« Admin », « 123456 »: ces mots de passe protégeant vos accès à distance bien trop vulnérables

"Admin", "123456": ces mots de passe protégeant vos accès à distance bien trop vulnérables


Les chercheurs de la société de cybersécurité Rapid7 ont examiné comment les pirates informatiques s’attaquaient aux principaux protocoles d’accès à distance aux réseaux d’entreprise. Selon leur étude, vous avez intérêt à renforcer la robustesse de vos mots de passe.

Attaques opportunistes 

Car les attaquants ciblent en premier lieu des mots de passe faibles, tels que « admin », « password » et « 123456 ». Pour Rapid7, les attaquants utilisent en effet de manière opportuniste une petite poignée de noms d’administrateurs et de mots de passe avant de passer à autre chose. Il ainsi fréquent de voir une adresse IP essayer un seul nom d’utilisateur et un seul mot de passe, comme « root:root » ou « admin:admin », ce qui suggère qu’il s’agit d’un processus automatisé et peut-être d’un botnet.

Les identifiants les plus courants essayés par les attaquants pour le protocole Remote Desktop Protocol (RDP) sont « Administrator » et « administrator ». Cela est probablement dû au fait que RDP fonctionne généralement sous Windows et que le compte administrateur par défaut s’appelle « administrator ».

Pour le protocole Secure Shell (SSH), les deux noms d’utilisateur les plus courants sont « root » et « admin ». Un choix qui s’explique aisément. La plupart des distributions Linux sont livrées avec un utilisateur nommé « root », tandis que « admin » est le nom d’utilisateur par défaut courant dans les routeurs et les appareils IoT. Les mots de passe les plus tentés par les attaquants sont « 123456 » et « password ».

Des accès à distance ciblés par les cybercriminels 

Les deux protocoles RDP et SSH sont largement utilisés pour gérer les machines virtuelles dans le cloud. Compte-tenu de la popularité croissante de l’informatique en nuage et du travail à distance, les chercheurs estiment qu’il est important de savoir comment les attaquants ciblent ces systèmes. RDP est par exemple l’une des principales cibles des gangs de rançongiciel.

Pour réaliser son étude, Rapid7 a examiné pendant les neuf premiers mois de l’année 2022 les informations d’identification utilisées par les attaquants pour compromettre son réseau de pots de miel RDP et SSH. Au cours de cette période, elle a observé des dizaines de millions de tentatives de connexion à ses pots de miel et l’utilisation d’un demi-million de mots de passe uniques. Ces pots de miel font partie du Projet Heisenberg de l’entreprise. 

Pas de mots de passe aléatoires 

L’entreprise a ensuite comparé les données enregistrées avec la liste de mots de passe « rockyou », qui comprend huit milliards de noms d’utilisateur et de mots de passe utilisés par les testeurs d’intrusions et les attaquants.

Deux listes qui correspondent presque parfaitement pour Rapid7. Et la société d’en déduire que les pirates s’attaquant aux accès à distance « ne génèrent pas de mots de passe véritablement aléatoires, mais travaillent au contraire entièrement à partir de listes de mots de passe devinables ».

Pour contrer ces attaquants, le principal conseil de Rapid7 est de modifier les informations d’identification par défaut et de désactiver les comptes d’administrateur local et invité lorsque cela est possible. Cela n’empêchera pas les attaques ciblées, mais cela permettra de lutter contre les attaques opportunistes. Utilisez également un gestionnaire de mots de passe.

Les préconisations de l’entreprise 


Pour protéger leurs accès à distance RDP et SSH, les organisations devraient également utiliser un réseau privé virtuel (VPN). Elles devraient en outre restreindre les connexions à distance pour qu’elles ne fonctionnent que via des hôtes authentifiés par VPN. Enfin, pour empêcher la plupart des attaques par force brute, il peut être utile de changer les ports.


« Pour les accès RDP, la meilleure protection consiste à restreindre l’accès via des pare-feu et des groupes de sécurité réseau, de sorte que les instances exposées ne soient accessibles qu’à partir d’adresses IP de confiance », remarque l’entreprise.

Pour Rapid7, la sécurisation des accès SSH passe par la désactivation de l’authentification par mot de passe au profit de celle par certificat. Il est également fortement conseillé de limiter le nombre d’utilisateurs, de désactiver SSH pour tous les comptes root et de modifier le nombre maximal de tentatives de connexion.


Source : « ZDNet.com »






Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.