Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
[Nouvelle étude] Les bonnes pratiques en matière de mots de passe pour se prémunir contre les attaques de piratage modernes
L’équipe de recherche de Specops publie aujourd’hui de nouvelles données sur le temps nécessaire aux pirates modernes pour deviner les mots de passe des utilisateurs en utilisant la technique de force brute. Ces données s’ajoutent au dernier ajout de plus de 17 millions de mots de passe compromis au service Specops Breached Password Protection.
“Les récentes informations sur les possibilités de l’intelligence artificielle ont amené certains chercheurs en sécurité et équipes informatiques à se demander ce que cette technologie signifie pour la sécurité des mots de passe”, a déclaré Noé Mantel, Product Specialist chez Specops Software. “Nous savons depuis longtemps que les mots de passe sont vulnérables aux tentatives de piratage par force brute. Les récents progrès en matière d’automatisation et de matériel ont rendu ces attaques d’autant plus accessibles aux cybercriminels d’aujourd’hui.”
Que faut-il à un pirate pour déchiffrer un mot de passe ?
Le stockage de mots de passe en texte brut est rare de nos jours, ce qui oblige les attaquants à adopter des méthodes de craquage de mots de passe pour exploiter la majorité des fuites de mots de passe (“hashed”). La plupart des systèmes actuels utilisent des algorithmes de hachage pour protéger les mots de passe stockés contre le risque posé par un attaquant qui mettrait la main sur la base de données des mots de passe du système.
En raison de la nature unidirectionnelle des algorithmes de hachage, la seule façon de révéler le mot de passe réel à partir d’un hachage est de le deviner. Les listes de mots et autres outils rendent cette tâche un peu plus facile pour un attaquant, mais le nombre de tentatives nécessaires pour obtenir une réponse correcte est trop important pour qu’un seul être humain puisse y parvenir seul. C’est là qu’interviennent le matériel et les logiciels de cassage de mots de passe tels que L0phtcrack, John The Ripper ou encore Hashcat, pour n’en citer que quelques-uns.
Les logiciels et le matériel de craquage de mots de passe mettent plus ou moins de temps à déchiffrer les différents algorithmes de hachage. Les algorithmes plus anciens comme SHA-1 et MD5 ne sont pas considérés comme sûrs en raison de la rapidité avec laquelle les logiciels de craquage modernes peuvent les décrypter.
“Même si votre organisation a pu configurer des algorithmes de hachage plus sûrs pour sécuriser les mots de passe utilisés dans tous les systèmes de votre organisation, MD5 et d’autres méthodes de hachage non sécurisées constituent une menace qui n’est autre que la réutilisation des mots de passe”, déclare Mr. Mantel. “Les mots de passe professionnels de vos utilisateurs peuvent être stockés de la manière la plus sûre qui soit, mais dès qu’ils réutilisent ce mot de passe sur un site web moins sûr et que ce site web fait l’objet d’une fuite, l’attaquant peut s’en prendre à votre réseau”.
Compte tenu de la prévalence du MD5, examinons le temps qu’il faudrait à un criminel pour deviner par force brute des mots de passe hachés au moyen du MD5.
Le tableau ci-dessus indique le temps nécessaire pour craquer des hachages donnés par force brute avec du matériel moderne, en se basant sur les hypothèses suivantes :
- Matériel : la Nvidia RTX 4090. Il s’agit actuellement du meilleur rapport qualité-prix du matériel généralement disponible pour effectuer des attaques de craquage de mots de passe. Il s’agit d’un GPU de flagship gaming qui peut être acheté par les consommateurs et qui est largement abordable avec un prix d’environ 1 599 euros. Pour générer ces données, nous utilisons un système hypothétique composé de 4 Nvidia RTX 4090. Il s’agit d’une configuration accessible aux acteurs malveillants qui pourraient tenter d’utiliser des fuites de mots de passe pour accéder aux comptes d’une organisation.
- Logiciel : Hashcat. En règle générale, une RTX 4090 standard atteindra environ 164 GH/s dans Hashcat (soit 164 000 000 000 000 de mots de passe par seconde).
Les hypothèses matérielles ci-dessus peuvent sembler onéreuses ; cependant, les paiements de ransomware se chiffrant en millions, le coût peut sembler minime. Néanmoins, certains attaquants peuvent trouver des résultats plus rapides et moins coûteux avec les services cloud.
