[Nouvelle recherche] Les ports FTP sont pris d’assaut : Quels mots de passe utilisent les hackers ?

L’équipe de recherche de Specops a analysé les mots de passe utilisés pour attaquer les ports FTP sur les 30 derniers jours, lors d’attaques en temps réel visant des réseaux opérationnels. Notre équipe a découvert les mots de passe les plus fréquemment utilisés lors d’attaques par brute force, ainsi que la fréquence des longueurs de mots de passe utilisés et leur complexité. Connaître les tactiques qu’utilisent de réels hackers, vous permet d’adapter la politique de mot de passe de votre entreprise et de renforcer votre défense contre les attaques de brute force.

Cette recherche coïncide avec l’ajout récent de plus de 133 millions de mots de passe compromis au service de Specops Breached Password Protection. Ces mots de passe viennent à la fois de notre réseau honeypot et de notre source de threat intelligence.

Pourquoi les hackers ciblent les ports FTP avec des attaques de brute force ?

Les hackers ciblent souvent les ports FTP et les ports TCP 21 avec des attaques de brute force car les serveurs FTP peuvent être un point faible dans les réseaux de sécurité, en particulier lorsqu’ils sont mal configurés ou peu protégés par de faibles identifiants. Beaucoup de serveurs anciens ou mal entretenus utilisent encore une authentification rudimentaire, où les identifiants sont transmis sans être protégés, les rendant vulnérables à l’interception ou aux tentatives automatisées. Cela en fait une cible de choix pour les dictionnaires automatiques ou pour les outils de brute force, capables de tester des milliers de combinaisons d’identifiants en quelques minutes.

Les attaques par Brute force consistent à essayer continuellement différentes combinaisons de noms d’utilisateur et de mots de passe jusqu’à obtenir un accès. Si les identifiants sont faibles ou n’ont pas été changé par défaut, cette méthode peut être extrêmement efficace. Une fois l’accès obtenu, les hackers peuvent voler des fichiers sensibles, déposer du contenu malveillant, ou bien utiliser le serveur compromis comme point de départ pour des attaques supplémentaires. Étant donné que le FTP est un protocole ancien avec une sécurité intégrée limitée, il constitue une cible de choix, sauf s’il est protégé par des mots de passe robustes, des contrôles d’accès stricts, et idéalement remplacé ou sécurisé par SFTP ou FTPS.

Comparaisons des attaques de mots de passe sur les ports FTP et RDP

Nous avons récemment analysé les attaques de mots de passe sur le port 3389 du protocole RDP (Remote Desktop Protocol). Le RDP fournit une session interactive et chiffrée permettant un accès complet depuis un ordinateur. Bien qu’il puisse également subir des attaques de brute force, les phases d’authentification et de chiffrement ralentissent les tentatives de connexion automatisées et des politiques efficaces de verrouillage de compte ou bien l’authentification multifacteur peuvent d’autant plus compliquée la tâche des hackers cherchant à deviner rapidement un mot de passe.

Lorsque les hackers ciblent les FTP, ils recherchent généralement des fichiers (soit pour voler des données, soit pour déposer des payloads malveillants) et ils privilégieront la pulvérisation de mots de passe (password spraying) ou l’exploitation des connexions anonymes. Autrement dit, les hackers utilisent différentes méthodes de celles utilisées pour les intrusions RDP : une fois que vous êtes “sur votre ordinateur”, vous pouvez littéralement vous déplacer dans le réseau, installer des “backdoors” ou collecter d’autres identifiants. Par conséquent, les attaques RDP associent souvent la violation d’identifiants à l’exploitation de failles connues (comme BlueKeep) ou à l’utilisation de malware sur mesure, plutôt qu’à une simple tentative de deviner les mots de passe.

Cela signifie, que les équipes de sécurité doivent surveiller les connexions RDP à la recherche de types de connexion inhabituels et corriger les CVE connus, tandis que la défense contre les attaques FTP repose davantage sur des politiques de mots de passe strictes, des restrictions de ports et le remplacement du FTP par des alternatives plus sécurisées comme SFTP ou FTPS.

Quels mots de passe sont utilisés lors d’attaques de port FTP ?

