Huit types d’attaques de mot de passe

Les mots de passe volés, faibles et réutilisés sont la principale cause des violations de données liées au piratage et un moyen éprouvé d’accéder à vos ressources informatiques. De plus, avec des milliards d’identifiants disponibles sur le dark web, les cybercriminels n’ont pas à faire beaucoup d’efforts pour trouver des mots de passe compromis. Pour bénéficier du meilleur retour sur investissement, les pirates aspirent à un accès facile – et une meilleure sécurité de vos mots de passe multiplie les barrières qu’ils doivent franchir.

Il existe différentes attaques de mot de passe et différents moyens d’atténuer les risques, dans le respect des bonnes pratiques en matière de sécurité :

Attaque par force brute

Une attaque par force brute est un type d’attaque de mot de passe par lequel les pirates multiplient les tentatives de type « tout ou rien » pour obtenir un accès. Il s’agit d’une attaque simple qui fait souvent appel à des méthodes automatisées, telles que des logiciels, pour tester de multiples variations de lettres et de chiffres.

Les possibilités étant nombreuses, la procédure est chronophage, aussi les attaquants doivent-ils rechercher le maximum d’efficacité. Pour générer une liste de combinaisons potentielles, ils commencent souvent par des choix évidents, comme des mots de passe courants ou courts. S’ils connaissent les exigences d’un fournisseur spécifique en matière de mot de passe (comme le nombre minimum de caractères acceptés), les attaquants appliqueront également ces critères.

Attaque par enregistreur de frappe

Un enregistreur de frappe est un logiciel espion qui enregistre l’activité d’un utilisateur en consignant les frappes au clavier. Les cybercriminels font appel à des enregistreurs de frappe pour dérober toutes sortes de données sensibles, des mots de passe aux numéros de carte de crédit. Dans le cas d’une attaque de mot de passe, l’enregistreur de frappe consigne non seulement le nom d’utilisateur et le mot de passe, mais aussi le site web ou l’application où ces identifiants sont utilisés, ainsi que d’autres informations sensibles.

Les enregistreurs de frappe peuvent être matériels ou logiciels. Dans la mesure où l’installation de matériel sur un appareil requiert des efforts importants, les acteurs mal intentionnés sont plus susceptibles d’installer un logiciel malveillant sur un ordinateur ou un appareil, et d’inciter l’utilisateur à cliquer sur une pièce jointe ou un lien malveillant. Certains enregistreurs de frappe sont également intégrés à des logiciels (les applications « gratuites », par exemple) téléchargés sur des sites tiers par les utilisateurs.

Attaque par dictionnaire

Type d’attaque de mot de passe par force brute, l’attaque par dictionnaire se fonde sur une liste de mots et phrases couramment utilisés, ainsi que sur des mots de passe souvent utilisés. Pour éviter d’avoir à craquer une longue liste de mots de passe possibles, les attaquants réduisent la liste à ce que l’on appelle des « mots du dictionnaire ».

Ces mots ne sont pas limités aux mots répertoriés dans un dictionnaire. Ils peuvent également inclure des noms populaires d’animaux domestiques, de personnages de films et de personnes. Les pirates introduisent également des variantes en ajoutant des chiffres et des caractères spéciaux aux lettres (par exemple, en remplaçant la lettre « O » par le chiffre « 0 »).

Attaque par bourrage d’identifiants

L’attaque par bourrage d’identifiants est similaire à l’attaque par force brute dans la mesure où les attaquants utilisent une méthode par tâtonnements pour obtenir un accès. Cependant, au lieu de deviner les mots de passe, ils utilisent des informations d’identification volées. Le bourrage d’identifiants part du principe que de nombreuses personnes réutilisent leurs mots de passe pour plusieurs comptes sur de nombreuses plates-formes.

Avec le temps, de nombreuses violations de sites web et de services basés sur le cloud ont entraîné un nombre considérable d’informations d’identification compromises. Il suffit d’une seule violation d’un grand fournisseur pour que des millions de comptes usurpés soient créés, puis vendus, loués, voire donnés par les cybercriminels sur le dark web.

Les attaquants utilisent le bourrage d’identifiants pour vérifier quels mots de passe volés sont encore valides ou fonctionnent encore sur d’autres plates-formes. Comme pour les attaques par force brute, les outils automatisés rendent ces attaques de mot de passe incroyablement efficaces.

