Une cyberattaque par force brute peut être utilisée pour deviner des mots de passe, ainsi que d’autres informations d’identification, via un processus d’essais et d’erreurs qui conduit finalement à une entrée forcée dans un site, un compte ou une base de données. En règle générale, ces attaques testeront différentes combinaisons de phrases et de caractères jusqu’à ce que la combinaison correcte soit déterminée.

Bien que les attaques par force brute ne soient pas la menace numérique la plus sophistiquée, elles restent fiables et peuvent être facilement automatisées. En réalité, Verizon a confirmé que 80% des violations qui se sont produites en 2020 impliquaient une sorte d’attaque par force brute.

Alors, comment ces attaques se produisent-elles et que peut-on faire pour les empêcher ?

Table des matières hide
1 Qu’est-ce qu’une attaque par force brute
1.1 Qu’est-ce qu’une clé de cryptage ?
2 Types d’attaque par force brute
2.1 Attaque par force brute simple
2.2 Attaque de dictionnaire
2.3 Attaque par force brute hybride
2.4 Attaque par force brute inversée
3 Objectifs d’une attaque par force brute
4 Comment empêcher les attaques par force brute
4.1 Utiliser un mot de passe complexe
4.2 Ne sois pas évident
4.3 Envisagez un gestionnaire de mots de passe
4.4 Optez pour l’authentification à deux facteurs
5 Dernières pensées

Qu’est-ce qu’une attaque par force brute

Imaginez que vous êtes un voleur essayant de comprendre la combinaison d’un cadenas. Sans aucun indice ni indice sur la bonne combinaison, il ne vous reste pratiquement plus qu’à le découvrir vous-même, n’est-ce pas ? Vous pouvez deviner au hasard ou commencer à partir de « 0000 ». Quoi qu’il en soit, il s’agit essentiellement d’une attaque par force brute.

Ces cyberattaques tentent de « forcer » l’entrée dans les comptes d’une manière relativement peu sophistiquée. Les attaques par force brute existent depuis un certain temps et continueront d’être une menace tant que les gens utiliseront des mots de passe faibles.

Publicité

Les mots de passe sont souvent la cible d’une attaque par force brute, qui testera diverses combinaisons de phrases, de caractères, de symboles et de termes du dictionnaire courants jusqu’à ce qu’une correspondance soit trouvée et que l’accès (au site en question) soit accordé. Les attaques par force brute peuvent également être utilisées pour déchiffrer des clés de chiffrement ou détecter des pages Web cachées.

La nature simpliste de ces attaques les rend remarquablement faciles à automatiser avec des scripts ou des bots – vous n’avez pas besoin d’être un assistant technique pour les configurer non plus, ni même chercher dur pour trouver les outils nécessaires. Avec un système automatisé, un attaquant pourrait cibler une page de connexion ou un utilisateur spécifique et tester des milliers de mots de passe potentiels en quelques secondes… tout en parcourant Twitter sur un autre moniteur ou en vérifiant ce qui se passe.nouveau sur Netflix. Il est même possible d’avoir plusieurs attaques par force brute en même temps !

Heureusement pour nous, les attaques par force brute prennent du temps. Tester tous ces mots de passe potentiels est un processus qui prend du temps. Cela est particulièrement vrai si le mot de passe est complexe : plus le mot de passe est long, plus il est difficile à déchiffrer, et il est plus probable qu’un attaquant s’ennuie et abandonne.

En conséquence, ces attaques ont tendance à être plus efficaces lors de la résolution de mots de passe courts, bien qu’il existe différents types d’attaques par force brute qui fonctionnent mieux lorsqu’elles sont confrontées à des informations d’identification sécurisées – et j’y reviendrai un peu plus tard.

Imaginez que vous essayez à nouveau de déverrouiller ce cadenas. Tester chaque combinaison manuellement est un engagement énorme… et probablement un dernier recours. Les attaques par force brute sont similaires, dans la mesure où les escrocs derrière les tentatives travaillent souvent sans aucun indice ni logiciel supplémentaire pour les aider à déchiffrer la bonne combinaison d’informations d’identification.

Qu’est-ce qu’une clé de cryptage ?

Les attaques par force brute peuvent également déchiffrer les clés de chiffrement, mais c’est une question beaucoup plus difficile, car les clés de chiffrement modernes sont largement considérées comme impossibles à déchiffrer.

