Flexible Security for Your Peace of Mind

Que sont les attaques de mots de passe par masque ?

Les attaques par masque sont une technique de force brute ciblée utilisée par les personnes mal intentionnées pour craquer les mots de passe. Les attaques traditionnelles par force brute essaient systématiquement toutes les combinaisons possibles de lettres, de chiffres et de symboles pour deviner un mot de passe cible. Avec les attaques par masque, l’objectif est de réduire la quantité de mots de passe devinés à un pourcentage raisonnable de l’ensemble des possibilités. Les attaquants utilisent des informations sur les habitudes de création de mots de passe, comme les modèles de composition courants, pour élaborer ces attaques.

Cet article explique comment les cyber-attaquants utilisent les hachages découverts lors de compromissions de données pour réaliser des attaques par masque. Il vous également de découvrir une solution pour rendre les mots de passe plus complexes dans Active Directory afin de rendre plus difficile les attaques de mots de passe par force brute.

Qu’est-ce que le craquage de mots de passe ?

D’un point de vue conceptuel, le craquage de mots de passe consiste à essayer de deviner le mot de passe utilisé. Il n’est pas possible d’ « inverser » un hachage, un algorithme de hachage étant une opération à sens unique. Lorsque vous vous connectez à une application qui utilise le hachage de mot de passe, le fournisseur de services dispose d’un hachage qu’il stocke en utilisant un algorithme de hachage (par exemple, Argon2, bcrypt, MD5) et ainsi que généralement un salage.

Si vous avez une quelconque expérience des exercices Red Team ou des audits de mots de passe Active Directory, vous avez peut-être déjà été confronté à des « dumps » de mots de passe, comme LSASS ou NTDS.DST/SYSTEM. Il arrive souvent qu’un attaquant ou un professionnel de la sécurité cherche à récupérer les informations d’identification d’une machine. Ces informations d’identification se présentent sous la forme de hachages NTLM – dans le cas d’un environnement Windows moderne, ou SHA-512 dans le cas des environnements Linux/Unix. On peut choisir de tenter de craquer ces hachages afin d’évaluer ou d’utiliser le mot de passe découvert, soit pour juger de l’efficacité de la formation aux mots de passe sécurisés, soit pour utiliser le mot de passe afin de pivoter vers d’autres systèmes/comptes dans l’environnement en question.

Craquage de mots de passe avec attaques par masque

Plusieurs méthodes sont utilisées pour craquer un hachage donné. Si un attaquant se contentait d’essayer de forcer tous les mots de passe possibles pour une longueur donnée, il serait rapidement confronté à une impossibilité de tout traiter. Les attaques par masque peuvent être considérées comme des attaques par force brute mais ciblées : au lieu de s’attaquer à toutes les possibilités dans l’espace du problème(problem space) on peut réduire l’espace du problème à des modèles spécifiques de ces caractères, ce qui permet d’obtenir plus facilement des résultats valides et de commencer à itérer sur les données en question. En utilisant des attaques par masque, les cyber-attaquants peuvent attaquer un sous-ensemble de longueurs et de formats de mots de passe. Une technique courante consiste à commencer par le plus petit ensemble de l’espace du problème (mots de passe courts) avant de passer au plus grand (avec des mots de passe plus longs, le temps de craquage croît de manière exponentielle).

En fin de compte, un attaquant n’a pas besoin de craquer tous les mots de passe de l’ensemble de données qu’il a acquis et qui contient des informations sur une entreprise, ou des mots de passe qui peuvent être associés à des utilisateurs du domaine, pour une éventuelle réutilisation. L’attaquant a simplement besoin d’en craquer un nombre suffisant pour mettre un pied dans l’environnement qu’il souhaite pirater et ainsi démarrer une énumération plus profonde, pivoter et poursuivre son attaque : MITRE ATT&CK.

Sécurisation des mots de passe contre les attaques par masque

Les attaques par masque montrent ce qu’un attaquant relativement peu qualifié peut faire à partir d’une faille publique, si les mots de passe ne sont pas suffisamment forts et si les utilisateurs réutilisent leurs mots de passe. Il suffit d’utiliser des politiques de mots de passe plus longs et plus forts, pilotées par Specops Password Policy – de préférence combinées à une solution de protection contre les mots de passe compromis comme la fonction optionnelle Specops Breached Password Protection – afin que les organisations puissent réduire leur surface d’attaque. La solution Breached Password Protection est mise à jour quotidiennement et comprend plus de 3 milliards de mots de passe vulnérables, y compris la liste HaveIbeenPwned, les dernières listes de la Collection, ainsi que des milliers d’autres listes de fuites connues, comme le recommandent des organismes de réglementation tels que le NIST. En adoptant cette solution, il est possible d’éliminer un grand nombre d’éléments vulnérables qui pourraient conduire à une percée initiale dans votre environnement par un acteur mal intentionné.

(Dernière mise à jour le 17/01/2023)

Revenir sur le blog