Glossaire : Termes et définitions de la cybersécurité

Qu'est-ce qu'une attaque par force brute ?

Une attaque par force brute tente systématiquement des combinaisons possibles de caractères ou de chiffres pour deviner des mots de passe ou des noms d'utilisateur et obtenir un accès non autorisé à un compte.

Une attaque par force brute est une tentative de découverte d'un mot de passe en essayant systématiquement des combinaisons de lettres, de chiffres et de symboles pour passer les contrôles d'authentification et d'autorisation, en utilisant souvent un dictionnaire de mots et de tactiques telles que la diffusion de mots de passe.

La logique derrière les attaques par force brute, également appelées craquage de mot de passe, est très simple : saisir tous les modèles de mot de passe possibles. Par exemple, si vous utilisez un code PIN à quatre chiffres comme mot de passe, vous finirez par arriver à la bonne réponse en essayant les 10 000 combinaisons allant de « 0000 » à « 9999 ». Il serait difficile pour un humain d’essayer cela manuellement, mais il est facile de le faire à l’aide d’outils automatisés. Si vous pouvez essayer un mot de passe par seconde, vous pouvez trouver le mot de passe en 10 000 secondes au maximum (environ 2 heures et 47 minutes). Bien que les attaques par force brute ne constituent pas une forme particulièrement sophistiquée de cyberattaque, elles restent persistantes en raison de leur efficacité contre les mots de passe faibles et les systèmes mal sécurisés, et parce que les boîtes à outils automatisées rendent l'économie de leur mise à l'échelle et de leur exécution attrayante pour les attaquants.

Types d'attaques par force brute

Les attaques par force brute peuvent prendre plusieurs formes. Les attaques par force brute simples consistent à essayer systématiquement toutes les combinaisons possibles de chiffres ou de caractères jusqu'à ce que la bonne soit trouvée. Cette méthode peut prendre du temps et nécessiter beaucoup de ressources, en particulier pour les mots de passe ou les phrases de passe plus longs ou plus complexes.

Une technique plus ciblée est l’ attaque par dictionnaire, qui s’appuie sur une liste prédéfinie de mots de passe ou de phrases possibles. Au lieu d’essayer toutes les combinaisons possibles de chiffres ou de caractères comme dans une attaque par force brute traditionnelle, l’attaquant essaie systématiquement chaque mot ou phrase dans un dictionnaire jusqu’à ce que le bon soit identifié. Bien que les attaques par dictionnaire soient plus rapides que les simples attaques par force brute, elles sont néanmoins susceptibles d'échouer si le mot de passe est suffisamment complexe, utilise des caractères spéciaux ou n'est pas inclus dans le dictionnaire utilisé. De plus, l’utilisation d’une attaque par dictionnaire sur la même invite de connexion déclenchera rapidement des contrôles de limitation du débit et de verrouillage du compte.

Les attaques par force brute hybrides combinent des éléments d'attaques par dictionnaire et d'attaques par force brute simples. Dans une attaque hybride, l'attaquant utilisera un ensemble de caractères aléatoires comme dans une attaque par force brute traditionnelle, ainsi qu'une liste de mots et d'expressions courants comme dans une attaque par dictionnaire. Cette approche hybride augmente les chances de succès en exploitant à la fois les mots de passe courants du dictionnaire et des combinaisons de caractères moins prévisibles.

Une autre forme d’attaque est l’ attaque par force brute inversée. Au lieu d’essayer une succession de mots de passe différents pour un compte spécifique, les attaquants appliquent des mots de passe spécifiques qu’ils pensent être couramment utilisés (tels que « motdepasse1234 ») contre un grand nombre de noms d’utilisateur de compte. Cette méthode repose sur l’hypothèse qu’au moins certains des comptes ciblés utilisent le mot de passe choisi et est moins susceptible de déclencher des mesures d’atténuation en fonction du nombre de tentatives de connexion infructueuses.

