Les attaques par force brute consistent à tester de manière répétée des mots de passe jusqu'à ce que l'un d'entre eux fonctionne. Le hacker peut essayer des combinaisons aléatoires, des mots de passe courants, des codes ayant fait l'objet de fuites, ou des variantes faciles à deviner, telles que des noms, des dates de naissance ou de simples séquences de touches.
Ces attaques peuvent viser les messageries électroniques, les services bancaires, les réseaux sociaux, les comptes de stockage dans le cloud, les comptes professionnels et presque tous les autres services protégés par mot de passe. Elles sont très proches du « credential stuffing », sans pour autant être identiques. Les attaques par force brute consistent à deviner ou à tester des mots de passe potentiels. Le « credential stuffing » utilise des identifiants et des mots de passe qui ont déjà été divulgués lors d'une autre fuite de données.
Force brute simple
Le hacker teste de nombreuses combinaisons de lettres et de chiffres sur un compte. Les mots de passe complexes rendent cette tâche beaucoup plus difficile, mais les mots de passe courts ou évidents sont toujours susceptibles d'être devinés.
Attaques par dictionnaire
Plutôt que d'essayer des combinaisons aléatoires, le hacker utilise des listes de mots de passe courants, de noms, d'expressions et de variantes prévisibles. Ces attaques sont particulièrement efficaces contre les mots de passe simples.
« Credential stuffing »
Les cybercriminels ont recours à des identifiants et mots de passe divulgués lors de fuites de données antérieures ou obtenus par le biais d'attaques d'hameçonnage, et les testent sur différents sites et services. Cette technique est particulièrement efficace lorsque les utilisateurs réutilisent les mêmes mots de passe sur plusieurs comptes.
« Password spraying »
Le cybercriminel essaie un mot de passe courant sur de nombreux comptes. Cela permet d'éviter le verrouillage de compte provoqué par un nombre trop élevé de tentatives infructueuses sur un même compte.
Comment fonctionnent les attaques par force brute ?
La plupart des attaques par force brute suivent un mode opératoire simple : trouver une page de connexion, tester les mots de passe possibles et vérifier si la connexion aboutit. L'automatisation rend ce processus bien plus rapide, car elle évite à l'auteur de l'attaque de saisir manuellement les combinaisons une par une.
1
Choix de la cible
Le cybercriminel choisit un compte, une page de connexion, un portail d'entreprise ou une liste de noms d'utilisateur. Les adresses e-mail publiques et les identifiants des employés exposés peuvent faciliter cette tâche.
2
Génération des combinaisons
Les hackers compilent des mots de passe potentiels à partir de listes de mots courants, de données divulguées, d'informations personnelles et de motifs prévisibles, comme les saisons, les années, les noms ou de simples permutations de chiffres.
3
Lancement des tentatives
Des outils automatisés testent un grand nombre de mots de passe. Certaines attaques se déroulent rapidement, tandis que d’autres sont délibérément ralenties afin d’éviter de déclencher des verrouillages ou des alertes de sécurité.
4
Vérification des accès
Lorsqu’un mot de passe fonctionne, l'auteur de l'attaque peut vérifier si l’authentification multifacteur (MFA) est activée, enregistrer les informations du compte ou rechercher des comptes associés et des données confidentielles.
5
Utilisation du compte
Le hacker peut réinitialiser les mots de passe, récupérer des fichiers, diffuser des messages frauduleux, accéder aux services associés ou utiliser le compte pour accéder à d'autres systèmes, personnes ou comptes.
Quelques exemples concrets d'attaques par force brute
Les attaques par force brute ne touchent pas uniquement les grandes entreprises ou les systèmes très sophistiqués. De nombreuses tentatives fructueuses reposent sur des mots de passe vulnérables, des identifiants réutilisés ou des identifiants exposés, qui permettent aux cybercriminels d'accéder aux comptes courants et aux services professionnels.
Attaques visant les comptes Roku — 2024
Roku a révélé avoir été victime de deux attaques par « credential stuffing » ayant touché plus de 590 000 comptes clients. Les auteurs de ces attaques ont utilisé des identifiants et des mots de passe divulgués lors de fuites de données antérieures afin de tenter de se connecter à des comptes Roku utilisant ces mêmes identifiants. Certains comptes ont été utilisés pour effectuer des achats non autorisés avant que ces activités ne soient détectées et que les utilisateurs ne soient invités à réinitialiser leurs mots de passe.