Notre recherche à analyser les mots de passes collectés depuis notre système honeypot au cours des 30 derniers jours. Nous avons étudié les mots de passe les plus couramment utilisés lors des attaques et également détaillé leur longueur et complexité afin de vous aider à élaborer des politiques de mots de passe adaptées.

Top 10 des mots de passe utilisés pour attaquer le port TCP 21

Comme le montre le tableau ci-dessous, le mot de passe “Admin” arrive en tête de liste. Les hackers savent qu’il s’agit d’un mot de passe par défaut commun, souvent utilisé par les fabricants ou les administrateurs systèmes lors de la configuration initiale, ce qui le rend facilement accessible et simple à deviner. Cette utilisation répandue, ajoutée à la négligence des utilisateurs qui omettent de modifier les mots de passe par défaut, renforce sa fréquence. Comme d’autres recherches de Specops l’ont démontré, beaucoup d’utilisateurs finaux se contenteront de laisser un mot de passe temporaire ou nouvellement créé en place s’ils en ont la possibilité.

Il est intéressant de noter que “root” arrive deuxième au classement. Il s’agit d’un mot de passe couramment utilisé dans les systèmes Linux et assimilés, en raison de son lien avec le compte administrateur par défaut et de sa facilité à être mémorisé. Il est souvent le nom d’utilisateur par défaut, en particulier pour les connexions SSH, ce qui en fait une cible privilégiée pour les hackers qui testent des identifiants classiques.

D’autres mots de passe récents dans cette liste sont faibles et commun comme “password” ou des séquences de clavier comme “123456” et “qwerty”. Le fait que les hackers continuent d’essayer des mots de passe simples et faciles d’accès montre que de nombreux utilisateurs finaux les choisissent encore et que leurs entreprises ne bloquent pas l’utilisation de mots de passe faibles.

Mots de passe	Nombre de fois utilisé par les hackers sur les 30 derniers jours
admin	907
root	896
123456	854
password	847
admin123	842
123123	834
12345678	814
qwerty	812
abc123	809
1234	808

La complexité des types de caractères

Nous avons analysé les ensembles de caractères qui composent les mots de passe utilisés dans les attaques de port FTP. Le tableau ci-dessous présente certaines combinaisons sélectionnées parmi les quatre types de caractères qu’un utilisateur peut saisir au clavier :

• Chiffres
• Lettres minuscules
• Lettres majuscules
• Caractères spéciaux

Comme le montre le tableau, de nombreux mots de passe utilisés par les hackers sont très simples : 54 % des mots de passe que nous avons observés lors des attaques ne contenaient que des chiffres ou uniquement des lettres minuscules. Seule 1,6 % incluaient l’ensemble des types de caractères. Ainsi, une politique de mot de passe imposant au moins un caractère de chaque type (chiffre, minuscule, majuscule et caractère spécial) permettrait de protéger votre entreprise contre près de 99% des mots de passe utilisés par les hackers.

Ensemble de caractères	% de mots de passe utilisés dans les attaques de port FTP	Exemples
Chiffres uniquement	29%	123456
Minuscule + chiffre	28.5%	root2015
Minuscule uniquement	24.9%	useruser
Minuscule + chiffre + caractère spécial	8.5%	www-data1, p@55w0rd
Minuscule + caractère spécial	5.6%	user!
Majuscule + minuscule + chiffre + caractère spécial	1.6%	P@ssw0rd!!
Majuscule + minuscule + chiffre	0.9%	Admin2015
Majuscule + minuscule	0.6%	AdminAdmin
Majuscule + minuscule + caractère spécial	0.2%	Admin!
Caractère spécial uniquement	0.1%	!@#$%^

Les longueurs de mots de passe les plus couramment utilisées lors des attaques

Les dernières recommandations du NIST préconisent la longueur des mots de passe plutôt que part leur complexité. Cela s’explique en partie par le fait qu’une phrase de passe est plus facile à mémoriser pour les utilisateurs qu’un mot de passe court mais très complexe. Les mots de passe longs (de plus de 15 caractères) incluant un minimum de complexité sont très résistants aux attaques par brute force. Mettre en place une telle politique de mot de passe garantirait une sécurité renforcée pour les mots de passe Active Directory de votre entreprise. Comme le montre le tableau ci-dessous, 87,4 % des mots de passe utilisés par les attaquants contre les ports FTP avaient une longueur comprise entre 6 et 10 caractères.

