Blog

Que sont les attaques par force brute et comment pouvez-vous les prévenir ?

Une attaque par force brute est une méthode utilisée pour obtenir des informations privées sur les utilisateurs telles que des noms d'utilisateur, des mots de passe, des phrases secrètes ou des numéros d'identification personnels (PIN). Ces attaques sont généralement menées à l'aide d'un script ou d'un bot pour « deviner » les informations souhaitées jusqu'à ce qu'une entrée correcte soit confirmée.

Ces attaques peuvent être mises en œuvre par des criminels pour tenter d'accéder à des données qui seraient autrement protégées par des informations d'identification. Même si vous pensez peut-être qu'un mot de passe protège vos informations, des recherches ont montré que n'importe quel mot de passe à huit caractères peut être fissuré en moins de six heures. Et c'était en 2012 sur une machine relativement bon marché.

Une attaque par force brute peut également être une moyen utile pour les spécialistes informatiques de tester la sécurité de leurs réseaux. En effet, l’une des mesures de la force de chiffrement d’un système est le temps qu’il faudrait à un attaquant pour réussir une tentative de force brute.

La force brute n’étant certainement pas la forme d’attaque la plus sophistiquée, diverses mesures peuvent contribuer à bloquer ce type de menaces. Dans cet article, nous explorons plus en détail les attaques par force brute, avec quelques exemples, puis révélons comment vous pouvez vous en protéger.

Une introduction aux attaques par force brute

Les attaques par force brute sont souvent appelées craquage par force brute. En effet, la force brute – dans ce cas la puissance de calcul – est utilisée pour tenter de déchiffrer un code. Plutôt que d'utiliser un algorithme complexe, une attaque par force brute utilise un script ou un robot pour soumettre des suppositions jusqu'à ce qu'il trouve une combinaison qui fonctionne .

Il y a beaucoup d'outils facilement disponible pour aider les pirates à lancer des tentatives de force brute. Mais même écrire un script à partir de zéro ne serait pas trop difficile pour quelqu’un à l’aise avec le code. Bien que ces attaques soient faciles à exécuter, en fonction de la longueur et de la nature du mot de passe ainsi que de la puissance de calcul utilisée, elles peuvent prendre des jours, des semaines, voire des années, pour réussir.

Il convient de noter que les attaques par force brute reviennent sur le devant de la scène en 2020. les cybercriminels profitent de l’augmentation du nombre de travailleurs à distance. Un rapport de Kaspersky d'avril 2020 a révélé que le nombre d'attaques par force brute attaques sur les protocoles de bureau à distance (RDP) a augmenté de 400 pour cent en mars et avril.

Graphique montrant l — Source: Kaspersky

Avant d’examiner comment détecter et prévenir les attaques par force brute, nous devons noter d’autres termes que vous pourriez rencontrer en rapport avec ce sujet.

Attaques hybrides par force brute

Une attaque par force brute utilise une approche systématique pour deviner qui n’utilise pas de logique extérieure. Des attaques similaires incluent un attaque de dictionnaire , qui peut utiliser une liste de mots du dictionnaire pour déchiffrer le code. D'autres attaques peuvent démarrer avec des mots de passe couramment utilisés.

Celles-ci sont parfois décrites comme des attaques par force brute. Cependant, parce que ils utilisent une certaine logique Pour décider quelles itérations peuvent être les plus probables en premier, on les appelle plus précisément des attaques hybrides par force brute.

Attaque inversée par force brute

Une attaque par force brute inversée implique en utilisant un mot de passe commun ou un groupe de mots de passe contre plusieurs noms d'utilisateur possibles. Cela ne cible pas un seul utilisateur mais peut être utilisé pour tenter d’accéder à un réseau particulier.

La meilleure protection contre ce type d’attaque consiste à utiliser des mots de passe forts ou, du point de vue d’un administrateur, à exiger l’utilisation de mots de passe forts.

Bourrage d'informations d'identification

Bourrage d'informations d'identification est une forme unique d'attaque par force brute qui utilise des paires de nom d'utilisateur et de mot de passe violés . Si une paire nom d'utilisateur/mot de passe est connue, un attaquant peut l'utiliser pour tenter d'accéder à plusieurs sites. Une fois dans le compte d’un utilisateur, celui-ci a un contrôle total sur ce compte et accède à tous les détails qu’il détient.

