Qu'est-ce qu'une attaque de connexion Brute Force (et comment les prévenir) ?
Publié: 2022-07-12Les cyberattaques sont devenues plus sophistiquées, les pirates trouvant des moyens de plus en plus intelligents de voler des données et d'accéder à des sites Web et à des bases de données. L'un des principaux moyens par lesquels un pirate informatique accède à un site Web consiste à utiliser une connexion par force brute ou une attaque par force brute.
L'attaque par force brute fait référence à un attaquant soumettant plusieurs mots de passe dans l'espoir de deviner la bonne combinaison pour obtenir un accès non autorisé à vos systèmes. Le logiciel utilisé par le pirate peut souvent sécuriser l'accès à un site Web, à un compte de messagerie ou à une autre base de données en quelques secondes.
C'est ce qu'on appelle la force brute parce que les tentatives sont effectuées vigoureusement et continuellement jusqu'à ce que le nom d'utilisateur et le mot de passe soient sécurisés. Les attaques par force brute sont des moyens simples mais très efficaces de casser vos clés de chiffrement et d'accéder aux fichiers que vous souhaitez garder secrets.
Comment fonctionnent les attaques par force brute ?
À la base, les connexions par force brute sont aussi simples que de deviner les mots de passe possibles. Mais la clé est d'essayer plusieurs variantes jusqu'à ce que vous arriviez à la réponse.
Plus les mots de passe possibles sont longs, plus vous devrez essayer de variantes. Un code d'accès à 2 chiffres a 100 possibilités, tandis qu'un code d'accès à cinq chiffres en a 10 milliards. Pensez également au fait que la plupart des codes d'accès ne sont pas que des chiffres. Ils contiennent des alphabets, des majuscules et des caractères spéciaux. C'est pourquoi les mots de passe faibles sont plus faciles à deviner que les mots de passe complexes.
Si vous vous êtes déjà demandé pourquoi les sites Web insistent pour que vous utilisiez des mots de passe complexes, cette image peut vous aider à expliquer.
Comme vous pouvez le constater, des mots de passe simples peuvent être déchiffrés à l'aide d'attaques par force brute en moins d'une seconde. Mais plus ils sont complexes, plus ils mettent du temps à faire des compromis.
Ainsi, l'un des principaux moyens d'éviter les attaques par force brute sur votre site Web est d'exiger que tous les utilisateurs aient des mots de passe longs et complexes. En fait, la sécurité des mots de passe est désormais considérée comme la première ligne de défense contre de nombreuses formes de cyberattaques.
Un autre problème est qu'en raison de la puissance de calcul massive requise, l'utilisation d'un robot de force brute peut augmenter la vitesse de calcul et rendre l'accès à vos systèmes encore plus facile.
Pourquoi les tentatives de force brute ne sont-elles pas signalées ?
Il existe plusieurs façons pour les pirates d'éviter d'être détectés lors d'une tentative de connexion par force brute.
1. Ils utilisent plusieurs IP
Si vous avez trop de tentatives de connexion infructueuses à la suite de la saisie d'un mot de passe erroné, la plupart des systèmes vous demanderont d'attendre un moment et de réessayer ou de vous verrouiller complètement. Alors pourquoi ces hackers ne subissent-ils pas le même sort ?
Les tentatives de connexion par force brute sont exécutées d'une manière rusée et systématique qui implique plusieurs ordinateurs et adresses IP.
Une tactique utilisée est appelée une attaque distribuée où chaque adresse IP ne tente de deviner votre mot de passe qu'un nombre limité de fois, après quoi elle s'arrête complètement. Une autre IP prend alors sa place.
Maintenant, multipliez cela à grande échelle, avec des dizaines voire des centaines de bots essayant de se connecter tous en même temps mais n'essayant jamais assez de fois pour déclencher un mécanisme de sécurité.
2. Ils ne font pas que deviner
Lors d'attaques par force brute, le pirate agit en fonction de certaines informations disponibles. Par exemple, la plupart des gens utilisent le même mot de passe sur de nombreuses plates-formes, donc une violation de données d'une autre plate-forme est un assez bon point de départ. C'est ce qu'on appelle une attaque par force brute inversée, car un pirate essaie plusieurs noms d'utilisateur jusqu'à ce qu'il en trouve un qui corresponde au mot de passe.
