Qu'est-ce qu'une attaque en force ?
Une attaque en force est une cyberattaque au cours de laquelle un cybercriminel tente d'accéder à des données et systèmes sensibles en essayant systématiquement un maximum de combinaisons de noms d'utilisateur et de mots de passe. En cas de succès, le cyberattaquant peut alors s'introduire dans le système en se faisant passer pour l'utilisateur légitime et y rester jusqu'à ce qu'il soit démasqué. Il en profite pour se déplacer latéralement, installer des portes dérobées, collecter des informations sur le système en vue de les utiliser lors d'attaques ultérieures et, bien sûr, voler des données.
Les attaque par force brute existent depuis que les mots de passe ont été créés. Leur popularité ne s'est jamais démentie et ils ont même connu un nouvel essor avec la généralisation du télétravail.
Avant la pandémie mondiale de COVID-19, la plupart des collaborateurs travaillaient dans des bureaux dont les infrastructures étaient surveillées par des contrôles de sécurité. Compte tenu de l'augmentation du nombre de collaborateurs utilisant leurs propres terminaux et réseaux pour se connecter aux réseaux d'entreprise, les cyberattaquants utilisent désormais le protocole RDP (Remote Desktop Protocol) et d'autres services d'accès à distance en tant que vecteurs d'attaque. Le protocole RDP est particulièrement populaire pour distribuer des ransomwares, tels que Maze.
Dans quel but les cyberpirates utilisent-ils les attaque par force brute ?
Les cyberattaquants recourent à des attaque par force brute pour voler des données sensibles, distribuer des logiciels malveillants, pirater des systèmes à des fins malveillantes, mettre à l'arrêt des sites web, tirer parti de publicités, rediriger le trafic d'un site web vers des sites publicitaires et injecter des spywares dans des sites dans le but de collecter des données qu'ils pourront ensuite vendre à des publicitaires.
Lancer une attaque de type « credential stuffing » (recyclage d'identifiants) ne requiert pas de compétences techniques très poussées et n'est pas très coûteux. Il suffit de 550 dollars et d'un ordinateur.
Déroulement d'une attaque en force
Pour lancer des attaque par force brute, les cyberadversaires utilisent des outils automatisés, et ceux qui ne disposent pas des compétences nécessaires pour créer leurs propres outils peuvent en acheter sur le Dark Web sous la forme de kits de logiciels malveillants. Ils peuvent également acheter des données, comme des identifiants volés, et les utiliser pour lancer une attaque de « credential stuffing » ou en force hybride. Ces listes peuvent être vendues sous la forme d'un package contenant également des outils automatisés, ainsi que d'autres outils à valeur ajoutée, tels que des consoles de gestion.
Une fois les outils configurés et intégrés dans les listes, le cas échéant, l'attaque peut être lancée.
Les attaque par force brute peuvent être menées au moyen de réseaux de robots, ou botnets, des systèmes d'ordinateurs piratés dont la puissance de traitement est exploitée sans le consentement ou à l'insu de l'utilisateur légitime. À l'instar des kits de logiciels malveillants mentionnés ci-dessus, les kits de robots peuvent être achetés sur le Dark Web. En 2021, un réseau de robots a été utilisé pour compromettre des serveurs SSH appartenant à des banques, des centres médicaux, des établissements scolaires, etc.
Les attaque par force brute sont gourmandes en ressources, mais efficaces. Elles peuvent également constituer la première étape d'une attaque en plusieurs phases. Le blog CrowdStrike décrit en détail une attaque en force qui faisait partie d'un exploit en plusieurs étapes et qui a permis à un cyberadversaire non authentifié d'élever des privilèges jusqu'à l'obtention de privilèges complets d'administrateur de domaine.
