Dans cette présentation approfondie, nous examinerons les attaques par force brute sous toutes leurs facettes : leur définition, leur fonctionnement et les différentes formes qu'elles peuvent revêtir. Nous explorerons également les outils populaires utilisés par les pirates informatiques et illustrerons notre propos avec un exemple concret d'attaques par force brute en action. À la conclusion de cette présentation, vous serez en mesure de maîtriser les mesures de prévention essentielles contre ces types d'attaques.
Dans le cadre de notre présentation, nous diviserons la présentation en deux parties distinctes. La première se focalisera sur "Qu'est-ce qu'une attaque par force brute ? Types, exemples et prévention", proposant une analyse approfondie de la nature de cette menace, les différentes variantes possibles, exemple concret, ainsi que des stratégies préventives éprouvées.
La deuxième partie se plongera dans l'aspect pratique de l'attaque, détaillant comment elle peut être exécutée et les contre-mesures envisageables. Cette approche professionnelle vise à nous doter d'une compréhension holistique de la question, transcendant la théorie pour explorer la réalité pratique de cette attaque.
2. Dans cette présentation approfondie, nous examinerons les attaques par force brute sous toutes
leurs facettes : leur définition, leur fonctionnement et les différentes formes qu'elles peuvent
revêtir. Nous explorerons également les outils populaires utilisés par les pirates informatiques et
illustrerons notre propos avec un exemple concret d'attaques par force brute en action. À la
conclusion de cette présentation, vous serez en mesure de maîtriser les mesures de prévention
essentielles contre ces types d'attaques.
Dans le cadre de notre présentation, nous diviserons la présentation en deux parties distinctes. La
première se focalisera sur "Qu'est-ce qu'une attaque par force brute ? Types, exemples et
prévention", proposant une analyse approfondie de la nature de cette menace, les différentes
variantes possibles, exemple concret, ainsi que des stratégies préventives éprouvées.
La deuxième partie se plongera dans l'aspect pratique de l'attaque, détaillant comment elle peut
être exécutée et les contre-mesures envisageables. Cette approche professionnelle vise à nous
doter d'une compréhension holistique de la question, transcendant la théorie pour explorer la
réalité pratique de cette attaque.
3. Qu’est-ce qu’une attaque Force Brute?
Une attaque par force brute est une cyberattaque dans laquelle un pirate
informatique devine des informations, telles que des noms d'utilisateur et des mots
de passe, pour accéder à un système privé. Le pirate informatique utilise des essais
et des erreurs jusqu'à deviner correctement les informations d'identification
nécessaires pour obtenir un accès non autorisé aux comptes d'utilisateurs ou aux
réseaux organisationnels.
La terminologie de « force brute » est dérivée de la tactique consistant à recourir à
des tentatives constantes ou à une « force » excessive jusqu'à ce que l’acteur
malveillant parvienne au résultat souhaité : entrer dans un système avec les
informations d'identification appropriées. Les pirates utilisent souvent des
informations personnelles telles que les noms, adresses ou centres d'intérêt de
leurs cibles comme point de départ pour deviner un mot de passe.
4. Comment fonctionne une attaque par force
brute ?
• Les attaquants utilisent des outils automatisés pour mener des attaques par force brute. Ceux qui ne
possèdent pas les compétences nécessaires pour créer leurs propres outils peuvent les acquérir sur le
dark web sous la forme de kits malveillants. Ils ont également la possibilité d'acheter des données,
comme des informations d'identification divulguées, qui peuvent être exploitées dans le cadre d'une
attaque de type credential stuffing ou d'une attaque hybride par force brute. Ces listes sont souvent
proposées dans le cadre d'un ensemble où le vendeur inclut non seulement les listes, mais aussi les
outils automatisés, ainsi que d'autres valeurs ajoutées telles que des consoles de gestion.
• Une fois que l'attaquant a configuré ses outils et les a intégrés aux listes, si nécessaire, l'attaque est
lancée. Les attaques par force brute peuvent être orchestrées à l'aide de botnets. Les botnets
représentent des systèmes d'ordinateurs piratés fournissant une puissance de traitement sans le
consentement ni la connaissance de l'utilisateur légitime. Les botnets peuvent être utilisés dans tout type
d’attaque par force brute. Tout comme les kits de logiciels malveillants mentionnés précédemment, les
kits de botnets peuvent être achetés sur le dark web.
