Qu’est-ce qu’une attaque par force brute ?

Une attaque par force brute est une tactique basée sur une quantité massive d’essais que les hackers utilisent pour craquer des identifiants de connexion, des clés de chiffrement et ds URL masquées.

Comme leur nom l’indique, les attaques par force brute utilisent des techniques particulièrement brutales prenant la forme de tentatives de connexion en continu pour obtenir un accès non autorisé à des comptes privés, des fichiers sensibles, des réseaux d’entreprise et d’autres ressources en ligne protégées par des mots de passe. Ces attaques sont réalisées en employant des bots qui essayent en continu des combinaisons différentes de nom d’utilisateur et de mot de passe pour pénétrer dans des comptes.

Bien qu’elles existent depuis des décennies et qu’elles soient relativement simples, les attaques par force brute demeurent populaires et communément utilisées par des hackers en raison de leur efficacité. En fait, au moins 80 % des failles actuelles impliquent des attaques par force brute ou l’utilisation d’identifiants perdus ou volés.¹ Cela n’est pas surprenant étant donné que plus de 15 milliards d’identifiants compromis sont en circulation sur les forums du dark web auxquels les hackers peuvent accéder facilement.²

Une fois que ceux qui réalisent des attaques par force brute accèdent à un compte, ils peuvent :

• Collecter et surveiller l’activité de l’utilisateur.

   

• Exposer les utilisateurs au vol d’identité en volant des données personnelles sensibles, comme les impôts, les comptes bancaires et les informations médicales.

   

• Infecter un site avec des malwares qui seront installés sur les appareils des visiteurs (par ex. : recourir au hijacking d’un appareil pour faire partie d’un botnet).

   

• Mettre des publicités de spam sur un site web qui rémunère l’attaquant en fonction des clics ou infecter les visiteurs d’un site avec un logiciel espion pour collecter des données personnelles qui seront vendues sans leur consentement.

   

• Endommager la réputation de la marque en vandalisant un site avec du contenu indésirable.

Il existe divers types d’attaque par force brute, chacun d’entre eux pouvant être utilisé pour accéder à des ressources en ligne.

Les attaques par force brute simples – Les attaquants tentent de deviner le mot de passe d’un utilisateur entièrement seuls, sans utiliser un quelconque programme logiciel. Ces attaques fonctionnent lorsqu’elles sont mises en place contre des utilisateurs ayant des mots de passe faibles et faciles à deviner, comme « motdepasse », « 1234567890 », ou « azerty ».

Attaques par dictionnaire – Il s’agit de la forme la plus basique des attaques par force brute. Un attaquant essaye autant de mots de passe que possible pour un nom d’utilisateur ciblé. Ce genre d’attaque par force brute est appelé « attaques par dictionnaire » étant donné que les attaquants consultent des dictionnaires tout en testant des mots de passe, souvent en modifiant des mots pour y inclure des numéros et des caractères spéciaux.

Les attaques par force brute hybrides – Cette stratégie d’attaque utilise une combinaison d’attaques par force brute simples et d’attaques par dictionnaire. Les attaquants utilisent des mots et des phrases devinés par logique qu’ils associent à différentes combinaisons de lettres et de caractères pour pirater un compte. Des exemples de mots de passe utilisant ce type d’attaque incluent des combinaisons populaires telles que « Houston123! » ou « Bailey2022 ».

Les attaques par force brute inversées – Avec les attaques par force brute inversées, l’attaquant connaît déjà un mot de passe existant. Il travaille de manière inversée en testant des millions de noms d’utilisateurs avec ce mot de passe pour trouver un ensemble d’identifiants qui correspondent. Dans de nombreux cas, les hackers utilisent des mots de passe ayant fait l’objet d’une fuite et qui sont facilement accessibles en ligne.

Le Credential Stuffing – Également appelé « credential recycling », le credential stuffing est un autre genre d’attaque par force brute dans laquelle l’attaquant teste des combinaisons de nom d’utilisateur et de mot de passe ayant fuité ou ayant été volés sur le dark web et d’autres sites. Cette technique fonctionne pour les attaques ciblant des utilisateurs ayant réutilisé leurs identifiants de connexion sur divers comptes en ligne.

