Boite à outils

Tout savoir sur une attaque par force brute

Les attaques par force brute restent une méthode populaire chez les pirates informatiques pour accéder à un compte ou un site. Une attaque réussie expose les données sensibles de l’utilisateur. Néanmoins, plusieurs mesures permettent de bloquer leurs attaques à l’instar de l’utilisation d’un mot de passe fort.

Thumbnail-force brute
Contenu mis à jour le

Pendant une attaque par force brute, le pirate soumet des centaines de noms d’utilisateurs et de mots de passe pour trouver les bons et pénétrer dans un compte. Cette approche en apparence simple, demande du temps et des ressources. Néanmoins, les pirates sont aidés par des robots ou des scripts. Les comptes d’utilisateurs ne sont pas les seules cibles des pirates. Les plateformes, sites gouvernementaux, entreprises, etc. le sont également. En 2017 par exemple, le parlement britannique a été victime d’une attaque par force brute. Il en est de même pour la compagnie aérienne Cathay Pacific. Les objectifs de ces attaques sont divers : vols de données, ruiner la réputation d’une entreprise, etc.  

Qu’est-ce qu’une attaque par force brute? 

Les pirates utilisent une attaque par force brute pour tester des centaines de combinaisons de caractères pour deviner le mot de passe d’un site, d’un utilisateur, etc. Les pirates sont aidés d’un logiciel et de plusieurs appareils formant un botnet.

L’outil essaie toutes les combinaisons de lettres, de caractères spéciaux et de chiffres possibles jusqu’à ce qu’il trouve un correspondant. Grâce à la technologie, les pirates peuvent essayer des centaines de tentatives de connexion par minute.

Un phénomène en hausse depuis l’essor du télétravail

Selon un rapport de Verizon en 2020, 20% des violations chez les PME proviennent d’une attaque par force brute. Si l’on compare aux chiffres de 2018 et 2019, celui-ci n’a pas particulièrement changé.

Néanmoins, la pandémie de coronavirus a modifié le paysage du travail. Les entreprises devaient encourager le travail à distance. Les cybercriminels n’ont pas mis longtemps à comprendre la tendance. Ils ont compris que les serveurs RDP mal configurés se multipliaient.

Que gagnent les hackers à mener ce type d’attaque? 

La réussite d’une attaque par force brute requiert des ressources et du temps. Ces attaquants peuvent même passer des mois à craquer un mot de passe, bien que la technologie a facilité les choses. Les motivations des hackers à mener ce type d’attaque peuvent prendre différentes formes :

Gagner de l’argent grâce à la publicité et les données d’activité

Lorsqu’ils réussissent à hacker un site web, les pirates peuvent percevoir des commissions grâce aux publicités spam placées sur le site. À chaque fois qu’un internaute clique dessus, ils gagnent de l’argent.

Ils peuvent également gagner des commissions en redirigeant le trafic du site web victime vers des sites publicitaires.

Enfin, ils infectent également les sites de spyware pour collecter les données des visiteurs. Ils vendent ensuite ces données aux annonceurs.

Diffuser des logiciels malveillants pour le plaisir

L’objectif d’une attaque par force brute n’est pas forcément de rediriger le trafic d’un site vers un des sites malveillants. Ils peuvent également dissimuler des malwares dans le site cible afin d’infecter les appareils des visiteurs.

Voler des données sensibles

Lorsqu’un pirate informatique accède aux comptes en ligne de leurs victimes, c’est similaire à l’ouverture d’un coffre-fort bancaire. Il connaît désormais les comptes bancaires, le numéro de carte de crédit, les informations fiscales, etc.

Il peut ensuite usurper l’identité de la victime, voler de l’argent, vendre les informations aux plus offrants. Dans le cas d’un compte professionnel, toutes les données sensibles de l’entreprise sont exposées.

Ruiner la réputation d’un site web

Un site mal géré devient vite la cible d’un acte de vandalisme. Le cybercriminel peut inonder le compte de contenus pornographiques, diffuser des propagandes haineuses, etc.

Détourner le système pour des activités malveillantes

Une seule machine ne permet pas de pirater un site. Les pirates ont besoin de dizaines, voire des centaines d’appareils pour former une armée appelée botnet. Les utilisateurs font partie de cette armée à leur insu grâce à des logiciels malveillants installés sur leur appareil.

Comment fonctionne une attaque par force brute? 

Les hackers ciblent la page de connexion d’une application ou d’un site à l’aide de robots ou de scripts. Ces robots multiplient les tentatives en essayant tous les mots de passe connus et les combinaisons de caractères possibles.

Submerger un site de requête pour trouver la bonne combinaison d’un seul compte demande du temps. C’est pourquoi les pirates utilisent des outils automatisés capables de deviner un mot du dictionnaire en une seconde.

Ces outils fonctionnent contre les protocoles informatiques les plus populaires comme le SMPT, FTP, MySQL, etc. Les pirates peuvent également forcer les routeurs Wifi, de deviner les mots en leetspeak, etc.