Attaque de 23andMe par « credential stuffing » — 2023
Les auteurs de l'attaque ont utilisé des techniques de « credential stuffing » pour accéder à des milliers de comptes 23andMe à l'aide d'informations issues de fuites de données antérieures. Ils ont ainsi pu accéder à des informations confidentielles via des fonctionnalités comme la recherche de parents génétiques. Cet incident a démontré que la réutilisation de mots de passe peut compromettre des données très personnelles, même lorsque la fuite concerne un autre service.
Attaque de Microsoft par « password spraying » — 2024
Le groupe de cybercriminels Midnight Blizzard a eu recours à la technique du « password spraying » pour cibler les comptes de la société Microsoft et tester des identifiants vulnérables ou réutilisés sur différentes plateformes. Cette campagne a mis en évidence la manière dont les pirates exploitent l'automatisation et les mots de passe facilement devinables pour obtenir un accès sans déclencher de blocage immédiat.
Risques et conséquences des attaques par force brute
Le risque majeur est l'accès non autorisé à vos comptes. Une fois qu'un hacker s'est introduit, les conséquences peuvent se propager rapidement si le compte est lié à une messagerie électronique, à des services de paiement, à des fichiers professionnels ou à d'autres plateformes.
Prise de contrôle d'un compte
Un cybercriminel peut modifier votre mot de passe, ajouter de nouvelles informations de récupération, bloquer votre accès ou utiliser le compte afin d'accéder à des services plus critiques.
Divulgation de données personnelles
Selon le compte compromis, des messages, des documents, des photos, des factures, des adresses enregistrées et des informations de paiement peuvent être révélés.
Fraude financière
Un compte piraté peut servir à effectuer des achats, à rediriger des paiements, à réinitialiser des identifiants bancaires ou à envoyer des messages frauduleux très convaincants à vos contacts.
Autres comptes vulnérables
Si vous réutilisez vos mots de passe, une seule connexion réussie peut exposer votre messagerie électronique, votre espace de stockage en ligne, vos comptes d'achat en ligne et vos outils professionnels.
Qui sont les cibles privilégiées des attaques par force brute ?
N'importe qui peut être pris pour cible, mais certaines pratiques de connexion et certains paramètres de compte favorisent les attaques par force brute.
Les personnes réutilisant des mots de passe
Les internautes qui réutilisent le même mot de passe pour des comptes de messagerie, bancaires, d'achats en ligne et de réseaux sociaux s'exposent davantage à des risques si ce mot de passe venait à être divulgué ou deviné.
Les utilisateurs utilisant des mots de passe vulnérables
Les mots de passe courts, les prénoms d'animaux de compagnie, les dates de naissance, les noms d'équipes sportives, les combinaisons de touches et les permutations prévisibles de chiffres permettent aux personnes malintentionnées de deviner plus facilement les mots de passe.
Petites entreprises
Les petites entreprises utilisant des comptes partagés, des mots de passe réutilisés ou des identifiants temporaires peu sécurisés peuvent être plus facilement ciblées si elles ne disposent pas d'un système de contrôle d'accès rigoureux ou d'une authentification multifacteur (MFA).
Télétravailleurs
Les personnes qui se connectent à leurs outils professionnels, à leur messagerie électronique et à leurs apps cloud depuis différents endroits s'exposent à un risque accru de compromission de leur compte si l'authentification multifacteur (MFA) n'est pas activée.
Comment vous protéger contre les attaques par force brute ?
La meilleure protection consiste à rendre les mots de passe plus difficiles à deviner et à limiter les conséquences si l'un d'entre eux venait à être divulgué. Ces mesures sont simples, mais elles réduisent considérablement les risques.
Utilisez des mots de passe uniques
Créez un mot de passe fort et différent pour chaque compte important. Un gestionnaire de mots de passe peut vous aider à enregistrer en toute sécurité des mots de passe complexes sans avoir à tous les mémoriser.
Activez l'authentification MFA
L'authentification multifacteur ajoute une étape supplémentaire à la connexion après la saisie de votre mot de passe. Elle permet d'empêcher de nombreuses tentatives de piratage, même si votre mot de passe est deviné ou volé.