6. Types d'attaques par force brute
Attaque simple par force brute
• Une simple attaque par force brute consiste à parcourir tous les mots de passe possibles et à vérifier s’ils fonctionnent.
• Le principal avantage de ce type d’attaque est qu’elle est très rapide ; cependant, cela peut également s'avérer très
inefficace car de nombreux systèmes limitent le nombre de tentatives possibles.
• De plus, certains mots de passe sont trop longs pour qu’un système informatique puisse les gérer dans un délai raisonnable.
Attaque de credential stuffing
• Au fil des années, plus de 8,5 milliards de noms d’utilisateur et de mots de passe ont été divulgués.
• Ces identifiants volés sont vendus entre mauvais acteurs sur le dark web et utilisés dans diverses activités, du spam aux
piratages de comptes.
• Une attaque de credential stuffing exploite ces combinaisons de connexion volées sur de multiples sites.
• Le credential stuffing réussit en raison de la tendance des individus à réutiliser leurs noms d'utilisateur et mots de passe.
• Ainsi, si un pirate informatique accède au compte d'une personne auprès d'une compagnie d'électricité, il peut également
accéder au compte bancaire en ligne de cette personne.
7. Attaque de dictionnaire
• Une attaque par dictionnaire explore des combinaisons de mots et d'expressions courants.
• Initialement, ces attaques utilisaient des mots issus d'un dictionnaire ainsi que des chiffres.
• Actuellement, elles exploitent également des mots de passe révélés lors de violations de données antérieures.
• Ces mots de passe divulgués sont disponibles à l'achat sur le dark web et peuvent même être trouvés gratuitement sur le web
classique.
• Un logiciel de dictionnaire est utilisé pour substituer des caractères par des équivalents similaires, générant de nouvelles
suppositions.
• Par exemple, le logiciel remplace un "l" minuscule par un "I" majuscule ou un "a" minuscule par un signe "@".
• Ce logiciel cible uniquement les combinaisons jugées les plus susceptibles de réussir, suivant une logique propre à l'application.
Attaque hybride
• Une attaque hybride par force brute combine une attaque par dictionnaire et une attaque par force brute.
• Souvent, les utilisateurs ajoutent une série de chiffres, généralement quatre, à la fin de leur mot de passe, correspondant
souvent à une année significative, comme la naissance ou l'obtention d'un diplôme.
• Les quatre chiffres commencent généralement par un 1 ou un 2.
• Dans une attaque par force brute inversée, les attaquants utilisent l'attaque par dictionnaire pour fournir les mots, puis
automatisent une attaque par force brute sur la dernière partie, c'est-à-dire les quatre nombres.
• Cette approche s'avère plus efficace que l'utilisation exclusive d'une attaque par dictionnaire ou d'une attaque par force brute.
8. Attaque inversée
• Les attaques par force brute inversée se produisent lorsque des pirates tentent de deviner le mot de
passe en fonction de ce qu'ils savent de la vie ou des activités de la cible.
Par exemple, si vous avez un animal de compagnie nommé " Max " et que quelqu'un
essaie " Max123 " comme mot de passe sans le savoir, cela serait considéré comme une
attaque par force brute inversée de votre part.
Pulvérisation de mot de passe
Les attaques traditionnelles par force brute tentent de deviner le mot de passe d'un seul compte. La
pulvérisation de mot de passe adopte l’approche opposée et tente d’appliquer un mot de passe
commun à plusieurs comptes.
Cette approche évite d'être pris par des politiques de verrouillage qui limitent le nombre de tentatives
de saisie de mots de passe. La pulvérisation de mots de passe est généralement utilisée contre des
cibles dotées d'une authentification unique (SSO) et d'applications basées sur le cloud qui utilisent
l'authentification fédérée.