Une clé de chiffrement est une chaîne aléatoire de bits utilisée pour brouiller et déchiffrer les données, en les gardant agréables et privées. Une fois que vos données ont été brouillées, elles sont effectivement illisibles pour quiconque passe dessus… à moins qu’ils n’aient votre clé de cryptage. Heureusement, déchiffrer la plupart des clés de chiffrement prendre plus de temps que l’univers n’a existé, et je suis presque sûr que personne n’a autant de temps libre.

Types d’attaque par force brute

Les cybermenaces évoluent constamment afin de suivre la technologie que nous utilisons et les méthodes par lesquelles nous la sécurisons, et les attaques par force brute ne font pas exception. Ci-dessous, vous trouverez certains des types d’attaques par force brute les plus couramment utilisés, et bien qu’ils varient un peu dans leur exécution, ils partagent tous la même méthodologie d’essais et d’erreurs.

Attaque par force brute simple

Il s’agit de la forme la plus basique d’attaque par force brute, qui tente de déchiffrer un mot de passe via un processus laborieux d’essais et d’erreurs, et le tout sans aucune aide ou indice extérieur – cela signifie aucune assistance de logiciels supplémentaires, de violations de données ou de vulnérabilités connues qui pourrait être exploité en faveur du pirate informatique.

Vous ne pensez peut-être pas que ce type d’attaque serait viable en 2021, mais un nombre choquant de personnes utilisent encore des mots de passe très basiques et non sécurisés. Ce sont exactement le genre de mots de passe qu’une simple attaque par force brute est apte à déchiffrer. De simples attaques par force brute peuvent également être utilisées pour cracker des fichiers locaux, où il n’y a aucune limite au nombre de fois que vous pouvez saisir une tentative de mot de passe.

Attaque de dictionnaire

Les attaques par dictionnaire sont un peu plus sophistiquées que l’attaque par force brute de type jardin, mais sont toujours considérées comme rudimentaires par rapport à d’autres cyberattaques, comme les vers, les ransomwares et les attaques DDOS.

Lors d’une attaque par dictionnaire, un cybercriminel choisira sa cible et utilisera des listes de phrases de mot de passe courantes pour tenter de forcer l’entrée. Bien que cette méthode soit plus spécifique que la recherche de combinaisons aléatoires de lettres et de chiffres, il existe encore d’innombrables phrases et mots du dictionnaire qui pourraient constituer un mot de passe. Ainsi, certains cybercriminels travaillent à partir de listes de mots de passe et d’informations d’identification acquises lors de violations de données antérieures. Cependant, ces listes sont vastes et les attaques par dictionnaire représentent toujours un engagement de temps extrêmement lourd.

Attaque par force brute hybride

Vous l’avez peut-être deviné, mais une attaque par force brute hybride combine les méthodes du dictionnaire et des attaques simples, en apportant de petites modifications aux phrases ou aux termes du dictionnaire utilisés pour tenter une connexion forcée. En règle générale, un cybercriminel entreprenant une attaque hybride connaîtra déjà le nom d’utilisateur du compte qu’il essaie de pirater et s’appuiera à nouveau sur des listes de mots de passe précédemment divulgués.

Cependant, une attaque hybride implique de changer quelques personnages à chaque fois. Ceci est particulièrement utile si le pirate soupçonne que le mot de passe combine des mots avec des symboles et des nombres aléatoires, et s’avère utile lors d’attaques de bourrage d’informations d’identification, où un pirate peut avoir à prendre en compte un utilisateur ajustant légèrement son mot de passe sur une période de temps.

Attaque par force brute inversée

Lorsqu’un attaquant connaît votre mot de passe, mais pas votre nom d’utilisateur, il peut potentiellement lancer une attaque par force brute inversée. Parfois, l’attaquant extraira même des mots de passe couramment utilisés ou une liste d’informations d’identification précédemment divulguées lors d’une violation, et utilisera ces informations pour rechercher des connexions correspondantes par rapport à des listes de noms d’utilisateur.

Tout comme avec une attaque par force brute régulière, les robots ou les scripts de l’attaquant testeront ensuite les noms d’utilisateur par rapport à ce mot de passe jusqu’à ce que la combinaison correcte soit trouvée. Malheureusement, « mot de passe », et de faibles variations de la phrase, est toujours un mot de passe étonnamment courant, ce qui rend ce type d’attaque incroyablement réussi, même aujourd’hui.

Objectifs d’une attaque par force brute

Donc, sachant maintenant que les attaques par force brute sont des modes de cyberattaque assez lourds, chronophages et obsolètes, vous vous demandez peut-être quel serait l’intérêt d’en lancer une ? Qu’est-ce qu’un pirate informatique a à gagner à traverser tous ces ennuis ?

