Une attaque par force brute est une cyberattaque qui revient à essayer d'ouvrir un cadenas de façon automatique en tentant toutes les combinaisons possibles.
Ce type d'attaque prend donc du temps, plusieurs semaines ou plusieurs mois, avant de pouvoir éventuellement aboutir.
L'attaquant va de façon automatisée tester toutes les combinaisons de login et mot de passe. Un dictionnaire peut être utilisé pour réduire le temps de recherche. Certaines personnes utilisent en effet des mots courants (prénom des enfants, nom du chien, couleur...).
Pour contrer ce type d'attaque, voici quelques éléments à mettre en place :
- Dans la mesure du possible, bloquer l'accès par adresses IP. Cela signifie que seule vos adresses IP pourront accéder au module d'administration. Parfois cela ne peut pas être mis en place, notamment pour un espace réservé qui doit être accessible à des milliers de clients. Il est toutefois possible d'autoriser un client à se connecter que depuis une seule adresse IP (mais cela restreint l'accès depuis un mobile).
- Utiliser des mots de passe complexes. Plus le mot de passe est long mieux c'est, mais le mot de passe doit aussi comporter des type de caractères différents : majuscules, minuscules, chiffres, caractères spéciaux. Plus le mot de passe est complexe, plus l'attaque par force brute prendra du temps. Ne pas imposer de taille fixe pour les mots de passe, car cela réduirait le nombre de combinaisons. Au contraire, imposer une taille minimum et laisser une taille maximum conséquente.
- Bloquer l'accès après plusieurs tentatives. Après 3 tentatives par exemple, on verrouille l'accès pour 10 minutes ou plus, et on alerte l'administrateur.
- Ajouter un captcha pour vérifier si un humain est bien derrière cette tentative de connexion
- Mettre en place une authentification à plusieurs facteurs. On ajoute une deuxième vérification, que ce soit avec l'envoi d'un SMS ou en utisant une clé de sécurité (comme la clé Titan proposée par Google)
- Mettre en place un outil de surveillance qui détecte les comportements inhabituels.
Il vaut mieux bloquer une attaque en cours que de croiser les doigts et espérer ne pas avoir d'intrusion. Ce type d'attaque réutilise souvent les données compromises issues de violation d'autres systèmes. Il est donc primordial de ne jamais utiliser le même mot de passe à chaque fois.
Si un de vos mots de passe est compromis, il est probable qu'il soit utilisé dans une attaque par force brute inversée. Dans ce type d'attaque, la stratégie sera de chercher le nom d'utilisateur qui peut correspondre à un mot de passe donné jusqu'à trouver la bonne correspondance.
Pour finir, voici le top 20 des mots de passe les plus utilisés en 2018 (Source : SplashData). J'espère pour vous que les votres ne sont pas présents dans la liste, sinon changez les tout de suite !
| Position | Mot de passe |
|---|---|
| 1 | 123456 |
| 2 | password |
| 3 | 123456789 |
| 4 | 12345678 |
| 5 | 12345 |
| 6 | 111111 |
| 7 | 1234567 |
| 8 | sunshine |
| 9 | qwerty |
| 10 | iloveyou |
| 11 | princess |
| 12 | admin |
| 13 | welcome |
| 14 | 666666 |
| 15 | abc123 |
| 16 | football |
| 17 | 123123 |
| 18 | monkey |
| 19 | 654321 |
| 20 | !@#$%^&* |
Par Thibaut Pietri
Ingénieur informatique spécialisé réseau, basé à Toulouse, j'ai plus de 20 ans d'expérience en développement et sécurisation de sites Internet, Extranet & applications mobiles autour des technologies LAMP (Linux/Apache/MySQL/PHP) sur différents outils de gestion de contenu (Wordpress, Prestashop, Drupal, Isens Evolution...).
Derniers articles
Les risques de sécurité liés aux métadonnées des photos
14 août 2019 En photographie numérique, les métadonnées sont stockées à l'intérieur d'un fichier JPG et permettent de décrire un certain nombre d'informations complémentaires. Ces métadonnées représentent un risque de sécurité.
Comment vérifier si votre site internet a été piraté ou infecté ?
9 août 2019 Le piratage d'un site web peut parfois ne pas être visible directement avec un navigateur web. En effet le piratage peut avoir des objectifs variés. Certains ont tout intérêt à rester invisible.
L'authentification à facteurs multiples pour protéger votre site web
7 août 2019 L'authentification à facteurs multiples est un système de sécurité combinant au moins deux modes d'identification différents. Explications.