une correspondance réussie.

Les attaquants utilisent le credential stuffing pour prendre le contrôle des comptes d'utilisateurs. Lorsqu'ils obtiennent des informations d'identification d'utilisateur renversées par des violations de données ou des sites de vidage de mots de passe, ils les vérifient sur plusieurs sites Web tels que des plateformes de médias sociaux ou des marchés en ligne. L'attaquant peut voler les détails de votre carte de crédit, vos numéros de sécurité sociale et d'autres données sensibles pour mener de nouvelles activités néfastes en trouvant une correspondance réussie.

Attaque de dictionnaire

Une attaque par dictionnaire nécessite qu'un attaquant utilise des mots ordinaires (tels qu'ils le sont dans un dictionnaire) associés à une séquence typique de chiffres ou de caractères spéciaux dans le craquage de mot de passe. Les attaquants peuvent utiliser un dictionnaire standard ou un dictionnaire unique conçu à des fins malveillantes. Par exemple, ils peuvent vérifier des mots de passe comme steam, steel, steep, etc.

Les attaques par dictionnaire s'avèrent souvent fructueuses car les utilisateurs ont une tendance inhérente à utiliser des mots du quotidien dans leurs mots de passe.

Attaques de table arc-en-ciel

Rainbow table est un dictionnaire précalculé de mots de passe et de leurs valeurs de hachage. Dans un système, les mots de passe ne sont pas stockés sous forme de texte brut, mais sont hachés à l'aide d'un cryptage. Lorsqu'un utilisateur entre les mots de passe, il est converti en sa valeur de hachage correspondante et est vérifié avec le hachage stocké. S'il y a correspondance, l'utilisateur accède à son compte.

Un attaquant exploite une table de hachage arc-en-ciel pour déchiffrer les mots de passe lors d'une attaque par table arc-en-ciel. Étant donné que plusieurs textes peuvent avoir des valeurs de hachage identiques, il n'est pas nécessaire de connaître le mot de passe réel tant qu'un attaquant peut s'authentifier avec le hachage.

Alors que les attaques de table arc-en-ciel prennent beaucoup de temps de préparation, les attaques réelles sont beaucoup plus rapides car les échanges d'algorithmes augmentent l'utilisation de l'espace avec un temps réduit.

Exemples d'attaques par force brute

L'objectif final des attaques par force brute est de voler des données ou de perturber la prestation de services. En conséquence, ces attaques sont devenues une menace importante pour la posture de sécurité d'une organisation.

Voici quelques exemples notables d'attaques par force brute de l'histoire récente :

• En 2013, GitHub a été victime d'une attaque par force brute, où plusieurs mots de passe stockés en toute sécurité ont été compromis. Il a été identifié que les tentatives de connexion par force brute ont été effectuées à partir d'environ 40 000 adresses IP uniques.
• Le Club Nintendo a été la cible d'une attaque par force brute qui a touché 25 000 membres du forum en 2013. Les attaquants ont fait 15 millions de tentatives de force brute pour casser des comptes d'utilisateurs.
• TaoBao d'Alibaba, en 2016, a subi une attaque par force brute où 21 millions de comptes d'utilisateurs ont été compromis. Les attaquants ont utilisé une base de données contenant près de 99 millions de noms d'utilisateur et de mots de passe pour forcer brutalement les comptes d'utilisateurs TaoBao existants.
• La fonction de mot de passe principal de Mozilla Firefox a été victime d'une attaque par force brute en 2018. Le nombre d'informations d'identification d'utilisateur exposées est inconnu. En 2019, Firefox a introduit un correctif pour résoudre ce problème.
• En 2018, Magento a été touché par une attaque par force brute qui a compromis près de 1000 panneaux d'administration.

Outils d'attaque par force brute

Les attaques par force brute sont menées à l'aide d'outils automatisés qui vérifient les informations d'identification de l'utilisateur jusqu'à ce qu'une correspondance réussie soit trouvée. Avec de nombreux noms d'utilisateur et mots de passe possibles, les tests manuels deviennent délicats. Par conséquent, les attaquants tirent parti de l'automatisation pour accélérer le processus de devinette dans de telles situations.

Voici quelques exemples célèbres d'outils d'attaque par force brute* :

• THC Hydra craque l'authentification réseau en effectuant une attaque par dictionnaire contre plus de 30 protocoles (HTTP, FTP, HTTPS, etc.).
• Aircrack-ng effectue des attaques par force brute sur le Wi-Fi 802.11 et est utilisé pour casser les mots de passe Wi-Fi à l'aide des outils de piratage et d'analyse WEP/WPA/WPA2-PSK.
• John the Ripper est utilisé pour déchiffrer les mots de passe faibles et pénétrer les systèmes basés sur les mots de passe. Il prend en charge 15 plates-formes multiples comme Unix, Windows, DOS, etc.
• Rainbow Crack génère des tables arc-en-ciel pour effectuer des attaques par force brute et aide à réduire la durée de l'attaque.
• L0phtCrack est utilisé pour déchiffrer les mots de passe Windows avec des attaques par dictionnaire, des attaques hybrides et des tables arc-en-ciel.

* Ces outils ne doivent être utilisés qu'à des fins éthiques pour tester et renforcer les systèmes contre les attaques par force brute.

