Attaque par force brute : comment l’empêcher ?
Contrairement à de nombreuses autres tactiques utilisées par les cybercriminels, les attaques par force brute ne reposent pas sur les vulnérabilités des sites Web. Ce type d’attaque informatique s’appuie sur le fait que les utilisateurs ont des informations d’identification faibles ou faciles à deviner. La simplicité de l’opération et le nombre de cibles rendent les attaques par force brute très populaires. Le principe de l’attaque par force brute consiste pour un cybercriminel à essayer toutes les combinaisons possibles d’un mot de passe, d’un identifiant, d’une clef, etc. pour pouvoir se connecter à l’insu de l’utilisateur à un service en ligne. Comment s’en prémunir et quelle protection anti-menaces choisir ? On vous dit tout !
Sommaire
Définition d’une attaque par force brute
Une attaque par force brute (brute force attack en anglais) est une pratique utilisée par les cybercriminels dont le but est de craquer un mot de passe ou un nom d’utilisateur. Pour ce faire, ils effectuent de multiples tentatives sans réflexion particulière, bien que le succès de la technique dépende de la longueur et de la complexité du mot de passe. Les pirates peuvent donc mettre quelques minutes, des mois ou même des années pour atteindre leur objectif.
Par ailleurs, ils ne se limitent pas au dictionnaire habituel pour tenter de révéler vos identifiants de connexion. L’ingénierie sociale a fait ses preuves dans le monde de la cybercriminalité, et il est désormais possible de mélanger des mots, d’indiquer certaines règles en fonction de vos habitudes de création de mots de passe, etc.
En plus des mots de passe, les malfaiteurs peuvent également craquer des liens, des répertoires et des courriels. L’objectif est d’utiliser le compte attaqué pour voler des données sensibles. Et bien qu’il s’agisse d’un ancien type de cyberattaque, cette technique est encore utilisée avec succès aujourd’hui.
Comment les attaques par force brute sont-elles exécutées ?
L’attaque par force brute est l’une des méthodes les plus courantes, il s’agit donc d’un problème important à éviter. Il s’agit essentiellement d’essayer plusieurs combinaisons, encore et encore, jusqu’à ce que l’on trouve la bonne. L’objectif est de découvrir quel est le nom d’utilisateur et/ou le mot de passe permettant d’accéder à un compte de réseau social, à un courriel, de se connecter à un appareil ou à tout service protégé par un mot de passe. Il existe différents outils que les cybercriminels utilisent pour parvenir à voler les mots de passe. Le meilleur moyen de vous protéger consiste à utiliser des mots de passe sécurisés et différents sur chaque site. Si vous craignez de les oublier, vous pouvez utiliser un gestionnaire de mots de passe : ainsi, vous n’aurez plus qu’un seul mot de passe à retenir.
Types d’attaques par force brute
Par essence, la force brute consiste à essayer de nombreuses combinaisons possibles, mais il existe différentes variantes de cette attaque pour augmenter son taux de réussite. Voici les plus courantes :
Bourrage d’identifiants (ou credential stuffing)
Une attaque par bourrage d’identifiants utilise des identifiants de connexion volés sur différents sites, partant du principe que les internautes ont tendance à toujours utiliser les mêmes mots de passe. Ainsi, si un pirate accède au compte d’une personne auprès d’un site, il y a de fortes chances que ces mêmes informations permettent aussi l’accès à son compte bancaire.
Attaque par force brute inversée
Dans une attaque par force brute classique, l’attaquant commence par une clé connue, généralement un nom d’utilisateur ou un numéro de compte. Il utilise ensuite des outils d’automatisation pour trouver le mot de passe correspondant. Dans une attaque par force brute inversée, l’attaquant connaît le mot de passe et doit trouver le nom d’utilisateur ou le numéro de compte.
Attaque par force brute hybride
Une attaque par force brute hybride combine une attaque par dictionnaire et une attaque par force brute. Les gens ajoutent souvent une série de chiffres, généralement quatre, à la fin de leur mot de passe. Ces quatre chiffres correspondent généralement à une année importante pour eux, comme une naissance ou un diplôme, et le premier chiffre est donc normalement un 1 ou un 2.
Attaque par pulvérisation de mots de passe (Password Spraying en anglais)
Les attaques traditionnelles par force brute tentent de deviner le mot de passe d’un seul compte. La pulvérisation de mots de passe adopte l’approche inverse et tente d’appliquer un mot de passe commun à de nombreux comptes. Cette approche évite de se faire prendre par les politiques de verrouillage qui limitent le nombre de tentatives de mot de passe. La pulvérisation de mots de passe est généralement utilisée contre des cibles disposant d’une authentification unique (SSO) et des applications basées sur le Cloud qui utilisent l’authentification fédérée.
Attaque par dictionnaire
L’attaque par dictionnaire utilise une liste de mots et de mots de passe courants plutôt que de procéder de manière aléatoire, en créant un dictionnaire de mots de passe possibles et en les parcourant par itération. L’utilisation d’une bonne liste de mots de passe peut contribuer à améliorer le taux de réussite des attaquants, mais ces attaques nécessitent souvent un grand nombre de tentatives contre des cibles potentielles.
Rainbow table (parfois attaque par table arc-en-ciel)
Ces attaques partent de la valeur de hachage pour rejouer les étapes de la chaîne jusqu’à l’obtention du mot de passe. Cependant, il arrive souvent que la valeur ne se trouve pas dans le tableau, elle est donc recréée en réduisant la valeur avec la même fonction que celle avec laquelle la chaîne a été créée. Cette procédure est répétée jusqu’à ce que la valeur de synthèse soit obtenue à un point final.
Comment pouvez-vous vous protéger ?
La sécurité de votre mot de passe dépend beaucoup de la façon dont les administrateurs de sites Web le conservent, ou encore de la vulnérabilité de ces sites aux brèches et aux fuites. Les administrateurs peuvent rendre la tâche d’un pirate plus difficile en verrouillant les comptes après un certain nombre de tentatives infructueuses, en cryptant les mots de passe, ou encore en utilisant la technique du salage. Malheureusement, vous ne pouvez pas contrôler la cybersécurité des sites Web que vous utilisez, mais il existe quelques mesures que vous pouvez prendre pour protéger vos comptes.
- Utilisez un mot de passe sécurisé. La première chose et la plus importante est d’utiliser des mots de passe forts et complexes. Si vous craignez d’oublier ou de mélanger vos mots de passe, vous pouvez utiliser un gestionnaire de mots de passe sécurisé. Vous n’aurez alors qu’à retenir un seul mot de passe, et ce, sur tous vos appareils. En outre, ce système, couplé à un VPN, peut également vous épargner les pénibles pop-ups, et bloquer les publicités gênantes, qui s’avèrent souvent être des moyens d’installer des malwares sur vos appareils.
- Changez régulièrement vos mots de passe, en particulier lorsqu’un site que vous utilisez a subi une attaque.
- Activez l’authentification à deux facteurs. De plus en plus de services sur Internet disposent de cette fonctionnalité. Cette méthode permet d’ajouter une couche supplémentaire de sécurité.
- Évitez d’exposer des informations personnelles. La force brute utilise parfois des données que nous laissons exposées sur le réseau afin de trouver nos mots de passe.
La sécurité en ligne commence par un simple clic.
Restez en sécurité avec le chef de file mondial en matière de VPN