D’après le rapport Cost of a Data Breach 2022 d’IBM, les identifiants volés ou compromis constituent la première cause de violation de données et ont coûté en moyenne 4,35 millions de dollars aux entreprises du monde entier en 2021. Les hackers ont recours à diverses techniques pour arriver à leurs fins, mais se tournent très souvent vers ce que l’on appelle les attaques par force brute.
D’après une étude de Google Cloud, il s’agit aujourd’hui des cyberattaques qui touchent le plus fréquemment les fournisseurs de services dans le cloud. Elles représenteraient un peu plus d’une attaque sur deux. Par ailleurs, les récents progrès des cartes graphiques permettent aux acteurs malveillants de décrypter 95 % des mots de passe en seulement quelques jours à l’aide de modèles relativement peu sophistiqués. Vous l’aurez compris, ces attaques doivent faire l’objet de toutes les attentions lors de l’optimisation de votre cybersécurité. Mais pour combattre efficacement cette cybermenace toujours plus fréquente et évoluée, il faut d’abord bien la comprendre.
Dans cet article, nous allons donc détailler ce que sont les attaques par force brute et découvrir comment s’en protéger.
Qu’est-ce qu’une attaque par force brute ?
Une attaque par force brute a pour but d’accéder à un compte ou d’obtenir une clé de chiffrement de manière non autorisée. Pour ce faire, les hackers multiplient les saisies de mots de passe jusqu’à trouver le bon. Ensuite, ils ont le champ libre pour récupérer les données, propager des malwares et ransomwares, ou encore détourner le trafic de sites Web.
Quels sont les différents types d’attaques par force brute ?
Les attaques par force brute se présentent sous des formes et des envergures très variables, chacune s’appuyant sur des méthodes différentes pour cibler et voler des informations sensibles. Il est important de connaître leurs différents types pour protéger votre organisation et vos clients. Voici les plus fréquents, que vous devez connaître.
Credential stuffing
Le credential stuffing consiste à utiliser des combinaisons d’identifiants compromis pour s’infiltrer sur un ou plusieurs systèmes. Ces attaques ciblent les personnes qui recyclent leurs noms d’utilisateur et mots de passe entre plusieurs applications, car les hackers peuvent ainsi accéder à plusieurs comptes avec un seul mot de passe. Si un cybercriminel parvient à mettre la main sur une combinaison nom d’utilisateur/mot de passe valide, il réessaiera ainsi de l’utiliser sur d’autres sites.
Attaques par force brute simples
Comme leur nom l’indique, ces attaques sont assez basiques. Elles consistent simplement pour un hacker à essayer de deviner le mot de passe d’un utilisateur. Bien souvent, les hackers essaient des mots de passe courants ou des informations personnelles qu’ils ont pu récupérer. Ces attaques sont faciles à déjouer si les utilisateurs prennent la peine de définir des mots de passe complexes et uniques pour chaque site.
Attaques par dictionnaire
Une attaque par dictionnaire consiste pour un hacker à usurper un compte en devinant les identifiants de connexion d’un utilisateur. Elle se rapproche d’une attaque simple en ce que le hacker essaie de se connecter avec des mots de passe basiques, comme 123456, abcdef ou encore password. Bien souvent, il essaie un par un les mots d’un dictionnaire jusqu’à atteindre son but, d’où le nom de cette attaque.
Attaques par force brute inversées
Une attaque par force brute inversée est similaire à une attaque par dictionnaire, mais parvient plus souvent à ses fins. Elle consiste pour un hacker à obtenir un mot de passe valide (mot de passe courant ou ayant fuité lors d’une autre attaque), puis à essayer de trouver le nom d’utilisateur correspondant.
Attaques par force brute hybrides
Les attaques par force brute hybrides combinent différents éléments des attaques par dictionnaire et des attaques simples. Elles consistent à utiliser des identifiants connus pour obtenir des accès à d’autres plateformes. Sachant que les utilisateurs ajoutent souvent une série de chiffres ou de caractères spéciaux à la fin de leurs mots de passe, les hackers combinent dictionnaire et techniques simples pour générer des identifiants.
Comment pouvez-vous empêcher une attaque ?
Il est plus simple de prévenir ces menaces que de réparer leurs dégâts. La complexité et le taux de réussite des attaques par force brute sont variables, mais certaines mesures permettent de minimiser leur dangerosité. Passons en revue quelques bonnes pratiques.
Adoptez et appliquez des politiques de mots de passe
Les hackers réussissent plus facilement à compromettre les comptes dont les mots de passe sont simples. Par conséquent, votre organisation doit définir et appliquer une politique de mots de passe stricte. Vous devez vous assurer que les employés utilisent des mots de passe longs et uniques pour chacun de leurs comptes et les mettent régulièrement à jour. L’adoption et l’application de telles politiques peuvent empêcher les attaquants de compromettre un premier compte ou d’accéder à d’autres comptes en cas de réussite de leur attaque initiale.
Limitez les tentatives de connexion
Lorsque les organisations ne limitent pas le nombre de tentatives de connexion, un hacker peut multiplier les combinaisons nom d’utilisateur/mot de passe jusqu’à arriver à ses fins. Par conséquent, il est important de fixer une limite qui le coupera dans son élan. Elle peut aussi entraîner le blocage des adresses IP des utilisateurs qui la dépassent trop fréquemment et éviter ainsi les tentatives futures.
Imposez une authentification multifacteur
Avec une authentification multifacteur, les utilisateurs doivent confirmer leur identité par au moins deux moyens, par exemple en répondant à des questions de sécurité ou en saisissant des codes à usage unique envoyés par SMS ou par email. L’authentification n’est pas la panacée contre les attaques par force brute, mais elle offre un niveau de protection supplémentaire qui limite les risques d’exploitation.
Déployez une technologie de détection des menaces et réponse basées sur l’IA
Une fois que les hackers sont parvenus à accéder à un compte, ils peuvent lancer des attaques internes sous la forme de campagnes de phishing, de spear phishing ou autres attaques par email. Par conséquent, votre organisation doit déployer une technologie de détection et réponse aux menaces basée sur l’IA pour limiter les conséquences de la compromission d’un compte. Vade for M365, par exemple, utilise un ensemble de technologies reposant sur l’IA pour détecter et neutraliser les menaces véhiculées par les emails, y compris celles qui ne sont pas encore connues. Cette solution s’intègre à Microsoft 365 et protège ainsi la plateforme contre les menaces internes et les attaques venues de l’intérieur.
Protégez-vous contre les attaques par force brute
La prévention est clé face aux attaques par force brute. En investissant dans les solutions évoquées dans cet article, vous pourrez protéger votre organisation, vos clients et les employés. Vous pourrez également préserver votre capacité à gérer votre business et générer de la valeur.
