Lorsque nous parlons de cyberattaques, il existe trois moyens fondamentaux par lesquels les attaquants accèdent au réseau d’une victime :
L’hameçonnage: Ils exploitent la capacité des e-mails à pénétrer dans un réseau, donnant potentiellement aux attaquants un point d’ancrage si l’attaque réussit à infecter un point final.
Vulnérabilités: En utilisant des vulnérabilités récentes ou connues (qui n’ont pas été corrigées), les attaquants peuvent obtenir des privilèges élevés sur les systèmes et les applications et les utiliser pour accéder au reste d’un réseau.
RDP/Accès à distance: Les attaquants utilisent soit des informations d’identification compromises, soit des attaques par force brute sur les mots de passe, qu’ils utilisent comme moyen d’entrer dans un réseau.
Les entreprises se concentrent généralement sur les deux premiers vecteurs d’attaque mentionnés ci-dessus. Lorsqu’elles abordent le troisième vecteur, elles se concentrent généralement sur RDP lui-même plutôt que sur le manque de sécurité de l’authentification une fois qu’un attaquant a pris le contrôle d’une session de connexion à distance existante.
Dans cet article, nous allons donc examiner ce qui se passe lorsqu’un pirate trouve et exploite une session d’accès à distance (RDP ou autre, ci-après désignée de façon générique par accès à distance).
Nous examinerons les méthodes d’attaque par force brute utilisées pour compromettre un identifiant, leur fréquence, les raisons pour lesquelles les utilisateurs facilitent la tâche des attaquants et ce que vous pouvez faire pour y remédier.
Qu’est-ce qu’une attaque par force brute ?
Une attaque par force brute est un type de cyberattaque où un attaquant procède par essais et erreurs pour deviner ou craquer le mot de passe, les identifiants de connexion ou les clés de chiffrement d’un utilisateur. Cette méthode d’attaque consiste à essayer systématiquement toutes les combinaisons possibles de caractères, de chiffres et de caractères spéciaux pour obtenir un accès non autorisé au compte, au système ou au réseau d’un utilisateur.
Les attaques par force brute peuvent être réalisées manuellement ou à l’aide d’outils logiciels automatisés, ce qui les rend populaires auprès des pirates informatiques.
Types d’attaques par force brute
Il existe plusieurs types d’attaques par force brute, notamment :
Attaque simple par force brute: Consiste à essayer toutes les combinaisons possibles de lettres, de chiffres et de caractères spéciaux pour deviner le mot de passe d’un utilisateur.
Attaque par force brute inversée: L’attaquant part d’un mot de passe connu et tente de trouver un nom d’utilisateur correspondant.
Attaque du dictionnaire: Les attaquants essaient une liste de mots, de phrases et de mots de passe courants pour deviner le mot de passe d’un utilisateur.
Attaque hybride par force brute: Ce type d’attaque combine une attaque par dictionnaire et une attaque par force brute traditionnelle.
Credential Stuffing: Il s’agit d’utiliser une liste de noms d’utilisateur et de mots de passe volés pour obtenir un accès non autorisé à plusieurs comptes.
Motivations des attaques par force brute
Il est essentiel de comprendre les motivations des attaques par force brute pour évaluer les risques et mettre en œuvre des mesures de sécurité efficaces. Les cybercriminels agissent rarement sans but. Leurs objectifs comprennent souvent le gain financier, l’espionnage ou la perturbation des opérations. Par exemple, les secteurs qui traitent des données sensibles, comme le santé ou la finance, sont confrontés à des risques plus élevés d’espionnage, tandis que les petites entreprises peuvent être la cible de ransomwares ou de vols d’identifiants en raison de leurs budgets informatiques limités.