Attaque de l’intercepteur

Un scénario de type « attaque de l’intercepteur » ou « attaque de l’homme du milieu » implique trois parties : l’utilisateur, l’attaquant et le tiers avec lequel la personne tente de communiquer. Lors d’une attaque de mot de passe, les cybercriminels se font généralement passer pour un tiers légitime, souvent par le biais d’un courriel de phishing (hameçonnage).

Le courriel semble authentique et peut même usurper l’adresse électronique du tiers pour tromper les utilisateurs les plus avertis. Les attaquants tentent de convaincre le destinataire de cliquer sur un lien pointant vers un faux site web, mais d’apparence authentique, puis récoltent les informations d’identification lorsque l’utilisateur se connecte.

Attaque par interception du trafic

L’attaque par interception du trafic, une variante de l’attaque de l’intercepteur, implique l’écoute du trafic réseau par les acteurs hostiles cherchant à surveiller et à capturer des données. Pour y parvenir, ces acteurs utilisent souvent des connexions Wi-Fi non sécurisées ou des connexions non chiffrées, comme le protocole HTTP.

Même le trafic SSL est vulnérable. Par exemple, un pirate peut recourir à une attaque de l’intercepteur dans le cadre de ce que l’on appelle un détournement SSL. On parle de détournement SSL lorsqu’une personne tente de se connecter à un site web sécurisé et que l’attaquant crée une sorte de pont entre l’utilisateur et la destination prévue et intercepte toute information transitant entre les deux, comme les mots de passe.

Phishing

Le phishing (hameçonnage) est une approche polyvalente. Les cybercriminels utilisent différentes tactiques de phishing et d’ingénierie sociale, depuis les courriels de phishing, dans le cadre des attaques de l’intercepteur (décrites ci-dessus), jusqu’à une combinaison de harponnage et d’hameçonnage vocal (une attaque de mot de passe en plusieurs étapes qui comprend un appel vocal et un lien vers un site malveillant qui récolte les informations d’identification). Cette dernière a été utilisée dans des attaques visant les identifiants VPN des employés.

Les attaques de phishing font généralement naître un sentiment d’urgence chez l’utilisateur. C’est pourquoi les courriels font souvent état de faux frais de compte, de l’expiration d’un service, d’un problème informatique ou de ressources humaines ou d’un sujet similaire plus susceptible d’attirer l’attention de la personne.

Attaque par pulvérisation de mots de passe

Autre forme d’attaque par force brute, la pulvérisation de mots de passe consiste à essayer un grand nombre de mots de passe courants sur un petit nombre de comptes utilisateurs, voire sur un seul compte.

Dans le cadre d’une attaque par pulvérisation de mots de passe, les attaquants se donnent beaucoup de mal pour éviter d’être détectés. En règle générale, ils opèrent tout d’abord une reconnaissance pour limiter le nombre de tentatives de connexion afin d’éviter tout blocage de compte.

Comment prévenir les attaques

La meilleure façon de prévenir les attaques de mot de passe consiste à adopter les bonnes pratiques en matière de gestion et protection des mots de passe. Les environnements faciles à pirater et dont la posture de sécurité est faible sont beaucoup plus attrayants pour les cybercriminels opportunistes. En renforçant la sécurité des mots de passe, vous améliorez considérablement votre capacité à éviter une violation des données. Les bonnes pratiques en matière de mots de passe consistent à :

• Exiger des mots de passe longs et complexes, uniques pour chaque site web ou compte
• Mettre en œuvre l’authentification multifactorielle dans la mesure du possible
• Faire appel à un gestionnaire de mots de passe pour simplifier la gestion des mots de passe et assurer un stockage sécurisé

Votre équipe informatique doit également limiter l’accès aux comptes privilégiés et renforcer ces comptes par des niveaux de sécurité supplémentaires. Il va de soi que la formation de tous vos employés et autres parties prenantes à la sécurité des mots de passe constitue également un moyen de prévention éprouvé. Alors que les violations de la sécurité deviennent la norme, les entreprises et leurs employés peuvent jouer un rôle clé dans le maintien de la posture de sécurité de leur entreprise.

Solutions de gestion des mots de passe

Les pirates recourant à des outils plus perfectionnés et à une automatisation accrue, les attaques deviennent de plus en plus sophistiquées. La mise en œuvre d’un solide programme de gestion des mots de passe est non seulement une bonne pratique en matière de sécurité, mais elle simplifie également la gestion des mots de passe pour les administrateurs informatiques et les employés, facilitant ainsi leur travail tout en réduisant les risques pour votre entreprise. Trouvez la bonne solution pour vos besoins actuels et futurs en matière de sécurité grâce à SailPoint.