Les attaques hybrides contre les mots de passe fusionnent plusieurs techniques de craquage pour amplifier leur efficacité.
Ces approches combinées exploitent les points forts de différentes méthodes, accélérant ainsi le processus de décryptage des mots de passe.
Dans cet article, nous allons nous pencher sur les attaques hybrides : ce qu’elles sont et leurs types les plus courants.
Nous verrons également comment votre organisation peut s’en prémunir.
L’approche mixte des attaques hybrides
Les pirates informatiques sont toujours à la recherche de moyens plus efficaces pour déchiffrer les mots de passe. Les attaques hybrides leur permettent de combiner deux techniques de piratage différentes en une seule attaque.
En intégrant différentes méthodologies d’attaque, les pirates peuvent profiter des atouts associés à chaque méthode, augmentant ainsi leurs chances de succès.
Les attaques hybrides ne se limitent pas au piratage des mots de passe. Les cybercriminels combinent régulièrement des cyberattaques techniques avec d’autres tactiques, comme l’ingénierie sociale. En approchant la cible sous plusieurs angles, les pirates créent une situation de menace complexe contre laquelle il est plus difficile de se défendre.
Types courants d’attaques contre les mots de passe
Lors d’une attaque hybride contre les mots de passe, les pirates combinent généralement deux techniques distinctes : la force brute et les attaques par dictionnaire.
En combinant l’itération rapide d’une attaque par force brute avec une liste des mots de passe les plus couramment utilisés, les pirates peuvent rapidement essayer de nombreuses combinaisons d’informations d’identification.
Les attaques par force brute
Représentez-vous une attaque par force brute comme un pirate informatique qui s’en prendrait à la porte d’entrée de votre organisation avec un bélier et la frapperait à plusieurs reprises jusqu’à ce qu’il parvienne à entrer.
Dans le cas de ces attaques persistantes et flagrantes, les cybercriminels utilisent des logiciels pour tenter à plusieurs reprises toutes les combinaisons de caractères possibles jusqu’à ce qu’ils trouvent la clé de déchiffrement ou le mot de passe correct.
Une attaque par force brute est plus efficace dans les situations où le mot de passe d’un utilisateur est court ou peu complexe ; les attaquants utilisent des termes de base courants trouvés dans les listes de dictionnaires pour se donner une longueur d’avance.
Les attaques par dictionnaire
Se souvenir des mots de passe peut être pénible, c’est pourquoi nous sommes nombreux à réutiliser le même mot de passe sur différents sites ou à nous appuyer sur des normes de création de mot de passe simples (par exemple, commencer par une majuscule et terminer par un chiffre) pour nous faciliter la tâche.
Mais les pirates informatiques profitent de cette situation en utilisant des attaques par dictionnaire pour accélérer le processus pendant lesquels ils devinent les mots de passe.
Lors d’une attaque par dictionnaire, le cybercriminel utilise une liste de mots de passe probables, notamment des mots de passe fréquemment utilisés (Password123), des phrases courantes (iloveyou) ou des suites de clavier (ASDFG) pour augmenter ses chances.
Les attaques par masque
L’attaque au masque est un type spécifique d’attaque par force brute, dans laquelle le pirate connaît les exigences de construction de mot de passe d’une organisation et peut orienter ses suppositions sur les mots de passe qui répondent à ces exigences.
Par exemple, le pirate peut savoir qu’une organisation exige que les mots de passe des utilisateurs commencent par une majuscule, contiennent huit caractères et se terminent par un chiffre, ce qui lui permet de mieux configurer ses paramètres d’attaque.
En réalité, si un pirate dispose d’une quelconque information sur la composition d’un mot de passe, son attaque hybride peut se réaliser beaucoup plus rapidement.
Se défendre contre les attaques hybrides contre les mots de passe
Les attaques de mots de passe hybrides sont très efficaces parce qu’elles utilisent plusieurs techniques afin de cibler simultanément les faiblesses de la politique de mots de passe d’une entreprise.