Voici un examen plus approfondi des raisons pour lesquelles les attaquants utilisent des tactiques de force brute :
Le vol de titres de compétences à des fins lucratives
L’une des raisons les plus courantes derrière les attaques par force brute est de voler les identifiants des utilisateurs, tels que les noms d’utilisateur et les mots de passe. Une fois obtenus, ces identifiants peuvent être vendus sur les marchés du dark web, souvent dans le cadre de vastes vidages de données, ou utilisés pour obtenir un accès non autorisé à des systèmes importants. Par exemple, un pirate peut vendre des informations de connexion aux systèmes internes d’une organisation, permettant ainsi à d’autres de lancer des attaques ciblées telles que des ransomwares ou des vols de données.
Déploiement de ransomwares
Les attaques par force brute sont souvent utilisées comme point d’entrée pour déployer des ransomwares. En accédant aux systèmes par le biais d’informations d’identification compromises, les attaquants peuvent crypter des données critiques et demander une rançon en échange de leur libération. Ce motif a été amplifié par l’augmentation du travail à distance, qui repose souvent sur des protocoles de bureau à distance (RDP) ou d’autres solutions d’accès à distance vulnérables aux attaques par force brute.
Espionnage et extraction de données
Les attaques par force brute sont utilisées par des cybercriminels dont les motivations sont liées à l’espionnage d’entreprises ou d’États. Elles permettent aux attaquants d’infiltrer les réseaux et d’extraire des données sensibles. Les attaquants peuvent viser la propriété intellectuelle, les secrets commerciaux ou les informations classifiées. Ils utilisent des méthodes d’authentification faibles pour accéder à des systèmes de grande valeur.
Perturbation du système
Parfois, l’objectif n’est pas de voler des données ou de l’argent, mais de perturber les opérations d’une organisation. Les attaques par force brute peuvent s’inscrire dans le cadre de campagnes plus vastes visant à surcharger les systèmes, à provoquer des temps d’arrêt ou à éroder la confiance des clients. Dans ces cas, les attaquants cherchent à nuire à la réputation ou aux capacités d’une organisation plutôt qu’à en tirer un bénéfice financier direct.
Tester et exploiter les faiblesses de la Security
Les attaques par force brute servent souvent d’outils de reconnaissance. Les attaquants peuvent les utiliser pour sonder les défenses d’une organisation, en identifiant les points faibles des systèmes d’authentification. Ces informations peuvent ensuite être utilisées pour élaborer des attaques plus sophistiquées et plus ciblées.
Réutilisation des données d’identification sur plusieurs plates-formes
De nombreuses personnes réutilisent leurs mots de passe sur plusieurs comptes. Sachant cela, les cybercriminels exploitent les attaques par force brute pour accéder non seulement à un compte, mais potentiellement à tout un réseau de services interconnectés. Cette tactique, connue sous le nom de « credential stuffing », est particulièrement problématique lorsqu’un seul mot de passe compromis peut conduire à des violations plus importantes.
Courtage d’accès initial
Dans certains cas, les attaques par force brute sont menées par des courtiers d’accès initiaux, des cybercriminels spécialisés dans l’intrusion dans les réseaux et la vente d’accès à d’autres attaquants. Ces courtiers utilisent des systèmes d’authentification faibles pour s’introduire dans les réseaux et vendre des informations d’identification à ceux qui cherchent à mener des attaques à grande échelle telles que l’espionnage ou les ransomwares.
La compréhension de ces objectifs peut aider les entreprises à hiérarchiser leurs moyens de défense, tels que l’authentification renforcée, les audits de sécurité de routine et la formation des employés, afin d’atténuer efficacement les vulnérabilités.
Attaques par force brute en ligne et hors ligne
Les attaques par force brute se répartissent en deux catégories principales : en ligne et hors ligne, chacune posant des défis uniques.
Attaques par force brute en ligne
Ces attaques visent des systèmes ou des réseaux actifs. Les attaquants devinent les mots de passe de manière répétée à l’aide d’outils automatisés. Elles se produisent en temps réel, ce qui permet de les détecter en surveillant les tentatives de connexion inhabituelles, telles que des échecs répétés à partir d’une même adresse IP.