Types d'attaque par force brute
Attaque en force simple
Une attaque en force simple utilise l'automatisation et des scripts pour tenter de deviner des mots de passe, à raison de quelques centaines de tentatives par seconde. Les mots de passe simples, notamment ceux qui ne combinent pas majuscules et minuscules ou qui utilisent des expressions simples telles que « 123456 » ou « motdepasse », peuvent être craqués en quelques minutes, voire beaucoup plus rapidement. En 2012, un chercheur a utilisé un groupe d'ordinateurs pour deviner jusqu'à 350 milliards de mots de passe par seconde.
Attaque par dictionnaire
Une attaque par dictionnaire consiste à tester des combinaisons d'expressions et de mots courants. À l'origine, les attaques par dictionnaire utilisaient des mots du dictionnaire et des chiffres, mais aujourd'hui, elles utilisent également des mots de passe dérobés dans le cadre de précédentes compromissions. Ces mots de passe dérobés sont en vente sur le Dark Web et peuvent même être trouvés gratuitement sur le Web classique.
Par ailleurs, un logiciel de dictionnaire permet désormais de remplacer des caractères similaires pour créer de nouvelles combinaisons, par exemple, « i » par « I » ou « a » par « @ ». Ce logiciel teste uniquement les combinaisons qui, selon sa logique, ont le plus de chance d'aboutir à un résultat.
Credential stuffing
Au fil des ans, plus de 8,5 milliards de noms d'utilisateur et de mots de passe ont été dérobés. Les cybercriminels s'échangent ces identifiants volés sur le Dark Web et les utilisent à différentes fins, de l'envoi de spam à la prise de contrôle de comptes.
Une attaque de « credential stuffing » utilise ces combinaisons d'identifiants de connexion volés sur une multitude de sites. Elle est d'autant plus efficace que les gens ont tendance à réutiliser les mêmes noms d'utilisateur et mots de passe. Si un pirate accède au compte d'un collaborateur d'une compagnie d'électricité, il y a de fortes chances que ces identifiants lui permettent également d'accéder au compte bancaire en ligne de cette même personne.
Les secteurs des jeux, des médias et du commerce de détail sont des cibles de choix, mais les attaques de « credential stuffing » peuvent toucher tous les secteurs.
Attaque en force inversée
Dans une attaque en force classique, le cyberattaquant part d'une clé connue, en général un nom d'utilisateur ou un numéro de compte. Il utilise ensuite des outils d'automatisation pour deviner le mot de passe correspondant. Dans une attaque en force inversée, le cyberattaquant connaît le mot de passe et doit trouver le nom d'utilisateur ou le numéro de compte.
Attaque en force hybride
Ce type d'attaque combine attaque par dictionnaire et attaque en force. Les gens ajoutent souvent une série de chiffres – en général, 4 – à la fin de leur mot de passe. Ces chiffres correspondent généralement à une année importante pour eux (date de naissance ou d'obtention d'un diplôme, par exemple), de sorte que le premier chiffre est souvent 1 ou 2.
Dans une attaque en force hybride, les cyberattaquants utilisent une attaque par dictionnaire pour trouver les mots, puis lancent une attaque en force sur la dernière partie, c'est-à-dire les quatre chiffres. Cette approche combinée est bien plus efficace qu'une attaque par dictionnaire ou une attaque en force seule.
Pulvérisation de mots de passe (« password spraying »)
Les attaque par force brute classiques tentent de deviner le mot de passe d'un compte unique. La pulvérisation de mots de passe adopte l'approche inverse, dans le sens où elle tente d'appliquer un même mot de passe à plusieurs comptes, ce qui lui évite d'être bloquée par les règles de verrouillage qui limitent le nombre de tentatives de saisie de mots de passe. La pulvérisation de mots de passe s'attaque généralement à des cibles recourant à l'authentification unique et à des applications cloud qui utilisent l'authentification fédérée.
Réseau de robots
Une attaque en force est une approche statistique, dont l'exécution à grande échelle nécessite une importante puissance de calcul. En déployant des réseaux d'ordinateurs piratés pour exécuter l'algorithme de l'attaque, les cyberattaquants peuvent éviter les coûts et les tracas liés à l'exécution de leurs propres systèmes. De plus, l'utilisation d'un réseau de robots renforce l'anonymat. Enfin, les réseaux de robots peuvent être utilisés dans tout type d'attaque en force.
