Qu'est-ce qu'une attaque par force brute ?
Une attaque par force brute est un type de cyberattaque qui utilise un logiciel pour « deviner » des identifiants. En procédant par tâtonnement, les auteurs d'attaques par force brute saisissent des mots du dictionnaire, des phrases, des mots de passe courants ou des combinaisons spécifiques de lettres et de chiffres jusqu'à trouver une correspondance. Les attaques par force brute sont étonnamment efficaces étant donné que 56 % des utilisateurs réutilisent leurs mots de passe. La réutilisation des mots de passe est une pratique dangereuse et courante, car il suffit de compromettre un seul mot de passe réutilisé pour exposer l'ensemble d'un système ou d'un groupe d'identifiants.
Types d'attaque par force brute
Attaques par force brute simples
Les attaques par force brute simples consistent à essayer par tâtonnement différentes combinaisons pour deviner les identifiants de connexion. L'attaquant utilise un ordinateur très puissant pour essayer toutes les combinaisons de lettres, de chiffres et de symboles possibles. Bien que cela puisse sembler inefficace, certains ordinateurs peuvent traiter des trillions de combinaisons à la fois.
Attaques par dictionnaire
Les attaques par dictionnaire s'appuient sur des mots ou des phrases simples du dictionnaire pour trouver les identifiants de l'utilisateur. Il est conseillé d'éviter les mots ou les phrases figurant dans le dictionnaire, car ceux-ci pourraient être utilisés par une attaque par force brute par dictionnaire et permettre de pirater le mot de passe.
Attaques par force brute hybrides
En utilisant une logique externe, un pirate se sert d'un logiciel pour deviner les mots de passe qui auront le plus de succès et utilise ensuite la force brute pour appliquer toutes les combinaisons.
Attaques par force brute inversées
Cette méthode repose sur des mots de passe connus. Vous trouverez facilement des listes de mots de passe courants sur Internet. Voici une liste de 10 000 mots de passe. Une attaque par force brute inverse utilise une liste comme celle-ci pour saisir ces mots de passe courants dans plusieurs comptes, en espérant qu'ils correspondent.
Credential stuffing
Le Credential stuffing est l'une des méthodes de force brute les plus efficaces. Il est possible d'acheter sur le dark web des listes de mots de passe ayant déjà fait l'objet d'une violation, que les pirates utilisent pour « bourrer » des identifiants dans des dizaines de sites web afin de voir s'il existe une correspondance.
Le plus souvent, les utilisateurs ne changent pas les mots de passe de tous leurs comptes, même s'ils ont déjà fait l'objet d'une violation.
Comment éviter les attaques par force brute
Garantir que vos mots de passe sont complexes et uniques
En veillant à utiliser des mots de passe forts et uniques pour tous vos comptes, vous compliquez la tâche des pirates qui voudraient les deviner. Veillez à toujours utiliser des mots de passe complexes comprenant des lettres, des chiffres et des symboles et comportant au moins 16 caractères. Plus un mot de passe est long et complexe, mieux c'est.
Vous pouvez utiliser un outil de création de mots de passe pour vous aider à générer des mots de passe complexes et uniques pour tous vos comptes.
Supprimer les comptes inactifs
Lorsqu'un collaborateur quitte une entreprise, il est important de supprimer entièrement son compte afin d'éviter les connexions non autorisées. Même si le compte d'un employé est désactivé, il reste un point d'entrée potentiel pour les pirates. Les comptes inactifs doivent être clôturés dès que possible et leurs identifiants effacés du système.
Limiter les tentatives de connexion
Les attaques par force brute dépendent des tentatives de connexion multiples. Le piratage par force brute est beaucoup moins efficace lorsqu'il ne peut effectuer qu'un nombre limité de tentatives. Pour commencer, vous pouvez vous limiter à 3 tentatives de connexion. Ce nombre est suffisant pour permettre à quelqu'un de vraiment se tromper d'identifiants et suffisamment bas pour exclure les acteurs malveillants potentiels avant qu'ils ne devinent le mot de passe. Après trois tentatives infructueuses, verrouillez entièrement le compte et demandez à un administrateur système de rétablir l'accès après avoir vérifié l'identité de l'utilisateur.
Activez l'authentification multifacteur sur les comptes
L'authentification multifacteur (MFA) peut vous sauver la mise en cas d'attaque par force brute. Lorsqu'un mot de passe en provenance d'un appareil étrange ou non reconnu est utilisé, il déclenche une étape d'authentification supplémentaire. Il peut s'agir d'un lien de vérification par SMS ou par e-mail, d'un contrôle biométrique ou d'une autre méthode. Cela ajoute une couche de protection supplémentaire à vos comptes.
Ralentir les connexions
Vous pouvez également ralentir les tentatives de connexion, en imposant un compte à rebours entre les connexions infructueuses. Associée à une limite de connexion, cette méthode permet de stopper une attaque par force brute après trois tentatives et limite la vitesse à laquelle le cybercriminel peut saisir des informations. Cela permet également de signaler à l'administrateur toute activité suspecte.
Utilisez des outils automatisés
Vous pouvez empêcher les attaques par force brute à l'aide d'outils automatisés sophistiqués. Les entreprises luttent déjà contre les attaques par force brute et d'autres menaces de malware à l'aide de ces outils. À mesure que la détection des menaces devient plus sophistiquée, elle fait de plus en plus appel à la technologie de l'IA pour détecter, prévenir et supprimer les menaces avant qu'elles ne causent des dommages.
La protection par les robots peut aider à surveiller le trafic web pour détecter les activités suspectes et bloquer des utilisateurs en cas de suspicion d'attaque. Les robots peuvent également déceler les activités suspectes comme les tentatives de connexion multiples et prévenir la victime avant que l'attaque ne soit perpétrée.
Les attaques par force brute sont simples, mais souvent efficaces, surtout si le particulier ou l'entreprise n'a pas mis en place les bonnes protections.
Évitez les attaques par force brute grâce à un gestionnaire de mots de passe
Les gestionnaires de mots de passe comme Keeper® contribuent à empêcher les attaques par force brute en aidant les utilisateurs à générer des mots de passe forts et à les stocker en toute sécurité. Les utilisateurs n'auront plus à se fier à eux-mêmes pour créer leurs mots de passe, ce qui signifie qu'ils n'utiliseront plus aucun mot de passe faible ou répété sur leurs comptes en ligne.
Les gestionnaires de mots de passe aident les particuliers et les entreprises à sécuriser leurs comptes en ligne. Laissez-vous convaincre par un essai gratuit.