La réponse, malheureusement, est beaucoup. Une attaque par force brute réussie signifie que l’attaquant peut :

  • Accédez à votre compte personnel et à vos données
  • Accédez à votre système et perturbez-le en injectant des logiciels malveillants
  • Propager des logiciels malveillants sur le Web
  • Détectez les pages Web cachées et ciblez les vulnérabilités
  • Modifier des sites (avec du texte, des images, du contenu pour adultes ou du matériel offensant) pour calomnier les propriétaires ou les entreprises
  • Générer des revenus grâce aux spams publicitaires placés sur les sites
  • Rediriger le trafic Web vers les sites d’annonces

Comment empêcher les attaques par force brute

Tout n’est pas pessimiste ! Les attaques par force brute peuvent être d’une efficacité trompeuse lorsqu’elles réussissent, mais elles sont également assez faciles à dissuader – il vous suffit d’adopter une approche proactive de votre confidentialité numérique. J’ai énuméré ci-dessous quelques-uns des meilleurs moyens d’éviter d’être victime d’une attaque par force brute.

Utiliser un mot de passe complexe

Celui-ci est le premier sur la liste car c’est une évidence. Plus votre mot de passe est long, plus il sera difficile pour une attaque par force brute de le déchiffrer – il y a simplement plus de combinaisons potentielles avec un mot de passe plus long, n’est-ce pas ? En tant que tel, je suggérerais de faire tous vos mots de passe au moins dix caractères, et je suggérerais également que vous saupoudriez quelques chiffres, caractères spéciaux et majuscules pour le rendre plus sûr et le travail d’un pirate informatique beaucoup plus difficile.

Ne sois pas évident

Si votre mot de passe est « password », ou toute variante du mot, alors vous avez un problème. Ces mots de passe évidents sont les toutes premières choses que les pirates devinent lorsqu’ils lancent des attaques par dictionnaire, et vous voudrez donc rester aussi loin que possible des phrases de mot de passe courantes ! Vous voudrez également éviter d’utiliser des mots de passe à un seul mot. Envisagez d’épisser deux mots ou plus, en plus d’ajouter les caractères spéciaux que j’ai mentionnés plus tôt, pour un mot de passe vraiment difficile à déchiffrer.

Envisagez un gestionnaire de mots de passe

De toute évidence, l’une des raisons pour lesquelles les gens optent pour des mots de passe faibles en premier lieu est qu’ils sont faciles à retenir. Si vous utilisez un mot de passe différent pour tous vos comptes (ce que je recommande fortement !), alors vous pouvez rapidement vous retrouver avec des dizaines à suivre, et vous pourriez même manquer d’idées de mots de passe forts. Heureusement, gestionnaires de mots de passe peut gérer tout cela pour vous pour une somme modique mensuelle. Ils garderont une trace de toutes vos connexions, généreront des mots de passe super sécurisés en un clic et pourront même vous rappeler de les changer régulièrement.

Optez pour l’authentification à deux facteurs

La plupart des sites et services proposent désormais 2FA (authentification à deux facteurs), ce qui est un grand coup de pouce à votre vie privée numérique et bien recommandé ! Lorsque vous activez 2FA, vous devrez fournir une preuve supplémentaire de votre identité avant de vous connecter à un site. Cela signifie parfois vérifier votre identité via une application compagnon ou saisir un code à usage unique qui vous a été envoyé par SMS ; dans tous les cas, il est beaucoup plus difficile pour un pirate d’accéder à votre compte, car il ne sera pas en mesure de fournir cette vérification supplémentaire même s’il a votre mot de passe et votre nom d’utilisateur !

Dernières pensées

Il est facile de considérer les attaques par force brute comme une menace dépassée et dépassée d’une époque révolue, mais c’est une attitude risquée à adopter ! De nombreux cybercriminels utilisent encore cette méthode pour déchiffrer systématiquement les mots de passe et voler les données des utilisateurs. C’est un processus lent, mais ce sera un succès tant que les gens ne sécurisent pas correctement leurs comptes.

Alors, assurez-vous que vos mots de passe sont à jour et assurez-vous de les changer régulièrement – et consultez un gestionnaire de mots de passe si vous avez besoin d’un coup de main supplémentaire.

Rate this post
Publicité
Article précédentTest des écouteurs Samsung Galaxy Buds Live : écouteurs antibruit
Article suivantLa crypto-monnaie est-elle vraiment l’argent du futur ?
Papillion Linville
Papillion Linville

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici