Les attaques par force brute font partie des plus vieilles techniques dans le manuel du hacker, et elles restent redoutablement efficaces. Imaginez quelqu'un qui tente inlassablement de trouver la combinaison de votre coffre-fort, sauf qu'à la place d'une seule personne, c'est un algorithme puissant qui teste des millions de combinaisons par seconde.
Dans cet article, j'entrerai dans les détails du fonctionnement des attaques par force brute, leurs différents types, et surtout comment les prévenir efficacement. Nous aborderons les stratégies essentielles, les défenses propres à chaque plateforme, et les outils avancés pour sécuriser vos systèmes et contrer les cybercriminels.
- Qu'est-ce qu'une attaque par force brute ?
- Bonnes pratiques pour prévenir les attaques par force brute
- Prévention des attaques par force brute sur WordPress
- Se protéger contre les attaques par force brute sur SSH
- Outils d'attaque par force brute courants et comment les contrer
- Outils de craquage de mots de passe Wi-Fi
- Outils de craquage de mots de passe généraux
- Outils avancés et polyvalents pour les mots de passe
- Outils d'authentification réseau et de protocoles
- Outils spécialisés pour le web, les sous-domaines et les CMS
- Outils pour les jetons, les réseaux sociaux et divers usages
- Conclusion et mesures avancées de prévention des attaques par force brute
Qu'est-ce qu'une attaque par force brute ?
L'une des attaques les plus répandues auxquelles un développeur web peut être confronté est l'attaque par force brute. Le principe : des algorithmes testent toutes les combinaisons possibles de lettres, de chiffres et de symboles, par essais et erreurs, jusqu'à trouver la bonne.
Ce qui rend ce type d'attaque particulièrement redoutable, c'est sa simplicité et son caractère inépuisable. Il n'y a pas de faille subtile à découvrir et à corriger : les mots de passe sont un pilier fondamental de tout système de sécurité.
Les attaques par force brute ne font pas de distinction : elles s'en prennent à tout ce qui est accessible, des comptes personnels aux systèmes des grandes entreprises. Leur impact dépend toutefois de la cible. Un accès admin WordPress compromis peut mener à la défiguration d'un site ou au vol de données clients, tandis qu'une attaque par force brute sur SSH peut ouvrir l'accès à l'ensemble de l'infrastructure serveur d'une entreprise.
Ces attaques nuisent également à la réputation et entraînent des interruptions de service coûteuses. Les entreprises dont l'activité repose sur le web, comme les sites de e-commerce ou les fournisseurs SaaS, perdent souvent à la fois des revenus et la confiance de leurs clients lors d'une intrusion. 60 % des petites entreprises ferment dans les six mois suivant une cyberattaque majeure, ce qui illustre à quel point ces incidents peuvent être dévastateurs.
Mais avant d'aborder les moyens de se protéger contre les attaques par force brute, il faut comprendre leur fonctionnement et les différentes méthodes utilisées par les attaquants.
Commencer à bloguer
Hébergez vous-même votre WordPress sur du matériel de premier ordre, avec un stockage NVMe et une faible latence partout dans le monde. Choisissez votre distribution préférée.
Obtenir WordPress VPS
Les différents types d'attaques par force brute
Les attaques par force brute se déclinent en plusieurs variantes.
- Attaques par dictionnaire : Ciblent les mots de passe faciles à deviner en testant successivement une liste de mots de passe courants, comme "123456" ou "password".
- Credential stuffing : Les pirates exploitent des combinaisons identifiant/mot de passe volées lors de précédentes fuites de données pour accéder à plusieurs comptes.
- Attaques par force brute inversée : Consistent à partir d'un mot de passe connu (comme "123456" ou "welcome") et à le tester systématiquement contre un grand nombre de noms d'utilisateur pour trouver une correspondance, à la façon d'un pêcheur qui lance sa ligne avec un seul appât.
- Attaques par rainbow table : Utilisent des tables précalculées qui associent des hachages à des mots de passe, permettant de craquer des mots de passe hachés plus rapidement sans avoir à recalculer chaque hachage à la volée.
- Password spraying : Plutôt que d'inonder un seul compte de tentatives de connexion, quelques mots de passe courants sont testés sur un grand nombre de noms d'utilisateur, afin d'exploiter les failles sans déclencher de verrouillage de compte.
- Attaques par force brute en ligne : Ciblent des systèmes actifs comme des sites web et des applications. Elles interagissent directement avec les serveurs, mais peuvent être ralenties par des mécanismes de limitation du débit, ce qui les rend plus lentes tout en restant dangereuses face à des formulaires de connexion mal protégés.
- Attaques par force brute hors ligne : Menées à partir d'un fichier de mots de passe chiffrés préalablement volé, elles permettent aux pirates de tester des clés de déchiffrement à grande vitesse sur leurs propres machines, sans être détectés par les pare-feu ni les systèmes de surveillance.
