Qu’est-ce qu’une attaque par force brute et comment pouvez-vous la prévenir ?

Les attaques par force brute (également appelées cracking par force brute ) sont un type de cyberattaque qui consiste à essayer différentes variantes de symboles ou de mots jusqu'à ce que vous deviniez le mot de passe correct . Comme vous l’avez peut-être deviné, les attaques par force brute ne sont pas les plus efficaces. Cependant, avec quelques astuces et variantes astucieuses, ils peuvent fonctionner très bien.

Avec un logiciel spécialisé et une situation adaptée, les pirates peuvent automatiquement essayer des millions, voire des milliards de mots de passe par seconde. Cela fait des attaques par force brute un élément essentiel de l’arsenal du pirate informatique.

Types d'attaques par force brute

Toutes les attaques par force brute peuvent être regroupées en deux catégories : en ligne et hors ligne . En plus de cela, il existe de nombreuses variantes différentes, telles que les attaques par dictionnaire.

Attaques en ligne

Lors d'une attaque en ligne, le pirate informatique configure un logiciel pour essayer tous les mots de passe possibles sur un système en cours d'exécution. Deviner les mots de passe des pages de connexion aux sites Web et des connexions aux bureaux à distance serait une attaque en ligne. Un autre exemple consiste à essayer tous les codes d’accès iPhone possibles.

Lors d'une attaque en ligne, le pirate informatique doit attendre que le serveur qu'il pirate dise si chaque mot de passe était correct ou incorrect. C'est lent. La plupart des opérateurs de sites Web sérieux ajoutent une limitation de débit , ce qui rend l'attaque encore plus lente. Votre iPhone dispose également de cette fonctionnalité ; si vous tapez le mauvais mot de passe trop de fois, cela vous bloque pendant un certain temps.

Même avec ces protections, de nombreuses personnes gâchent la sécurité des serveurs, de sorte que les attaques en ligne fonctionnent toujours. Le programme d'accès au serveur distant Secure Shell (SSH) est parfois configuré avec une connexion par mot de passe et sans limitation de débit. Si vous exécutez SSH sur l'Internet public, il est fort probable que quelqu'un l'attaque à tout moment.

Attaques hors ligne

Les attaques hors ligne sont plus difficiles à réaliser, mais elles sont également plus efficaces. Un hacker disposant d’un ordinateur sérieux peut tester un nombre fou de mots de passe par seconde car les mots de passe sont vérifiés sur son propre ordinateur.

Les propriétaires de sites Web hachent généralement les mots de passe dans leur base de données. Une fonction de hachage est un processus à sens unique, de sorte que le logiciel du site Web peut vérifier les mots de passe mais il ne peut pas déchiffrer les hachages pour obtenir les mots de passe lui-même. Si un pirate informatique vole la base de données, il obtient des mots de passe hachés au lieu des originaux .

Les opérateurs de sites Web peuvent renforcer la sécurité de leurs hachages de mots de passe grâce au salage . Sans hachages salés, les pirates peuvent utiliser des tables arc-en-ciel, ce qui leur permet d'éviter beaucoup de travail en testant les hachages précalculés .

Au lieu de tester chaque mot de passe possible, ils peuvent télécharger une table arc-en-ciel avec un grand nombre de mots de passe possibles et leurs hachages déjà calculés. Ensuite, tout ce qu’ils auraient à faire serait de comparer les hachages de la table arc-en-ciel avec ceux de la base de données volée.

Ils peuvent également créer leurs propres tables arc-en-ciel - le processus est essentiellement identique au forçage brut, sauf qu'au lieu d'essayer les combinaisons directement comme mots de passe, vous les exécuteriez via une fonction de hachage et les placeriez dans une table.

Le salage rend les hachages uniques, même si le mot de passe est le même que celui d'une table arc-en-ciel.

Attaques de dictionnaire

Au lieu de deviner des combinaisons aléatoires de symboles, les pirates peuvent également parcourir des mots existants dans un dictionnaire . Les gens utilisent souvent des mots dans leurs mots de passe pour les rendre plus mémorisables, ce qui facilite la tâche des pirates informatiques. Le logiciel Brute Force peut même muter les mots de passe du dictionnaire pour augmenter les chances de succès.

Même un mot de passe très long peut être facilement deviné s'il est similaire à celui du dictionnaire de l'attaquant. Cette bande dessinée xkcd classique sur la force des mots de passe explique assez bien la situation.

Comment identifier les attaques par force brute

Les attaques par force brute laissent des indices évidents aux opérateurs de serveurs. La plupart des logiciels serveur enregistrent automatiquement les tentatives de connexion infructueuses. Si les administrateurs système remarquent une augmentation soudaine des tentatives de connexion infructueuses , il y a de fortes chances que le service soit attaqué.

Les services Web populaires tels que Gmail et Twitter envoient des courriers électroniques aux utilisateurs lorsque leurs comptes pourraient être attaqués. Si l'authentification à deux facteurs est activée et que vous recevez une notification « Confirmez si c'est vous qui vous connectez à votre compte ». Si ce n'est pas vous qui vous êtes connecté, vous savez que quelqu'un d'autre possède votre mot de passe. Ils l’ont peut-être obtenu grâce à une attaque par force brute, bien que le phishing et d’autres attaques soient également possibles.

