Force brute

Qu’est-ce qu’une attaque par force brute ?

L’attaque par force brute est une méthode de piratage très répandue : selon certaines sources, les attaques par force brute sont à l’origine de 5 % des failles de sécurité confirmées.

Une attaque par force brute consiste à « deviner » des noms d’utilisateur et des mots de passe pour obtenir un accès non autorisé à un système. La force brute est une méthode d’attaque simple qui a un taux de réussite élevé.

Certains attaquants utilisent des applications et des scripts comme outils de force brute.

  • Ces outils essaient de nombreuses combinaisons de mots de passe pour contourner les processus d’authentification.
  • Dans d’autres cas, les attaquants tentent d’accéder aux applications web en recherchant le bon identifiant de session.

La motivation des attaquants peut être de voler des informations, d’infecter des sites avec des logiciels malveillants ou de perturber le service.

Si certains attaquants effectuent encore des attaques par force brute manuellement, aujourd’hui, la quasi-totalité des attaques par force brute sont effectuées par des robots. Les attaquants disposent de listes d’informations d’identification couramment utilisées, ou d’informations d’identification d’utilisateurs réels, obtenues par le biais de failles de sécurité ou du dark web.

Les robots attaquent systématiquement les sites web et essaient ces listes d’informations d’identification, et avertissent l’attaquant lorsqu’ils obtiennent l’accès.

Types d’attaques par force brute

  1. Attaque par force brute simple – utilise une approche systématique pour « deviner » qui ne s’appuie pas sur une logique extérieure.
  2. Attaques hybrides par force brute – elles s’appuient sur une logique externe pour déterminer quelle variation de mot de passe a le plus de chances de réussir, puis poursuivent l’approche simple en essayant de nombreuses variations possibles.
  3. Attaques par dictionnaire – devine les noms d’utilisateur ou les mots de passe à l’aide d’un dictionnaire de chaînes de caractères ou de phrases possibles.
  4. Attaques par table arc-en-ciel – une table arc-en-ciel est une table précalculée permettant d’inverser les fonctions de hachage cryptographique. Elle peut être utilisée pour deviner une fonction d’une certaine longueur, composée d’un ensemble limité de caractères.
  5. Attaque par force brute inversée – utilise un mot de passe commun ou une collection de mots de passe contre de nombreux noms d’utilisateur possibles. Cible un réseau d’utilisateurs pour lesquels les attaquants ont déjà obtenu des données.
  6. Le bourrage d’identifiants – utilise des paires mot de passe-nom d’utilisateur déjà connues et les confronte à plusieurs sites web. Exploite le fait que de nombreux utilisateurs ont le même nom d’utilisateur et le même mot de passe sur différents systèmes.

schema attaque par dictionnaire

Hydra et autres outils populaires d’attaque par force brute

Les analystes de sécurité utilisent l’outil THC-Hydra pour identifier les vulnérabilités des systèmes clients. Hydra passe rapidement en revue un grand nombre de combinaisons de mots de passe, soit par simple force brute, soit par dictionnaire. Il peut attaquer plus de 50 protocoles et plusieurs systèmes d’exploitation.

Hydra est une plateforme ouverte ; la communauté de la sécurité et les attaquants développent constamment de nouveaux modules.

Voici d’autres outils de force brute de premier plan :

  1. Aircrack-ng – peut être utilisé sur Windows, Linux, iOS et Android. Il utilise un dictionnaire de mots de passe largement répandus pour pénétrer dans les réseaux sans fil.
  2. John the Ripper – fonctionne sur 15 plateformes différentes, dont Unix, Windows et OpenVMS. Il essaie toutes les combinaisons possibles à l’aide d’un dictionnaire de mots de passe.
  3. L0phtCrack – un outil permettant de déchiffrer les mots de passe Windows. Il utilise des tables arc-en-ciel, des dictionnaires et des algorithmes multiprocesseurs.
  4. Hashcat – fonctionne sous Windows, Linux et Mac OS. Peut effectuer des attaques simples par force brute, basées sur des règles et hybrides.
  5. DaveGrohl – un outil open-source pour craquer Mac OS. Peut être distribué sur plusieurs ordinateurs.
  6. Ncrack – un outil permettant de pirater l’authentification réseau. Il peut être utilisé sous Windows, Linux et BSD.