Pour créer une défense solide contre les attaques hybrides, votre organisation doit développer des stratégies conçues pour éliminer les mots de passe faibles ou compromis, puis créer des politiques de mots de passe plus fortes qui vous aideront à rester en sécurité à l’avenir.
Les pirates adoptent une approche multicouche pour leurs attaques, et votre organisation devrait de la même manière superposer les couches de défenses de sécurité. Ces stratégies spécifiques sont les suivantes :
Mise en œuvre de l’authentification multifacteurs (MFA)
L’un des meilleurs moyens de ralentir (ou de prévenir) un piratage est l’authentification multifacteurs, qui oblige les utilisateurs à s’authentifier avec plus qu’un simple mot de passe.
Avec la MFA, vous pourrez peut-être empêcher un pirate d’accéder à votre système même s’il parvient à déchiffrer un mot de passe.
Bien qu’aucune stratégie (MFA comprise) ne puisse garantir une sécurité à 100 %, la mise en œuvre de MFA est une étape importante dans votre stratégie de sécurité des mots de passe.
Exigez des mots de passe plus longs
Les pirates informatiques aiment les cibles faciles, et plus un mot de passe est long, plus il leur demandera de temps pour effectuer des attaques par force brute.
La réalité est qu’à partir d’une certaine longueur de mots de passe, il devient difficile pour les pirates informatiques de réussir à effectuer des attaques par force brute.
Nous recommandons aux utilisateurs de créer des passphrases de 20 caractères ou plus — par exemple, en combinant trois mots aléatoires comme « chaussures-poignée de porte-chenille ». Cela permet d’atténuer efficacement le risque d’une attaque par force brute.
Prévenir l’utilisation des mots de passe faibles et des modèles de mots de passe
Comme nous l’avons vu, de nombreux pirates informatiques s’appuient sur des mots de passe contenant des mots ou des modèles couramment utilisés pour rendre leur piratage plus rapide et plus facile.
Il est donc logique que si vous pouvez empêcher les utilisateurs de recourir à ces mots ou ces modèles, vous contribuerez à assurer la sécurité de votre organisation.
Audit des mots de passe compromis
Empêcher les utilisateurs de créer des mots de passe faibles grâce à une politique de mot de passe forte est une excellente stratégie, mais elle peut être dépassée si des mots de passe sont compromis lors d’une attaque par phishing ou lors d’une violation de données.
C’est pourquoi il est également très important de tirer le meilleur d’outils capables d’analyser votre Active Directory à la recherche de mots de passe compromis.
Specops Password Auditor par exemple, est un outil gratuit, en lecture seule, qui identifie les mots de passe Active Directory compromis. En analysant les mots de passe de vos utilisateurs par rapport à une liste constamment mise à jour de plus d’un milliard de combinaisons de mots de passe uniques compromis, vous pouvez rapidement déterminer quels comptes sont à risque et prendre des mesures immédiates pour les sécuriser. Téléchargez Specops Password Auditor gratuitement ici.
Specops peut vous aider à défendre votre organisation contre les menaces hybrides
Les menaces hybrides tirent parti de plusieurs méthodes d’attaque et se défendre contre elles nécessite une approche à plusieurs niveaux. Utiliser un outil tel que Specops Password Policy permet de faire respecter les exigences en matière de mots de passe, guider les utilisateurs vers la création de passphrases complexes et longues, et d’analyser en permanence votre Active Directory par rapport à notre base de données de 4 milliards de mots de passe compromis connus.
Plus les mots de passe de vos utilisateurs sont forts, moins ils risquent d’être victimes d’attaques hybrides. Avec les outils Specops, vous pouvez adopter une approche hybride de la sécurité, garantissant ainsi la sécurité de vos données et de vos systèmes.
Prêt à renforcer votre sécurité contre les menaces hybrides ? Inscrivez-vous pour un essai gratuit de Specops Password Policy dès aujourd’hui.