Comment prévenir les attaques par force brute

Bien que les attaques par force brute soient efficaces, il est possible de les rendre beaucoup plus difficiles en suivant quelques étapes simples.

Prévention pour les utilisateurs

• Utilisez des mots de passe longs et uniques. Le forçage brutal devient exponentiellement plus difficile avec des mots de passe plus longs. Vous pouvez contrecarrer les attaques par dictionnaire en rendant vos mots de passe plus uniques. En cas de doute, utilisez un gestionnaire de mots de passe pour générer et enregistrer automatiquement des mots de passe aléatoires pour chaque site. Consultez également notre guide sur la façon de créer un mot de passe fort .
• Sécurisez autant que possible les connexions de bureau à distance. Le bureau à distance est un moyen populaire pour les attaquants d'accéder à votre ordinateur. Laissez le bureau à distance désactivé autant que possible. Lorsqu'il est activé, utilisez un mot de passe extrêmement fort.
• Utilisez l'authentification à deux facteurs. Une attaque par force brute est bien plus difficile lorsqu'un mot de passe correct ne suffit pas pour se connecter à un compte. Avec 2FA, les utilisateurs ont besoin de leur téléphone ou d'une clé de sécurité physique pour se connecter à leurs comptes. Cela rend votre compte beaucoup plus sécurisé.

Prévention pour les opérateurs de serveur

• Utilisez la limitation de débit. Si vous exploitez un serveur, assurez-vous que les pirates ne peuvent pas essayer les mots de passe très rapidement. Ils pourraient se décourager et abandonner si le délai est suffisamment long.
• N'utilisez pas de verrouillage de compte. Si vous possédez un site Web, il peut être judicieux de verrouiller les comptes après un certain nombre de tentatives incorrectes. Cependant, cela permet à un attaquant de mener une attaque par déni de service en bloquant de nombreux comptes.
• Sécurisez SSH de manière appropriée. Activez fail2ban, désactivez les connexions par mot de passe (en faveur des clés SSH) et désactivez la connexion root depuis SSH.
• Hachez et salez vos mots de passe avec des algorithmes modernes. MD5 ou un autre algorithme de hachage très basique n'est guère mieux que rien. Utilisez une fonction de hachage moderne et du sel pour empêcher les attaques de table arc-en-ciel.

Bref historique et exemples d’attaques par force brute

• Les attaques par force brute sont une possibilité théorique depuis l’aube du chiffrement moderne. Ils sont devenus de plus en plus pratiques au fil du temps.
• 1977 : Un article scientifique sur les attaques par force brute sur le système de cryptage DES est publié ( Special Feature exhaustive Cryptanalysis of the NBS Data Encryption Standard par Whitfield Diffie).
• 1996 : Le cryptologue Michael J. Weiner publie l'article Efficient DES Key Search , qui poursuit le processus vers des attaques hors ligne efficaces.
• 2004 : Fail2ban est initialement lancé, rendant les serveurs plus faciles à sécuriser contre les attaques par force brute.
• 2007 : La première version bêta d'Aircrack-ng est sortie. Le piratage du réseau Wi-Fi est devenu beaucoup plus facile.
• 2013 : les utilisateurs de GitHub sont victimes d'une attaque par force brute en ligne.
• 2015 : Hashcat devient gratuit et open source, ouvrant les attaques par force brute hors ligne accélérées par GPU à un public plus large.
• 2016 : la place de marché Taobao, propriété d'Alibaba, est victime d'une attaque, à la suite de laquelle plus de 20 millions de mots de passe sont forcés brutalement.
• Vers 2017 : GrayKey est disponible, permettant aux forces de l'ordre d'effectuer plus facilement des attaques par force brute sur les iPhones cryptés.

Outils d'attaque par force brute

Différents types d'attaques par force brute nécessitent des outils différents. Vous trouverez ci-dessous quelques outils de force brute courants et leurs cas d'utilisation.

• Hashcat : craquage de mot de passe hors ligne à la pointe de la technologie. Cet outil décharge le travail sur l'unité de traitement graphique (GPU), ce qui le rend très rapide.
• Aircrack-ng : craquage de mot de passe Wi-Fi. Aircrack-ng surveille le trafic Wi-Fi crypté et utilise diverses attaques basées sur la force brute pour trouver le mot de passe du réseau.
• RainbowCrack : crackage de mots de passe hors ligne avec des tables arc-en-ciel. Au lieu de calculer le hachage de chaque mot de passe possible, RainbowCrack profite des hachages précalculés.
• Ncrack : Piratage d'authentification de réseau en ligne. Les pirates qui souhaitent attaquer le protocole de bureau à distance de Microsoft, SSH ou une connexion de messagerie cryptée peuvent utiliser Ncrack. Il prend également en charge les attaques autres que celles impliquant la force brute.