Les stratégies d’atténuation comprennent la limitation du débit pour ralentir les tentatives, les défis CAPTCHA pour bloquer les bots et l’authentification multifactorielle (MFA) pour renforcer la sécurité.
Attaques par force brute hors ligne
Les attaques hors ligne consistent à déchiffrer des hachages de mots de passe volés sans interagir avec des systèmes réels. Les attaquants utilisent des outils puissants pour tester les combinaisons, ce qui rend la détection difficile.
Les mesures de sécurité comprennent la sécurisation du stockage des mots de passe à l’aide de hachages salés et l’utilisation d’un chiffrement fort. Des mises à jour régulières du système sont également essentielles pour corriger les vulnérabilités.
Pourquoi les attaques par force brute posent-elles problème ?
Chaque fois que vous voyez un article ou une statistique sectorielle sur des cas ou des statistiques sectorielles sur l’implication du RDP dans une cyberattaque, gardez à l’esprit qu’au moment de l’attaque, l’attaquant disposait soit d’un nom d’utilisateur et d’un mot de passe valides pour se connecter, soit n’en disposait pas.
Dans les scénarios où l’attaquant part de zéro – comme dans le cas des courtiers d’accès initial – l’objectif n’est pas seulement d’obtenir un accès, mais aussi de dériver un ensemble d’informations d’identification fonctionnel qui sera soit utilisé dans l’attaque en cours, soit vendu sur le dark web à un autre attaquant à la recherche d’un accès initial.
Cela signifie que les attaquants doivent parfois recourir à des attaques par force brute pour trouver le mot de passe associé à un nom d’utilisateur donné.
Les outils d’attaque par force brute sont conçus pour automatiser le processus de recherche des identifiants, ce qui le rend plus rapide et plus efficace pour les attaquants.
Selon le cadre ATT&CK de MITRE (prononcé « ATTACK »), qui décrit presque toutes les tactiques, techniques et procédures malveillantes utilisées par les cybercriminels, il existe quatre types de méthodes d’attaque par force brute :
Deviner un mot de passe : Deviner systématiquement des mots de passe à l’aide d’un mécanisme répétitif ou itératif basé sur une liste de mots de passe courants.
Pulvérisation de mots de passe : Lorsqu’un pirate acquiert une liste de noms d’utilisateurs et tente de se connecter en utilisant le même mot de passe pour chacun d’entre eux.
Craquage de mots de passe : Utilisation de tables arc-en-ciel pour deviner des mots de passe et calculer des hachages pour déchiffrer des hachages de mots de passe.
Remplissage d’informations d’identification (Credential Stuffing) : Utilisation d’identifiants obtenus à partir de dumps de violation de comptes sans lien avec les comptes ciblés pour accéder à ces derniers.
La décision d’utiliser une méthode plutôt qu’une autre repose en grande partie sur le fait que l’attaquant connaît ou non les noms d’utilisateur et/ou les mots de passe du réseau de la victime.
Mais quelle est l’ampleur des attaques par force brute contre les mots de passe ?
Selon le cyber-assureur britannique Hiscox, 17 % des attaques par ransomware constatées dans le cadre de demandes d’indemnisation au titre de la cyberassurance ont commencé par une attaque par force brute.. C’est presque 1 sur 5. Nous avons également constaté des attaques par force brute en masse en 2022 avec 47 millions d’attaques en Asie du Sud-Est visant les travailleurs à distance.
Il s’agit donc d’un problème très réel… pour de nombreuses raisons.
1. Il existe de nombreuses sources de mots de passe faibles
Les mots de passe utilisés dans les attaques de type « guessing », « spraying » ou « stuffing » proviennent souvent de différentes sources. L’une des principales sources est la violation de données qui expose les noms d’utilisateur et les adresses électroniques. Par exemple, la violation de LinkedIn en mai 2016 a compromis 164 millions d’adresses électroniques et de mots de passe, ce qui en fait un contributeur important à ce type d’attaques.
