Glossaire

Qu’est-ce qu’une attaque par force brute ?

Une attaque par force brute essaye systématiquement les combinaisons possibles de caractères ou de chiffres pour deviner les mots de passe ou les noms d’utilisateur et obtenir un accès non autorisé au compte.

Une attaque par force brute consiste à tenter de découvrir un mot de passe en essayant systématiquement des combinaisons de lettres, de chiffres et de symboles pour passer les contrôles d’authentification et d’autorisation. Un dictionnaire de mots et des tactiques comme la pulvérisation de mots de passe sont le plus souvent utilisés pour ce procédé.

La logique derrière les attaques par force brute, ou craquage de mot de passe, est très simple : il s’agit de saisir tous les modèles de mot de passe possibles. Par exemple, si vous utilisez un code PIN à quatre chiffres comme mot de passe, vous finirez par obtenir la bonne combinaison en essayant les 10 000 possibles de « 0000 » à « 9999 ». Un humain aurait des difficultés à le faire manuellement, mais cela devient très facile avec l’aide d’outils automatisés. Si vous pouvez essayer un mot de passe par seconde, vous pouvez trouver le mot de passe en 10 000 secondes maximum (environ 2 heures et 47 minutes). Bien que les attaques par force brute ne constituent pas une forme particulièrement sophistiquée de cyberattaque, elles persistent en raison de leur efficacité contre les mots de passe faibles et les systèmes mal sécurisés, et parce que les boîtes à outils automatisées rendent l’économie de l’évolutivité et de l’exécution attrayante pour les attaquants.

Types d’attaques par force brute

Les attaques par force brute peuvent prendre plusieurs formes. Les attaques par force brute simples consistent à essayer systématiquement toutes les combinaisons possibles de chiffres ou de caractères jusqu’à ce que la bonne soit trouvée. Cette méthode est chronophage et exige beaucoup de ressources, en particulier pour les mots de passe ou les phrases de passe plus longs ou plus complexes.

Il existe une technique plus ciblée, l’attaque par dictionnaire, qui repose sur une liste prédéfinie de mots de passe ou de phrases possibles. Au lieu d’essayer toutes les combinaisons possibles de chiffres ou de caractères comme dans une attaque par force brute traditionnelle, l’attaquant essaye systématiquement chaque mot ou phrase d’un dictionnaire jusqu’à ce qu’il identifie le bon. Bien que les attaques par dictionnaire soient plus rapides que les attaques par force brute simples, elles sont plus susceptibles d’échouer si le mot de passe est suffisamment complexe, s’il utilise des caractères spéciaux ou n’est pas inclus dans le dictionnaire utilisé. En outre, l’utilisation d’une attaque par dictionnaire sur la même invite de connexion déclenchera rapidement des contrôles de limitation de débit et de verrouillage du compte.

Les attaques par force brute hybrides combinent des éléments des attaques par dictionnaire et des attaques par force brute simples. Lors d’une attaque hybride, l’attaquant utilise un ensemble de caractères aléatoires comme dans une attaque par force brute traditionnelle, ainsi qu’une liste de mots et de phrases courants comme dans une attaque par dictionnaire. Cette approche hybride augmente les chances de réussite en tirant parti à la fois des mots de passe courants du dictionnaire et des combinaisons de caractères moins prévisibles.

On trouve également l’attaque par force brute inversée. Au lieu d’essayer une suite de mots de passe différents pour un compte spécifique, les attaquants essayent des mots de passe spécifiques qu’ils pensent être couramment utilisés (tels que « motdepasse1234 ») parmi un grand nombre de noms d’utilisateur de comptes. Cette méthode repose sur l’hypothèse qu’une partie des comptes ciblés utilisent le mot de passe choisi et est moins susceptible de déclencher des mesures d’atténuation en fonction du nombre de tentatives de connexion infructueuses.

