Flexible Security for Your Peace of Mind

Attaques hybride par mots de passe : Comment elles fonctionnent et comment les arrêter ?

Les mesures de cybersécurité obligent les acteurs de la menace à faire preuve de créativité et à trouver des moyens nouveaux et inventifs pour compromettre les informations d’identification des utilisateurs. Comme leur nom l’indique, les attaques hybrides par mot de passe consistent à combiner deux ou plusieurs méthodes d’attaque pour percer les mots de passe. Tirer parti des atouts de différentes techniques peut accélérer considérablement le piratage des mots de passe, notamment lorsqu’une organisation autorise l’utilisation de mots de passe faibles ou compromis.

Comment fonctionnent les attaques hybrides ?

Dans une attaque hybride, les acteurs de la menace intègrent la méthodologie de deux ou plusieurs types d’attaques. C’est ce mélange de techniques qui rend les attaques hybrides puissantes et dangereuses. Cela ne se limite pas au craquage de mots de passe – le terme s’applique également aux menaces qui combinent les cyber-attaques conventionnelles avec d’autres tactiques. Par exemple, un acteur de la menace parrainé par un État peut combiner des attaques de logiciels malveillants avec des campagnes de désinformation sur les réseaux sociaux afin de déstabiliser un pays cible. Ce mélange de diverses méthodes d’attaque rend la défence contre les menaces hybrides plus complexe.

En ce qui concerne les mots de passe, une attaque hybride typique consiste à combiner des techniques de dictionnaire et de force brute. La première contient une liste d’informations d’identification couramment compromises et la seconde applique des itérations rapides de permutations et de combinaisons de caractères à chacune d’entre elles. Nous allons examiner chacune de ces techniques plus en détail.

Attaque par dictionnaire

On parle d’attaque par dictionnaire lorsque les attaquants utilisent une liste prédéfinie ou un « dictionnaire » de probabilités pour deviner les mots de passe ou les clés de décryptage. Il peut s’agir de mots de passe fréquemment utilisés, de phrases courantes, de termes régulièrement utilisés dans un secteur d’activité spécifique, ou encore de « parcours de clavier » tels que « AZERTY ». Cette attaque exploite la tendance humaine à opter pour la simplicité et la familiarité lors de la création de mots de passe. Les pirates peuvent utiliser les plateformes de réseaux sociaux pour recueillir des informations sur les utilisateurs, les noms d’utilisateur potentiels et les secteurs d’activité dans lesquels ils travaillent, ce qui leur permet d’avoir une idée des types de mots de passe qu’ils peuvent sélectionner.

Cependant, c’est souvent plus simple que cela. L’équipe de recherche Specops a examiné les mots de passe utilisés pour attaquer les ports RDP lors d’attaques réelles et a analysé un sous-ensemble de plus de 4,6 millions de mots de passe collectés sur une période de plusieurs semaines. Nous avons constaté que « mot de passe » était le terme de base le plus courant, suivi de « admin » et « welcome ». Bien entendu, de nombreux utilisateurs ajouteront au moins une petite variation à ces termes, et c’est là que les techniques de force brute entrent en jeu.

Attaque par force brute

Les attaques par force brute constituent une méthode d’opération plus agressive et plus flagrante. Dans ces attaques, l’auteur de la menace utilise un logiciel pour essayer toutes les combinaisons de caractères possibles jusqu’à ce qu’il trouve le mot de passe ou la clé de décryptage corrects. Bien que cette méthode puisse sembler longue et laborieuse, elle peut s’avérer très efficace contre des mots de passe courts ou peu complexes, en particulier lorsqu’elle est précédée par l’utilisation de termes de base courants trouvés dans les dictionnaires.  

Si l’on reprend l’exemple précédent, « mot de passe » pourrait être le terme de base d’un dictionnaire. L’attaque par force brute essaiera toutes les variations suivantes comme « Mot de passe, Mot de passe1, MOT DE PASSE, MOT DE PASSE2 » et ainsi de suite. La combinaison de ces méthodes améliore le taux de réussite de l’attaquant en tenant compte à la fois de la probabilité que les utilisateurs utilisent des mots courants et des variations typiques qu’ils utilisent pour répondre aux exigences de complexité de leur organisation.

Attaque par masque

Une attaque par masque est un type de forçage brutal dans lequel les attaquants connaissent des éléments de la construction d’un mot de passe et peuvent donc réduire le nombre de suppositions dont ils auront besoin pour parvenir à le craquer. Par exemple, un attaquant peut savoir qu’un mot de passe comporte huit caractères et que le dernier est un chiffre. Il peut aussi savoir qu’une entreprise a une mauvaise politique consistant à ajouter le mois et l’année en cours à la fin des mots de passe lors de leur rotation. Le fait de disposer d’informations définitives sur la composition d’un mot de passe peut considérablement accélérer le succès d’une attaque hybride.

