Les attaques par force brute sont l’une des plus anciennes astuces du hacker, mais elles restent incroyablement efficaces. Imaginez quelqu'un essayant sans relâche de deviner la combinaison de votre coffre-fort, sauf qu'au lieu d'une seule personne, il s'agit d'un algorithme puissant testant des millions de combinaisons chaque seconde.
Dans cet article, j'entrerai dans le vif du sujet des mécanismes des attaques par force brute, de leurs différents types et, plus important encore, de la façon de prévenir efficacement les attaques par force brute. Nous aborderons les stratégies essentielles, les défenses spécifiques à la plateforme et les outils avancés pour vous aider à sécuriser vos systèmes et à déjouer les cybercriminels.
- Qu'est-ce qu'une attaque par force brute ?
- Meilleures pratiques pour prévenir les attaques par force brute
- Prévention des attaques par force brute sur WordPress
- Sécurisation contre le forçage brutal SSH
- Outils d'attaque par force brute couramment utilisés et comment les combattre
- Réflexions finales et mesures avancées de prévention des attaques par force brute
Qu'est-ce qu'une attaque par force brute ?
L’une des attaques les plus courantes auxquelles un développeur Web peut être confronté est l’attaque par force brute. C’est là que les attaquants utilisent des algorithmes qui testent chaque combinaison de lettres, de chiffres et de symboles selon une méthode d’essais et d’erreurs jusqu’à ce qu’ils trouvent la bonne combinaison.
Ce qui est difficile dans ce type d’attaque, c’est sa simplicité et sa pure persistance ; il n’existe pas d’astuce ou de faille particulière qui puisse être facilement découverte et bloquée, car les mots de passe sont un élément crucial de tout système de sécurité.
Les attaques par force brute ne sont pas difficiles : elles ciblent tout ce qui leur tombe sous la main, des comptes personnels aux grands systèmes d’entreprise. Mais l’impact de ces attaques dépend souvent de la plateforme en question. Une connexion administrateur WordPress compromise pourrait entraîner la dégradation de sites Web ou le vol de données client, tandis qu’une attaque par force brute SSH pourrait ouvrir les vannes à l’ensemble de l’infrastructure de serveur d’une entreprise.
Ces attaques nuisent également à la réputation et entraînent des temps d’arrêt coûteux. Les entreprises qui s'appuient sur des opérations en ligne, comme les fournisseurs de commerce électronique ou de SaaS, perdent souvent à la fois leurs revenus et la confiance de leurs clients en cas de violations. 60% des petites entreprises fermer dans les six mois suivant une cyberattaque majeure, ce qui montre à quel point ces incidents peuvent être dévastateurs.
Mais avant de parler de la manière de prévenir les attaques par force brute, vous devez savoir comment elles fonctionnent et les différents types de méthodes de force brute utilisées par les attaquants.
Commencer à bloguer
Hébergez vous-même votre WordPress sur du matériel de premier ordre, doté d'un stockage NVMe et d'une latence minimale dans le monde entier : choisissez votre distribution préférée.
Obtenez un VPS WordPress
Différents types d'attaques par force brute
Il existe plusieurs types d’attaques par force brute.
- Attaques par dictionnaire : Ciblez les mots de passe faciles à deviner en essayant à plusieurs reprises une liste de mots de passe couramment utilisés, tels que « 123456 » ou « mot de passe ».
- Bourrage d'informations d'identification : Les pirates utilisent des combinaisons nom d'utilisateur-mot de passe divulguées lors de violations passées pour accéder à plusieurs comptes.
- Attaques inversées par force brute : Impliquez de commencer par un mot de passe connu (tel que « 123456 » ou « bienvenue ») et de le comparer systématiquement à d’innombrables noms d’utilisateur pour trouver une correspondance, comme si vous pêchiez avec un seul appât.
- Attaques de table arc-en-ciel : Utilisez des tables précalculées qui mappent les hachages aux mots de passe, permettant ainsi de déchiffrer plus rapidement les mots de passe hachés sans calculer chaque hachage sur place.