Il existe également d'autres tactiques. Par exemple, les pirates peuvent utiliser des attaques par dictionnaire où le pirate parcourt les mots de passe en utilisant des mots standard - par exemple « mot de passe », « admin », « iloveyou » ou « 1234567890 ».
Une attaque par dictionnaire est une méthode courante de décomposition de mots de passe simples, qui connaît un succès alarmant et est souvent utilisée. Les pirates peuvent également utiliser des attaques par force brute hybrides qui combinent des attaques par dictionnaire avec des attaques par force brute de base.
Exemples célèbres d'attaques par force brute
Alibaba (2015)
Un exemple célèbre d'attaque par force brute est le site TaoBao d'Alibaba. Entre octobre et novembre 2015, le géant du commerce électronique a subi une attaque par force brute qui n'a pas été détectée par l'équipe de sécurité. Dans ce cas, les tentatives de connexion excessives n'ont pas été signalées en raison du trafic élevé constant de TaoBao.
Les rapports affirment que les mots de passe réutilisés étaient responsables de certains des comptes compromis, car les pirates ont réutilisé les informations d'identification de compte volées sur d'autres sites. Les pirates avaient plus de 99 millions d'informations d'identification de compte avec lesquelles travailler et ils ont piraté avec succès plus de 20 millions de profils de comptes d'utilisateurs.
Club Nintendo (2013)
Le Club Nintendo est un site d'adhésion communautaire où les utilisateurs discutent de tout ce qui concerne Nintendo. En 2013, le site a subi une attaque par force brute, où, après 15 millions de tentatives, les pirates ont finalement piraté les comptes des utilisateurs.
Heureusement, tous les comptes compromis ont été rapidement suspendus jusqu'à ce qu'ils puissent être restitués à leurs propriétaires légitimes. Les rapports suggèrent que l'attaque a touché plus de 25 000 membres du forum.
GitHub (2013)
Github est sans doute le plus grand exemple d'attaque par force brute de l'histoire. En 2013, les pirates ont obtenu l'accès à plusieurs comptes d'utilisateurs après plusieurs tentatives à partir de près de 40 000 adresses IP uniques. Les rapports suggèrent que les pirates ont utilisé des informations obtenues à partir d'autres fuites de données.
Github stocke les mots de passe des utilisateurs en toute sécurité, et même si le nombre de comptes compromis n'est pas clair, les estimations montrent qu'ils étaient très peu nombreux.
Quel est le but d'une attaque par force brute ?
Les données des utilisateurs sont incroyablement précieuses dans notre monde numérique. Des informations de paiement ou des détails fiscaux, au simple accès aux adresses e-mail et aux mots de passe. Ce sont les principales raisons des attaques par force brute.
Accès à vos données utilisateur
Les sites Web contenant de nombreuses données utilisateur sont souvent la cible d'attaques par force brute. Une fois réussis, les pirates peuvent non seulement accéder au compte d'utilisateur, mais peuvent également souvent utiliser ces informations de connexion sur d'autres sites Web.
En fait, avec une base de données de détails d'utilisateurs connus, les pirates peuvent mener des attaques par force brute en utilisant ces détails récoltés sur des sites Web sur Internet.
Exploiter les ressources Web
Avec des hacks spécifiques comme une connexion WordPress par force brute, l'attaquant cherche à utiliser les ressources de votre site Web à son avantage. Par exemple, ils peuvent vouloir utiliser votre site Web pour envoyer des spams et des e-mails de phishing à votre insu. Les pirates peuvent également utiliser votre site pour pirater d'autres sites car votre adresse IP n'est probablement pas encore sur liste noire.
D'autres raisons de forcer brutalement la connexion à WordPress incluent l'extraction de crypto-monnaie ou la redirection du trafic de votre site.
Explorer les vulnérabilités
Les pirates informatiques, souvent appelés pirates éthiques ou hacktivistes, n'ont aucune intention malveillante. Au lieu de cela, ils testent la force de la sécurité d'un système pour éliminer les vulnérabilités et les signaler. Ainsi, un pirate informatique peut mener une attaque par force brute sur des sites Web dans le cadre d'un contrôle de sécurité.
