De nombreuses cyberattaques commencent par des attaquants qui accèdent à votre réseau. Ils ne sont peut-être pas les bienvenus, mais les cybercriminels n'ont pas besoin de votre permission pour entrer par effraction.
Avec des techniques telles que les attaques par énumération, ils peuvent échapper à vos défenses. Il vous incombe de leur rendre la tâche difficile, voire impossible. Que sont vraiment les attaques par énumération? Comment travaillent-ils? Et comment pouvez-vous les prévenir?
Que sont les attaques par énumération?
Les attaques par énumération sont des techniques de piratage utilisées par les attaquants pour obtenir un accès non autorisé à un système en devinant les identifiants de connexion des utilisateurs. UN forme d'attaque par force brute, le pirate essaie différents noms d'utilisateur et mots de passe jusqu'à ce qu'il obtienne les bonnes combinaisons.
Comment fonctionnent les attaques par énumération?
Un système moyen a une authentification ou une autorisation intégrée que les utilisateurs doivent subir pour y accéder. Cela se présente souvent sous la forme d'une fenêtre de connexion pour les utilisateurs existants, d'une fenêtre d'enregistrement pour que les nouveaux utilisateurs s'inscrivent et d'un onglet "Mot de passe oublié" pour les utilisateurs existants qui ont peut-être oublié leur mot de passe.
Le pirate profite des fonctionnalités susmentionnées pour lancer des attaques d'énumération des manières suivantes.
1. Deviner les noms d'utilisateur existants avec Brute Force
La première étape d'une attaque par énumération consiste à ce que le pirate entre des informations d'identification de connexion pour obtenir des commentaires du système. Par exemple, disons Nom d'utilisateur A existe dans la base de données de votre application Web. Si l'attaquant le saisit avec un mot de passe, il recevra une notification indiquant que le mot de passe qu'il a saisi est correct mais que le mot de passe ne l'est pas. Et si Nom d'utilisateur A n'est pas dans votre base de données, ils recevront une notification indiquant que ni le nom d'utilisateur ni le mot de passe n'existent.
L'attaquant vise à obtenir autant de noms d'utilisateur valides que possible. Pour chaque nom d'utilisateur invalide qu'ils obtiennent, ils essaient diverses variantes du nom d'utilisateur avec force brute.
Étant donné que les utilisateurs Web créent normalement des noms d'utilisateur avec lesquels les gens sont familiers ou auxquels ils peuvent s'identifier, parmi les nombreuses variantes de nom d'utilisateur que l'attaquant entre dans le système, certaines seront valides.
2. Associer des noms d'utilisateur existants à des mots de passe possibles
Deviner correctement le nom d'utilisateur n'est que la moitié du travail. Pour accéder à votre système, les attaquants doivent également fournir le mot de passe correct du nom d'utilisateur. Ils utilisent la force brute pour générer plusieurs variantes de mot de passe, dans l'espoir de trouver une correspondance pour chaque nom d'utilisateur.
3. Utilisation du Credential Stuffing pour trouver des noms d'utilisateur et des mots de passe valides
Attaquants tirer parti du credential stuffing pour exécuter des attaques d'énumération en utilisant les paires nom d'utilisateur et mot de passe qu'ils ont volées à d'autres réseaux pour accéder à votre réseau.
L'utilisation du même nom d'utilisateur et du même mot de passe sur plusieurs applications Web n'est pas saine et peut vous exposer à plusieurs piratages. Si vos identifiants de connexion tombent entre de mauvaises mains, il leur suffit de les essayer sur d'autres applications Web que vous utilisez.
Bien que tous les identifiants de connexion qu'un attaquant récupère sur d'autres sites Web puissent ne pas être valides, certains s'avèrent valides, d'autant plus que certaines personnes répètent le même nom d'utilisateur et le même mot de passe.
4. Utilisation de l'ingénierie sociale pour collecter des identifiants de connexion complets
Un pirate informatique déterminé peut tirer parti de l'ingénierie sociale pour exécuter une attaque par énumération. Comment? Après avoir utilisé la force brute pour obtenir des noms d'utilisateur valides sur une application Web, si d'autres efforts pour obtenir les mots de passe corrects pour ces noms d'utilisateur échouent, ils peuvent recourir à l'ingénierie sociale pour obtenir les mots de passe directement auprès des utilisateurs.