Selon une étude menée par Cloudflare, il faut environ 15 millions de tentatives par seconde pour deviner un mot de passe de 7 caractères. Cela demanderait seulement 9 minutes à un outil automatisé pour le craquer. Par contre, un mot de passe de 13 caractères demanderait 350 000 ans pour être cracké. D’après IBM, certains pirates se concentrent sur le même système pendant des années.

Néanmoins, la complexité des mots de passe et les méthodes de chiffrement moderne rendent les attaques par force brute impossible à mener. Un chiffrement à 256 bits demanderait des millions d’années pour être cracké.

Quels sont les différents types d’attaques par force brute?

Les hackers peuvent mener une attaque par force brute de différentes manières :

Attaques par dictionnaire

Les attaques essaient tous les mots dans le dictionnaire ainsi que les phrases possibles pour deviner le mot de passe. L’outil utilisé est capable de modifier certaines lettres par des chiffres ou des caractères spéciaux également.

Attaques en force simples

Le pirate devine l’identifiant et le mot de passe d’un utilisateur en s’appuyant sur des informations collectées sur celui-ci. L’ingénierie sociale permet de trouver des informations sur la cible en ligne.

Attaques hybrides

Cette attaque combine la méthode simple et par dictionnaire. Le pirate s’appuie sur les informations privées sur la cible et des mots du dictionnaire. Elle est notamment utilisée pour deviner les mots de passe combinant une information personnelle et un mot du dictionnaire. Cela peut être un nom de fruit suivi de la date d’anniversaire par exemple.

Credential stuffing

Les internautes se servent souvent du même mot de passe sur plusieurs sites. Lorsque le pirate déchiffre le mot de passe sur un site, il l’essaiera sur d’autres sites.  

Attaques par force brute inversées

Des dizaines de mots de passe reviennent souvent lorsqu’il faut se connecter à un site : Motdepasse, 123456, etc. L’attaquant teste les mots de passe de cette liste jusqu’à ce qu’il trouve le bon. Par ailleurs, des listes de mots de passe sont vendues sur le darknet. Les pirates s’appuient sur cette liste également pour trouver une correspondance.

Quels outils les hackers utilisent-ils?

Il est impossible de mener une attaque par force brute sans l’aide d’un logiciel. En effet, un être humain peut saisir une dizaine de mots de passe par minute au maximum. De son côté, un ordinateur est capable de saisir des centaines, voire des milliers par minute en fonction de la vitesse de connexion. Certains attaquants utilisent même le langage Python pour développer leurs propres scripts.

Parmi les outils populaires pour forcer les mots de passe, on retrouve :

  • Ncrack ;
  • John the Ripper ;
  • Hashcat ;
  • Aircrack-ng ;
  • DaveGrohl.

Les hackers se servent également des scanners de vulnérabilité des systèmes pour détecter des failles de sécurité dans les applications. C’est pourquoi il est important d’effectuer des mises à jour régulière des serveurs accessibles au public chez les administrateurs de site.

Comment se protéger d’une attaque par force brute?

Renforcer la règle des mots de passe

Les administrateurs de site doivent renforcer la règle des mots de passe, rendant impossible la création de mots de passe faible. Cela consiste à imposer un nombre minimum de caractères à 12 par exemple, d’inclure des caractères spéciaux et des chiffres, d’ajouter une majuscule, etc. Sinon, la création du compte n’est pas validée. Un ordinateur mettrait des décennies à deviner un mot de passe fort.

Limiter le nombre de tentatives

Lorsque le nombre de tentatives est limité, le site affiche un CAPTCHA lorsque cette limite est atteinte. Cette méthode permet de filtrer les trafics légitimes des trafics automatiques cachant une attaque par force brute. Les bots ne peuvent plus essayer des centaines de mots de passe par minute.

Verrouiller un compte

Cette règle consiste à verrouiller le compte lorsque plusieurs tentatives de connexion sont enregistrées. Le hacker sera stoppé dans son attaque.

Activer l’authentification à deux facteurs

Même si le pirate réussit à deviner le mot de passe, le compte ne pourra s’ouvrir sans la seconde authentification. L’utilisateur sera immédiatement informé de l’intrusion.

Bloquer les adresses IP suspectes

Le système peut être paramétré pour identifier les adresses IP qui enregistrent plusieurs tentatives de connexion et les bloquer momentanément. L’administrateur peut ensuite ajouter les adresses IP suspectes à la liste noire manuellement.

Comment un mot de passe long déjoue les tentatives des pirates? 

Les mesures adoptées par les sites doivent se combiner à une bonne hygiène de mot de passe chez les utilisateurs. Plus un mot de passe est long et complexe, plus il est difficile pour un attaquant de le deviner avec une attaque par force brute.

Les utilisateurs en manque d’inspiration peuvent se servir d’un générateur ou d’un gestionnaire de mots de passe pour créer un mot de passe fort. Cet outil génère une chaîne de caractères aléatoires répondant aux exigences des sites. Il peut ensuite stocker le mot de passe dans un espace crypté.