Les 10 principales attaques de mot de passe et comment les arrêter

Phishing attacks

Il ne fait aucun doute que les mots de passe sont l’un des maillons les plus faibles de la cybersécurité globale de nombreuses organisations. Malheureusement, les mots de passe sont constamment attaqués car ils constituent sans doute l’un des moyens les plus simples pour les pirates de pénétrer dans votre environnement. Pour mieux comprendre comment protéger les mots de passe de votre environnement contre les attaques, examinons les 10 principales attaques de mots de passe et voyons ce que votre organisation peut faire pour les empêcher.

Top 10 des attaques de mot de passe et comment les arrêter

Voici les 10 attaques de mot de passe les plus courantes et les atténuations que les entreprises peuvent utiliser pour les empêcher de compromettre le réseau et de perdre des données critiques pour l’entreprise.

  1. Attaque de force brute
  2. Dictionnaire Attaque
  3. Pulvérisation de mot de passe
  4. Bourrage d’informations d’identification
  5. Hameçonnage
  6. Attaque d’enregistreur de frappe
  7. Ingénierie sociale
  8. Réinitialisation du mot de passe
  9. Vol à l’ancienne
  10. Réutilisation du mot de passe

1. Attaques par force brute

Une attaque par force brute est une attaque de mot de passe de base effectuée par des pirates lorsqu’ils tentent à grande échelle d’accéder à un réseau à l’aide de longues listes de mots de passe communs ou compromis. Même un ordinateur de classe « gaming » peut « deviner » des milliards de mots de passe chaque seconde, en utilisant la puissance du processeur haute puissance d’aujourd’hui. Il essaie de manière proactive de deviner le mot de passe des comptes d’utilisateurs légitimes « par la force ».

2. Attaque de dictionnaire

Une attaque par dictionnaire est une méthode de piratage par force brute décrite ci-dessus qui utilise de grandes bases de données de mots de passe communs comme source, un peu comme un dictionnaire. Il est utilisé pour pénétrer dans des actifs protégés par mot de passe en entrant chaque mot dans un dictionnaire et des dérivés de ces mots connus sous le nom de mots de passe ou phrases clés leetspeak et précédemment divulgués. Par exemple, les pirates savent que les utilisateurs substituent souvent l’orthographe des mots en utilisant des chiffres et des caractères comme substitutions. Un exemple est le mot de passe [email protected]$$w0rd.

  • Étapes de prévention – Longueur du mot de passe/phrases secrètes supérieures à 20 caractères, bloquer les modèles incrémentiels/communs, protection par mot de passe violé, dictionnaire personnalisé, MFA.
  • Une attaque par dictionnaire a été utilisée sur 4 janvier 2009 par un hacker connu uniquement sous le nom de GMZ pour compromettre un compte administrateur, puis modifier les mots de passe de comptes célèbres, notamment le président élu Barack Obama, Britney Spears et d’autres.

3. Pulvérisation de mot de passe

Une attaque par pulvérisation de mot de passe évite la détection ou le verrouillage d’un compte individuel en essayant un ou deux mots de passe communs sur de nombreux comptes, services et organisations différents. Les attaquants utilisent cette méthode pour éviter le seuil de verrouillage de compte qui peut être défini entre trois et cinq tentatives incorrectes que l’on trouve couramment dans de nombreuses organisations.

En essayant un seul mot de passe de moins que le seuil de verrouillage, l’attaquant peut essayer avec succès de nombreux mots de passe dans l’organisation sans être arrêté par les mécanismes de protection par défaut trouvés dans Active Directory. L’attaquant choisit des mots de passe couramment utilisés par les utilisateurs finaux, des formules mathématiques pour deviner les mots de passe ou utilise des mots de passe piratés qui ont déjà été exposés dans des vidages de mots de passe en ligne.

4. Bourrage d’informations d’identification

Credential Stuffing est un piratage automatisé où des combinaisons de noms d’utilisateur et de mots de passe volés sont lancées lors du processus de connexion pour s’introduire. Les informations d’identification peuvent être extraites de grandes bases de données de comptes et de mots de passe réels qui sont (malheureusement) facilement disponibles à l’achat en ligne. Avec un taux de réussite allant jusqu’à 2 %, les credential stuffers représentent plus de 90 % de tout le trafic de connexion sur bon nombre des plus grands sites Web du monde et une multitude de violations de données de seconde main.

5. Hameçonnage

Le phishing est une attaque séculaire utilisée depuis des décennies. Cependant, quel que soit son âge, il est étonnamment toujours très efficace. Les attaques de phishing visent à manipuler les gens pour qu’ils effectuent des actions ou divulguent des informations confidentielles et sont généralement tentées par e-mail. Par exemple, les attaquants se font passer pour des organisations ou des services légitimes pour inciter les utilisateurs à donner des informations sur leur compte.

D’autres e-mails de phishing utilisent des « tactiques alarmistes avec urgence » pour inciter les utilisateurs à donner rapidement des informations. Un e-mail peut contenir une formulation telle que « urgent, votre compte a été piraté ». Jouant sur les émotions de l’utilisateur final, les attaquants amènent les utilisateurs à divulguer des informations lorsqu’ils pensent les protéger. Dans les organisations où des appareils personnels sont utilisés, les cybercriminels peuvent utiliser ces tactiques de phishing pour inciter les utilisateurs finaux à renoncer à leurs informations d’identification d’entreprise.