Avec des noms d'utilisateur valides à portée de main, le pirate pourrait envoyer des messages malveillants aux utilisateurs par e-mail ou SMS, en se faisant passer pour les opérateurs de la plate-forme. Ils pourraient inciter les utilisateurs à fournir eux-mêmes leurs mots de passe. De tels messages pourraient sembler légitimes aux victimes sans méfiance, car le cybercriminel a déjà ses noms d'utilisateur corrects.
Comment pouvez-vous empêcher les attaques par énumération?
Les attaques par énumération se développent grâce à la réponse qu'elles reçoivent des applications Web lorsque les utilisateurs tentent de se connecter. Si vous retirez ces informations de l'équation, elles sont plus difficiles à exécuter car les cybercriminels n'auront que peu ou pas d'informations avec lesquelles travailler. Alors, comment pouvez-vous empêcher ces attaques ou réduire leur occurrence au strict minimum ?
1. Empêcher les commentaires de connexion avec l'authentification multifacteur
Tout ce qu'un attaquant doit faire pour connaître la validité d'un nom d'utilisateur sur une application Web est d'entrer à peu près n'importe quel nom d'utilisateur, et le serveur lui donnera les informations dont il a besoin. Vous pouvez les empêcher d'avoir ces informations facilement en mise en œuvre de l'authentification multifacteur.
Lorsqu'un utilisateur, ou un attaquant dans ce cas, entre ses identifiants de connexion pour accéder à votre application, demandez-lui de vérifier son identité de plusieurs manières, telles que fournir des mots de passe à usage unique (OTP), codes e-mail ou à l'aide d'applications d'authentification.
2. Réduisez les tentatives de connexion avec les CAPTCHA
Les cybercriminels ont la liberté de lancer des attaques par énumération lorsqu'ils ont un nombre illimité de tentatives de connexion. Il est rare qu'ils devinent les bonnes paires de nom d'utilisateur et de mot de passe en quelques tentatives de connexion.
Implémentez CAPTCHA pour les ralentir et contrecarrer leurs efforts. Puisqu'ils ne peuvent pas contourner CAPTCHA automatiquement, ils seront très probablement frustrés de vérifier qu'ils sont humains après quelques tentatives.
3. Adoptez la limitation de débit pour bloquer plusieurs connexions
Les acteurs de l'énumération prospèrent grâce aux multiples tentatives de connexion disponibles sur les applications Web. Ils pourraient deviner les noms d'utilisateur et les mots de passe toute la journée jusqu'à ce qu'ils trouvent une correspondance.
Si vous avez une limite de débit sur votre réseau, ils ne peuvent essayer de se connecter qu'un certain nombre de fois. S'ils ne réussissent pas dans ces tentatives, votre réseau bloquera leurs adresses IP ou leurs noms d'utilisateur.
L'inconvénient de la limitation du débit est qu'elle affecte les utilisateurs légitimes qui peuvent vraiment ne pas se souvenir de leurs identifiants de connexion. Vous pouvez atténuer ce problème en proposant des alternatives permettant à ces utilisateurs de retrouver l'accès.
4. Installer un pare-feu d'application Web
Un pare-feu d'application Web est un outil qui bloque les tentatives de connexion multiples à partir d'adresses IP malveillantes ou suspectes. Il fonctionne avec un ensemble de normes de sécurité pour examiner le trafic vers vos serveurs réseau, répondant aux exigences de sécurité HTTPS et SSL décrites.
Avec un pare-feu d'application Web en place, les acteurs de l'énumération n'ont pas le temps de pirater votre système.
Sécurisez vos identifiants de connexion pour empêcher les attaques par énumération
Les attaques par énumération soulèvent des problèmes d'accès au réseau et de convivialité. Vous voudriez que les utilisateurs de votre réseau puissent y accéder sans aucun problème. Mais ce faisant, vous devez prendre des mesures qui n'exposeront pas votre réseau aux cybermenaces et aux attaques.
Ne vous tirez pas une balle dans le pied en aidant les cyberacteurs avec vos identifiants de connexion au réseau. Faites-en un devoir de cacher ces informations autant que vous le pouvez. S'ils ne le savent pas, ils seront dans le noir là où ils méritent d'être.