- Pulvérisation de mot de passe : Au lieu de bombarder un seul compte avec plusieurs tentatives de mot de passe, quelques mots de passe courants sont testés sur de nombreux noms d'utilisateur afin d'exploiter les faiblesses sans déclencher de verrouillage.
- Attaques par force brute en ligne : Ciblez les systèmes en direct comme les sites Web et les applications. Ils interagissent avec les serveurs mais peuvent être confrontés à une limitation potentielle ou à une limitation de débit, ce qui les rend plus lents mais dangereux contre les formulaires de connexion faibles.
- Attaques par force brute hors ligne : Menée sur un fichier volé de mots de passe cryptés, permettant aux pirates de tester les clés de décryptage à grande vitesse sur leurs machines, sans être détectées par les pare-feu ou les systèmes de surveillance.
Pourquoi ces attaques sont-elles si répandues ? Une grande partie du problème vient de nous. Des études montrent que 65% des personnes réutiliser les mots de passe sur plusieurs comptes. C’est comme donner une clé principale à un voleur : une fois qu’il a un mot de passe, il peut potentiellement tout déverrouiller. Et cela n’aide pas que des mots de passe comme « qwerty » soient toujours en tête des classements favoris année après année.
Pour illustrer la fréquence de ces attaques, voici une statistique : 22,6 % de toutes les tentatives de connexion sur les sites de commerce électronique en 2022 étaient des attaques par force brute ou par credential stuffing. Cela représente près d’une tentative sur quatre ! Les entreprises ont été confrontées à des achats frauduleux, au vol de données clients et à d’importants cauchemars en matière de relations publiques en raison de ces attaques incessantes.
De plus, les pirates explorent les pages du site cible et affinent leurs outils de force brute pour répondre aux exigences spécifiques des paramètres du site. Les pages de connexion sont des cibles évidentes, mais les portails d’administration CMS sont également des points chauds populaires pour les attaquants. Ceux-ci incluent :
- WordPress: Points d'entrée courants comme wp-admin et wp-login.php.
- Magento : Chemins vulnérables tels que /index.php et panneaux d'administration.
- Joomla ! : Sa page d’administrateur est une cible fréquente.
- vBulletin : Les tableaux de bord d'administration comme admin cp se retrouvent souvent dans la ligne de mire.
La bonne nouvelle ? Comprendre les risques représente la moitié de la bataille. Que vous sécurisiez un site WordPress, un serveur SSH ou toute autre plateforme, savoir où se situent vos vulnérabilités est la première étape pour prévenir les attaques par force brute.
Meilleures pratiques pour prévenir les attaques par force brute
Mettre fin aux attaques par force brute nécessite un mélange de bon sens et de stratégies intelligentes. Pensez-y comme à verrouiller toutes les portes et fenêtres de votre maison et à ajouter un système de sécurité au cas où. Ces bonnes pratiques fonctionnent sur la plupart des plates-formes et vous fournissent une base solide pour assurer la sécurité de vos systèmes et constituent des étapes importantes dans la prévention des attaques par force brute.
Utilisez des mots de passe forts et uniques
Les mots de passe faibles ou réutilisés sont une invitation ouverte aux attaques par force brute. Choisissez des mots de passe d'au moins 12 caractères, comprenant un mélange de lettres, de chiffres et de symboles et évitez tout ce qui est prévisible. UN étude trouvée que « 123456 » et « mot de passe » figuraient encore parmi les mots de passe les plus courants en 2022.
Mettre en œuvre l'authentification multifacteur (MFA)
Avec MFA, même si un pirate informatique devine votre mot de passe, il aura besoin d’une étape de vérification supplémentaire, comme un code à usage unique envoyé sur votre téléphone. Selon Microsoft, MFA bloque plus de 99,2 % des attaques de compromission de compte. Consultez notre guide sur comment activer l'authentification à deux facteurs sur Windows 10.
