Les attaques par brute-force viser à tenter de cracker les mots de passe.
En général, ces derniers sont sous la forme d’un hash ou empreinte numérique.
On peut alors tenter de casser celle-ci.
Il s’agit souvent de tenter successivement un mot de passe jusqu’à trouver le bon.
Cela peut se faire à partir d’un dictionnaire ou des combinaisons de lettres, chiffres et caractères successives.
Voici un guide complet concernant ce type de cyberattaque, qu’est-ce que les attaques par brute-force et comment s’en protéger.
Table des matières
Les attaques par brute-force : comment ça marche ?
Les attaques par brute-force consistent à trouver un mot de passe ou une clé à travers des tentatives successives.
Il s’agit donc de casser le mot de passe en tentant des combinaisons successives jusqu’à trouver la bonne.
Cela peut aller de tentatives alphanumériques : a, aa aaa, ab, abb, abbb etc.
ou partir d’un dictionnaire de mot de passe les plus souvent utilisés.
Les services des serveurs sur internet sont particulièrement visés à travers des ordinateurs qui envoient des requêtes successives sur internet.
Dans ce cas précis, des noms d’utilisateurs courants sont tentés : root, admin, administrator, demo, john etc.
Et des mots de passe courant : 1234, admin, fuck etc
Des ordinateurs infectés envoient des requêtes en continuent pour tenter de trouver des comptes en ligne “faciles”.
On distingue donc les attaques online qui s’attaquent à des services internet (WEB, FTP, SSH, Mail).
Les attaques dit offline, pour casser un mot de passe d’un zip, d’un utilisateur d’un OS ou autres.
Ces attaques locales peuvent aussi viser des comptes en ligne récupérés.. ou un hash d’un compte administrateur récupéré par une injection SQL.
Les mots de passe hachés
Mais aussi des mots de passes hachés ou chiffrés qui peuvent avoir été récupérés depuis des Piratage/Hack : massif de comptes en ligne.
Le but étant de trouver le mot de passe à partir de son hash/version chiffrée.
Une fois la base récupérée, l’attaquant peut attaquer les comptes en local puisqu’il possède la base de données et donc tous les hashs.
Il existe même des bases de données de conversion version chiffrées (MD5, SHA1 etc) <> mot de passe.
Certains protocoles peuvent être plus faciles à cracker, à cause de faiblesse.
En clair donc, des faiblesses peuvent aider à cracker plus facilement des mots de passe.
Notamment le protocole WEP (Wired Equivalent Privacy) pour les réseaux Wifi, le point d’accès répondait systématiquement à tout paquet sans limite de quantité, permettant ainsi une meilleure efficacité avec l’augmentation des vitesses des points d’accès.
Dans le premier lien donné, en introduction, le système bancaire VISA, ne possède aucune protection contre les tentatives.
Ainsi, vous pouvez envoyer un nombre illimité de requêtes sans que le système ne vous bloque.
Vous pouvez donc plus facilement trouver la clé CVV.
Pour les attaques par brute-force en offline, cela peut concerner des mots de passe de fichiers archives (zip, rar etc).
Mot de passe de compte Windows etc.
Bref, les attaques par brute-force peuvent être effectuées sur tout ce qui contient un mot de passe ou une clé d’accès.
Enfin, il existe aussi des attaques plus complexes contre des algorithmes de chiffrement, notamment une avait été utilisé permettant la récupération de fichiers du ransomware TeslaCrypt : Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)
Quelques exemples d’attaque sur les mots de passe
Plusieurs intérêts, récupérer l’accès à une machine pour effectuer des opérations malicieuses, comme héberger du contenu malicieux.
Récupérer des données ou encore d’autres accès par rebond sur un réseau.
Cracker mot de passe Windows par Brute-Force
Il existe bien entendu des outils pour cracker un mot de passe Windows.
S’il s’agit d’une perte de mot de passe, il est beaucoup plus rapide de changer ce dernier, au lieu de tenter de le trouver : Réinitialiser le mot de passe perdu ou oublié sur Windows 10.
Ophcrack est par exemple un programme qui permet de cracker les mots de passe Windows.
Le principe est simple, on extrait les NTLM Hash depuis le Security Account Manager (SAM).
Ophcrack se base sur les tables arc-en-ciel pour cracker ces hash et ainsi trouver le mot de passe de l’utilisateur Windows.
Vous trouverez plus bas dans ce tutoriel un exemple de tentative de cracks pour illustrer l’importance des mots de passe complexes.