Alors que bourrage d'informations d'identification n'est généralement pas considéré comme une forme d'attaque par force brute (l'attaquant dispose déjà d'une liste connue de noms d'utilisateur et de mots de passe), il partage l'objectif d'obtenir un accès non autorisé aux comptes, souvent suivi d' une prise de contrôle de compte (ATO) et d'une fraude. Le bourrage d'informations d'identification s'appuie sur des scripts ou des outils automatisés pour appliquer rapidement de grands ensembles d'informations d'identification compromises, telles que des combinaisons nom d'utilisateur/mot de passe obtenues à partir de violations de données antérieures ou du dark web, sur divers formulaires de connexion en ligne. Bien que le bourrage d'informations d'identification n'implique pas le test exhaustif de toutes les combinaisons possibles comme les attaques par force brute, il s'agit toujours d'une méthode automatisée pour tenter un accès non autorisé, ce qui en fait une menace de sécurité importante. Les deux types d’attaques sont considérés comme les principaux risques dans les projets OWASP Top 10 et OWASP Automated Threats .

Une authentification faible ou rompue est un autre moyen d’entrée pour les attaquants par force brute. Certains systèmes d’authentification n’implémentent pas de mécanismes de verrouillage ou de limitation, qui limitent le nombre de tentatives de connexion sur une certaine période. Sans ces mesures de protection, les attaquants peuvent tenter à plusieurs reprises de deviner les mots de passe sans aucune restriction, augmentant ainsi la probabilité d’une attaque par force brute réussie.

Les attaques par force brute peuvent également être utilisées pour deviner les identifiants de session ou exploiter les faiblesses des mécanismes de gestion de session pour acquérir ou détourner des identifiants de session valides. Une fois qu’un attaquant obtient un identifiant de session valide, il peut l’utiliser pour se faire passer pour l’utilisateur authentifié et obtenir un accès non autorisé aux ressources protégées.

Les motivations des attaques par force brute

Les motivations qui poussent les pirates à se lancer dans des attaques par force brute peuvent varier considérablement, mais elles impliquent généralement l’obtention d’un accès non autorisé à des systèmes, des réseaux ou des comptes à des fins malveillantes.

Certains motifs courants incluent le gain monétaire, par exemple lorsque les attaquants cherchent à voler des informations financières, telles que des numéros de carte de crédit ou des informations bancaires, pour commettre une fraude ou un vol. Ils peuvent également cibler l’accès à des informations personnelles identifiables (PII), à la propriété intellectuelle ou à des données commerciales confidentielles, qui peuvent être vendues. Les attaquants peuvent également accéder à des comptes personnels pour se faire passer pour des individus et se livrer à des activités frauduleuses.

Les criminels peuvent également détourner des systèmes pour d’autres formes de comportement malveillant, comme l’organisation d’un botnet, qui est un réseau d’appareils sous le contrôle d’un attaquant qui coordonne ces multiples sources et lance des attaques par déni de service distribué (DDoS).

L'accès non autorisé aux systèmes et aux comptes via des attaques par force brute peut également propager des logiciels malveillants ou des logiciels espions, ou cibler des sites Web avec des attaques qui les infestent de textes et d'images obscènes ou offensants, menaçant ainsi la réputation d'une entreprise ou d'un site Web. Les pirates informatiques peuvent également utiliser des attaques par force brute pour exploiter les publicités ou les données d'activité, en utilisant un accès non autorisé pour placer des publicités de spam sur des sites Web afin d'obtenir des commissions publicitaires ou de rediriger le trafic d'un site Web prévu vers un site malveillant pour voler des informations d'identification ou frauder les utilisateurs. 

Comment prévenir les attaques par force brute ?