Des précautions telles que l’authentification à deux facteurs et des questions de sécurité peuvent aider à prévenir les dommages causés par ce type d’attaques. Cependant, la meilleure protection consiste pour les utilisateurs à ne jamais utiliser le même mot de passe pour plusieurs comptes.

Le but d’une attaque par force brute

Une fois qu’un pirate informatique a réussi sa tentative de connexion, quelle est la prochaine étape ? La réponse est que toute une série de choses peuvent être réalisées. En voici quelques-uns des principaux :

Voler ou exposer les informations personnelles des utilisateurs trouvées dans les comptes en ligne
Récolte d'ensembles d'informations d'identification pour les vendre à des tiers
Se faire passer pour des propriétaires de compte pour diffuser du faux contenu ou des liens de phishing
Voler des ressources système pour les utiliser dans d'autres activités
Dégradation d'un site Web en accédant aux informations d'identification de l'administrateur
Diffusion de logiciels malveillants ou de spam ou redirection de domaines vers du contenu malveillant

Comme mentionné, les attaques par force brute peuvent également être utilisées pour tester les vulnérabilités du système et ne sont donc pas toujours malveillantes.

Exemples d'attaques par force brute

Les attaques par force brute ont lieu tout le temps et il existe de nombreux exemples très médiatisés. Nous ne sommes probablement même pas au courant de nombreuses attaques passées et en cours, mais en voici quelques-unes qui ont été révélées ces dernières années :

Agence du revenu du Canada (ARC) :En août 2020, un attaque de credential stuffing a entraîné le piratage de plus de 11 000 comptes de l'ARC et d'autres services gouvernementaux.
Dunkin Donuts:La célèbre franchise de café a été condamné à payer des centaines de milliers de dollars en réponse à un incident survenu en 2015 au cours duquel le credential stuffing et les attaques par force brute ont été utilisées pour voler de l’argent via l’application mobile et le site Web de la chaîne.
Ali Baba : UN attaque massive par force brute en 2016 sur le site de commerce électronique populaire a affecté des millions de comptes.
Magento : En mars 2018, Magento devait avertir les utilisateurs que jusqu'à 1 000 panneaux d'administration avaient été compromis à la suite d'attaques par force brute.
Parlement d'Irlande du Nord : Également en mars 2018, le comptes de plusieurs membres du Parlement nord-irlandais ont été accédés par des attaquants par force brute.
Parlement de Westminster : Un une attaque antérieure avait frappé le Parlement de Westminster en 2017, où jusqu'à 90 comptes de messagerie ont été compromis.
Firefox : C'était a révélé début 2018 que Firefox La fonctionnalité « mot de passe principal » peut être facilement attaquée par force brute. Cela signifie qu’au cours des neuf dernières années, les informations d’identification de nombreux utilisateurs ont pu être exposées.

Même si les attaques par force brute sont souvent utilisées par les criminels, ellespeutaider à tester les systèmes. De plus, ils peuvent proposer une option de sauvegarde pour la récupération du mot de passe si les autres méthodes ont été épuisées.

Comment repérer une attaque par force brute

Il n’est pas rare de recevoir un e-mail d’un fournisseur de services vous informant que quelqu’un s’est connecté à votre compte depuis un emplacement aléatoire. Lorsque cela se produit, il est possible que vous ayez été victime d’une attaque par force brute. Dans ce cas, il est conseillé de changer votre mot de passe immédiatement.

Vous souhaiterez peut-être même changer régulièrement votre mot de passe pour les comptes sensibles, juste au cas où vous seriez victime d'une attaque par force brute non détectée ou non signalée.

Si vous êtes administrateur réseau, il est important pour la sécurité de votre site Web et de vos utilisateurs d’être attentif aux signes d’une attaque par force brute, en particulier lorsqu’elle est réussie. Bien qu’un certain nombre de connexions infructueuses puissent provenir d’un utilisateur oublieux, il est probable que le site soit attaqué. Voici quelques signes à surveiller :

Plusieurs tentatives de connexion échouées à partir de la même adresse IP.Cependant, cela pourrait être dû au fait qu’un serveur proxy est utilisé par une grande organisation.
Tentatives de connexion avec plusieurs noms d'utilisateurà partir de la même adresse IP. Encore une fois, cela pourrait simplement provenir d’une grande organisation.
Plusieurs tentatives de connexion pour un seul nom d'utilisateurprovenant de différentes adresses IP. Il peut également s'agir d'une seule personne utilisant un proxy.
Un schéma inhabituel d'échecs de tentatives de connexion, par exemple, en suivant un modèle séquentiel alphabétique ou numérique.
Une quantité anormale de bande passanteutilisé après une tentative de connexion réussie. Cela pourrait signaler une attaque conçue pour voler des ressources.

