Contrer les attaques par force brute

Une attaque par force brute est une cyberattaque qui revient à essayer d'ouvrir un cadenas de façon automatique en tentant toutes les combinaisons possibles.

Ce type d'attaque prend donc du temps, plusieurs semaines ou plusieurs mois, avant de pouvoir éventuellement aboutir.

L'attaquant va de façon automatisée tester toutes les combinaisons de login et mot de passe. Un dictionnaire peut être utilisé pour réduire le temps de recherche. Certaines personnes utilisent en effet des mots courants (prénom des enfants, nom du chien, couleur...).

Pour contrer ce type d'attaque, voici quelques éléments à mettre en place :

• Dans la mesure du possible, bloquer l'accès par adresses IP. Cela signifie que seule vos adresses IP pourront accéder au module d'administration. Parfois cela ne peut pas être mis en place, notamment pour un espace réservé qui doit être accessible à des milliers de clients. Il est toutefois possible d'autoriser un client à se connecter que depuis une seule adresse IP (mais cela restreint l'accès depuis un mobile).
• Utiliser des mots de passe complexes. Plus le mot de passe est long mieux c'est, mais le mot de passe doit aussi comporter des type de caractères différents : majuscules, minuscules, chiffres, caractères spéciaux. Plus le mot de passe est complexe, plus l'attaque par force brute prendra du temps. Ne pas imposer de taille fixe pour les mots de passe, car cela réduirait le nombre de combinaisons. Au contraire, imposer une taille minimum et laisser une taille maximum conséquente.
• Bloquer l'accès après plusieurs tentatives. Après 3 tentatives par exemple, on verrouille l'accès pour 10 minutes ou plus, et on alerte l'administrateur.
• Ajouter un captcha pour vérifier si un humain est bien derrière cette tentative de connexion
• Mettre en place une authentification à plusieurs facteurs. On ajoute une deuxième vérification, que ce soit avec l'envoi d'un SMS ou en utisant une clé de sécurité (comme la clé Titan proposée par Google)
• Mettre en place un outil de surveillance qui détecte les comportements inhabituels.

Il vaut mieux bloquer une attaque en cours que de croiser les doigts et espérer ne pas avoir d'intrusion. Ce type d'attaque réutilise souvent les données compromises issues de violation d'autres systèmes. Il est donc primordial de ne jamais utiliser le même mot de passe à chaque fois.

Si un de vos mots de passe est compromis, il est probable qu'il soit utilisé dans une attaque par force brute inversée. Dans ce type d'attaque, la stratégie sera de chercher le nom d'utilisateur qui peut correspondre à un mot de passe donné jusqu'à trouver la bonne correspondance.

Pour finir, voici le top 20 des mots de passe les plus utilisés en 2018 (Source : SplashData). J'espère pour vous que les votres ne sont pas présents dans la liste, sinon changez les tout de suite !