9. Motifs derrière les attaques par force brute
Les attaquants peuvent utiliser des attaques par force brute pour :
→ Voler des données sensibles
→ Propager des logiciels malveillants
→ Détourner des systèmes à des fins malveillantes
→ Rendre les sites Web indisponibles
→ Profiter des publicités
→ Rediriger le trafic du site Web vers des sites publicitaires
commandés
→ Infecter des sites avec des logiciels espions afin de collecter des
données à vendre aux annonceurs
10. Outils utilisés pour les attaques par force brute
Des outils, pour la plupart gratuits, sont disponibles sur Internet ouvert et fonctionnent sur une
grande variété de plates-formes et de protocoles. En voici quelques-uns :
• DaveGrohl : DaveGrohl est un outil de force brute pour Mac OS X qui prend en charge les attaques
par dictionnaire. Il dispose d'un mode distribué qui permet à un attaquant d'exécuter des attaques
à partir de plusieurs ordinateurs sur le même hachage de mot de passe.
• Hashcat : Hashcat est un outil de piratage de mots de passe basé sur le processeur et disponible
gratuitement. Il fonctionne sur les systèmes Windows, Mac OS et Linux, et fonctionne dans de
nombreux types d'attaques, y compris la simple force brute, par dictionnaire et hybride.
• THC Hydra : THC Hydra déchiffre les mots de passe des authentifications réseau. Il effectue des
attaques par dictionnaire contre plus de 30 protocoles, notamment HTTPS, FTP et Telnet.
• John the Ripper : Il s'agit d'un outil gratuit de piratage de mots de passe développé pour les
systèmes Unix. Il est désormais disponible pour 15 autres plates-formes, dont Windows, OpenVMS
et DOS. John the Ripper détecte automatiquement le type de hachage utilisé dans un mot de
passe, afin qu'il puisse être exécuté sur un stockage de mot de passe crypté.
• L0phtCrack : L0phtCrack est utilisé dans des attaques simples par force brute, par dictionnaire,
hybrides et par table arc-en-ciel pour déchiffrer les mots de passe Windows.
11. Quelle est la meilleure protection contre les
attaques par force brute ?
• Augmenter la longueur du mot de passe : plus de caractères équivaut à plus de temps pour le craquage par force brute
• Augmenter la complexité du mot de passe : plus d'options pour chaque caractère augmentent également le temps de
craquage par force brute
• Limiter les tentatives de connexion : les attaques par force brute incrémentent un compteur de tentatives de connexion
échouées sur la plupart des services d'annuaire - une bonne défense contre les attaques par force brute consiste à verrouiller
les utilisateurs après quelques tentatives infructueuses, annulant ainsi une attaque par force brute en cours.
• Implémenter Captcha : Captcha est un système courant permettant de vérifier qu'un humain est un humain sur des sites
Web et peut arrêter les attaques par force brute en cours.
• Utiliser l'authentification multi facteur : l'authentification multi facteur ajoute une deuxième couche de sécurité à chaque
tentative de connexion qui nécessite une intervention humaine, ce qui peut empêcher le succès d'une attaque par force
brute.
12. Exemple d'attaque par force brute
20,6 millions de comptes compromis chez Alibaba
En 2016, une équipe de pirates informatiques a utilisé une base de données
précédemment piratée contenant plus de 99 millions d'identifiants pour
plusieurs applications Web. Profitant des mots de passe faibles et des
utilisateurs implémentant le même mot de passe sur d’autres comptes, ils
ont eu recours à la force brute et au credential stuffing pour accéder avec
succès à près de 20 % de tous les comptes ciblés.
➢ Bien qu'aucun montant de dommages n'ait été indiqué, il a été confirmé
que près de 20,6 millions de comptes Alibaba ont été compromis et
accessibles de manière malveillante, et tous les utilisateurs ont été invités à
modifier leur mot de passe.
13. Outils utilisés lors de pratique:
• DVWA: Abréviation de Damn Vulnerable Web Application, est un outil éducatif
simulant des vulnérabilités web. Conçu à des fins pédagogiques, DVWA permet aux
professionnels de la sécurité de pratiquer l'identification et la résolution de failles
courantes. En ce qui concerne les attaques de force brute, DVWA propose des
fonctionnalités permettant de simuler ces scénarios, offrant ainsi aux utilisateurs une
expérience pratique pour comprendre et contrer ce type de menace
• Burp suite: est une application Java, développée par PortSwigger, qui peut
être utilisée pour la sécurisation ou effectuer des tests de pénétration sur les
applications web.
