Qu'est ce qu'une attaque par bruteforce
Les attaques par force brute (bruteforce) font partie de l’arsenal des pirates informatiques, parce qu’elles sont généralement simples à mettre en place et qu’en cas de succès elles assurent à l’attaquant une augmentation notable de sa surface d’attaque. Cette méthode d’intrusion repose sur une approche systématique et exhaustive pour forcer l’accès à vos systèmes. Une immersion dans les rouages de cette technique s’impose pour mieux en saisir les enjeux et s’en prémunir.
Concrètement, une attaque par bruteforce revient à tenter toutes les combinaisons imaginables d’un secret, jusqu’à trouver la bonne. Qu’il s’agisse de dénicher des identifiants de connexion, de déchiffrer des clés de chiffrement ou de débusquer une page web dissimulée, l’assaillant exploite la puissance de calcul pour forcer son chemin. Cette ténacité numérique s’apparente à une quête inlassable, où chaque tentative infructueuse n’est qu’un pas de plus vers la réussite.
Cette technique fait partie de l’arsenal de tous les cybercriminels. Elle est bien connue et documentée, pourtant elle reste pertinente, notamment face à des mots de passe fragiles. La rapidité de décryptage dépend directement de la longueur et de la complexité du mot de passe. La vitesse est également liée à l’algorithme qui sert au calcul de l’empreinte du mot de passe : plus l’algorithme est volontairement complexe et gourmand en ressources, plus la comparaison avec des identifiants potentiels sera lente, ce qui rendra l’attaque plus difficile et plus longue.
Déroulement d'une attaque en force
Pour comprendre le fonctionnement des attaques par force brute, il faut prendre en compte le grand nombre de mots de passe qu’un cyberattaquant peut être amené à tester. Les menaces par force brute fonctionnent en générant et en vérifiant les identifiants à grande vitesse. L’attaquant peut commencer par des suppositions évidentes (comme “mot de passe” ou “123456” ), puis ensuite elle génère toutes les combinaisons de caractères possibles jusqu’à trouver le mot de passe correct.
Stratégies et outils pour une attaque par force brute réussie
Les cyberattaquants ont recours à des techniques de parallélisation pour accélérer leurs attaques par force brute hors ligne. Pour ce faire, ils exploitent une puissance de calcul massive, allant des processeurs multicœurs (CPU) aux fermes de calcul dans le cloud, en passant par les cartes graphiques (GPU). Plus le nombre de processeurs est élevé, plus l’attaque est rapide, augmentant ainsi les chances de déchiffrer les mots de passe et les clés de chiffrement.
Par exemple, un mot de passe de six caractères composé uniquement de minuscules offre 26^6 combinaisons possibles, soit environ 308 millions de combinaisons. Avec le matériel actuel, ce nombre de tentatives est quasi instantané, ce qui signifie qu’un mot de passe faible de six lettres peut être déchiffré immédiatement. Cette vitesse est particulièrement vraie dans le cas d’une attaque hors ligne où un attaquant, ayant récupéré l’empreinte du mot de passe, peut la « casser » rapidement si l’algorithme de hachage utilisé (comme MD5) est simple.
L'importance de la complexité : quand les attaques par force brute échouent
En revanche, un mot de passe plus long avec des majuscules, des minuscules, des chiffres et des caractères spéciaux augmente le nombre de possibilités de manière exponentielle. Cela allonge considérablement le temps et les efforts nécessaires pour le deviner correctement, d’autant plus si l’algorithme de hachage est plus récent et gourmand en ressources (BCrypt, Argon, etc.), rendant le calcul de chaque empreinte très lent, même avec un matériel puissant.
Les mots de passe ne sont pas les seuls à risque. Les méthodes de force brute peuvent également déchiffrer des fichiers ou découvrir des clés de chiffrement en recherchant de manière exhaustive l’ensemble des clés possibles (également appelé « espace de clés »). La faisabilité de telles attaques dépend de la longueur de la clé et de la puissance de l’algorithme. Par exemple, une clé de chiffrement de 128 bits offre un nombre astronomique de possibilités, ce qui rend la force brute quasiment impossible avec les technologies actuelles.