Activer les verrouillages de compte
Limitez les tentatives de connexion infructueuses avant de verrouiller temporairement le compte. Cette fonctionnalité simple arrête les attaques par force brute dans leur élan.
Configurer la limitation du débit
Limitez la fréquence à laquelle les tentatives de connexion peuvent être effectuées au cours d'une période donnée. Par exemple, autoriser seulement cinq tentatives par minute peut rendre les attaques par force brute moins probables.
Surveiller et réagir aux activités inhabituelles
Utilisez des outils tels que les systèmes de détection d’intrusion (IDS) pour détecter rapidement les tentatives de force brute.
La meilleure défense est superposée. La combinaison de ces tactiques et le fait de savoir comment arrêter les attaques par force brute rendent la réussite des attaquants beaucoup plus difficile. Nous explorerons ensuite comment appliquer ces principes à des plateformes spécifiques comme WordPress, où les attaques par force brute sont particulièrement courantes.
Prévention des attaques par force brute sur WordPress
Les sites WordPress sont des aimants pour les hackers. Avec des millions de sites Web exécutés sur la plate-forme, les attaquants savent qu’ils ont toutes les chances d’en trouver un dont la sécurité est faible. Savoir comment prévenir les attaques par force brute sur WordPress peut faire toute la différence, et c'est plus facile que vous ne le pensez.
Modifier l'URL de connexion par défaut
Les pirates ciblent la page de connexion par défaut (/wp-admin ou /wp-login.php). Passer à une URL personnalisée revient à déplacer la porte d’entrée : beaucoup plus difficile à trouver pour les attaquants.
Installer des plugins de sécurité
Des plugins comme Wordfence et Sucuri offrent de puissants outils de prévention des attaques par force brute, notamment des CAPTCHA, le blocage IP et la surveillance en temps réel.
Désactiver XML-RPC
XML-RPC est une passerelle exploitée par les pirates pour les tentatives de connexion. Le désactiver est indispensable pour réduire la vulnérabilité aux attaques par force brute auxquelles les sites WordPress sont couramment confrontés.
Ajouter CAPTCHA aux pages de connexion
CAPTCHA garantit que seuls les humains peuvent se connecter, arrêtant ainsi les outils automatisés de force brute.
Renforcer wp-config.php
Restreindre l'accès à wp-config.php, le plan de votre site, en ajustant .htaccess ou les règles du serveur.
Mettre à jour régulièrement
Les plugins et thèmes obsolètes sont des portes ouvertes aux attaquants. Des mises à jour régulières corrigent les vulnérabilités connues, protégeant ainsi contre les risques d’attaque par force brute de WordPress. C’est la clé pour se défendre contre une attaque par force brute à laquelle les sites WordPress sont si sujets.
Avec ces étapes, votre site WordPress devient nettement plus sécurisé. Nous aborderons ensuite la sécurisation des serveurs SSH, une autre cible fréquente des attaques par force brute.
Sécurisation contre le forçage brutal SSH
Les serveurs SSH sont comme les clés numériques de votre royaume, ce qui en fait des cibles privilégiées pour les pirates. Savoir comment prévenir les attaques par force brute sur SSH n’est pas seulement intelligent : c’est essentiel pour protéger les systèmes sensibles.
Utiliser l'authentification par clé SSH
Les connexions basées sur un mot de passe sont risquées. Passer à l'authentification par clé SSH ajoute une couche de sécurité supplémentaire, car les attaquants ont besoin d'accéder à votre clé privée, pas seulement à un mot de passe deviné. Cela réduit considérablement le taux de réussite des attaques par force brute SSH.
Désactiver la connexion root
L’utilisateur root est souvent la première cible du forçage brutal SSH. Désactivez la connexion root directe et créez un compte utilisateur distinct avec des privilèges limités. Les pirates ne peuvent pas forcer brutalement ce qu’ils ne peuvent pas cibler.
Configurer UFW et Fail2Ban
Des outils tels que UFW et Fail2Ban surveillent les tentatives de connexion échouées et bloquent les adresses IP présentant un comportement suspect. C’est l’une des défenses les plus efficaces pour arrêter les attaques par force brute sur les serveurs SSH. Voici notre guide détaillé sur comment installer, activer et gérer UFW et Fail2Ban.