Il existe plusieurs moyens de réduire le risque d’attaques par force brute, et la mise en œuvre de plusieurs des mesures suivantes rendra plus difficile pour les attaquants de deviner les mots de passe ou d’obtenir un accès non autorisé via des tentatives de connexion répétées. Il s’agit notamment de :

  • Utiliser des mots de passe forts et complexes . Les mots de passe forts constituent la première ligne de défense contre l’accès non autorisé aux systèmes et aux données. Une politique de mot de passe bien définie permet de garantir que les utilisateurs créent et conservent des mots de passe sécurisés, qui incluent une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Des outils de craquage de mots de passe de plus en plus sophistiqués signifient que les longues phrases de passe sont désormais beaucoup plus protectrices que les mots de passe simples. Les politiques devraient interdire la réutilisation des mots de passe, qui est l’une des principales causes d’attaques de vol d’informations d’identification et de prise de contrôle de compte. 
  • Utilisation de l’authentification multifacteur (MFA). En plus de saisir un nom d'utilisateur et un mot de passe ou une phrase secrète, l'authentification multifacteur exige que l'utilisateur présente des facteurs supplémentaires pour accéder à une application, une ressource, un compte en ligne ou un autre service. Dans la pratique courante, cela implique souvent de saisir un code d’accès à usage unique provenant d’un e-mail ou d’un SMS sur un smartphone ou un navigateur, ou de fournir des données biométriques telles qu’une empreinte digitale ou un scan du visage.
  • Mise en œuvre de politiques de verrouillage de compte . Après un certain nombre de tentatives de connexion infructueuses, verrouillez les comptes utilisateurs pendant une période spécifiée ou jusqu'à ce qu'ils soient déverrouillés manuellement par un administrateur. Cela empêche les attaquants de tenter à plusieurs reprises de deviner les mots de passe. La limitation du débit peut également être utilisée pour restreindre le nombre de demandes de connexion à partir d'une seule adresse IP ou d'un seul compte utilisateur au cours d'une période donnée.
  • Cryptage des données sensibles. Le chiffrement des données sensibles au repos et en transit garantit que même si des attaquants obtiennent un accès non autorisé à un système, ils ne peuvent pas lire les données sans la clé de chiffrement. Cela rend les attaques par force brute moins efficaces puisque les attaquants auraient besoin de la clé de cryptage pour décrypter les données.
  • Maintenir le logiciel à jour. Assurez-vous que tous les logiciels, y compris les systèmes d’exploitation, les serveurs Web et les applications, sont régulièrement corrigés et mis à jour pour remédier aux vulnérabilités de sécurité qui pourraient être exploitées par des attaquants.
  • Déploiement de la gestion des robots et des pare-feu d'applications Web. Le déploiement de solutions qui dissuadent les attaques automatisées peut protéger la logique métier critique contre les abus, y compris les attaques par force brute.  

Comment F5 gère-t-il les attaques par force brute ?

Le projet OWASP (Open Worldwide Application Security Project) Automated Threats to Web Applications identifie les attaques par force brute comme un type d' attaque de piratage d'informations d'identification (OAT-007) . F5 propose des solutions pour répondre à de nombreux risques automatisés de l'OWASP. F5 Distributed Cloud Bot Defense dissuade les robots et l'automatisation malveillante pour empêcher l'ATO et la fraude et les abus qui en résultent et qui peuvent contourner les solutions de gestion des robots existantes. Distributed Cloud Bot Defense fournit une surveillance et des renseignements en temps réel ainsi qu'une analyse rétrospective basée sur le ML pour protéger les organisations contre les attaques automatisées, y compris celles qui utilisent des techniques de force brute.

Les solutions F5 Web Application Firewall (WAF) bloquent et atténuent également un large éventail de risques identifiés par l'OWASP. Les solutions F5 WAF combinent des protections de signature et comportementales, y compris des renseignements sur les menaces de F5 Labs et une sécurité basée sur le ML, pour suivre le rythme des menaces émergentes. Pour éviter les attaques par force brute, WAF suit le nombre de tentatives infructueuses pour atteindre les URL de connexion configurées. Lorsque des modèles de force brute sont détectés, la politique WAF les considère comme une attaque si le taux d'échec de connexion a augmenté de manière significative ou si les échecs de connexion ont atteint un seuil maximal.

Les solutions F5 WAF s'intègrent aux solutions de défense contre les bots F5 pour fournir une atténuation robuste des principaux risques de sécurité, notamment les exploits de vulnérabilité et les attaques par force brute automatisées.