L’attaque brute force est indubitablement l’une des méthodes d’attaque les plus simples. La raison principale en est que le maillon faible de la chaîne de cybersécurité demeure le facteur humain. Aucune nécessité de mettre en œuvre des tactiques d’ingénierie sociale complexes ou des attaques d’injection SQL sophistiquées pour dérober des identifiants, car les habitudes persistent : les mots de passe des utilisateurs restent souvent faibles et donc facilement devinables. Grâce à des outils appropriés, même les hackeurs les moins expérimentés parviennent à compromettre les données et à paralyser les systèmes de grandes entreprises. 

Qu’est-ce qu’une attaque bruteforce ?  

Une attaque par force brute, également connue sous le terme de bruteforce, représente une méthode utilisée par les cybercriminels pour compromettre les informations d’identification des comptes et principalement les mots de passe. 

Lors d’une attaque par bruteforce, le hackeur dispose généralement d’un dictionnaire contenant des termes et des mots de passe couramment utilisés, qu’il utilise pour « deviner » le mot de passe d’un utilisateur. Après avoir épuisé la liste de termes du dictionnaire, l’attaquant explore des combinaisons de caractères jusqu’à ce qu’une correspondance soit trouvée. 

Il peut être nécessaire d’effectuer des milliers de tentatives avant de réussir à cracker un mot de passe, ce qui explique pourquoi les attaquants recourent à des outils d’automatisation pour réaliser rapidement un grand nombre de tentatives. 

Comment les attaques bruteforce fonctionnent-elles ? 

Les attaques par force brute sont fréquemment orchestrées par des scripts ou des robots ciblant la page de connexion d’un site ou d’une application. Ils examinent des clés, des mots de passe connus et des chaînes de caractères potentielles. Les applications les plus répandues doivent se prémunir contre ce type d’attaque en mettant en place des mesures telles que le chiffrement, l’utilisation de clés API, ou le suivi du protocole SSH. 

Cracker un mot de passe n’est qu’une étape dans la chaîne de destruction d’un hackeur. En effet, cela peut servir à accéder à des profils utilisateur, des boîtes de messagerie électronique, des comptes bancaires, ou à compromettre des API et d’autres services nécessitant une connexion et des informations d’identification.  

À lire aussi :  Les erreurs à éviter en formation à la cybersécurité

Quelles sont les différentes attaques brutes forces ?  

La définition globale des attaques par bruteforce implique de tenter de « deviner » les informations d’identification des utilisateurs en explorant toutes les combinaisons de caractères jusqu’à obtenir une correspondance. 

Cependant, les attaquants emploient différentes stratégies de force brute pour maximiser leurs chances de succès. Il est crucial pour les entreprises de comprendre tous les types d’attaques par force brute afin de développer des stratégies de protection efficaces. 

Les catégories d’attaques par force brute comprennent : 

Attaques par dictionnaire 

De nombreuses attaques par force brute font usage d’une liste de dictionnaires comprenant des mots, des phrases et des mots de passe couramment utilisés, téléchargés depuis Internet. 

Password spraying  

Ici, l’attaquant tente d’accéder à plusieurs comptes sur un même domaine en utilisant des mots de passe courants. En exploitant une liste de mots de passe faibles et répandus, tels que 123456 ou password1, un pirate peut potentiellement compromettre des centaines de comptes en une seule attaque. 

Credential stuffing 

Il est fréquent que les utilisateurs adoptent les mêmes mots de passe pour plusieurs sites. Un attaquant qui réussit à obtenir l’accès aux mots de passe des utilisateurs sur un site tentera ces mêmes mots de passe sur d’autres sites, phénomène connu sous le nom de « credential stuffing ». 

Les meilleures pratiques pour se protéger des attaques bruteforce 

Amélioration de sa politique de mots de passe 

Contrer une attaque par force brute requiert inévitablement la mise en place d’une politique de mots de passe efficace. Dans cette optique, le seul critère véritablement essentiel est sa taille, car plus un mot de passe est long, plus il devient difficile à deviner lors d’une attaque par bruteforce. 