Comment empêcher une attaque par force brute ?
Comme la plupart des éléments de la cybersécurité, la prévention des attaques par force brute peut se faire en quelques étapes simples.
Utilisez des mots de passe complexes
8 violations de données confirmées sur 10 sont dues à des mots de passe faibles ou volés – les attaques par dictionnaire susmentionnées. Donc, un bon point de départ est de vous assurer que vos mots de passe sont :
- Fort (une combinaison de lettres, de chiffres et de caractères spéciaux)
- Unique sur toutes les plateformes
- Plus de 12 caractères
Les attaques automatisées par force brute utilisant des mots de passe communs peuvent entrer dans un site Web ou un compte d'utilisateur en quelques secondes.
Limiter les connexions à des adresses IP spécifiques
Restreindre l'accès de certaines adresses IP à votre site peut également décourager les attaques par force brute. De nombreuses bases de données de sécurité contiennent des enregistrements d'adresses IP de robots de force brute. En bloquant ces adresses IP, les pirates doivent redoubler d'efforts pour accéder à votre site Web avec succès.
Une façon de procéder consiste à configurer un port d'accès à distance à une adresse IP statique. Vous pouvez également configurer un VPN.
Utiliser l'authentification à deux facteurs
L'authentification à deux facteurs est souvent considérée comme la première ligne de défense contre les attaques par force brute. Ils garantissent que les pirates ne peuvent pas accéder à vos données avec juste un nom d'utilisateur et un mot de passe. Ils auraient également besoin de votre smartphone ou de votre client de messagerie.
Surveillez les journaux de votre serveur
Garder un œil attentif sur les journaux de votre serveur est un moyen plus proactif de protéger votre site Web contre les attaques par force brute. Les journaux enregistrent chaque tentative de connexion échouée et, en les analysant, vous pouvez identifier les activités suspectes.
Utilisez des outils comme Logwatch pour effectuer des vérifications quotidiennes et générer des rapports que vous pouvez facilement interpréter.
Empêcher l'activité des bots sur votre site
Étant donné que les attaques par force brute sont généralement menées par des robots automatisés, le blocage de cette forme de trafic est l'un des moyens les plus efficaces de les éviter.
Bot Zapping de ClickCease bloque le trafic des bots sur les sites Web WordPress. Cela signifie que les cyberattaques telles que le spam SEO, les attaques DDoS et les attaques par force brute sont empêchées de manière proactive et en temps réel.
Si vous gérez un site avec une base de données d'utilisateurs, une fonction de paiement ou même si vous gérez un site à fort trafic, vous devez considérer le blocage du trafic des robots comme une fonctionnalité de sécurité essentielle.
Au-delà de l'attaque par force brute
Bien qu'une attaque par force brute puisse être dommageable pour un certain nombre de raisons, les menaces qui pèsent sur votre activité en ligne sont nombreuses et variées. Et, comme mentionné ci-dessus, cela revient souvent aux bots.
Les bad bots sont à l'origine de la majorité des activités malveillantes et préjudiciables sur Internet. Ainsi, en prenant soin de la sécurité du réseau et en empêchant les bots de toute sorte d'accéder à votre site Web, vous pouvez être protégé contre :
- Les violations de données et les dommages qui en découlent pour votre réputation
- Dommages à l'infrastructure de votre site Web tels que l'installation de logiciels malveillants ou l'injection de contenu
- Site Web mis hors ligne lors d'attaques DDoS ou de ransomware
- La fraude au clic et la fraude publicitaire nuisant à vos campagnes publicitaires payantes
Bot Zapping de ClickCease est un nouveau produit faisant partie de notre boîte à outils anti-fraude pour les spécialistes du marketing. Actuellement, cela ne fonctionne que pour les sites Web WordPress, bien que les sites WordPress représentent 40 % d'Internet.
Les utilisateurs existants de ClickCease peuvent exécuter un mois gratuit de Bot Zapping pour voir comment cela fonctionne.
Les nouveaux utilisateurs peuvent s'inscrire pour un essai gratuit afin d'effectuer un audit du trafic sur leurs sites.