Pourquoi ces attaques sont-elles si répandues ? Une grande partie du problème vient de nous. Des études montrent que 65 % des internautes réutilisent leurs mots de passe sur plusieurs comptes. C'est comme donner un passe-partout à un cambrioleur : une fois qu'il connaît un mot de passe, il peut potentiellement accéder à tout le reste. Et la situation n'arrange pas le fait que des mots de passe comme "qwerty" figurent encore année après année parmi les plus utilisés.
Pour mesurer à quel point ces attaques sont fréquentes, voici un chiffre parlant : 22,6 % de toutes les tentatives de connexion sur les sites e-commerce en 2022 étaient des attaques par force brute ou du credential stuffing. C'est près d'une tentative sur quatre. Les entreprises ont dû faire face à des achats frauduleux, des vols de données clients et de véritables crises d'image à cause de ces attaques incessantes.
Par ailleurs, les pirates analysent les pages de leurs cibles et adaptent leurs outils d'attaque aux paramètres spécifiques du site. Les pages de connexion sont les cibles évidentes, mais les portails d'administration des CMS sont également des points d'entrée très prisés. Parmi eux, on trouve :
- WordPress: Les points d'entrée classiques comme wp-admin et wp-login.php.
- Magento: Des chemins vulnérables comme /index.php et les panneaux d'administration.
- Joomla!: Sa page d'administration est une cible fréquente.
- vBulletin : Les tableaux de bord d'administration comme admin cp se retrouvent souvent dans le viseur des attaquants.
Bonne nouvelle : comprendre les risques, c'est déjà la moitié du chemin. Que vous sécurisiez un site WordPress, un serveur SSH ou toute autre plateforme, identifier vos points faibles est la première étape pour prévenir les attaques par force brute.
Bonnes pratiques pour prévenir les attaques par force brute
Se protéger contre les attaques par force brute demande à la fois du bon sens et des stratégies adaptées. Imaginez que vous verrouillez chaque porte et chaque fenêtre de votre maison, puis que vous installez une alarme en plus. Ces bonnes pratiques s'appliquent à la plupart des plateformes et vous donnent une base solide pour sécuriser vos systèmes.
Utiliser des mots de passe forts et uniques
Les mots de passe faibles ou réutilisés sont une invitation ouverte aux attaques par force brute. Choisissez des mots de passe d'au moins 12 caractères, mêlant lettres, chiffres et symboles, et évitez tout ce qui est prévisible. Une étude a montré que « 123456 » et « password » figuraient encore parmi les mots de passe les plus courants en 2022.
Mettre en place une authentification multifacteur (MFA)
Avec MFA, même si un attaquant devine votre mot de passe, il devra franchir une étape de vérification supplémentaire, comme un code unique envoyé sur votre téléphone. Selon Microsoft, MFA bloque plus de 99,2 % des tentatives de compromission de compte. Consultez notre guide sur comment activer l'authentification à deux facteurs sur Windows 10.
Activer le verrouillage des comptes
Limitez les tentatives de connexion échouées avant de verrouiller temporairement le compte. Cette mesure simple stoppe les attaques par force brute net.
Configurer la limitation du débit
Limitez la fréquence des tentatives de connexion sur une période donnée. Par exemple, autoriser seulement cinq tentatives par minute suffit à décourager la plupart des attaques par force brute.
Surveiller et répondre aux activités suspectes
Utilisez des outils comme les systèmes de détection d'intrusion (IDS) pour repérer les tentatives de force brute le plus tôt possible.
La meilleure défense est une défense en profondeur. Combiner ces tactiques rend la tâche bien plus difficile pour les attaquants. Nous verrons ensuite comment appliquer ces principes à des plateformes spécifiques comme WordPress, particulièrement exposées aux attaques par force brute.
Prévention des attaques par force brute sur WordPress
Les sites WordPress sont des cibles privilégiées. Avec des millions de sites tournant sur cette plateforme, les attaquants savent que les chances de trouver une installation mal sécurisée jouent en leur faveur. Savoir comment prévenir les attaques par force brute sur WordPress peut faire toute la différence, et c'est plus simple qu'il n'y paraît.
Changer l'URL de connexion par défaut URL
Les attaquants ciblent la page de connexion par défaut (/wp-admin ou /wp-login.php). Passer à une URL URL personnalisée, c'est comme déplacer la porte d'entrée : bien plus difficile à trouver pour un attaquant.
Installer des plugins de sécurité
Des plugins comme Wordfence et Sucuri proposent des outils de prévention efficaces contre les attaques par force brute : CAPTCHAs, blocage d'IP et surveillance en temps réel.