• FoxyProxy: est une extension de navigateur, souvent associée à Mozilla Firefox, qui
simplifie la gestion des proxies, offrant aux utilisateurs une flexibilité accrue dans le
choix des connexions réseau. Principalement utilisé pour renforcer la confidentialité
et la sécurité en permettant le basculement entre différents serveurs proxy.
14. Pour initier le processus, pour
installer DVWA sur votre
machine kali vous pouvez
consultez ce lien:
https://www.youtube.com/watc
h?v=jJbMkqUezpI&t=306s&ab_
channel=TECHDHEE. Ensuite,
nous commençons par ajuster
le niveau de sécurité au sein de
DVWA à un paramètre inférieur
(LOW Level Security), rendant
ainsi l'application vulnérable.
Ensuite, nous explorons trois
types d'attaques de force brute
(Low-Medium-.
15. L'exploration commence par l'accès à la page de
connexion de DVWA à l'aide des identifiants par défaut.
Les informations d'authentification de base, telles que
"admin" comme utilisateur et "password" comme mot de
passe, sont utilisées pour ouvrir une session.
Après la connexion réussie, une exploration du site révèle
un répertoire d'images d'utilisateurs. Ce répertoire
contient des fichiers image avec des noms liés aux
utilisateurs, fournissant une piste précieuse pour extraire
les noms d'utilisateur.
16. Après la connexion réussie, une exploration du
site révèle un répertoire d'images d'utilisateurs.
Ce répertoire contient des fichiers image avec des
noms liés aux utilisateurs, fournissant une piste
précieuse pour extraire les noms d'utilisateur.
17. Après, nous extrayons les noms d'utilisateur à partir des
noms de fichiers image dans le répertoire. Ces noms
d'utilisateur seront ensuite utilisés pour cibler des
attaques de force brute spécifiques.
On élimine de lien URL /admin.jpg
18. Avec les noms d'utilisateur en main, l'outil Burp Suite est
configuré pour exécuter une attaque de force brute. Des
captures d'écran détaillent le processus de configuration dans
Burp Suite, mettant l'accent sur les paramètres tels que la
sélection des zones d'injection de payload (nom d'utilisateur et
mot de passe).
On crée un fichier .txt dans lequel on met les noms
d’utilisateurs.
19. Nous utilisons ensuite Burp Suite
pour exécuter une attaque de force
brute, en essayant divers mots de
passe pour chaque utilisateur. Le
succès ou l'échec de chaque
tentative est identifié par les
réponses reçues, nous permettant
ainsi de découvrir efficacement des
identifiants valides. Ainsi qu’on
active l’extention FoxyProxy
20. Par la suite, nous mettons en œuvre une approche systématique avec Burp Suite en interceptant le trafic
et en envoyant les requêtes au module Intruder. À ce stade, nous importons une liste de noms
d'utilisateur que nous avons préalablement extraits du répertoire d'images. Pour les mots de passe,
nous optons pour une liste courante trouvée en ligne. Le processus de brute force est ensuite déclenché,
essayant chaque combinaison possible de nom d'utilisateur et de mot de passe. Les réponses obtenues
nous permettent de distinguer les succès des échecs.
21. On ouvre un fichier dans lequel on va mettre la
liste de mot de passe qu’on veut tester
Avant de commencer l'attaque, il est
essentiel de désactiver tous les paramètres
par défaut. Cela implique de nettoyer
toutes les zones préremplies en appuyant
sur le bouton "Clear".
22. Nous explorons la recherche de listes de
mots de passe couramment utilisés sur
GitHub. Les étapes sont simples : ouvrez un
navigateur et effectuez une recherche pour
"common password list in github".
Une liste de mots de passe courants apparaît,
et pour cet exemple, un mot de passe est
copié directement depuis cette liste.
23. Sélection des Zones d'Injection :
Ensuite, le processus implique la
sélection des zones où injecter le
payload, à savoir les fichiers
contenant les noms d'utilisateur et
les mots de passe. Il y a deux
zones distinctes : la zone de nom
d'utilisateur et la zone de mot de
passe.