Du point de vue de l'utilisateur, il peut être très difficile de savoir si votre compte a été piraté par une attaque par force brute. Si vous recevez une notification après une violation de votre compte, votre meilleure solution est de vérifier votre compte pour toute modification que vous n'avez pas apportée et de changer votre mot de passe immédiatement.

En rapport: Que faire si votre compte ou votre adresse e-mail a été piraté

Comment prévenir une attaque par force brute

Les attaques par force brute peuvent être faciles à détecter simplement en raison du grand nombre de tentatives de connexion. On pourrait penser que contrecarrer une attaque serait aussi simple que de bloquer l’adresse IP d’où proviennent les tentatives de connexion. Malheureusement, ce n’est pas aussi simple que çales pirates peuvent utiliser des outils qui passent les tentatives via des serveurs proxy ouvertsafin qu'ils proviennent d'adresses IP différentes.

Néanmoins, selon que vous êtes utilisateur ou administrateur, vous pouvez empêcher une attaque par force brute réussie en suivant nos conseils. Nous entrerons plus en détail sur chacun d’eux ci-dessous.

Voici comment empêcher une attaque par force brute :

Utiliser ou exiger des mots de passe forts
Autoriser un nombre limité de tentatives de connexion
Utiliser les CAPTCHA
Définition des délais entre les tentatives
Poser des questions de sécurité
Activer ou exiger l'authentification à deux facteurs
Utilisation de plusieurs URL de connexion
Tromper le logiciel d'attaque

Puisque la plupart des mesures doivent être mises en œuvre par un administrateur, cette section se concentrera sur les éléments sous cet angle. Les utilisateurs doivent toujours prendre note des domaines dans lesquels ils peuvent contribuer à renforcer le système, par exemple en utilisant des mots de passe forts et en tirant parti de toutes les fonctionnalités de sécurité facultatives.

1. Mots de passe forts

Si vous êtes administrateur réseau, vous pouvez contribuer à empêcher les attaques par force brute réussies en exigeant que les utilisateurs saisissent des mots de passe forts. Par exemple, vous pouvez exiger une certaine longueur et que le mot de passe contienne des fonctionnalités spécifiques, telles qu'un mélange de lettres majuscules et minuscules ainsi que de chiffres et de caractères spéciaux.

Du point de vue de l'utilisateur, un mot de passe fort est impératif. L’utilisation d’un mot de passe commun ou d’un simple mot d’un dictionnaire permettra à un outil d’attaque par force brute d’atterrir beaucoup plus facilement sur le bon. Trouver un mot de passe solide peut être difficile, mais voici quelques conseils :

Les mots de passe plus longs sont meilleurscar il faudra plus de temps à un outil séquentiel pour parcourir les itérations.
Utiliser une combinaisonde lettres majuscules et minuscules, de chiffres et de caractères spéciaux renforceront le mot de passe.
Ne jamais utiliser le même mot de passepour différents comptes vous rendra moins vulnérable à certains types d’attaques.

Bien sûr, trouver et mémoriser des mots de passe forts peut être difficile, mais il existe des outils pour vous aider. Ceux-ci incluent des générateurs de mots de passe, des outils de test de sécurité des mots de passe et des applications de gestion de mots de passe telles que LastPass, KeePass, Dashlane et Sticky Password.

2. Nombre limité de tentatives de connexion

Une défense courante contre une attaque par force brute consiste simplement à limiter le nombre de tentatives de connexion à un nombre logique, peut-être entre cinq et dix. Si vous procédez ainsi, n'oubliez pas de fournir une sorte de méthode de récupération que les utilisateurs authentiques peuvent poursuivre au cas où ils seraient bloqués.

