Que sont les attaques par force brute et comment pouvez-vous vous protéger?

Publicité

Si vous lisez régulièrement nos articles sur la sécurité - comme celui-ci tester la force de votre mot de passe Testez la force de votre mot de passe avec les mêmes outils utilisés par les piratesVotre mot de passe est-il sécurisé? Les outils qui évaluent la force de votre mot de passe ont une précision médiocre, ce qui signifie que la seule façon de vraiment tester vos mots de passe est d'essayer de les casser. Voyons comment. Lire la suite - vous avez probablement entendu l'expression "attaque par force brute". Mais qu'est ce que cela veut dire exactement? Comment ça marche? Et comment pouvez-vous vous protéger contre cela? Voici ce que vous devez savoir.

Attaques de force brute: les bases

En fin de compte, une attaque par force brute est vraiment simple: un programme informatique essaie de deviner un un mot de passe ou une clé de chiffrement en parcourant toutes les combinaisons possibles d'un certain nombre de personnages. Par exemple, supposons que vous ayez écrit une application qui a tenté de forcer brutalement un mot de passe iPhone à quatre chiffres. Il pourrait deviner 1111, puis 1112, puis 1113, 1114, 1115, et ainsi de suite jusqu'à ce qu'il atteigne 9999.

Le même principe peut être appliqué avec des mots de passe plus compliqués. Un algorithme de force brute peut commencer par aaaaaa, aaaaab, aaaaaac, puis passer à des choses comme aabaa1, aabaa2, aabaa3, et ainsi de suite, à travers toutes les combinaisons de six caractères de chiffres et de lettres jusqu'à zzzzzz, zzzzz1 et au-delà.

Il existe également une technique connue sous le nom d'attaque par force brute inverse, dans laquelle un mot de passe est essayé contre de nombreux noms d'utilisateur différents. C'est moins courant et plus difficile à utiliser avec succès, mais cela contourne certaines contre-mesures courantes.

Comme vous pouvez le voir, c'est une façon plutôt inélégante de deviner un mot de passe. Cependant, théoriquement, si vous aviez assez de puissance de calcul et assez d'énergie, vous pourriez deviner n'importe quel mot de passe. Mais si vous utilisez autre chose qu'un mot de passe simple et court, vous n'avez rien à craindre, car la quantité de puissance de calcul, il faudrait pour deviner un mot de passe plus long nécessiterait une énorme quantité d'énergie et pourrait prendre des années à Achevée.

Attaques avancées de force brute

Parce que les attaques par force brute sur tout sauf des mots de passe très simples sont terriblement inefficaces et prennent du temps, les pirates ont mis au point des outils qui les rendent plus efficaces.

Une attaque par dictionnaire, par exemple, ne se contente pas de parcourir toutes les combinaisons possibles de caractères; il utilise des mots, des nombres ou des chaînes de caractères d'une liste précompilée que le pirate juge être au moins un peu plus susceptibles que la moyenne d'apparaître dans un mot de passe (c'est le genre d'attaque avec laquelle vous pouvez exécuter Facile logiciel de test de pénétration de réseau Comment tester la sécurité de votre réseau domestique avec des outils de piratage gratuitsAucun système ne peut être entièrement «protégé contre le piratage», mais les tests de sécurité du navigateur et les protections du réseau peuvent rendre votre configuration plus robuste. Utilisez ces outils gratuits pour identifier les "points faibles" de votre réseau domestique. Lire la suite ).

Par exemple, une attaque par dictionnaire peut essayer un certain nombre de mots de passe courants avant de se lancer dans une attaque standard par force brute, comme «mot de passe», «mot de passe», «letmein», etc. Ou il peut ajouter «2016» à la fin de tous les mots de passe qu'il essaie avant de passer au mot de passe suivant.

Il existe différentes méthodes d'utilisation des attaques par force brute, mais elles reposent toutes sur l'essai d'un grand nombre de mots de passe aussi rapidement que possible jusqu'à ce que le bon soit trouvé. Certains nécessitent plus de puissance de calcul, mais gagnent du temps; certains sont plus rapides, mais nécessitent une plus grande quantité de stockage pour être utilisés pendant l'attaque.

Où les attaques par force brute sont dangereuses

Les attaques par force brute peuvent être utilisées sur tout ce qui a un mot de passe ou une clé de cryptage, mais dans de nombreux endroits où ils pourraient être utilisés ont déployé des contre-mesures efficaces contre eux (comme vous le verrez dans la section suivante).

Vous êtes le plus à risque d'une attaque par force brute si vous perdez vos données et qu'un pirate les saisit - une fois il est sur leur ordinateur, certaines des garanties en place sur votre machine ou en ligne peuvent être contourné.

Comment un mécréant pourrait-il obtenir vos données sur son ordinateur? Vous pourriez perdre un lecteur flash, peut-être en le laissant dans la poche de vos vêtements que vous avez envoyé à un nettoyeur à sec, comme le 4 500 lecteurs flash trouvés en 2009 au Royaume-Uni. Ou, comme les 12 500 autres appareils trouvés, vous pouvez laisser un téléphone ou un ordinateur portable dans une cabine. C’est une chose facile à faire.