Évitez les codes évidents
Ne misez pas sur des noms, des dates de naissance, des saisons, des équipes sportives ou de légères variantes d'anciens mots de passe. Ce sont souvent les premières cibles des hackers.
Surveillez les alertes de connexion
Soyez vigilant face aux courriels de connexion inattendus, aux messages de réinitialisation de mot de passe, aux demandes d'authentification multifacteur ou aux alertes de localisation. Ceux-ci peuvent être les premiers signes de tentatives d'accès non autorisées.
Protégez votre Mac
Veillez à maintenir macOS et vos navigateurs à jour, évitez les téléchargements suspects et utilisez des outils de sécurité fiables pour Mac afin de réduire les risques liés aux logiciels malveillants, qui peuvent entraîner le vol de mots de passe.
Comment Intego ONE contribue-t-il à renforcer la sécurité de vos comptes sur votre Mac ?
Les attaques par force brute se produisent au moment de la connexion à un compte ; les logiciels antivirus ne sont donc pas en mesure de bloquer les tentatives de deviner un mot de passe sur un service en ligne. Mais votre Mac joue tout de même un rôle important. Intego ONE pour Mac contribue à protéger l'appareil que vous utilisez pour vos mots de passe, vos courriels, vos opérations bancaires, vos fichiers et vos connexions quotidiennes.
Le pare-feu d'Intego vous alerte lorsque des apps tentent d'établir des connexions nouvelles ou inhabituelles, ce qui vous permet d'autoriser ou de bloquer les activités que vous ne reconnaissez pas.
Meilleures pratiques en ligne
Un Mac bien protégé peut contribuer à réduire le risque d'être exposé à des téléchargements frauduleux, à de faux programmes d'installation et à d'autres menaces susceptibles d'entraîner le vol de mots de passe ou la compromission de comptes.
Protection plus complète pour Mac
Intego ONE regroupe un antivirus, un pare-feu, un VPN et des outils de nettoyage dans une seule et même app, ce qui vous permet de gérer la sécurité quotidienne de votre Mac avec plus d'assurance et de visibilité.
Les attaques par force brute commencent généralement par cibler un compte ou une page de connexion, puis recourent à des tentatives automatisées afin de tester différents mots de passe possibles. Certaines attaques se déroulent rapidement, tandis que d'autres sont menées plus lentement afin d'éviter le verrouillage des comptes. Le mode opératoire est souvent le même, du choix de la cible au test de multiples mots de passe et à la vérification des accès.
Non. Les attaques par force brute consistent généralement à deviner ou à tester des mots de passe possibles, tandis que le « credential stuffing » repose sur l'utilisation de noms d'utilisateur et de mots de passe divulgués lors de fuites antérieures. Ces deux techniques visent à accéder aux comptes, mais les modes opératoires diffèrent. Les attaques par « credential stuffing » et « password spraying » sont étroitement liées aux attaques par force brute, car elles s'appuient également sur un grand nombre de tentatives de connexion.
Parmi les signes révélateurs, citons les alertes de connexion inattendues, les courriels répétés de réinitialisation de mot de passe, les demandes inhabituelles d'authentification multifacteur (MFA), les verrouillages de compte ou les connexions depuis des emplacements inconnus. Ces signes ne corroborent pas toujours une attaque par force brute, mais il convient de les vérifier rapidement. Soyez attentif aux alertes de connexion et aux avertissements liés à l'authentification multifacteur (MFA) ; cela peut vous aider à détecter rapidement toute activité suspecte.
Intego ne peut pas directement bloquer les tentatives de piratage de mot de passe visant un compte en ligne, car ces attaques se produisent au niveau du service de connexion lui-même. Intego peut toutefois vous aider à protéger le Mac que vous utilisez pour gérer vos mots de passe, vos courriels, vos opérations bancaires et vos fichiers. Des fonctionnalités comme la détection des logiciels malveillants et la surveillance des connexions peuvent contribuer à diminuer les risques de sécurité.
Intego
Fiable. Éprouvé. Performant.
Mû par l'innovation depuis plus de 25 ans, Intego fournit des solutions de cybersécurité avancées conçues pour protéger ce qui importe le plus : vos données, votre vie privée et vos appareils.
Grâce à son antivirus, son pare-feu, son VPN et ses outils d'optimisation système primés, Intego associe une puissante protection à la simplicité et à la fiabilité chères aux utilisateurs d'ordinateurs Mac et PC.