Passwörter sind generell nicht besonders benutzerfreundlich. Kurze und einfache Passwörter kann man sich zwar leicht merken, aber sie sind leider auch schwach und für Brute-Force-Angreifer leicht zu knacken. Andererseits kann das Erstellen langer und komplexer Passwörter und deren häufige Änderung zwar die Sicherheit deutlich steigern, allerdings sind sie schwer zu merken. Damit steigt die Wahrscheinlichkeit, dass Benutzer wieder dazu übergehen, dieselben Passwörter für mehrere Websites zu verwenden, sie auf unsichere Weise zu speichern und sie nicht häufig genug zu aktualisieren.

Während eine durchschnittliche Person 191 Dienste in Anspruch nimmt, die Passwörter oder andere Login-Daten anfordern³, haben die meisten Menschen doch wesentlich mehr Passwörter zu verwalten, als je zuvor. Hinzu kommt, dass 70% dieselben Benutzernamen und Passwörter auf mehreren Websites verwenden.⁴ Dies macht sie zu einem leichten Ziel für Kriminelle, und wenn Login-Daten durch Phishing oder Brute-Force-Angriffe auf einer Website kompromittiert werden, können Hacker dieselben Kombinationen von Benutzernamen und Passwörtern auch auf weiteren Websites ausprobieren.  

Wie lange ein Brute-Force-Angriff braucht, bis er ein Passwort knacken kann, hängt von der Komplexität dieses Passworts und von der Rechenleistung des Computers ab, den der Hacker verwendet – das heißt, es kann ein paar Sekunden, aber auch Jahre dauern. Gängige Computerprogramme für Brute-Force-Angriffe können bis zu einer Milliarde Passwörter pro Sekunde durchtesten⁵. Dit autrement, même si une attaque par force brute peut prendre des années pour casser un mot de passe complexe que vous avez créé, vous pourriez tout de même être exposé à des risques si l’attaque est permanente et persistante.

Si l’histoire est un indicateur, les attaques par force de brute sont là pour durer et continueront probablement de proliférer. Heureusement, l’authentification multifacteur (MFA) et l’authentification sans mot de passe sont deux moyens très efficaces pour réduire les risques qui y sont associés.

Voici les trois meilleures pratiques de sécurité que les organisations et les individus peuvent mettre en place pour réduire le risque d’être victimes d’une attaque par force brute.

Renforcer la sécurité des mots de passe

Utiliser des mots de passe forts qui sont pratiquement impossibles à deviner, c’est la manière la plus facile (mais aussi la plus faible) de se défendre contre les attaques par force brute. Les meilleures pratiques pour créer de nouveaux mots de passe incluent :

• Utiliser des mots de passe longs, qui incluent au moins 15 caractères.

• Créer des mots de passe complexes qui incluent des suites aléatoires de caractères, plutôt que des mots communs.

• Inclure des combinaisons de chiffres, de symboles, des lettres majuscules et minuscules.

• Ne jamais utiliser les mêmes mots de passe sur de multiples sites.

• Utiliser des gestionnaires de mots de passe qui génèrent automatiquement des mots de passe forts que les utilisateurs ne doivent pas mémoriser.

Les organisations devraient protéger les mots de passe au niveau du backend avec les pratiques de sécurité suivantes :

• Utiliser les taux de chiffrement les plus élevés possibles, par exemple un chiffrement de 256 bits pour les mots de passe, avant de les stocker.

• Saler les mots de passe avant de les hacher. Le salage consiste à ajouter des caractères supplémentaires aléatoires aux mots de passe avant de les hacher.

• Limiter les tentatives de connexion pour que les attaquants par force de brute ne puissent pas essayer en continu de se connecter après avoir essayé, sans succès, quelques combinaisons de nom d’utilisateur et de mot de passe.

• Utiliser CAPTCHA peut empêcher les programmes logiciels réalisant les attaques par force brute mais qui sont incapables de cocher une case ou de sélectionner des images incluant un certain objet de vérifier manuellement leur légitimité.

L’authentification multifacteur

Demander une authentification multifacteur (MFA) empêche les fuites découlant des attaques par force brute et d’identifiants compromis en ajoutant une couche supplémentaire de sécurité. Comme son nom l’indique, le MFA utilise au moins deux facteurs (également appelés « identifiants ») pour authentifier un utilisateur. Ces facteurs doivent provenir d’au moins deux catégories parmi les trois qui suivent :

• Quelque chose que vous connaissez – Les mots de passe, les codes PIN ou les schémas qui constituent généralement le premier facteur d’authentification sont basés sur les connaissances et peuvent prendre la forme de questions telles que « Quel est le nom de jeune fille de votre mère ? ».