Longueur du mot de passe	% des mots de passe utilisés dans les attaques FTP
6	25.53%
8	16.46%
9	12.96%
7	12.06%
4	9.82%
5	6.61%
10	3.95%
Toutes les autres longueurs	12.61%

Identifiez les mots de passe faibles et compromis sur votre réseau dès aujourd’hui

La mise à jour de ce mois-ci du service Breached Password Protection, incluant l’ajout de près de 5 millions de mots de passe compromis à la base de données utilisées par  Specops Password Auditor. En faisant une analyse en “lecture seule” de votre Active Directory avec cet outil, vous pouvez identifier combien de mots de passe de vos utilisateurs sont compromis ou identiques à ceux figurant dans des fuites de données. Vous recevrez un rapport gratuit et personnalisable sur les failles liées aux mots de passe, incluant les politiques peu strictes, les mots de passe compromis, ainsi que les comptes obsolètes ou inactifs. Téléchargez gratuitement votre outil d’audit ici. 

Sécuriser les serveurs FTP grâce à des politiques de mot de passe renforcées

L’un des moyens les plus efficaces pour protéger les serveurs FTP contre des attaques de brute force, est d’appliquer des politiques de mot de passe strictes. Étant donné que le FTP repose fréquemment sur l’authentification par identifiant et mot de passe (souvent transmise sans chiffrement), l’utilisation de mots de passe faibles ou par défaut en fait une cible facile pour les hackers.

La majorité des mots de passe utilisés lors de ces attaques sur les ports FTP, sont considérés comme faibles. Ils sont courts, manquent de complexité, ou utilisent des mots de passe temporaires courants comme “admin” ou “root”. Une bonne solution tierce peut empêcher les utilisateurs de choisir des mots de passe faibles pour Active Directory (qui sont souvent réutilisés pour les serveurs FTP). En imposant une politique stricte en matière de mot de passe, où les utilisateurs sont encouragés à créer des phrases de passe de plus de 15 caractères (avec au moins une certaine complexité), cela devrait vous offrir une protection contre la grande majorité des mots de passe que nous avons trouvés dans cette analyse.

Liste de bonnes pratiques pour les mots de passe FTP

• Mettre en place une authentification multifacteur (MFA) résistante aux spams, ajoutant une couche de protection, même si le mot de passe venait à être compromis. Par exemple, Specops Secure Access peut renforcer les connexions avec un second facteur pour sécuriser davantage l’accès.
• Bloquer l’utilisation de mots de passe faibles et compromis dans votre Active Directory.
• Les administrateurs devraient imposer des phrases de passe plus longues pour tous les comptes, combinant lettres majuscules et minuscules, chiffres et caractères spéciaux. Les phrases de passe sont plus faciles à mémoriser pour les utilisateurs finaux
• Désactiver les connexions par défaut et anonymes
• Limiter les tentatives de connexion pour bloquer les outils de brute force
• Appliquer des mises à jour régulières des mots de passe
• Supprimer ou désactiver les comptes FTP inutilisés

Protéger votre entreprise contre les attaques de brute force

Specops Password Auditor offre un excellent point de départ pour évaluer vos risques liés aux mots de passe actuels, mais ce n’est qu’un aperçu. Avec  Specops Password Policy et Breached Password Protection, les entreprises peuvent se protéger en continu contre plus de 3 milliards de mots de passe compromis uniques supplémentaires (soit un total de 4 milliards). Ceux-ci incluent des mots de passe compromis qui pourraient être considérés comme “forts” mais qui ont été volés par des malwares.

Les systèmes de collecte de données de notre équipe de recherche, dédiés à la surveillance des attaques, mettent à jour le service quotidiennement afin de garantir une protection continue des réseaux contre les attaques de mots de passe en cours dans le monde réel. Le service inclut également les mots de passe figurant dans des listes compromises, issues du Dark web ou d’autres sources. Breached Password Protection analyse en continu votre Active Directory à la recherche de mots de passe compromis et vous permet d’alerter les utilisateurs finaux grâce à des messages personnalisables, ce qui contribue à réduire les appels au service d’assistance.

Vous souhaitez découvrir comment cette solution peut répondre aux besoins de votre entreprise ?  Contactez-nous ou découvrez son fonctionnement via une démonstration ou un essai gratuit.