Outils utilisés pour les attaque par force brute
De nombreux outils, pour la plupart gratuits, sont disponibles sur Internet pour attaquer divers protocoles et plateformes. En voici un échantillon :
- Aircrack-ng : outil gratuit permettant de craquer les mots de passe de réseaux Wi-Fi. Il est fourni avec le craqueur WEP/WPA/WPA2-PSK et des outils d'analyse pour lancer des attaques sur le Wi-Fi 802.11 et peut être utilisé pour n'importe quelle carte d'interface réseau (NIC) prenant en charge le mode de surveillance brute.
- DaveGrohl : outil d'attaque en force pour macOS qui prend en charge les attaques par dictionnaire. Son mode distribué permet à un cyberattaquant d'exécuter des attaques à partir de plusieurs ordinateurs sur le même hachage de mot de passe.
- Hashcat : outil gratuit de craquage de mots de passe basé sur le processeur. Il fonctionne sur les systèmes Windows, macOS et Linux et peut être utilisé dans différents types d'attaques, notamment les attaque par force brute simples, par dictionnaire et hybrides.
- THC Hydra : outil permettant de craquer des mots de passe d'authentification réseau. Il exécute des attaques par dictionnaire contre plus de 30 protocoles, notamment HTTPS, FTP et Telnet.
- John the Ripper : outil de craquage de mots de passe gratuit développé pour les systèmes Unix. Il fonctionne aujourd'hui sur 15 autres plateformes, notamment Windows, OpenVMS et DOS. John the Ripper détecte automatiquement le type de hachage utilisé dans un mot de passe et peut ainsi être exécuté sur un dispositif de stockage de mots de passe chiffrés.
- L0phtCrack : logiciel utilisé dans des attaque par force brute simples, par dictionnaire, hybrides et par table arc-en-ciel (rainbow table) pour craquer des mots de passe Windows.
- NL Brute : outil d'attaque en force du protocole RDP disponible sur le Dark Web depuis 2016 au moins.
- Ophcrack : outil gratuit de craquage de mots de passe Windows à code source libre. Il utilise des hachages LM à partir de tables arc-en-ciel.
- Rainbow Crack : outil générant des tables arc-en-ciel en vue de les utiliser lors de l'exécution d'une attaque. Les tables arc-en-ciel sont précalculées, ce qui réduit la durée de l'attaque.
Comment se protéger des attaque par force brute
Utiliser l'authentification multifacteur
La mise en place de plusieurs méthodes d'authentification, telles qu'un mot de passe et une empreinte digitale ou un mot de passe et un jeton de sécurité à usage unique, réduit les chances de succès d'une attaque en force.
Adopter une bonne hygiène IT
Surveillez l'utilisation des identifiants au sein de votre environnement et exigez des utilisateurs qu'ils changent régulièrement de mot de passe.
Configurer des règles pour rejeter les mots de passe faibles
La longueur d'un mot de passe ne garantit pas sa force. Veillez à combiner majuscules et minuscules et à utiliser des caractères spéciaux. Formez vos utilisateurs aux bonnes pratiques en matière de mots de passe (par exemple, éviter d'ajouter quatre chiffres à la fin et d'utiliser des nombres courants, comme ceux commençant par 1 ou 2). Fournissez un outil de gestion des mots de passe qui empêche les utilisateurs de choisir des mots de passe faciles à mémoriser et utilisez un outil de découverte capable d'identifier les mots de passe par défaut qui n'ont pas été modifiés.
Mettre en place un Threat Hunting proactif
Le Threat Hunting permet de repérer les types d'attaques qui peuvent échapper aux dispositifs de sécurité standard. Si une attaque en force a été utilisée pour s'introduire dans le système, un threat hunter pourra la détecter même si le cyberattaquant opère sous le couvert d'identifiants légitimes.