Lors d'une attaque par force brute, l'agresseur soumet systématiquement et de manière répétée différents noms d'utilisateur et mots de passe pour tenter de pénétrer une plateforme. Cette approche simple mais exigeante en ressources et en tentatives est généralement réalisée à l'aide d'outils automatisés, de scripts ou de robots qui passent en revue toutes les combinaisons possibles jusqu'à ce que l'accès soit accordé. « C'est une vieille méthode d'attaque, mais elle reste efficace et populaire chez les pirates informatiques pour cibler des dispositifs sur des réseaux distants », explique David Emm, chercheur principal en sécurité chez Kaspersky.
Cependant, plus le mot de passe est long et plus le chiffrement des données enregistrées est fort, plus le temps et la puissance de calcul nécessaires seront importants. Il est donc possible pour les organisations de rendre ce genre d’attaque quasi impossible à mener à bien. En 2017, les parlements britannique et écossais ont tous deux été victimes d'attaques par force brute, tandis qu'une attaque similaire, mais infructueuse, a eu lieu au Parlement d'Irlande du Nord un an plus tard. La même année, la compagnie aérienne Cathay Pacific a été victime d'un piratage du genre et s'est vu infliger une amende de 500 000 livres sterling (553 250 €) par l'autorité britannique de protection des données, faute de mesures préventives suffisantes. Le service de blocage des publicités Ad Guard a également été forcé de réinitialiser tous les mots de passe de ses utilisateurs après avoir subi ce type de violation.
Comment fonctionnent les attaques de force brute
Les attaques par force brute sont souvent menées par des scripts ou des robots qui ciblent la page de connexion d'un site ou d'une application. Ils passent en revue des clés ou mots de passes connus et des chaînes de caractères possibles. Les applications les plus courantes doivent protéger de ce genre d’attaque et inclure du chiffrement, des clés API, ou suivre le protocole SSH.
Craquer un mot de passe n'est qu'une étape dans la chaîne de destruction d'un pirate, selon David Emm. Elle peut être utilisée pour accéder à des profils utilisateur, des boîtes emails, des comptes en banque, ou pour compromettre les API ou tout autre service nécessitant une connexion et des informations d'identification. « De là, elles peuvent être utilisées pour envoyer des liens de phishing, diffuser du faux contenu, ou même récolter des informations d'identification pour les vendre à des tiers », ajoute M. Emm.
350 000 ans pour trouver 13 caractères
Comme submerger un site de requête pour trouver le moyen d’accéder à un seul compte est chronophage, les pirates ont développé des parades. « Des outils automatisés sont disponibles pour faciliter les attaques par force brute, avec des noms comme Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng et Rainbow. Beaucoup peuvent trouver un seul mot du dictionnaire en une seconde. Des outils comme ceux-ci fonctionnent contre de nombreux protocoles informatiques (FTP, MySQL, SMPT et Telnet) et permettent aux pirates de forcer les routeurs WiFi, d'identifier les mots de passe faibles, de révéler les mots de passe dans un système stockage chiffré et de traduire les mots en leetspeak : "don'thackme" devient "d0n7H4cKm3", par exemple ».
Le succès d'une attaque par force brute se mesure au temps qu'il faut pour réussir à craquer un mot de passe. Selon Cloudflare, un mot de passe de sept caractères prendrait, à raison de 15 millions de tentatives de frappe par seconde, 9 minutes pour être craqué. Un mot de passe de 13 caractères prendrait plus de 350 000 ans. De même, pour une clé de chiffrement. A 128 bits, 2128 combinaisons sont possibles, alors qu'avec un chiffrement à 256 bits, un attaquant devrait essayer 2256 combinaisons. Avec la technologie actuelle, il faudrait des milliers de milliards d'années pour toutes les deviner.
« Selon IBM, certains pirates informatiques ciblent les mêmes systèmes chaque jour pendant des mois et parfois même des années » indique le représentant de Kaspersky. Même si les attaquants utilisent des GPU pour accélérer considérablement le nombre de combinaisons tentées par seconde, l'augmentation de la complexité des mots de passe et l'utilisation d'un chiffrement fort peuvent rendre la tâche de forcer ces identifiants irréalisables.
Types d'attaques par la force brute
Les attaques traditionnelles par force brute : un attaquant essaie toutes les combinaisons de caractères possibles jusqu’à trouver la bonne.
Attaques par force brute inversée : les mots de passe les plus courants sont essayés pour différents comptes, sur différents sites.
Le credential stuffing : l’attaque consiste à tenter d'utiliser des noms d'utilisateur et des mots de passe volés sur des sites ou des services pour détourner ces comptes vers d'autres services et applications.
Attaques du dictionnaire : les bots parcourent un dictionnaire ou des listes de mots de passe courants issus d'autres violations de données.
Attaques rainbow-table : il s’agit ici de trouver un mot de passe par son empreinte (hash). A partir d'une liste de tous les mots de passes possibles, on va calculer pour chacun son empreinte, et la comparer à l’empreinte que l’on veut cracker. Si les deux empreintes sont identiques, on a trouvé le mot de passe.
Le travail à distance augmente les attaques par force brute
Selon le Data Breach Investigations Report 2020 de Verizon, moins de 20% des violations au sein des PME impliquent la force brute, et moins de 10% pour les grandes organisations. Cette tendance est restée largement inchangée par rapport aux itérations de 2019 et 2018 du rapport, mais la pandémie de coronavirus pourrait avoir changé la donne. « Les entreprises du monde entier ont adopté des politiques de travail à distance, ce qui a eu un impact direct sur les cybermenaces », explique David Emm. « Les cybercriminels n’ont pas mis longtemps à comprendre que le nombre de serveurs RDP [remote desktop protocol] mal configurés augmenterait, d'où la multiplication des attaques ».
Sans donner de chiffres précis, le chercheur de Kaspersky indique que « depuis le début du mois de mars, le nombre d'attaques Bruteforce.Generic.RDP a grimpé en flèche dans le monde entier et il est peu probable que les attaques contre les infrastructures d'accès à distance s'arrêtent de sitôt, étant donné le nombre de ressources d'entreprise qui ont maintenant été mises à la disposition des télétravailleurs ».
Se prémunir contre ce type de piratage
Bien qu'aucune technique ne soit infaillible contre une attaque par force brute, les organisations peuvent prendre des mesures qui vont demander plus de temps et de ressources informatiques pour réussir l’attaque. Parmi les bonnes pratiques figurent :
- L’utilisation de mots de passe longs et complexes (idéalement avec un chiffrement de 256 bits) ;
- Pimenter les empreintes de mots de passe. M. Emm conseille de stocker ces chaînes de caractères dans une base de données séparée, de les récupérer et de les ajouter au mot de passe avant de le hacher, afin que les employés ayant le même mot de passe aient des empreintes différentes ;
- Avoir une bonne politique de mots de passe en communiquant aux employés les bonnes pratiques ;
- Bloquer les tentatives de connexion ou exiger une réinitialisation du mot de passe au bout d’un certain nombre de tentatives incorrectes ;
- Limiter le temps d’authentification ;
- Activer les captchas ;
- Activer l'authentification à facteurs multiples lorsque cela est possible ;
- Envisager l'utilisation d'un gestionnaire de mots de passe.
Commentaire