Comment détecter une attaque par force brute

Les attaquants peuvent mener des attaques par force brute avec de nombreuses variantes. Vous devez définir des mesures préventives et les appliquer pour vous défendre contre de telles attaques.

Voici quelques-uns des signes qui pourraient suggérer une attaque par force brute :

• Plusieurs tentatives de connexion infructueuses à partir d'une adresse IP
• Demandes de connexion provenant d'un seul compte d'utilisateur à partir de plusieurs adresses IP
• Connexions avec plusieurs noms d'utilisateur à partir de la même adresse IP
• Connexions avec une URL de référence de la messagerie ou du client IRC de quelqu'un
• Utilisation douteuse et consommation de bande passante à partir d'un usage unique
• Tentatives de connexion infructueuses effectuées à partir de noms d'utilisateur ou de mots de passe alphabétiques ou séquentiels
• URL de renvoi vers des sites Web de partage de mots de passe

Grâce à une détection précoce et à des mesures préventives appropriées, les organisations peuvent limiter leur exposition aux attaques par force brute.

Comment prévenir les attaques par force brute

Les attaques par force brute fonctionnent sur une base d'essais et d'erreurs, et aucune vulnérabilité technique n'est ciblée. Pour cette raison, vous devez suivre les meilleures pratiques de sécurité pour protéger vos actifs contre les attaques par force brute au lieu de renforcer uniquement vos mécanismes de défense.

Appliquer des mots de passe forts et uniques

La création de mots de passe forts, imprévisibles et uniques constitue une défense solide contre les attaques par force brute. Par exemple, un mot de passe long et complexe sera difficile à deviner par rapport au nom et à l'année de naissance d'un parent dans un mot de passe.

Assurez-vous que vous avez des mots de passe différents pour plusieurs comptes d'utilisateurs. L'utilisation d'identifiants d'utilisateur similaires pour tous les comptes permet aux attaquants d'exploiter et d'extraire facilement des informations sensibles de tous les comptes.

Verrouiller les comptes d'utilisateurs

Une série de tentatives de connexion infructueuses dans les comptes d'utilisateurs peut indiquer une éventuelle attaque par force brute. Vous pouvez verrouiller ces comptes d'utilisateurs pour une durée spécifique ou les déverrouiller avec l'autorisation de l'administrateur.

Les verrouillages de compte doivent être effectués de manière contrôlée. Ils peuvent facilement conduire à un déni de service lorsque des attaques par force brute sont menées à grande échelle. Dans de telles situations, les verrouillages de compte avec des retards progressifs sont des solutions appropriées, c'est-à-dire que pour chaque ensemble de tentatives de connexion infructueuses, la durée des verrouillages de compte est progressivement augmentée.

Les verrouillages de compte conviennent dans un endroit où le risque est plus élevé que le déni de service. Les entreprises peuvent utiliser   systèmes de détection et de prévention des intrusions   pour définir des règles personnalisées afin de restreindre les adresses IP et de verrouiller les comptes de manière contrôlée.

Utiliser l'authentification à deux facteurs (2FA)

Authentification à deux facteurs   est largement utilisé comme première ligne de défense contre les attaques par force brute. Cela oblige un utilisateur à prouver son identité deux fois, ce qui réduit le risque d'une faille de sécurité même lorsqu'un attaquant obtient une correspondance de mot de passe réussie.

La plupart des pirates (à l'exception de quelques-uns persistants) se retireront et chercheront des cibles plus faciles. Mais vous devez vous assurer que vous disposez d'informations d'identification d'utilisateur différentes pour d'autres comptes (e-mail, logiciel de sécurité, etc.) pour empêcher les pirates d'y accéder et de passer le 2FA.

Surveiller les journaux du serveur

Analysez soigneusement tous les journaux de serveur car ils constituent une source de données essentielle pour reconnaître divers modèles d'attaques par force brute. Sur la base de ces journaux, vous pouvez obtenir des informations pour planifier vos futures stratégies de défense et assurer la sécurité du compte ou du réseau.

Systèmes de gestion des informations et des événements de sécurité (SIEM)   constituent une excellente solution pour stocker, surveiller et analyser tous les journaux de manière centralisée. En cas de compromission de compte, les systèmes SIEM vous aideront à rassembler une expertise numérique pour lancer un plan de réponse aux incidents.

Utilisez CAPTCHA

CAPTCHA fonctionne en testant un utilisateur pour réussir un défi simple difficile pour un ordinateur. Par exemple, demander à un utilisateur de compter le nombre de stylos jaunes dans une image est facile. Pourtant, cela peut être un casse-tête pour une machine d'interpréter l'image.

Même si CAPTCHA augmente le nombre d'étapes qu'un utilisateur prend pour accéder à un compte d'utilisateur, il est très bénéfique pour assurer la sécurité du compte. Il peut ébranler l'expérience d'un utilisateur, mais il enrichit sa confiance en protégeant les informations sensibles des attaques automatisées par force brute et des bots.

Doubler la prévention

Adoptez les meilleures techniques de prévention et créez la pile technologique de sécurité requise pour protéger vos systèmes contre les attaques par force brute et maintenir la cybersécurité.

Si un attaquant parvient à pénétrer les systèmes d'authentification même après avoir appliqué des mesures préventives, lancez votre plan de réponse aux incidents pour contrôler et limiter les dommages qu'ils peuvent causer.