  • Étapes de prévention – Formation de sensibilisation à la cybersécurité, MFA, configuration des bannières email, configuration du serveur de messagerie (DKIM, SPF, etc.)
  • Une série de e-mails de harponnage envoyés aux employés de Sony s’est soldé par le vol de plus de 100 téraoctets de données d’entreprise, y compris des fichiers récemment publiés, des dossiers financiers et des données clients.

6. Attaque d’enregistreur de frappe

Une attaque par enregistreur de frappe est utilisée pour enregistrer des informations sensibles telles que les informations de compte saisies. Cela peut impliquer à la fois du logiciel et du matériel. Par exemple, les logiciels espions peuvent enregistrer des frappes au clavier pour voler diverses données sensibles, des mots de passe aux numéros de carte de crédit. Si un attaquant a un accès physique à l’ordinateur d’un utilisateur final, un périphérique matériel physique peut être placé en ligne avec le clavier pour enregistrer les frappes saisies.

7. Ingénierie sociale

L’ingénierie sociale englobe une gamme d’activités malveillantes pour manipuler les gens afin qu’ils effectuent des actions ou divulguent des informations confidentielles, y compris le phishing, le vishing, les médias sociaux, l’appâtage et le talonnage. Par exemple, les attaques de phishing sont une forme d’ingénierie sociale où les attaquants vous trompent en leur donnant des informations sensibles telles que des mots de passe, des informations bancaires ou le contrôle de votre ordinateur ou appareil mobile.

L’ingénierie sociale essaie généralement d’exploiter les inclinations naturelles de la nature humaine. Il est généralement beaucoup plus facile pour un attaquant de vous inciter à vous donner les informations de votre mot de passe que de pirater un mot de passe par d’autres moyens.

  • Étapes de prévention – formation de sensibilisation, méthodes MFA sécurisées, par exemple, pas de questions secrètes
  • Le célèbre Attaque d’ingénierie sociale RSA SecurID de 2011 consistait en deux e-mails de phishing différents qui persuadaient les employés d’ouvrir un document Excel pour installer une porte dérobée. Cela a conduit à la compromission des jetons RSA SecurID.

8. Réinitialisation du mot de passe

Une attaque de réinitialisation de mot de passe est une technique d’ingénierie sociale classique pour accéder à un réseau qui consiste à appeler le service d’assistance, à se faire passer pour quelqu’un d’autre et à demander un nouveau mot de passe. Le pirate n’a qu’à convaincre le personnel du service d’assistance de lui fournir le nouveau mot de passe au lieu d’essayer de le deviner ou de le déchiffrer. C’est particulièrement un danger pour les grandes organisations où le personnel du service d’assistance peut ne pas connaître personnellement tous les employés. Cela est également devenu beaucoup plus courant à mesure que la main-d’œuvre passe à un modèle hybride ou entièrement à distance, car la vérification de l’utilisateur final n’est pas aussi simple que de dire bonjour en personne.

  • Prévention – Vérification / MFA au service d’assistance, formation de sensibilisation, réinitialisation de mot de passe en libre-service (SSPR) avec MFA
  • L’attaque MitM de réinitialisation de mot de passe c’est très simple et efficace comme le montrent plusieurs études.

9. Le vol à l’ancienne

Écrire des mots de passe est une activité courante et très dangereuse. Le classique « post-it avec le mot de passe principal » collé au moniteur peut facilement se transformer en une violation totale de la cybersécurité. L’application de complexité dans les mots de passe peut amener les utilisateurs à les écrire. L’utilisation de phrases secrètes est une meilleure option pour les mots de passe mémorables qui n’ont pas besoin d’être documentés et laissés ouverts aux regards indiscrets. Si vos utilisateurs finaux jonglent avec plusieurs mots de passe pour des systèmes critiques, utilisez un gestionnaire de mots de passe. Les post-it sur un moniteur ou un bureau sont un grand non-non.

10. Réutilisation du mot de passe

La réutilisation des mots de passe conduit souvent à des systèmes compromis. La recherche a identifié plus de 70% des employés réutilisent les mots de passe au travail. Le partage de mots de passe entre comptes personnels et d’entreprise laisse votre réseau vulnérable au compte. Si le forum amateur auquel vous vous êtes inscrit est piraté et que vous utilisez le même mot de passe dans un compte d’entreprise, votre mot de passe se retrouvera sur le dark web et les systèmes de l’entreprise deviendront rapidement vulnérables.

Gagnez en visibilité sur vos principaux risques de mot de passe avec Specops Password Auditor

Auditeur de mot de passe Specops est un outil d’audit de mot de passe gratuit qui analyse votre environnement Active Directory pour identifier les vulnérabilités liées aux mots de passe et auditer vos politiques de mot de passe existantes par rapport aux recommandations de conformité réglementaire courantes. Il y a 14 domaines d’intérêt au total, avec un PDF exporté de tous les problèmes flagrants et comment les résoudre. Récemment, Specops a inclus un rapport sur l’âge des mots de passe dans le cadre de Specops Password Auditor afin que les administrateurs informatiques puissent voir efficacement l’âge des mots de passe dans leurs environnements.

Ci-dessous, le tableau de bord Specops Password Auditor montre rapidement les risques de mot de passe dans Active Directory.

Specops Password Auditor permet de voir les risques de mot de passe dans votre environnement Active Directory
Specops Password Auditor permet de voir les risques de mot de passe dans votre environnement Active Directory

Dans notre engagement envers la cybersécurité pour tous, nous gardons le Specops Password Auditor totalement gratuit et en tant qu’outil en lecture seule, ce qui signifie que nous ne collectons aucune information de son utilisation. Vous pouvez le vous dans votre AD à tout moment, ici.

Sponsorisé par Forces spéciales