Une autre source est constituée par les bases de données « pwned » qui répertorient les mots de passe couramment utilisés, dont beaucoup sont étonnamment simples (par exemple, « P@ssw0rd ! »). En outre, les attaquants exploitent souvent les possibilités de devinettes ciblées en se concentrant sur des utilisateurs spécifiques, ce qui augmente la probabilité de trouver des mots de passe faibles ou prévisibles.
Selon le rapport 2023 Identity Exposure Report de Spycloud, plus de 7 millions de mots de passe compromis recueillis lors de brèches impliquent un thème amoureux ou familial (par exemple, si je connais le nom de votre conjoint, je peux commencer à deviner). Ces attaques consistent souvent à tester systématiquement diverses combinaisons de mots de passe afin d’exploiter des mots de passe faibles ou couramment utilisés.
2. Le comportement des utilisateurs contribue également aux risques de SÉCURITÉ
Selon le même rapport de Spycloud, 72 % des utilisateurs de 2022 brèches réutilisaient des mots de passe précédemment exposés, dont 61 % aux États-Unis.
Les mots de passe sont réutilisés en moyenne 13 fois. Cela s’explique en partie par le nombre de systèmes, d’applications et de plates-formes dont l’utilisateur d’aujourd’hui a besoin pour maintenir sa connexion.dans les petites entreprises, il y a en moyenne 85 mots de passe, alors que dans les grandes entreprises, il n’y en a que 25.
L’utilisation de mots de passe complexes peut considérablement renforcer la Security des comptes, rendant plus difficile la compromission des informations d’identification par les pirates.
La puissance de calcul actuelle permet aux attaquants de tester jusqu’à 1 milliard de mots de passe par seconde lors d’une attaque par force brute, Security des mots de passe est essentielle.
3. L’accès à distance peut permettre aux pirates d’obtenir un accès non autorisé.
Ajoutons l’accès à distance à la discussion, car les attaques par force brute ne sont que le moyen d’obtenir un accès non autorisé ; la véritable vulnérabilité réside dans la façon dont votre main-d’œuvre hybride s’engage avec les ressources de l’entreprise.
Certaines organisations s’appuient encore (encore !) sur RDP (le protocole qui ne veut pas mourir de la mort horrible qu’il mérite en matière de cybersécurité !). Un rapport récent a révélé que les cybercriminels ont abusé du protocole RDP dans 90 % des incidents analysés, ce qui en fait un vecteur essentiel pour les attaques par ransomware. Même si vous n’utilisez pas RDP, d’autres applications d’accès à distance peuvent également présenter des risques importants – 16 % des violations de données ont commencé par la compromission de RDP ou d’une autre application d’accès à distance.
Cela signifie que toute méthode d’accès à distance est un vecteur d’attaque pour les cybercriminels. Étant donné que 50 % des organisations ne se considèrent pas comme très efficaces pour atténuer les risques liés à l’accès à distance, il est crucial de mettre en œuvre des mesures d’authentification plus fortes que le simple mot de passe pour sécuriser efficacement l’accès à distance.
Meilleures pratiques de prévention contre les attaques par force brute
La prévention des attaques par force brute nécessite une approche à plusieurs niveaux qui combine des politiques fortes, des protections techniques et l’éducation des utilisateurs. Bien que l’authentification multifactorielle (MFA) constitue la base de la défense, la prévention exige des stratégies globales pour garantir une posture de sécurité plus proactive. Voici comment vous pouvez garder une longueur d’avance sur les attaques par force brute :
Établir des politiques robustes en matière de mots de passe
Des règles strictes en matière de mots de passe constituent la base de toute stratégie de prévention de la force brute. Veillez à ce que tous les utilisateurs respectent ces bonnes pratiques :
Longueur et complexité: Exigez que les mots de passe comportent au moins 12 caractères, avec un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.
Mises à jour régulières: Appliquez des politiques d’expiration des mots de passe afin de limiter la fenêtre d’opportunité pour les attaquants.
Évitez la réutilisation: Mettez en place des systèmes qui empêchent les utilisateurs de recycler leurs anciens mots de passe.