• Quelque chose que vous possédez – Les facteurs d’authentification inclus dans cette catégorie vérifient que vous possédez une chose en particulier. Des exemples peuvent inclure de recevoir une notification en push ou un SMS sur votre téléphone portable ou d’insérer votre carte bancaire dans un distributeur.

• Quelque chose que vous êtes ou que vous faites – Cette catégorie de MFA renvoie généralement à la biométrie ; les méthodes de vérification les plus courantes sont le scan de l’empreinte digitale, la reconnaissance faciale ou vocale.

   

Lorsqu’un utilisateur est authentifié à l’aide de facteurs inclus dans au moins deux de ces catégories, un niveau de confiance supérieur peut être associé à l’utilisateur. De ce fait, peu importe comment un hacker est parvenu à accéder aux identifiants d’un utilisateur (que ce soit lors d’une attaque par force brute ou autre), le MFA rendra ces identifiants inutiles. Le hacker ne pourra pas réaliser la ou les vérification(s) supplémentaire(s) demandée(s), qu’il s’agisse d’une notification push ou d’un scan de reconnaissance faciale, sur l’appareil spécifique (c’est-à-dire de confiance) de l’utilisateur pour entrer.

L’authentification passwordless

L’authentification passwordless est une autre solution pouvant stopper en amont les attaques par force brute. Il ne s’agit pas d’un produit ni d’une fonctionnalité spécifique mais plutôt d’un résultat souhaité qui réduit les frictions et compense les risques de sécurité (comme les attaques par force brute) en minimisant ou en éliminant les problèmes d’utilisabilité typiquement associés aux mots de passe.

Tandis que le MFA vérifie l’identité d’un utilisateur avec des étapes d’authentification supplémentaires par rapport aux mots de passe, l’authentification passwordless donne accès aux ressources grâce à des facteurs d’authentification autres que des mots de passe, comme des notifications d’email en push, des OTP envoyés par email, des codes QR, des clés de sécurité FIDO ou des facteurs biométriques tels que les scans d’empreinte digitale et la reconnaissance faciale. Dit autrement, l’authentification passwordless rend obsolètes les efforts déployés lors des attaques par force brute en éliminant les inconvénients associés aux identifiants de connexion qui sont leur proie.

Certains des principaux avantages associés aux MFA et à l’authentification multifacteur incluent :

• Une sécurité renforcée – En demandant des facteurs d’authentification supplémentaires, ou en éliminant totalement les mots de passe, même les attaquants par force brute qui ont réussi à compromettre les identifiants d’un utilisateur ne pourront pas obtenir un accès non autorisé à leur compte. 

• De meilleures expériences utilisateur – Ces méthodes permettent d’avoir des transactions sans frictions et plus simples, tout en réduisant le taux d’abandon des clients (en particulier pour la gestion des identités et des accès des clients).

• Une meilleure productivité des collaborateurs – Éliminer les mots de passe permet aussi d’éliminer le besoin pour les utilisateurs de réinitialiser leurs mots de passe si la politique de leur entreprise est de les modifier régulièrement. Cela améliore réellement la productivité en réduisant à la fois la frustration des collaborateurs et la durée d’interruption de leur travail.

• Une réduction des coûts – Ces méthodes réduisent la charge de travail des services d’assistance ainsi que les coûts qui y sont associés, dès qu’un utilisateur a oublié son mot de passe. De plus, étant donné que les notifications en push et que les facteurs d’authentification biométriques s’appuient sur le smartphone d’un utilisateur, le MFA et l’authentification passwordless éliminent aussi les coûts associés au remplacement des jetons matériels et/ou des cartes à puce.

Ping Identity protège les organisations contre les attaques par force brute avec la PingOne Cloud Platform, à savoir une solution cloud qui associe l’orchestration des identités no-code avec des services d’authentification, de gestion des utilisateurs et de MFA adaptatif, ainsi que le single sign-on et l’authentification passwordless pour aider les organisations à créer, à tester et à optimiser des expériences client fluides et sécurisées.

Pour en savoir plus sur l’authentification passwordless, consultez le Livre blanc Vos premiers pas vers le Passwordless.

1 Verizon 2020 Data Breach Investigations Report

2 From Exposure to Takeover: The 15 billion stolen credentials allowing account takeover, Digital Shadows, 2020

3 From Exposure to Takeover: The 15 billion stolen credentials allowing account takeover, Digital Shadows, 2020.

4 Griffith, Eric, « Stop Using the Same Password on Multiple Sites! No. Really » PCMag, 21 septembre 2021.

5 https://nordpass.com/blog/brute-force-attack/