Changement de l'Option de Sniper à
Cluster : Puisque l'attaque cible deux
champs (nom d'utilisateur et mot de
passe), la configuration passe de
"Sniper" à "Cluster". Sniper se
concentre sur un seul champ, alors
que Cluster permet de s'attaquer à
plusieurs champs simultanément.
24. Importation du Champ de Nom d'Utilisateur : Le
processus d'importation commence en
sélectionnant le payload pour le champ de nom
d'utilisateur, suivi du choix du fichier contenant les
noms d'utilisateur.
Importation du Champ de Mot de Passe : De
manière similaire, le payload pour le champ de mot
de passe est sélectionné, et le fichier contenant les
mots de passe est importé.
Copie Directe du Mot de Passe : Plutôt que de
charger le mot de passe depuis un fichier, une
copie directe est effectuée depuis github. Cette
approche est choisie pour éviter les problèmes de
surcharge et d'instabilité potentielle lors du
chargement de fichiers lourds.
25. On lance L’attaque
On utilise la barre de filtrage pour réduire le
volume d’analyse en tapons Incorrect pour
afficher les usernames avec les mots de
passes incorrects .
26. On constate 1 mot de passe qui match avec l’analyse qu’on a fait
27. Questions fréquemment posées
• Une attaque par force brute est-elle illégale ?
La légalité d’une attaque par force brute est dictée par l’intention. En d’autres
termes, si vous tentez d’accéder de manière malveillante à un compte d’utilisateur
ou au réseau d’une organisation pour causer un préjudice pour des raisons
financières ou autres, cela est illégal. Cependant, si vous effectuez un test d'intrusion
sur une organisation en tant que service, disposez d'une autorisation préalable et d'un
accord de service avec le client cible, et choisissez d'utiliser la force brute pour
évaluer les risques de sécurité, alors ce n'est pas illégal.
• Quelle est la fréquence des attaques par force brute ?
En raison de la diversité des définitions des attaques par force brute, il est difficile
de déterminer leur fréquence réelle. Cependant, une étude récente a révélé qu’en
2021, 6 % de toutes les intrusions réseau réussies étaient le résultat de la force brute
, contre 4 % l’année précédente.
28. • Quelle est la réussite des attaques par force brute ?
Théoriquement, les attaques par force brute ont un taux de réussite de 100 %, même si le pirate
informatique devra peut-être attendre des années pour que ses systèmes automatisés devinent
correctement un mot de passe complexe. En réalité, les attaques par force brute sont populaires et
efficaces pour déterminer des mots de passe faibles, en particulier pour les applications Web,
représentant 80 % de toutes les attaques .
• Quelles sont les faiblesses de la force brute ?
Pour la plupart, les attaques par force brute ne fonctionnent que si l’utilisateur dispose d’un mot de
passe faible. Par conséquent, une attaque par force brute n'est pas efficace contre un mot de passe fort
comportant au moins 12 caractères utilisant des majuscules, des minuscules, des chiffres et des
caractères spéciaux qui n'incluent pas d'informations personnelles. Les organisations peuvent
également investir dans des solutions d’authentification sans mot de passe pour éliminer le risque
d’attaque par force brute.
• Combien de temps faut-il pour déchiffrer un mot de passe à 8 caractères ?
Le temps nécessaire pour déchiffrer un mot de passe à 8 caractères varie selon la conception du mot
de passe. Grâce à certains des outils avancés de piratage de mots de passe par force brute disponibles,
les pirates peuvent découvrir instantanément un mot de passe qui n'utilise qu'un seul type de
caractère. Lorsque les utilisateurs utilisent à la fois des caractères majuscules et minuscules, il faut
deux minutes aux pirates pour déchiffrer le mot de passe, suivis de sept minutes avec l'ajout de
chiffres. Enfin, cela prend 39 minutes lorsque vous incluez des caractères spéciaux.
29. "In the world of cybersecurity, a brute force attack is the equivalent of
attempting to unlock a door by tirelessly trying every possible key. It serves
as a stark reminder that even the strongest defenses must remain vigilant
against the persistence and adaptability of malicious actors."