Cracker le mot de passe d’un fichier PDF ou ZIP, RAR ou 7z par BruteForce
On peut protéger l’accès aux fichiers PDF, ZIP, RAR et 7z en ajoutant un mot de passe.
Cela chiffre le fichier (souvent en AES) et le mot de passe sert de clé de déchiffrement.
J’en parle dans ces articles :
- Comment mettre un mot de passe sur un fichier PDF
- Comment créer une archive ZIP, 7z protégée par un mot de passe
Les attaques par Bruteforce peuvent aider à trouver le mot de passe faible.
Il existe des outils gratuits comme John The Ripper, Hashcat, Kraken.
Mais aussi des payants.
Ici on trouve le mot de passe d’un PDF facilement car à 4 lettres.
Plus de détails :
Même chose ci-dessous avec le mot de passe d’un fichier compressé 7z.
Brute-force WordPress
Le Brute-force WordPress consiste à envoyer des requêtes sur des sites WordPress afin de trouver des comptes utilisateurs.
En général, l’utilisateur par défaut est admin.
L’utilisateur peut aussi être trouvé facilement, puisqu’il apparaît en auteur des posts.
Des malwares Windows ont aussi été utilisés pour effectuer ces attaques bruteforce sur WordPress.
Vous trouvez des informations sur la page : Les attaques brute force contre WordPress
Sathurbot en vidéo avec le mode de propagation avec les attaques par brute force contre WordPress et l’injection de DLL :
Brute-force SSH
Tout serveur reçoit des tentatives de bruteforce SSH, c’est le protocole le plus visé.
Les utilisateurs visés sont souvent des utilisateurs par défaut comme root ou admin ou des prénoms américains.
Ci-dessous, un exemple d’attaque bruteforce sur le service SSH :
Des Trojan.PsyBNC qui avaient été installés suite à des attaques Bruteforce SSH.
Ce tweet et celui-là montrent que le but était de les louer ou de les vendre.
Les chinois raffolent des attaques Bruteforce SSH, FTP etc. Lorsqu’ils arrivent à pénétrer, ils installent des backdoors Linux pour se constituer un botnet afin d’effectuer différents types d’attaques DoS / DDoS. L’Operation Distributed Dragon en est un bel exemple.
Bref, cela permet d’installer des malwares/virus pour Linux.
Pour s’en protéger :
Brute-force compte mail
Les comptes mails sont très intéressant pour les cybercriminels puisqu’ils peuvent être utilisés pour spammer depuis un serveur “sain”, c’est à dire n’étant pas blacklisté.
Sachant que les comptes postmaster ou webmaster sont très courants, ils peuvent faire l’objet d’attaque par brute-force sur le SMTP.
Si l’attaquant parvient à casser le mot de passe, il est alors possible d’envoyer des mails de SPAM depuis cette adresse.
Brute-force RDP / VNC
Il s’agit ici de récupérer des accès à des machines, soit pour effectuer des opérations de vols, soit de rebonds selon si on tombe sur un réseau.
Dernièrement les terminal serveur avec des comptes ayant des mots de passe faibles ont été visés.
Si l’attaquant obtient un accès administrateur, il installe un ransomware, Les ransomwares .XTBL ont été particulièrement actifs de ce côté là.
Le filtrage de ces services et une bonne gestion pour ce type de service est donc de mise.
Des logiciels pour cracker des hashs et attaque par brute force
Dans cet article, nous avons vu OpCrack.
Mais il existe aussi d’autres logiciels.
Il existe par exemple John the ripper.
Mais on peut aussi utiliser hashcat qui est capable d’utiliser le GPU de la carte graphique pour accélérer le burteforce.
Il existe d’ailleurs un article sur ce dernier sur le site :
Se protéger des attaques par brute force
Voici un article et guide complet pour se protéger de ces attaques par internet.
Liens
- Les attaques DDoS : Le déni de service
- Le phishing ou hameçonnage par mail : le détecter et s’en protéger
- Qu’est-ce qu’une attaque par ingénierie sociale
- Les attaques par brute-force : cracker un mot de passe
- Qu’est-ce que le Hijack DNS et comment s’en protéger
- Typosquatting : Attaque par de faux sites malveillants
- Drive-By Download : infecter les ordinateurs par le WEB
- Clickjacking : les fraudes et détournement au clic
- Les Cryptojacking : Minage de crypto-monnaie en JavaScript (JS:Miner, CoinHive, CoinBlind, etc)