Attaques par force brute : Zoom sur une menace persistante

Les attaques informatiques ont connu une diversification au cours des dernières années et force est de constater que les pirates ne manquent pas d’inventivité. Pourtant, parmi les méthodes « classiques » de cyberattaque, l’attaque par force brute continue d’occuper une place importante dans le palmarès et demeure redoutablement efficace contre des cibles mal préparées.

L’attaque par force brute consiste à tenter de deviner un mot de passe ou une clé de déchiffrement en essayant toutes les combinaisons possibles une à une jusqu’à trouver le bon mot de passe ou la bonne clé de déchiffrement.

Si ce type de cyberattaque peut être effectué à la main, le plus souvent les pirates utilisent des solutions informatisées en vente sur le darknet, permettant de considérablement augmenter la capacité à tester un maximum de combinaison en un minimum de temps.

A titre d’exemple, en 2023, un pirate équipé du matériel adapté n’a besoin que de 5 minutes pour réussir à craquer un mot de passe de 8 caractères comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux.

Pour faciliter l’exercice, l’attaquant peut utiliser les informations personnelles que nous déposons sur nos réseaux sociaux (nom, prénom, date de naissance, photos, départ en congé, adresse, loisir…), nos formulaires en ligne et nos sites e-commerce. Il s’agit de la fameuse fraude par l’ingénierie sociale. Il est donc nécessaire de bien avoir à l’esprit que toutes les données que nous laissons sur internet, peuvent faciliter la tâche d’un pirate pour déduire nos mots de passe.

Ce type d’attaque va impacter un des piliers de la sécurité des données : la confidentialité. En effet, le pirate peut accéder aux données et aux systèmes informatiques de sa victime s’il trouve le mot de passe et peut ensuite usurper l’identité, voler les données, les vendre, les exposer ect.

Le mécanisme est simple :

1. Sélection de la cible : L’attaquant choisit un compte ou un système qu’il souhaite infiltrer.
2. Automatisation : À l’aide d’outils spécifiques, il lance un processus qui tente toutes les combinaisons possibles, depuis « a », « b », « c »… jusqu’aux combinaisons les plus longues et complexes.
3. Exploitation : Une fois le mot de passe ou la clé trouvée, l’attaquant peut accéder au compte ou au système convoité et accéder aux données initialement protégées par le mot de passe.

Le succès des attaques par force brute s’explique principalement par deux facteurs :

• D’une part : la négligence des internautes. En effet, beaucoup continuent d’utiliser des mots de passe simples et faciles à deviner. « 123456 » reste le mot de passe le plus utilisé en France en 2022, d’après une étude de NordPass.
• D’autre part : le progrès technologique. En effet, les capacités de calcul des ordinateurs permettent de tester des milliards de combinaisons en un temps toujours plus court.

Des mesures de sécurités permettent de se prémunir des attaques par force brute :

1. Utiliser des mots de passe complexes : au moins 12 caractères et au moins 15 caractères pour les services critiques avec des caractères variés (majuscules et minuscules, chiffres et caractères spéciaux). Il vaut mieux éviter également les mots courants du dictionnaire et les rapports personnels évidents.
2. Limiter des tentatives : Lorsque cela est possible, nous vous conseillons de configurer vos systèmes pour limiter le nombre d’essais infructueux et d’instaurer des délais d’attente après un certain nombre d’échecs.
3. Activer l’authentification multifacteur : Dès que cela est possible, nous vous conseillons également d’activer l’authentification à multifacteur comme un code reçu par SMS. Cela permet de renforcer le niveau de sécurité car même si un pirate parvient à devenir votre mot de passe, il lui sera toujours difficile d’accéder à votre compte sans connaitre la deuxième forme de vérification de l’authentification multifacteur.
4. Instaurer des alertes : Vous pouvez également être alerté en cas de comportements suspects, comme un grand nombre de tentatives de connexion échouées à vos comptes. Cela vous permettra de pouvoir détecter une tentative d’attaque et de modifier vos mots de passe le cas échéant.