Désactiver XML-RPC
XML-RPC est une porte d'entrée que les attaquants exploitent pour multiplier les tentatives de connexion. Le désactiver est indispensable pour réduire l'exposition aux attaques par force brute sur les sites WordPress.
Ajouter un CAPTCHA aux pages de connexion
Le CAPTCHA garantit que seuls des humains peuvent se connecter, neutralisant ainsi les outils automatisés de force brute.
Renforcer wp-config.php
Protégez l'accès à wp-config.php, le fichier de configuration central de votre site, en ajustant les règles .htaccess ou les règles serveur.
Mettre à jour régulièrement
Les plugins et thèmes obsolètes sont autant de portes ouvertes pour les attaquants. Les mettre à jour régulièrement corrige les failles connues et protège votre site WordPress contre les attaques par force brute.
Ces étapes renforcent considérablement la sécurité de votre site WordPress. Nous allons maintenant aborder la sécurisation des serveurs SSH, une autre cible fréquente des attaques par force brute.
Se protéger contre les attaques par force brute sur SSH
Les serveurs SSH sont les clés d'accès à vos systèmes, ce qui en fait des cibles privilégiées pour les attaquants. Savoir comment prévenir les attaques par force brute sur SSH n'est pas seulement une bonne pratique : c'est indispensable pour protéger vos systèmes sensibles.
Utiliser l'authentification par clé SSH
L'authentification par mot de passe comporte des risques. Passer à l'authentification par clé SSH ajoute une couche de sécurité supplémentaire : un attaquant doit disposer de votre clé privée, pas seulement deviner un mot de passe. Cela réduit considérablement le taux de succès des attaques par force brute sur SSH.
Désactiver la connexion root
Le compte root est souvent la première cible lors d'une attaque par force brute sur SSH. Désactivez la connexion root directe et créez un compte utilisateur distinct avec des privilèges limités. Sans cible, pas d'attaque possible.
Configurer UFW et Fail2Ban
Des outils comme UFW et Fail2Ban surveillent les tentatives de connexion échouées et bloquent les adresses IP au comportement suspect. C'est l'une des défenses les plus efficaces contre les attaques par force brute sur les serveurs SSH. Consultez notre guide détaillé sur comment installer, activer et gérer UFW et Fail2Ban.
Changer le port par défaut
Par défaut, SSH utilise le port 22, et les attaquants le savent. Changer SSH vers un port non standard apporte une couche d'obscurité simple mais efficace.
Utiliser une liste blanche d'adresses IP
Limitez l'accès SSH à des adresses IP spécifiques. Cela bloque tout trafic indésirable et empêche les outils de force brute de s'exécuter.
Ces étapes rendent votre serveur SSH nettement moins vulnérable aux attaques. Maintenant que nous avons couvert les bonnes pratiques générales de prévention, parlons des outils spécifiques utilisés par ces attaquants.
Outils d'attaque par force brute courants et comment les contrer
Les pratiques décrites ci-dessus constituent une base solide pour prévenir les attaques par force brute. Cela dit, de nombreux attaquants s'appuient sur des outils précis. Savoir comment les contrer est tout aussi important.
Outils de craquage de mots de passe Wi-Fi
Aircrack-ng : Outil polyvalent pour craquer les mots de passe Wi-Fi par attaque par dictionnaire sur WEP, WPA et WPA2-PSK, disponible sur plusieurs plateformes.
- Contre-mesures : Utilisez le chiffrement WPA3, créez des mots de passe longs et complexes, activez le filtrage par adresse MAC et déployez un système de détection d'intrusion sans fil (WIDS).
Outils de craquage de mots de passe généraux
John the Ripper : Détecte les mots de passe faibles et les craque par force brute ou attaque par dictionnaire. Compatible avec plus de 15 plateformes, dont Windows et Unix.
- Contre-mesures : Appliquez une politique de mots de passe stricte (12 caractères minimum, haute complexité), utilisez des hachages salés et effectuez des audits et rotations réguliers des mots de passe.
Rainbow Crack : Utilise des tables arc-en-ciel précalculées pour accélérer le cassage de mots de passe. Compatible avec Windows et Linux.
- Contre-mesures : Utilisez des hachages salés pour neutraliser les tables arc-en-ciel, et adoptez des algorithmes de hachage tels que bcrypt, Argon2 ou scrypt.
L0phtCrack : Craque les mots de passe Windows par attaques par dictionnaire, force brute, hybrides et tables arc-en-ciel, avec des fonctionnalités avancées comme l'extraction de hachages et la surveillance réseau.
- Contre-mesures : Verrouillez les comptes après plusieurs tentatives échouées, utilisez des phrases de passe pour une entropie plus forte, et imposez l'authentification multifacteur (MFA).
Ophcrack : Craque les mots de passe Windows via les hachages LM et des tables arc-en-ciel intégrées, souvent en quelques minutes.