Par exemple, vous pouvez proposer une option de récupération grâce à laquelle leur mot de passe peut être modifié via une vérification par e-mail. Vous pouvez également fournir un numéro de contact d'assistance ou un e-mail à contacter en cas de verrouillage.

Vous pourriez aussi envisagez de fixer une limite de temps au blocage . Étant donné que de nombreuses attaques par force brute se produiront dans un court laps de temps, un verrouillage temporaire peut suffire. Vous pouvez définir le temps de verrouillage sur une heure ou deux pour minimiser l'impact négatif sur l'expérience utilisateur globale.

Gardez à l’esprit que cette option est loin d’être infaillible et qu’elle entraîne de nombreux problèmes potentiels. L'un des problèmes de cette mesure est que certains outils de force brute non seulement changent le mot de passe à chaque fois, mais essaient également un nom d'utilisateur différent à chaque tentative. Si les tentatives concernent différents comptes, un seul compte ne sera pas verrouillé.

Restreindre le nombre de tentatives pour chaque adresse IP Cela aurait du sens, mais comme mentionné ci-dessus, différentes adresses IP peuvent être utilisées pour chaque tentative, auquel cas cette mesure ne serait pas efficace. Une alternative serait de bloquer sur une base de navigateur ou d'appareil en utilisant des cookies.

Un autre problème avec cette tactique est que les verrouillages peuvent être utilisés pour récolter de vrais noms d'utilisateur dans une tentative de devinette de nom d'utilisateur où seuls les vrais noms d'utilisateur délivrent un message de verrouillage. De plus, un verrouillage pourrait en fait être utilisé stratégiquement pour bloquer les utilisateurs afin de les empêcher d’accéder aux comptes.

Compte tenu de tous ces problèmes potentiels, une stratégie de tentative de connexion limitée ne doit être utilisée que dans des circonstances appropriées.

3. CAPTCHA

Les CAPTCHA (tests de Turing publics entièrement automatisés pour distinguer les ordinateurs des humains) existent depuis plus de vingt ans. Ils peuvent être utilisés pour déterminer si une tentative de connexion est effectuée ou non par un humain . Certains CAPTCHA demandent simplement à l'utilisateur de retaper un texte déformé, de cocher une case ou de répondre à une simple question mathématique.

CAPTCHA sur Pixabay — Pixabay utilise une simple coche CAPTCHA lorsque les utilisateurs non enregistrés téléchargent des images gratuites.

D'autres sont un peu plus sophistiqués et demandent aux utilisateurs d'identifier les objets dans les images.

Sans surprise, la simplicité des CAPTCHA signifie qu’ils ne sont pas si difficiles à contourner. Pourtant, ils pourraient au moins constituer un obstacle pour les attaquants potentiels. Les CAPTCHA peuvent être utilisés en combinaison avec d'autres tactiques de cette liste, comme exiger un CAPTCHA après un certain nombre de tentatives de connexion infructueuses.

4. Délais

Implémenter un délai de quelques secondes entre les tentatives de connexion semble rudimentaire mais pourrait en réalité être très efficace. Certaines attaques par force brute reposent sur un grand nombre de tentatives en peu de temps dans l’espoir de trouver rapidement la bonne combinaison.

Un court délai entre les tentatives pourrait sérieusement ralentir une attaque au point que cela n’en vaut plus la peine . D’un autre côté, le retard peut être à peine perceptible pour l’utilisateur moyen.

Cette tactique ne fonctionnera pas pour toutes les attaques, car certaines sont conçues pour être délibérément lentes.

5. Questions de sécurité

Alors que de nombreux utilisateurs déplorent l’utilisation de questions de sécurité, leur utilisation peut s’avérer encore plus pénible pour les attaquants par force brute. Même dans le cas d’attaques ciblées impliquant des informations personnelles sur un utilisateur spécifique, il peut être difficile de contourner les questions de sécurité.

Pour offrir une meilleure expérience utilisateur, vous pouvez ne demande des réponses de sécurité qu'après un nombre spécifique de tentatives de connexion infructueuses ou chaque fois qu'un nouvel appareil est utilisé pour la connexion. Ou, si vous avez détecté une attaque, c’est peut-être le bon moment pour demander à tous les utilisateurs de répondre à une question de sécurité lors de leur connexion.