Dans la pratique, les attaques par force brute réussissent souvent non pas en déchiffrant des codes incassables, mais en exploitant l’absence de politique et de contrôles de sécurité. En devinant des mots de passe courants, en supposant une réutilisation des mots de passe ou en ciblant des systèmes sans mécanisme de verrouillage.
2 Types d’attaques par bruteforce
Ces attaques par bruteforce réussissent souvent, car de nombreux utilisateurs emploient des mots de passe faibles, composés de mots courants et faciles à deviner.
- Attaques simples par bruteforce : les cyberattaquants ne se contentent pas de tester toutes les combinaisons de caractères de manière exhaustive. Pour accélérer le processus, ils affinent leur approche en se basant sur des hypothèses précises : la longueur estimée du mot de passe, les ensembles de caractères potentiellement utilisés, et même la structure ou le « masque » du mot de passe (par exemple, la position des majuscules ou des caractères spéciaux).
- Attaques par dictionnaire : pour initier une attaque, les cybercriminels s’appuient souvent sur des listes de mots préétablies. Cette approche, si elle est rapide, manque d’exhaustivité. Pour compenser, les attaquants intègrent des identifiants compromis issus de fuites de données ou des informations spécifiques à l’entreprise. Ils appliquent ensuite des variations à ces mots de passe, comme modifier la casse du premier caractère ou ajouter un symbole en fin de chaîne, pour augmenter leurs chances de succès.
Que gagnent les pirates informatiques avec les attaques par force brute ?
Malgré les efforts requis, les attaques par bruteforce restent lucratives pour les acteurs malveillants. Leurs motivations sont multiples :
- Monétisation des données : revente d’identifiants sur des plateformes de piratage
- Vol de données personnelles et de valeurs : accéder à des informations sensibles (bancaires, identité) pour des fraudes.
- Exploitation des systèmes compromis : une fois le contrôle d’un système acquis, les attaquants l’exploitent pour diverses activités malveillantes. Cela inclut l’utilisation de ces machines comme points de relais pour propager des logiciels malveillants ou pour perturber des infrastructures (attaques DDoS), mais aussi le détournement de leurs ressources de calcul à des fins personnelles, comme le minage de cryptomonnaies.
- Atteinte à la réputation : endommager l’image d’un site web ou d’une entreprise en compromettant sa sécurité.
Comment Synetis se protège contre une attaque par bruteforce ?
Notre entreprise protège ses systèmes contre les attaques par force brute en se basant sur plusieurs piliers techniques. On insiste d’abord sur l’utilisation d’algorithmes de hachage de pointe, tels que Bcrypt ou Argon2, qui sont conçus pour rendre les tentatives de cassage de mot de passe hors ligne extrêmement lentes et gourmandes en ressources.
De plus, nos consultants en cybersécurité appliquent une politique de sécurité rigoureuse, incluant des audits réguliers pour valider la qualité des secrets et des contrôles en place. Cela permet de s’assurer que même les algorithmes plus anciens, comme ceux non salés par défaut, bénéficient d’une couche de sécurité supplémentaire. Enfin, une politique de mots de passe et de comptes proactive est en place, gérant la complexité des mots de passe et les mécanismes de verrouillage temporaire en cas de tentatives infructueuses.
Quel est un exemple concret d'attaque par force brute ?
En environnement Active Directory, lorsqu’un utilisateur du domaine accède à un service, il reçoit un ticket pour l’utilisation de ce service. Ce ticket est signé par le mot de passe du compte de service, qu’il est possible de décrypter hors-ligne par une attaque par force brute.
Dans le cas où l’algorithme de signature est faible (ex : RC4) et si le mot de passe est faible alors il est possible de récupérer les identifiants de connexion du compte de service. Cette technique s’appelle le Kerberoasting et, en cas de succès, elle permet l’accès à compte privilégié, ce qui est un point d’accès intéressant pour un acteur malveillant.