Alors que le credential stuffing n’est généralement pas considéré comme une forme d’attaque par force brute (l’attaquant dispose déjà d’une liste connue de noms d’utilisateur et de mots de passe), son objectif est également d’obtenir un accès non autorisé à des comptes, souvent suivi d’un piratage de compte (ATO) et d’une fraude. Le credential stuffing s’appuie sur des scripts ou des outils automatisés pour appliquer rapidement de vastes ensembles d’informations d’identification compromises, telles que des combinaisons de noms d’utilisateur et de mots de passe obtenus lors de précédentes violations de données ou sur le dark web, à partir de différents formulaires de connexion en ligne. Bien que le credential stuffing implique de tester toutes les combinaisons possibles comme pour les attaques par force brute, il s’agit quand même d’une méthode automatisée pour tenter d’obtenir un accès non autorisé, ce qui en fait une menace importante pour la sécurité. Ces deux types d’attaques sont considérés comme des risques majeurs dans le cadre des projets OWASP Top 10 et OWASP Automated Threats.

Une authentification faible ou déficiente représente une autre porte d’entrée pour les attaques par force brute. Certains systèmes d’authentification ne mettent pas en œuvre de mécanismes de verrouillage ou d’étranglement, qui limitent le nombre de tentatives de connexion dans un certain laps de temps. Sans ces mesures de protection, les attaquants peuvent tenter à plusieurs reprises de deviner les mots de passe sans aucune restriction, ce qui augmente la probabilité de réussite d’une attaque par force brute.

Les attaques par force brute peuvent également être utilisées pour deviner les identifiants de session ou exploiter les faiblesses des mécanismes de gestion des sessions pour acquérir ou détourner des identifiants de session valides. Une fois qu’un attaquant obtient un identifiant de session valide, il peut l’utiliser pour usurper l’identité de l’utilisateur authentifié et obtenir un accès non autorisé à des ressources protégées.

Quelles sont les motivations des attaques par force brute ?

Les raisons qui poussent les pirates à se livrer à des attaques par force brute sont très diverses, mais généralement, ils souhaitent obtenir un accès non autorisé à des systèmes, des réseaux ou des comptes à des fins malveillantes.

Parmi les raisons les plus fréquentes, on peut citer l’appât du gain, lorsque les attaquants cherchent à voler des informations financières comme des numéros de cartes de crédit ou des identifiants bancaires, pour commettre une fraude ou un vol. Ils peuvent également cibler l’accès à des informations personnelles identifiables (PII), à la propriété intellectuelle ou à des données commerciales confidentielles, qui peuvent être vendues. Les attaquants peuvent également obtenir l’accès à des comptes personnels pour usurper l’identité de personnes et se livrer à des activités frauduleuses.

Les criminels peuvent également détourner les systèmes pour d’autres actes malveillants, comme l’organisation d’un botnet, un réseau d’appareils sous le contrôle d’un attaquant qui coordonne ces multiples sources et lance des attaques par déni de service distribué (DDoS).

L’accès non autorisé à des systèmes et à des comptes par le biais d’attaques par force brute peut également servir à propager des logiciels malveillants ou des logiciels espions, ou cibler des sites web avec des attaques qui les infestent de textes et d’images obscènes ou offensantes, menaçant ainsi la réputation d’une entreprise ou d’un site web. Les pirates peuvent également utiliser des attaques par force brute pour exploiter des publicités ou des données d’activité, en utilisant un accès non autorisé pour placer des publicités non sollicitées sur des sites web afin d’obtenir des commissions publicitaires ou de rediriger le trafic d’un site web prévu vers un site malveillant pour voler des informations d’identification ou escroquer les utilisateurs.

Comment prévenir les attaques par force brute ?