6. Authentification à deux facteurs

Selon la nature de votre service, il est probable que vous ne souhaitiez pas détériorer l’expérience utilisateur en appliquant une règle d’authentification à deux facteurs. Cependant, il est agréable de pouvoir proposer cette fonctionnalité en option aux utilisateurs plus soucieux de leur sécurité.

Vous pouvez choisir de proposer un processus simple en deux étapes, par exemple des informations d'identification suivies d'un e-mail, ou vous pouvez laisser l'utilisateur choisir entre différentes options, notamment les informations d'identification, les réseaux sociaux, l'e-mail, les SMS, etc.

A noter qu'il y en a deux différentes formes de ce type d'authentification qui sont souvent confondus ou simplement regroupés. Vérification en deux étapes (2SV) implique généralement un code ou un lien de vérification, souvent envoyé par SMS ou par e-mail. Par exemple, Amazon offre aux utilisateurs la possibilité d'utiliser 2SV sous la forme d'un mot de passe à usage unique (OTP) pour toutes les tentatives de connexion.

Authentification à deux facteurs (2FA) utilise une forme différente de vérification comme deuxième facteur. Cela pourrait impliquer quelque chose comme une carte d'accès ou un porte-clés, ou une méthode d'identification biométrique telle qu'une empreinte digitale ou un scan de la rétine.

7. URL de connexion uniques

Puisqu’il n’existe pas vraiment d’options concrètes pour bloquer les tentatives de force brute, il est sage de mettre en œuvre plusieurs stratégies de défense. Certaines d’entre elles pourraient simplement impliquer des tactiques de diversion. Une de ces méthodes consiste à fournir différentes URL à partir desquelles les utilisateurs peuvent se connecter . Dans ce cas, chaque utilisateur disposerait d'une URL de connexion unique ou utiliserait une URL partagée avec un ensemble d'autres utilisateurs.

Cette méthode serait particulièrement utile pour empêcher les attaques utilisées pour récolter des noms d'utilisateur, car chaque URL fournirait une quantité limitée d'informations. Ce n’est en aucun cas une méthode de premier ordre, mais elle pourrait ralentir une attaque.

8. Tromper le système

Une autre tactique de diversion possible consiste à changer les choses afin de confondre l'attaquant (ou plutôt le logiciel utilisé). Par exemple, certains robots sont formés pour reconnaître les erreurs, mais vous pouvez utiliser redirige vers différentes pages d'échec pour les tentatives de connexion échouées simultanément . Cela signifierait que l’attaquant devrait au moins intensifier les choses avec un logiciel plus sophistiqué.

D'autres options incluent autoriser l'accès à un compte, puis demander un mot de passe sur une nouvelle page, ou même accorder l'accès à un compte avec des capacités très limitées .

Alternativement, vous pouvez utiliser une méthode inverse et intégrer une erreur de connexion échouée dans le code de la page Web . Même en cas de tentative de connexion réussie, un robot pourrait être amené à fournir cela comme un échec. Cette forme de l'obscurcissement est souvent utilisé pour qu'il soit plus difficile pour un outil d'attaque automatisé de comprendre si une attaque par force brute a échoué ou réussi.

Cette tactique pourrait suffire à décourager la personne moyenne qui recherche simplement un système faible à pénétrer. Mais ces astuces pourraient probablement être contournées par un attaquant déterminé et pourraient nécessiter beaucoup d’efforts initiaux.

L’essentiel pour se protéger contre les attaques par force brute

Comme vous pouvez le constater, il existe de nombreuses options pour empêcher une attaque réussie. Étant donné que la nature d’une attaque par force brute varie au cas par cas, il n’existe pas vraiment de méthode globale de prévention. Il serait donc préférable d’envisager d’utiliser une combinaison de plusieurs stratégies pour créer une ligne de défense solide.

En rapport:

Meilleure formation de sensibilisation à la cybersécurité
Plus de 30 outils gratuits pour améliorer la sécurité de votre site Web et de vos visiteurs
Le guide sans jargon sur la sécurité informatique et Internet
Rapport sur la cybercriminalité : plus de 300 statistiques sur la cybersécurité

3D-Online

Informations, Outils, Avis Et Comparaisons, Pour Aider Les Lecteurs À Améliorer Leur Cybersécurité Et Leur Confidentialité Sur Internet.