- Contre-mesures : Passez à des systèmes qui n'utilisent pas les hachages LM (ex. : Windows 10+), utilisez des mots de passe longs et complexes, et désactivez SMBv1.
Outils avancés et polyvalents pour les mots de passe
Hashcat : Un outil accéléré par GPU qui prend en charge une large gamme de hachages et d'attaques : force brute, dictionnaire et hybride.
- Contre-mesures : Appliquez des politiques de mots de passe strictes, stockez les fichiers de hachage de manière sécurisée, et chiffrez les données sensibles avec des clés robustes.
DaveGrohl : Outil exclusif à Mac OS X, prenant en charge la force brute distribuée et les attaques par dictionnaire.
- Contre-mesures : Auditez les systèmes Mac OS X, restreignez l'accès aux fichiers de mots de passe, et imposez l'authentification multifacteur (MFA).
Outils d'authentification réseau et de protocoles
Ncrack : Craque les protocoles d'authentification réseau comme RDP, SSH et FTP sur diverses plateformes.
- Contre-mesures : Limitez l'accès aux services exposés sur le réseau via des pare-feux, bloquez les adresses IP après plusieurs tentatives de connexion échouées, et utilisez des ports non standard pour les services critiques.
THC Hydra : Lance des attaques par force brute basées sur des dictionnaires sur plus de 30 protocoles, dont Telnet, FTP et HTTP(S).
- Contre-mesures : Mettez en place des CAPTCHA ou d'autres mécanismes pour limiter les tentatives, utilisez des protocoles chiffrés (ex. : FTPS, HTTPS), et exigez MFA pour tout accès sécurisé.
Outils spécialisés pour le web, les sous-domaines et les CMS
Gobuster : Idéal pour énumérer les sous-domaines et les répertoires lors de tests d'intrusion web.
- Contre-mesures : Utilisez des pare-feux applicatifs (WAFs), restreignez l'accès aux répertoires sensibles, et masquez ou obfusquez la structure de fichiers par défaut.
Research : Découvre les chemins et répertoires web cachés lors d'audits de sécurité.
- Mitigation : utilisez .htaccess ou des règles serveur pour restreindre l'accès, supprimez les répertoires inutilisés, et sécurisez les chemins web sensibles.
Burp Suite : Une suite complète de tests de sécurité web avec des fonctionnalités de force brute et d'analyse des vulnérabilités.
- Contre-mesures : Appliquez régulièrement des correctifs aux applications web, effectuez des tests d'intrusion et surveillez les activités anormales de force brute.
CMSeek : Conçu pour découvrir et exploiter les vulnérabilités des CMS lors des tests.
- Contre-mesures : Maintenez les plateformes CMS à jour, sécurisez les configurations et limitez les tentatives de force brute avec des plugins de protection.
Outils pour les jetons, les réseaux sociaux et divers usages
JWT Cracker : Spécialisé dans le cassage des JSON Web Tokens à des fins de test.
- Contre-mesures : Utilisez des clés longues et sécurisées pour la signature JWT, imposez des durées d'expiration courtes et rejetez les algorithmes faibles ou non signés.
SocialBox : Utilisé pour tester la force brute sur des comptes de réseaux sociaux.
- Contre-mesures : Activez le verrouillage des comptes après des tentatives échouées, imposez l'authentification à deux facteurs et sensibilisez les utilisateurs au phishing.
Predictor : Un générateur de dictionnaires pour créer des listes de mots personnalisées pour les attaques par force brute.
- Contre-mesures : Surveillez les fuites d'identifiants, évitez les mots de passe par défaut faibles et effectuez des audits de sécurité réguliers.
Patator : Un outil de force brute polyvalent prenant en charge de nombreux protocoles et méthodes.
- Contre-mesures : Mettez en place une limitation du débit, des messages d'erreur génériques et des mécanismes de verrouillage de compte efficaces pour ralentir les attaquants.
Nettracker : Automatise les tâches de tests d'intrusion, notamment la force brute et d'autres évaluations.
- Contre-mesures : Surveillez régulièrement les journaux réseau, isolez les identifiants de test et assurez une gestion sécurisée des outils de test d'intrusion.
Conclusion et mesures avancées de prévention des attaques par force brute
Des outils avancés comme les logiciels d'analyse comportementale, les honeypots et les bloqueurs de réputation IP peuvent détecter et neutraliser les menaces avant qu'elles ne s'installent. Ces mesures proactives complètent les défenses de base, comme l'authentification multifacteur et les mots de passe forts, pour former une protection solide.
Savoir prévenir les attaques par force brute, c'est adopter une vision à long terme. Combiner des stratégies intelligentes avec des outils de prévention adaptés protège vos systèmes même contre les attaquants les plus tenaces. Restez vigilant, adaptez-vous en permanence et considérez la cybersécurité comme un investissement dans votre avenir.
