Qu'est-ce que la pulvérisation de mots de passe et comment protéger vos mots de passe contre elle?
Lorsque nous parlons de la sécurité de nos comptes, nous parlons généralement de mots de passe parce que les gens supposent souvent que si votre mot de passe est compromis, votre compte est compromis. Ce n'est pas tout à fait vrai, cependant. Même s'ils ont le mot de passe, les pirates ne peuvent pas s'introduire sans l'autre élément d'information que vous entrez sur la plupart des formulaires de connexion - le nom d'utilisateur. Les gens ne réalisent tout simplement pas l'importance du nom d'utilisateur. Les pirates, cependant, le font. C'est ainsi qu'ils ont inventé une attaque appelée pulvérisation par mot de passe.
Table of Contents
Mot de passe quoi?!
Habituellement, lorsque des escrocs veulent compromettre un compte, ils prennent le nom d'utilisateur (qui est souvent notre adresse e-mail) et l'essayent en combinaison avec de nombreux mots de passe différents. Ils utilisent des outils automatisés qui s'appuient soit sur de longues listes de mots de passe courants, soit sur un algorithme qui mélange les caractères au hasard. Il s'agit de l'attaque par force brute typique dans laquelle les criminels ont déjà identifié l'utilisateur, et ils ont juste besoin de trouver le mot de passe.
Dans une attaque par pulvérisation de mot de passe, c'est l'inverse. Ils savent (ou plutôt supposent) qu'au moins un utilisateur a utilisé un mot de passe donné. Ils ont juste besoin de savoir qui est cette personne. Pour ce faire, ils ont besoin de deux listes - une avec des mots de passe et une avec des noms d'utilisateur. La liste des mots de passe est beaucoup plus courte qu'elle ne le serait dans un effort de force brute traditionnel, et les entrées qu'elle contient doivent être pertinentes (par exemple, s'ils montent une attaque contre les utilisateurs d'Amazon, les pirates informatiques s'assureraient que "amazon "se situe quelque part en haut de la liste des mots de passe). Quant aux noms d'utilisateur, la façon dont ils sont collectés dépend de la cible.
Les escrocs prennent le premier mot de passe de la liste (par exemple, "amazon") et l'essaient en combinaison avec tous les différents noms d'utilisateur. Ensuite, ils prennent le deuxième mot de passe et font de même, et ainsi de suite. Selon la cible, l'objectif est de compromettre autant d'utilisateurs que possible ou de se diviser en un seul compte, ce qui donnerait aux escrocs la possibilité d'infiltrer davantage le système.
Quand les pirates utilisent-ils la pulvérisation par mot de passe?
En toute justice, bien que vous ne deviez certainement pas utiliser "amazon" comme mot de passe pour votre compte Amazon, nous devrions probablement noter qu'une attaque par pulvérisation de mot de passe sur une grande plate-forme en ligne n'est pas très probable. Il est vrai que beaucoup de gens utilisent des mots de passe atrocement simples, mais il est inutile de prendre l'un de ces mots de passe et de l'essayer avec des millions et des millions d'adresses e-mail.
Il est beaucoup plus facile de prendre une base de données qui a été divulguée lors d'un incident de violation de données et d'essayer une attaque de bourrage d'informations d'identification, par exemple. Même si vous n'avez pas de fuite de données, le nombre presque illimité de noms d'utilisateurs possibles rend la devinette du mot de passe une approche beaucoup plus pratique.
Dans un environnement d'entreprise, cependant, les choses sont très différentes. Habituellement, dans une organisation, il y a un nombre limité de tentatives de connexion infructueuses pour chaque compte, ce qui signifie que les pirates ne peuvent pas essayer une adresse e-mail avec des dizaines de milliers de mots de passe différents dans l'espoir de deviner la bonne combinaison. Le mécanisme de verrouillage interviendra probablement bien avant qu'il ne parvienne à trouver un match.
En même temps, dans une entreprise, il y a un certain nombre (pas très important) d'employés, donc pas autant de noms d'utilisateurs possibles. Souvent, les obtenir est aussi simple que d'ouvrir la page À propos de nous. Et en ce qui concerne le mot de passe, car ils savent qui ils essaient de compromettre, les pirates peuvent faire une supposition plus éclairée. Par exemple, s'ils attaquent Nike, ils sont beaucoup plus susceptibles d'inclure "Just-do-it!" dans leur liste de mots de passe plutôt que "adidas-rocks!", par exemple.
Soudain, une attaque par pulvérisation de mot de passe commence à avoir beaucoup plus de sens et se protéger, vous et votre entreprise, devient une nécessité.
Empêcher une attaque par pulvérisation de mots de passe réussie
En mars, Microsoft, les développeurs d'Azure AD, un système de gestion des identités utilisé par de nombreuses entreprises, ont vu une augmentation du nombre d'attaques par pulvérisation de mots de passe, et ils ont dressé une liste de conseils qui sont censés aider les administrateurs système à fortifier les systèmes de leurs entreprises et prévenir l'intrusion.
Comme vous l'avez peut-être déjà deviné, il y a beaucoup de choses que vous pouvez faire pour empêcher une attaque par pulvérisation de mot de passe - limiter l'accès depuis l'extérieur du bureau, verrouiller les adresses IP qui font trop de tentatives de connexion infructueuses, embaucher une équipe de tests de pénétration pour évaluer l'état de votre l'infrastructure informatique de l'entreprise, etc. Il y a cependant quelques étapes plus simples qui peuvent faire le travail - implémenter l'authentification multifacteur pour tous les utilisateurs et utiliser des mots de passe plus complexes.
N'oubliez pas qu'une attaque par pulvérisation de mot de passe repose toujours sur la supposition d'un mot de passe créé par un être humain. Les êtres humains, comme nous l'avons établi dans de nombreux autres articles, ne sont pas terriblement doués pour créer des mots de passe difficiles à deviner. Interdisez les mots de passe évidents et simples et, idéalement, forcez les utilisateurs à utiliser un gestionnaire de mots de passe qui non seulement créera des mots de passe complexes mais les stockera également.
L'authentification multifacteur est l'autre mécanisme simple qui peut arrêter une attaque par pulvérisation de mot de passe sur ses traces. Même avec la combinaison correcte de nom d'utilisateur et de mot de passe, les pirates ne peuvent pas s'introduire si une information supplémentaire est requise. Les bons systèmes de gestion d'identité ont différents mécanismes d'authentification multifactoriels. Tous les administrateurs système doivent les vérifier et voir celui qui convient le mieux à leurs besoins.
La pulvérisation de mots de passe peut sembler beaucoup de travail, mais vous ne devez pas oublier que nous parlons d'un environnement d'entreprise où la compromission d'un seul compte donne parfois aux pirates la possibilité de se déplacer dans le système. C'est pourquoi, la menace ne doit pas être sous-estimée et les précautions nécessaires doivent être mises en place.