Des mots de passe faibles qui permettent des attaques par force brute

Aujourd’hui, les individus possèdent de nombreux comptes et de nombreux mots de passe. Les gens ont tendance à utiliser de manière répétée quelques mots de passe simples, ce qui les expose aux attaques par force brute. De plus, l’utilisation répétée d’un même mot de passe peut permettre aux attaquants d’accéder à de nombreux comptes.

Les comptes de messagerie protégés par des mots de passe faibles peuvent être connectés à d’autres comptes et peuvent également être utilisés pour restaurer des mots de passe. Ils sont donc particulièrement précieux pour les pirates. Si les utilisateurs ne modifient pas le mot de passe de leur routeur par défaut, leur réseau local est vulnérable aux attaques. Les pirates peuvent essayer quelques mots de passe par défaut simples et accéder à l’ensemble d’un réseau.

Parmi les mots de passe les plus fréquemment trouvés dans les listes de force brute, citons :

  1. date de naissance
  2. noms des enfants
  3. azerty
  4. 123456
  5. abcdef123
  6. a123456
  7. abc123
  8. motdepasse
  9. salut
  10. bienvenu
  11. 654321
  12. 123321
  13. 000000
  14. 111111
  15. 987654321
  16. 1q2w3e
  17. 123aze
  18. azertyuio

Les mots de passe forts offrent une meilleure protection contre l’usurpation d’identité, la perte de données, l’accès non autorisé à des comptes, etc.

definir un mot de passe

Comment prévenir le piratage des mots de passe par force brute ?

Pour protéger votre organisation contre le piratage de mots de passe par force brute, imposez l’utilisation de mots de passe forts.

Les mots de passe doivent :

  • Ne jamais utiliser d’informations qui peuvent être trouvées en ligne (comme les noms des membres de la famille).
  • Comporter autant de caractères que possible.
  • Combiner des lettres, des chiffres et des symboles.
  • Être différents pour chaque compte d’utilisateur.
  • Éviter les schémas courants.

En tant qu’administrateur, il existe des méthodes que vous pouvez mettre en œuvre pour protéger les utilisateurs contre le craquage de mot de passe par force brute :

  1. Politique de verrouillage : vous pouvez verrouiller les comptes après plusieurs tentatives de connexion infructueuses, puis les déverrouiller en tant qu’administrateur.
  2. Délais progressifs : vous pouvez verrouiller des comptes pendant une durée limitée après des tentatives de connexion infructueuses. Chaque tentative allonge le délai.
  3. Les outils Captcha tels que reCAPTCHA exigent des utilisateurs qu’ils accomplissent des tâches simples pour se connecter à un système. Les utilisateurs peuvent facilement accomplir ces tâches, ce qui n’est pas le cas des outils de force brute.
  4. Exiger des mots de passe forts : vous pouvez obliger les utilisateurs à définir des mots de passe longs et complexes. Vous devez également imposer des changements de mot de passe périodiques.
  5. Authentification à deux facteurs : vous pouvez utiliser plusieurs facteurs pour authentifier l’identité et accorder l’accès aux comptes.

⇒ 2 applications mobiles sont capables d’écouter discrètement les conversations et les écrits d’un téléphone

Laisser un commentaire

 

 

 

 

Développement

Notre équipe travaille sur une application mobile de nouvelle génération dédiée à la surveillance.

Visiter l'application

© 2023 Untelephone.com

Contact

Qui sommes-nous

Derniers articles

Vie privée

Mentions légales

Législation

Plan du site