Malheureusement, ce critère est souvent négligé par les entreprises en charge de définir ces politiques de mots de passe, et les utilisateurs se retrouvent souvent soumis à des consignes contre-productives, voire dangereuses en termes de sécurité. Les directives stipulant une longueur minimale d’au moins 8 caractères, incluant au moins une majuscule, un chiffre et un caractère spécial, sont obsolètes et peuvent être trompeuses. 

À lire aussi :  Quelles sont les différences entre la liste blanche et la liste noire ?

Prenons l’exemple de mot de passe suivant : « Password2! ». En suivant les directives mentionnées, ce mot de passe est considéré comme sécurisé, bien qu’il soit en réalité plus facile à deviner lors d’une attaque par force brute que le mot de passe suivant : « ceciestmonmotdepasseettuneleconnaispas », qui ne contient ni chiffre, ni majuscule, ni caractère spécial. Ainsi, la longueur est l’élément clé pour définir un mot de passe sécurisé (15 à 20 caractères, quelle que soit la nature des caractères), car cela réduit considérablement les chances d’être deviné. Il est évident qu’il convient d’éviter les suites de caractères (comme « 12345678910111213 »). Pour vous aider à générer un mot de passe robuste et sécurité, vous pouvez utiliser notre générateur de mots de passe 

Il est également essentiel de partir du principe qu’un attaquant n’utilise généralement pas cette technique, en saisissant manuellement des mots de passe un par un, bien que cela puisse se produire pour des mots de passe par défaut. En effet, de nombreuses applications web et frameworks créent des utilisateurs par défaut lors de l’installation (par exemple, id : admin / mot de passe : admin). Si ces comptes utilisateur ne sont pas supprimés ou modifiés, ils représentent des cibles faciles pour une attaque par force brute, qui repose généralement sur un outil automatisé pour effectuer des milliers de requêtes par minute avec des informations d’identification générées à partir d’une longue liste de valeurs possibles (attaques par dictionnaire). 

De plus, diverses solutions existent pour former à la cybersécurité vos collaborateurs. L’une d’entre elles consiste à les responsabiliser en les incitant à vérifier régulièrement si leurs mots de passe, identifiants ou numéros de téléphone n’ont pas été compromis et divulgués lors d’une fuite de données.  

Implémentation d’une authentification multifacteur 

L’introduction d’un facteur d’authentification supplémentaire complique également la tâche d’un attaquant tentant de compromettre un compte par le biais d’une attaque par bruteforce. En effet, avec la mise en place d’une authentification à deux facteurs (2FA), l’attaquant se heurtera à une nouvelle barrière, souvent extrêmement difficile, voire impossible à contourner, notamment lorsque confronté à un code généré aléatoirement avec une durée limitée. Par conséquent, même en ayant accès au bon identifiant et au bon mot de passe, l’attaquant ne pourra pas accéder au compte de l’utilisateur. 

À lire aussi :  Comprendre la réglementation DORA sur la résilience opérationnelle numérique

 Création d’un algorithme plus sécurisé pour le stockage des mots de passe 

Il est impératif de sécuriser le stockage des mots de passe des utilisateurs dans la base de données. En cas de compromission de cette dernière, tous les mots de passe deviennent accessibles s’ils sont stockés en clair. Il est formellement déconseillé de stocker les mots de passe de manière non cryptée. 

Ainsi, il est crucial d’opter pour l’utilisation d’un gestionnaire de mots de passe robuste. D’ailleurs, notre article vous explique comment fonctionne un gestionnaire de mots de passe.  

Les différentes solutions contre les attaques bruteforce 

L’utilisation du mot de passe demeure le moyen d’accès le plus répandu. Cependant, bien que peu sophistiquées, les attaques par force brute se révèlent extrêmement efficaces pour compromettre des données personnelles. Il est donc impératif de mettre en place des mécanismes de sécurité appropriés. 