Changer le port par défaut
Par défaut, SSH utilise le port 22 et les pirates le savent. Déplacer SSH vers un port non standard ajoute une couche d’obscurité simple mais efficace.
Utiliser la liste blanche IP
Restreindre l'accès SSH à des adresses IP spécifiques. Cela bloque entièrement le trafic indésirable, empêchant même le démarrage des outils de force brute.
Avec ces étapes, votre serveur SSH sera beaucoup moins vulnérable aux attaques. Maintenant que nous avons abordé les pratiques courantes permettant de prévenir les attaques par force brute, parlons de la lutte contre les outils spécifiques utilisés par ces attaquants.
Outils d'attaque par force brute couramment utilisés et comment les combattre
Bien que les pratiques ci-dessus puissent contribuer de manière significative à la prévention des attaques par force brute, il s'agit principalement d'informations générales sur la manière de prévenir les attaques par force brute ; cependant, le fait est que de nombreux attaquants utilisent quelques outils spécifiques et il est très important de savoir comment les combattre.
Outils de piratage de mots de passe Wi-Fi
Aircrack-ng : Un outil polyvalent pour déchiffrer les mots de passe Wi-Fi via des attaques par dictionnaire sur WEP, WPA et WPA2-PSK, disponible pour plusieurs plates-formes.
- Atténuation: Utilisez le cryptage WPA3, créez des mots de passe longs et complexes, activez le filtrage des adresses MAC et déployez des systèmes de détection d'intrusion sans fil (WIDS).
Outils généraux de piratage de mots de passe
Jean l'Éventreur : Identifie les mots de passe faibles et les déchiffre à l'aide d'attaques par force brute ou par dictionnaire, prenant en charge plus de 15 plates-formes, dont Windows et Unix.
- Atténuation: Appliquez des politiques de mot de passe fortes (minimum 12 caractères, haute complexité), utilisez des hachages salés et effectuez régulièrement des audits et une rotation des mots de passe.
Fissure arc-en-ciel : Utilise des tables arc-en-ciel précalculées pour accélérer le piratage des mots de passe, prenant en charge Windows et Linux.
- Atténuation: Utilisez des hachages salés pour rendre les tables arc-en-ciel inefficaces et appliquez des algorithmes de hachage tels que bcrypt, Argon2 ou script.
L0phtCrack : Casse les mots de passe Windows à l'aide de dictionnaires, de force brute, d'attaques hybrides et de tables arc-en-ciel tout en prenant en charge des fonctionnalités avancées telles que l'extraction de hachage et la surveillance du réseau.
- Atténuation: Verrouillez les comptes après des tentatives infructueuses, utilisez des phrases secrètes pour une entropie plus forte et appliquez l'authentification multifacteur (MFA).
Ophcrack : Se concentre sur le piratage des mots de passe Windows via des hachages LM à l'aide de tables arc-en-ciel intégrées, souvent en quelques minutes.
- Atténuation: Effectuez une mise à niveau vers des systèmes qui ne reposent pas sur les hachages LM (par exemple, Windows 10+), utilisez des mots de passe longs et complexes et désactivez SMBv1.
Outils de mots de passe avancés et polyvalents
Hashcat : Un outil accéléré par GPU qui prend en charge une variété de hachages et d'attaques telles que la force brute, le dictionnaire et l'hybride.
- Atténuation: Appliquez des politiques de mot de passe fortes, stockez en toute sécurité les fichiers de hachage et chiffrez les données sensibles avec des clés fortes.
Dave Grohl : Outil exclusif à Mac OS X prenant en charge les attaques distribuées par force brute et par dictionnaire.
- Atténuation: Auditez les systèmes Mac OS X, limitez l'accès aux fichiers de mots de passe et appliquez l'authentification multifacteur (MFA).
