Qu'est-ce qu'une attaque de type brute force ?
Ces attaques consistent à trouver un mot de passe à travers des tentatives successives. L'attaquant cherche donc à tester l'ensemble des combinaisons possibles jusqu'à trouver la bonne. On comprend donc que, plus le mot de passe est long et comporte des caractères spéciaux, plus le temps qui va être nécessaire pour le trouver augmente.
Schéma d’une attaque Brute Force :
Les différentes catégories de jeux de caractères
On distingue les jeux de caractères utilisés pour les mots de passe en 4 types :
Type 1 : 26 lettres de l’alphabet (pas de prise en charge de la casse)
Type 2 : 26 lettres de l’alphabet et 10 chiffres
Type 3 : 26 lettres de l’alphabet avec prise en charge de la casse et 10 chiffres (soit 62 caractères possibles)
Type 4 : Les 62 caractères du type 3, incluant les caractères spéciaux (soit 90 à 100 caractères possibles)
La NSA a construit une machine spécialisée dans les attaques brute force appelée NSA@home. En se basant sur le nombre de combinaisons possibles, et le nombre de mots de passe qu'elle peut tester par secondes on arrive sur le tableau suivant indiquant le nombre de jours nécessaires pour cracker un mot de passe en brute force :
La couleur verte correspond aux attaques "humainement" possibles.
Comment résister aux attaques Brute Force ?
Cependant il existe plusieurs méthodes pour empêcher les attaques de type brute force :
Détection automatique de plusieurs échecs successifs pour un mot de passe donné.
Détection que les mots de passe tentés soient présentés de manière ordonnée (a, puis aa, puis ab, puis ba, puis bb, puis aaa, etc…)
Allongement du temps avant de pouvoir effectuer une nouvelle tentative après un certain nombre de tentatives infructueuses (en général au bout de 3 tentatives)
Utilisation d'un captcha permettant d'empêcher une attaque robotisée
Il existe plusieurs outils et méthodes permettant d’effectuer des attaques de type brute force. Par exemple :
Ophcrack est un programme permettant de cracker les mots de passe Windows
Sur WordPress, l’utilisateur par défaut est admin, on peut ensuite essayer des combinaisons de mot de passe en les associant à l’utilisateur admin.
Brute-Force SSH : tentatives de brute force sur les utilisateurs les plus courants comme root, admin, ou john, etc…
Cisco considère qu’un mot de passe complexe pouvant résister aux attaques de type brute force, comporte :
Minimum 10 caractères
Comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux
Ne doit pas comporter de répétition, de mot présent dans les dictionnaires, de séquence logique de lettres ou de chiffres, de surnom ou de nom d’animal, ou encore d’information biographique
Comporter des inversions de lettres (exemple : “Security <> 5ecur1ty”)
Doit être changé fréquemment et ne pas être noté
Attention cependant, à ne pas demander aux employés de se rappeler d'un mot de passe trop compliqué. En effet, il arrive parfois que lorsque le mot de passe est trop compliqué à se rappeler, les personnes le note sur un papier qu'ils collent par exemple sur leur écran. C'est dans cette situation que l'on perd tout intérêt à avoir cherché à mettre en place une politique de sécurité qui ne sera pas appliquée par l'ensemble des employés. Rien ne sert donc de demander aux personnes de se souvenir d'un mot de passe à 15 caractères avec des chiffres, des lettres et des caractères spéciaux, générés aléatoirement, puisqu'il leur sera impossible de s'en souvenir.
Il existe de nombreuses attaques dont il faut apprendre à se prémunir, nous avons vu les attaques par reconnaissance et phishing et les attaques de type brute force.