Comment se défendre contre les tentatives de piratage de mot de passe
La prolifération de nouveaux matériels et de nouvelles technologies d’automatisation a permis aux pirates de déchiffrer plus facilement les mots de passe utilisés pour se connecter à votre réseau.
Pour se protéger contre les tentatives de piratage de mots de passe, les équipes informatiques disposent de plusieurs options :
Supprimer les mots de passe
Ajouter du MFA
Améliorer la sécurité des mots de passe
La première option, qui consiste à supprimer les mots de passe, élimine la nécessité de se défendre contre les tentatives de piratage de mots de passe ; cependant, elle n’est pas réalisable dans la plupart des environnements. Les mots de passe restent un élément essentiel de nombreux environnements organisationnels et nécessitent donc une autre approche.
La deuxième option, l’ajout de MFA, est un excellent moyen d’améliorer la sécurité. Les organisations peuvent ajouter la MFA aux réinitialisations de mots de passe, à la vérification de l’utilisateur final au helpdesk, à la récupération de clés et plus encore. Cependant, il n’est pas toujours possible pour les organisations d’ajouter la MFA dans tous les cas d’utilisation et la MFA elle-même est vulnérable à ses propres attaques.
La troisième option, qui consiste à améliorer la sécurité des mots de passe, est un élément important d’une défense par couches. L’amélioration de la sécurité du mot de passe lui-même améliore la sécurité dans toutes les parties du réseau d’une organisation où le mot de passe est toujours requis pour l’authentification.
La meilleure politique de mot de passe pour se défendre contre les tentatives de piratage de mot de passe
Comme le montre le tableau ci-dessus, la meilleure politique en matière de mots de passe encourage l’utilisation de mots de passe plus longs. Des fonctionnalités telles que la durée de vie du mot de passe basée sur sa longueur et l’encouragement à l’utilisation de phrases de passe peuvent aider les équipes informatiques à inciter leurs utilisateurs à choisir des mots de passe plus longs.
Cependant, les mots de passe longs deviennent inutiles lorsqu’ils figurent sur des listes de mots de passe compromis.
Comme le montre aisément ce tableau, la longueur du mot de passe n’est pas le seul élément important d’une bonne politique en matière de mots de passe. Le blocage de l’utilisation de mots de passe compromis connus est un élément essentiel de la défense contre les attaques par devinette de mot de passe.
“Les équipes informatiques auxquelles nous nous adressons ont toujours su que c’était vrai”, poursuit Mr. Mantel, “Mais nous espérons que ces tableaux de craquage de mots de passe seront utiles pour obtenir l’adhésion d’autres décideurs qui ne sont peut-être pas aussi conscients du danger que représentent les mots de passe faibles ou compromis. Bloquer l’utilisation de mots de passe compromis connus doit être une priorité dans tout programme de sécurité des mots de passe”.
Comment trouver des mots de passe compromis comme ces exemples dans votre réseau ?
La mise à jour d’aujourd’hui du service Breached Password Protection comprend l’ajout de plus de 8 millions de mots de passe compromis à la liste utilisée par Specops Password Auditor.
Vous pouvez savoir combien de vos mots de passe sont compromis ou identiques grâce à un scan avec Specops Password Auditor. Specops Password Auditor ne stocke pas les données d’Active Directory et n’apporte aucune modification à Active Directory.
Diminuez le risque de réutilisation de votre mot de passe en bloquant les mots de passe compromis
Avec Specops Password Policy et Breached Password Protection, les organisations peuvent empêcher l’utilisation de mots de passe comme ceux-ci et plus de 3 milliards d’autres mots de passe uniques compromis connus. Ces mots de passe compromis comprennent ceux qui sont utilisés dans des attaques réelles aujourd’hui ou qui figurent sur des listes de mots de passe compromis connus, ce qui facilite la mise en conformité avec les réglementations de l’industrie telles que le NIST ou le NCSC.
Nos systèmes de honeypots – collecte de données des attaques en cours de notre équipe de recherche, mettent le service à jour quotidiennement et garantissent que les réseaux sont protégés contre les attaques par mot de passe qui se produisent en ce moment même dans le monde réel. Le service Breached Password Protection bloque ces mots de passe interdits dans Active Directory, avec des messages personnalisables à l’intention des utilisateurs finaux qui contribuent à réduire les appels au service d’assistance. Découvrez comment avec une démo ou un essai gratuit.
(Dernière mise à jour le 19/05/2023)