Des stratégies pour contrer les attaques par mot de passe hybrides

Les attaques par mot de passe hybrides sont efficaces parce qu’elles ciblent les points faibles de la politique de mots de passe d’une organisation. La meilleure défense consiste en une stratégie globale visant à éliminer les mots de passe faibles et compromis, puis en la mise en place d’une politique de mots de passe plus forte afin de maintenir la sécurité à l’avenir. Tout comme les attaquants superposent leurs techniques d’attaque, nous devons également superposer nos défenses de sécurité.

Authentification multi-facteurs (MFA)

Exiger des utilisateurs qu’ils s’authentifient avec quelque chose de plus que leur mot de passe peut arrêter un attaquant si un mot de passe est craqué. La MFA est un élément important d’une stratégie de sécurité des mots de passe, mais n’oubliez pas qu’il ne s’agit pas d’une solution miracle. Les attaquants disposent de solutions de contournement, telles que le bombardement de l’invite MFA (MFA prompt bombing).

Bloquer les mots de passe faibles

Les attaques par dictionnaire et par masque s’appuient sur des mots et des modèles connus ou faciles à deviner pouvant accélérer considérablement les techniques de force brute. En empêchant les utilisateurs d’utiliser des mots et des modèles universellement faibles, ainsi que des mots faciles à deviner et propres à votre organisation, vous retirez son avantage à l’attaquant.

Renforcer les mots de passe plus longs

À partir d’une certaine longueur, il devient impossible de forcer les mots de passe. En encourageant les utilisateurs à créer des passphrases composées de trois mots aléatoires d’environ 20 caractères, on peut réduire à néant la menace des attaques par force brute.

Temps nécessaire (avec un équipement modeste) pour déchiffrer les mots de passe en MD5, un algorithme de hachage couramment utilisé. Lire l’intégralité du billet de blog ici.

Vérifier si des mots de passe ont été compromis

Même si votre politique en matière de mots de passe empêche les utilisateurs de créer des mots de passe faibles, les mots de passe forts peuvent toujours être compromis par une attaque de phishing ou une autre violation. Vous ne pouvez pas non plus savoir si un utilisateur a réutilisé son mot de passe professionnel fort sur des sites personnels ou des applications dont la sécurité est faible. Il est souvent difficile de le savoir avant qu’il ne soit trop tard, c’est pourquoi il est essentiel de disposer d’un outil capable d’analyser votre Active Directory à la recherche de mots de passe compromis.

Vous souhaitez savoir combien de mots de passe de vos utilisateurs sont déjà compromis ? Lancez un scan rapide et gratuit de votre Active Directory avec Specops Password Auditor et sa liste de plus d’un milliard de mots de passe uniques compromis.

Comment Specops peut améliorer vos politiques de mots de passe

La lutte contre les menaces hybrides nécessite une approche globale et les politiques de mots de passe jouent un rôle crucial dans la défense ce type de menaces. Specops Password Policy applique des exigences strictes et personnalisables en matière de mots de passe, vérifie les mots de passe connus et guide les utilisateurs vers la création de passphrases sécurisées.

En aidant les utilisateurs à créer des mots de passe forts et complexes, Specops réduit considérablement la probabilité d’attaques hybrides. Cette approche efficace et pratique de la sécurité des mots de passe permet aux organisations de protéger leurs données essentielles et de maintenir l’intégrité de leurs systèmes. En outre, comme les organisations ont de plus en plus recours à des solutions SSO provenant de solutions Active Directory sur site, Specops aide à garantir que la sécurité des mots de passe de leur Active Directory est aussi fiable que possible.

Specops Password Policy : son interface d’administration simple s’intègre à Active Directory

Face à l’escalade des menaces hybrides, renforcer la sécurité des mots de passe n’est pas une option, c’est une nécessité absolue. Inscrivez-vous pour un essai gratuit de Specops Password Policy dès aujourd’hui : Specops Password Policy.

FAQ

Qu’est-ce qu’une attaque hybride par mot de passe ?

Les attaques hybrides par mot de passe combinent une ou plusieurs techniques d’attaque pour déchiffrer les mots de passe des utilisateurs. La combinaison la plus courante est celle d’une attaque par dictionnaire et d’une attaque par force brute. Si une partie de la structure du mot de passe est connue, des attaques par masque peuvent également être utilisées.

Comment se défendre contre les attaques hybrides ?

Pour contrer les menaces hybrides, il est nécessaire de mettre en place une politique de mots de passe complète qui applique l’authentification multifactorielle, bloque les mots et modèles faibles, recherche les mots de passe compromis et encourage les utilisateurs à créer des passphrases longues.

Quels sont les logiciels capables de vous défendre contre les attaques hybrides ?

Specops Password Policy peut jouer un rôle vital dans le renforcement de vos défenses de cybersécurité. Il aide les organisations à appliquer des politiques de mots de passe fortes, à prévenir les violations de données et à sécuriser l’authentification des utilisateurs – ce qui est crucial dans la lutte contre les attaques hybrides.

(Dernière mise à jour le 24/08/2023)

Revenir sur le blog