Interdisez les mots de passe courants: Utilisez des outils pour bloquer les mots de passe faibles ou faciles à deviner, tels que « 123456 » ou « password ».
Mettre en place des outils de surveillance de la Security
La surveillance et l’alerte en temps réel permettent de détecter les attaques par force brute et d’y répondre avant qu’elles n’aboutissent. Envisagez de déployer les outils suivants :
Systèmes de détection et de prévention des intrusions (IDPS) : Des outils comme Snort ou Suricata peuvent détecter des tentatives de connexion inhabituelles et bloquer les activités suspectes.
Solutions SIEM: Les systèmes de gestion des informations et des événements de sécurité (SIEM) tels que Splunk ou LogRhythm centralisent les données des journaux et fournissent des indications sur les activités potentielles de force brute.
Seuils de verrouillage des comptes: Configurez les systèmes pour qu’ils verrouillent temporairement les comptes après un certain nombre de tentatives de connexion infructueuses.
Sensibiliser les employés aux pratiques de Security
L’erreur humaine est une vulnérabilité courante que les attaquants exploitent. Grâce à une formation continue, les salariés sont en mesure de reconnaître et d’atténuer les risques :
Sensibilisation au phishing: Formez le personnel à identifier les tentatives d’hameçonnage qui peuvent précéder les attaques par force brute.
Hygiène des mots de passe: Insistez sur l’importance d’utiliser des mots de passe uniques et robustes pour vos comptes professionnels et personnels.
Protocoles de signalement: Encouragez les salariés à signaler rapidement les tentatives de connexion ou les comportements suspects du système.
Exploiter les configurations techniques
Des mesures de protection techniques peuvent rendre l’exécution d’attaques par force brute beaucoup plus difficile pour les attaquants. Mettez ces mesures en œuvre :
Limitation du débit: Ralentissez ou bloquez les IP après une série de tentatives de connexion infructueuses.
Intégration CAPTCHA: Ajoutez des défis CAPTCHA aux pages de connexion pour empêcher les tentatives de connexion automatisées.
Liste blanche d’adresses IP: Restreignez l’accès à des plages d’adresses IP spécifiques, en particulier pour les systèmes sensibles.
Cryptez les mots de passe: Utilisez des algorithmes de chiffrement puissants, tels qu’Argon2, pour stocker des hachages de mots de passe corrects.
Accès à distance au-delà du mot de passe
Les attaques par force brute continuent de poser des risques importants, mais une approche proactive et des stratégies de prévention peuvent réduire considérablement leur impact. En mettant en œuvre l’authentification multifactorielle (MFA), en appliquant des politiques de mots de passe forts et en exploitant des outils de sécurité avancés, les organisations peuvent construire une défense solide contre les accès non autorisés.
Même si votre organisation s’appuie sur des méthodes d’accès à distance plus anciennes ou plus vulnérables comme RDP, exiger le MFA pour toutes les connexions est une première étape essentielle. Au-delà du MFA, des stratégies telles que l’utilisation de taux de cryptage élevés, le salage des hachages de mots de passe, la fixation de limites de tentatives de connexion et l’utilisation de défis CAPTCHA après des échecs répétés peuvent contrecarrer les attaques par force brute avant qu’elles n’aboutissent.
Il est également essentiel d’éduquer les salariés, de surveiller les activités suspectes et de déployer des outils tels que des systèmes de détection d’intrusion pour identifier les menaces potentielles en temps réel. L’objectif n’est pas seulement de répondre aux attaques, mais aussi de les empêcher de se concrétiser.
Pour ceux qui ont lu cet article jusqu’au bout, la conclusion est claire : les attaques par force brute peuvent être atténuées par des mesures de sécurité délibérées et stratifiées. Commencez par le MFA : c’est l’un des moyens les plus simples et les plus efficaces de sécuriser l’accès à distance et de protéger votre entreprise. N’attendez pas pour renforcer vos défenses ; c’est maintenant qu’il faut agir.