Ou peut-être que quelqu'un a pu télécharger quelque chose à partir d'un service cloud parce que vous avez partagé un lien raccourci non sécurisé Les liens raccourcis compromettent-ils votre sécurité?Une étude récente a montré que la commodité des raccourcisseurs d'URL comme bit.ly et goo.gl pouvait présenter un risque important pour votre sécurité. Est-il temps de quitter les outils de raccourcissement d'URL? Lire la suite . Ou peut-être que vous avez été frappé par un ransomware qui a non seulement verrouillé votre ordinateur, mais aussi volé certains de vos fichiers.

Le point de tout cela est que les attaques par force brute ne sont pas efficaces à certains endroits, mais il existe de nombreuses façons de les déployer contre vos données. La meilleure façon d'empêcher vos données de pénétrer sur l'ordinateur d'un pirate est de suivre de près où se trouvent vos appareils (en particulier les lecteurs flash!).

Protection contre les attaques de la force brute

Il existe un certain nombre de défenses que les sites Web ou les applications peuvent utiliser contre les attaques par force brute. L'un des plus simples et des plus utilisés est le verrouillage: si vous entrez un mot de passe incorrect, un certain plusieurs fois, le compte est verrouillé et vous devez contacter le service client ou votre service informatique département. Cela arrête une attaque par force brute sur ses traces.

Une tactique similaire peut être utilisée avec un Défi CAPTCHA Tout ce que vous avez toujours voulu savoir sur les CAPTCHA mais aviez peur de demander [La technologie expliquée]Aimez-les ou détestez-les - les CAPTCHA sont devenus omniprésents sur Internet. De quoi diable est un CAPTCHA de toute façon, et d'où vient-il? Responsable de la fatigue oculaire dans le monde entier, l'humble CAPTCHA ... Lire la suite ou d'autres tâches similaires. Aucune de ces méthodes ne fonctionnera contre une attaque par force brute inverse, car elle échouera à un test de mot de passe une seule fois pour chaque compte.

Une autre méthode qui peut être utilisée pour empêcher ces attaques (à la fois standard et inversée) est authentification à deux facteurs Qu'est-ce que l'authentification à deux facteurs et pourquoi l'utiliser?L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux façons différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement la carte, ... Lire la suite (2FA); même si un pirate informatique devine le bon mot de passe, l'exigence d'un autre code ou entrée arrêtera une attaque même s'il devine le mot de passe correct. Heureusement, de plus en plus de services sont incorporant 2FA Verrouillez ces services maintenant avec une authentification à deux facteursL'authentification à deux facteurs est le moyen intelligent de protéger vos comptes en ligne. Jetons un coup d'œil à quelques-uns des services que vous pouvez verrouiller avec une meilleure sécurité. Lire la suite dans leurs systèmes. Il peut être un problème La vérification en deux étapes peut-elle être moins irritante? Quatre hacks secrets garantis pour améliorer la sécuritéVoulez-vous une sécurité de compte à l'épreuve des balles? Je suggère fortement d'activer ce que l'on appelle l'authentification "à deux facteurs". Lire la suite , mais il vous protégera contre de nombreuses attaques.

Il convient de noter que si ces tactiques sont idéales pour éviter les attaques par force brute, elles peuvent également être utilisées pour attaquer un site de différentes manières. Par exemple, si une attaque par force brute est lancée contre un site qui verrouille des comptes après cinq tentatives incorrectes, leur équipe de service client pourrait être inondée d'appels, ralentissant le site. Il pourrait également être employé dans le cadre attaque par déni de service distribué Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique]Le terme DDoS siffle chaque fois que le cyber-activisme se lève en masse. Ce type d'attaques fait la une des journaux internationaux pour de multiples raisons. Les problèmes qui déclenchent ces attaques DDoS sont souvent controversés ou très ... Lire la suite .

Le moyen le plus simple de se protéger contre une attaque par force brute est de loin d'utiliser un mot de passe long. À mesure que la longueur d'un mot de passe augmente, la puissance de calcul requise pour deviner toutes les combinaisons de caractères possibles augmente très rapidement. Dans un article sur les risques de sécurité des raccourcisseurs d'URL, les chercheurs ont montré comment les jetons de cinq, six et sept caractères étaient faciles à deviner, mais les jetons de 11 et 12 caractères étaient presque impossibles.

Vous pouvez appliquer la même logique à vos mots de passe. Utilisez des mots de passe forts 6 conseils pour créer un mot de passe incassable dont vous vous souviendrezSi vos mots de passe ne sont pas uniques et incassables, vous pourriez aussi bien ouvrir la porte d'entrée et inviter les voleurs à déjeuner. Lire la suite et vous serez à l'abri des attaques par force brute.

Une attaque étonnamment efficace

Pour combien il est simple et inélégant - c'est ce qu'on appelle la «force brute» pour une raison, après tout - ce type d'attaque peut être étonnamment efficace pour accéder à des zones protégées par mot de passe et cryptées. Mais maintenant que vous savez comment fonctionne l'attaque et comment vous protéger contre celle-ci, vous ne devriez plus vous inquiéter!

Utilisez-vous l'authentification à deux facteurs? Connaissez-vous d'autres bonnes défenses contre les attaques par force brute? Partagez vos pensées et conseils ci-dessous!

Crédits image: TungCheung via Shutterstock, cunaplus via Shutterstock.