Outils d'authentification réseau et de protocole
Crack : Crack les protocoles d'authentification réseau tels que RDP, SSH et FTP sur diverses plates-formes.
- Atténuation: Limitez l'accès aux services réseau via des pare-feu, appliquez un blocage basé sur IP après plusieurs tentatives de connexion infructueuses et utilisez des ports autres que ceux par défaut pour les services critiques.
Hydra de THC : Effectue des attaques par force brute basées sur un dictionnaire sur plus de 30 protocoles, notamment Telnet, FTP et HTTP(S).
- Atténuation: Appliquez CAPTCHA ou d'autres mécanismes pour limiter les tentatives, utilisez des protocoles cryptés (par exemple, FTPS, HTTPS) et exigez MFA pour un accès sécurisé.
Outils spécialisés pour le Web, les sous-domaines et le CMS
Gobuster : Idéal pour forcer brutalement des sous-domaines et des répertoires dans les tests d'intrusion Web.
- Atténuation: Utilisez des pare-feu d'application Web (WAF), limitez l'accès aux répertoires sensibles et masquez ou obscurcissez les structures de fichiers par défaut.
Recherche: Découvre les chemins et répertoires Web cachés lors des tests de sécurité.
- Atténuation : utilisez .htaccess ou des règles de serveur pour restreindre l'accès, supprimer les répertoires inutilisés et sécuriser les chemins Web sensibles
Suite rots : Une suite complète de tests de sécurité Web avec des capacités d'analyse de force brute et de vulnérabilité.
- Atténuation: Corrigez régulièrement les applications Web, effectuez des tests d'intrusion et surveillez les activités anormales de force brute.
CMRecherche : Se concentre sur la découverte et l'exploitation des vulnérabilités du CMS lors des tests.
- Atténuation: Gardez les plates-formes CMS à jour, sécurisez les configurations et limitez les tentatives de force brute avec des plugins de protection.
Jeton, médias sociaux et outils divers
Craqueur JWT : Spécialisé dans le craquage des jetons Web JSON à des fins de tests.
- Atténuation: Utilisez des clés longues et sécurisées pour la signature JWT, appliquez des délais d'expiration courts aux jetons et rejetez les algorithmes faibles ou non signés.
SocialBox : Utilisé pour les tests de force brute des comptes de réseaux sociaux.
- Atténuation: Activez le verrouillage du compte après des tentatives infructueuses, appliquez l'authentification à deux facteurs et sensibilisez les utilisateurs à la sensibilisation au phishing.
Prédicteur : Un générateur de dictionnaire pour créer des listes de mots personnalisées pour les attaques par force brute.
- Atténuation: Surveillez les fuites d’identifiants, évitez d’utiliser des mots de passe par défaut faibles et appliquez des audits continus de sécurité.
Patator : Un outil de force brute polyvalent prenant en charge divers protocoles et méthodes.
- Atténuation: Mettez en œuvre une limitation du débit, des messages d'erreur personnalisés et des mécanismes de verrouillage de compte puissants pour ralentir les attaquants.
Nettracker : Automatise les tâches de tests d'intrusion, y compris la force brute et d'autres évaluations.
- Atténuation: Surveillez régulièrement les journaux réseau, isolez les informations d’identification des tests et assurez-vous que les outils de pénétration sont gérés en toute sécurité.
Réflexions finales et mesures avancées de prévention des attaques par force brute
Des outils avancés tels que des logiciels d'analyse comportementale, des pots de miel et des bloqueurs de réputation IP peuvent détecter et arrêter les menaces avant qu'elles ne s'installent. Ces mesures proactives s’ajoutent aux principales, comme l’authentification multifacteur et les mots de passe forts, pour créer une défense à toute épreuve.
Apprendre à prévenir les attaques par force brute signifie penser à long terme. Associer des stratégies intelligentes à des outils de prévention des attaques par force brute permet de protéger vos systèmes même contre les attaquants les plus persistants. Restez vigilant, restez adaptable et considérez la cybersécurité comme un investissement dans votre avenir.