Il existe plusieurs façons de minimiser le risque d’attaques par force brute, et la mise en œuvre de plusieurs des mesures suivantes rendra plus difficile pour les attaquants de deviner les mots de passe ou d’obtenir un accès non autorisé par le biais de tentatives de connexion répétées. Celles-ci incluent :

  • L’utilisation de mots de passe forts et complexes. Les mots de passe forts constituent la première ligne de défense contre l’accès non autorisé aux systèmes et aux données. Une politique de mots de passe bien définie permet de garantir que les utilisateurs créent et conservent des mots de passe sûrs composés d’une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Les outils de craquage de mots de passe sont de plus en plus sophistiqués, ce qui signifie que les phrases de passe longues constituent désormais une bien meilleure protection que les mots de passe simples. Les politiques devraient interdire la réutilisation des mots de passe, qui est l’une des principales causes d’attaques par credential stuffing et de piratage de comptes.
  • La mise en œuvre d’une authentification multifactorielle (AMF). En plus de la saisie d’un nom d’utilisateur et d’un mot de passe, l’AMF exige que l’utilisateur présente des facteurs de vérification supplémentaires pour accéder à une application, une ressource, un compte en ligne ou tout autre service. Dans la pratique, cela implique souvent de saisir un code d’accès unique reçu par e-mail ou par SMS sur un smartphone ou un navigateur, ou de fournir des données biométriques comme une empreinte digitale ou une reconnaissance faciale.
  • La mise en œuvre de politiques de verrouillage des comptes. Après un certain nombre de tentatives de connexion infructueuses, les comptes utilisateurs sont verrouillés pendant un certain temps ou jusqu’à ce qu’ils soient déverrouillés manuellement par un administrateur. Cela empêche les attaquants de tenter de deviner les mots de passe à plusieurs reprises. La limitation du débit peut également être utilisée pour restreindre le nombre de demandes de connexion provenant d’une seule adresse IP ou d’un seul compte utilisateur dans un délai spécifique.
  • Le chiffrement des données sensibles. Le chiffrement des données sensibles au repos et en transit garantit que même si des pirates obtiennent un accès non autorisé à un système, ils ne seront pas en mesure de lire les données sans la clé de chiffrement. Les attaques par force brute sont ainsi moins efficaces puisque les pirates auraient besoin de la clé de chiffrement pour décrypter les données.
  • La mise à jour des logiciels. Veillez à ce que tous les logiciels, y compris les systèmes d’exploitation, les serveurs web et les applications, soient régulièrement corrigés et mis à jour afin de remédier aux failles de sécurité susceptibles d’être exploitées par des pirates.
  • Le déploiement de solutions de gestion des robots et des pare-feux d’application web. Le déploiement de solutions qui découragent les attaques automatisées peut protéger la logique commerciale critique contre les abus, y compris les attaques par force brute.

Comment F5 gère-t-elle les attaques par force brute ?

Le projet Automated Threats to Web Applications (Menaces automatisées pour les applications web) de l’OWASP (Open Worldwide Application Security Project) identifie les attaques par force brute comme attaque par craquage d’identifiants (OAT-007). F5 propose des solutions pour répondre à de nombreux risques automatisés de l’OWASP. F5 Distributed Cloud Bot Defense dissuade les robots et l’automatisation malveillante pour empêcher l’OAT et la fraude et les abus qui en résultent et qui peuvent contourner les solutions existantes de gestion des robots. La solution Distributed Cloud Bot Defense fournit une surveillance et des informations en temps réel ainsi qu’une analyse rétrospective basée sur le l’apprentissage automatique pour protéger les organisations contre les attaques automatisées, y compris celles qui emploient des techniques de force brute.

Les solutions Web Application Firewall (WAF) de F5 bloquent et atténuent également un large éventail de risques identifiés par l’OWASP. Les solutions WAF de F5 combinent des protections comportementales et par signature, y compris des informations sur les menaces provenant de F5 Labs et une sécurité basée sur l’apprentissage automatique, pour suivre le rythme des menaces émergentes. Pour empêcher les attaques par force brute, le WAF suit le nombre de tentatives infructueuses pour atteindre les URL de connexion configurées. Lorsque des modèles de force brute sont détectés, la politique du WAF les considère comme une attaque si le taux de connexion infructueuse augmente de manière significative ou si les connexions infructueuses atteignent un seuil maximum.

Les solutions WAF de F5 s’intègrent aux solutions de protection contre les robots F5 Bot Defense afin de fournir une atténuation robuste des principaux risques de sécurité, y compris les exploits de vulnérabilité et les attaques automatisées par force brute.