La première et principale stratégie pour se prémunir d’une attaque par force brute consiste à imposer à tous ses collaborateurs de choisir des mots de passe robustes. Dans cette optique, la longueur joue un rôle crucial (préconisant idéalement entre 15 et 20 caractères sans imposer de limite maximale). Ainsi, les directives traditionnelles, comme celles exigeant une longueur minimale de 8 caractères avec une combinaison de lettres majuscules et minuscules, de chiffres et de signes de ponctuation, sont dépassées. Un gestionnaire de mots de passe s’avère être un outil efficace pour mettre en œuvre et renforcer une politique de mots de passe. 

Enfin, il peut être intéressant de sensibiliser régulièrement vos collaborateurs aux attaques telles que les bruteforces. Le meilleur exercice reste la simulation de cyberattaques, pour préparer les salariés à faire face à ce genre de menace.  

Pour contrer la menace de brute force, je vous invite à découvrir Sikker, notre gestionnaire de mots de passe professionnel. Grâce à lui, les tentatives d’attaques par logiciel brute force seront vaines. 

 

 

FAQ

En quoi consiste le brute force ?

Quel type d’attaque permet à un attaquant d’utiliser une approche par force brute ?

Les différentes catégories d’attaques par force brute sont les suivantes : 

  1. Les attaques par force brute simple : Le hackeur tente de deviner le mot de passe d’un utilisateur en essayant toutes les combinaisons possibles à partir d’informations disponibles sur la cible. Ces données peuvent être issues de sources en ligne ou résulter d’une manipulation sociale.
  1. Les attaques par dictionnaire : De nombreuses attaques par force brute utilisent des listes de mots, de phrases et de mots de passe courants téléchargés sur Internet.
  1. Les attaques hybrides par force brute : Ce type d’attaque combine des méthodes simples avec l’utilisation de dictionnaires. Les attaquants fusionnent leurs connaissances sur la cible avec des éléments du dictionnaire, tels que la date d’anniversaire de l’utilisateur, pour augmenter les chances de succès.
  1. Les attaques par force brute inversée : Les attaquants utilisent une liste de mots de passe connus, les soumettant de manière automatisée à une application jusqu’à ce qu’ils trouvent un nom d’utilisateur correspondant. Cette méthode implique souvent l’utilisation de listes de mots de passe volées provenant du darknet.

Qu’est-ce qu’une attaque de type brute force ?

L’attaque par force brute consiste à découvrir un mot de passe ou une clé. Cette technique teste toutes les combinaisons possibles, une par une. 

En général, cette méthode est considérée comme la plus rudimentaire, permettant de déchiffrer n’importe quel mot de passe dans un laps de temps défini, indépendamment du niveau de protection employé. En théorie, la complexité d’une attaque par force brute croît de manière exponentielle en fonction de la longueur du mot de passe, rendant cette méthode théoriquement impossible pour des mots de passe de longueur moyenne. 

Qu’est-ce qu’une attaque par dictionnaire sur un mot de passe ?

La technique appelée attaque par dictionnaire, également connue sous le terme anglais de « dictionary attack« , est utilisée pour infiltrer un ordinateur ou un serveur protégé par un mot de passe. Elle implique la tentative systématique de tous les mots répertoriés dans un dictionnaire donné. Cette méthode peut également être employée pour rechercher la clé permettant de déchiffrer un message ou un document codé. 

Qu’est-ce qu’une attaque par permutation ?

Une déclinaison de l’attaque par dictionnaire est l’attaque par permutation. Cette méthode implique la création de dictionnaires en altérant certains caractères, exploitant des astuces couramment utilisées telles que l’utilisation d’une arobase à la place du « a », du chiffre 0 en lieu et place d’un « o », l’ajout de 123 après le mot de passe, et d’autres manipulations similaires. 

Articles similaires

Cybersécurité
18.05.2020

Quand mobilité rime avec sécurité