Les attaques par brute-force

Si vous avez l’actualité Une nouvelle attaque sur les paiements en ligne de VISA ?, vous avez constaté que le système de paiement VISA est sensible aux attaques par bruteforce.
Dans mon précédent billet Sécuriser un serveur SSH, je parle aussi de ces attaques par brute-force.

Un dossier concernant ce type d’attaque, qu’est-ce que les attaques par brute-force et comment s’en protéger.

bruteforce-attack-logo

Présentation des attaques par brute-force

Les attaques par brute-force consistent à trouver un mot de passe ou une clé à travers des tentatives successives.
Il s’agit donc de casser le mot de passe en tentant des combinaisons successives jusqu’à trouver la bonne.
Cela peut aller de tentatives alphanumériques : a, aa aaa, ab, abb, abbb etc.
ou partir d’un dictionnaire de mot de passe les plus souvent utilisés.

Les services des serveurs sur internet sont particulièrement visés à travers des ordinateurs qui envoient des requêtes successives sur internet.
Dans ce cas précis, des noms d’utilisateurs courants sont tentés : root, admin, administrator, demo, john etc.
Et des mots de passe courant : 1234, admin, fuck etc
Des ordinateurs infectés envoient des requêtes en continuent pour tenter de trouver des comptes en ligne « faciles ».

On distingue donc les attaques online qui s’attaquent à des services internet (WEB, FTP, SSH, Mail).
Les attaques dit offline, pour casser un mot de passe d’un zip, d’un utilisateur d’un OS ou autres.
Ces attaques locales ppeuvent aussi viser des comptes en ligne récupérés.. ou un hash d’un compte administrateur récupéré par une injection SQL.

Mais aussi des mots de passes hachés/chiffrés qui peuvent avoir été récupérés depuis des Piratage/Hack : massif de comptes en ligne.
Le but étant de trouver le mot de passe à partir de son hash/version chiffrée.
Une fois la base récupérée, l’attaquant peut attaquer les comptes en local puisqu’il possède la base de données et donc tous les hashs.
Il existe même des bases de données de conversion version chiffrées (MD5, SHA1 etc) <> mot de passe.

bruteforce_md5

Certains protocoles peuvent être plus faciles à cracker, à cause de faiblesse.
En clair donc, des faiblesses peuvent aider à cracker plus facilement des mots de passe.
Notamment le protocole WEP (Wired Equivalent Privacy) pour les réseaux Wifi, le point d’accès répondait systématiquement à tout paquet sans limite de quantité, permettant ainsi une meilleure efficacité avec l’augmentation des vitesses des points d’accès.

Dans le premier lien donné, en introduction, le système bancaire VISA, ne possède aucune protection contre les tentatives.
Ainsi, vous pouvez envoyer un nombre illimité de requêtes sans que le système ne vous bloque.
Vous pouvez donc plus facilement trouver la clé CVV.

Pour les attaques par brute-force en offline, cela peut concerner des mots de passe de fichiers archives (zip, rar etc).
Mot de passe de compte Windows etc.

Bref, les attaques par brute-force peuvent être effectuées sur tout ce qui contient un mot de passe ou une clé d’accès.

Enfin, il existe aussi des attaques plus complexes contre des algorithmes de chiffrement, notamment une avait été utilisé permettant la récupération de fichiers du ransomware TeslaCrypt : Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Quelques exemples d’attaque sur les mots de passe

Plusieurs intérêts, récupérer l’accès à une machine pour effectuer des opérations malicieuses, comme héberger du contenu malicieux.
Récupérer des données ou encore d’autres accès par rebond sur un réseau.

cracker mot de passe Windows

Il existe bien entendu des outils pour cracker un mot de passe Windows.
S’il s’agit d’une perte de mot de passe, il est beaucoup plus rapide de changer ce dernier, au lieu de tenter de le trouver :

Ophcrack est par exemple un programme qui permet de cracker les mots de passe Windows.
Vous trouverez plus bas dans ce tutoriel un exemple de tentative de cracks pour illustrer l’importance des mots de passe complexes :

bruteforce_mot_passe_ophcrack_cracker_mot_de_passe_windows

Brute-force WordPress

Le Brute-force WordPress consiste à envoyer des requêtes sur des sites WordPress afin de trouver des comptes utilisateurs.
En général, l’utilisateur par défaut est admin.
L’utilisateur peut aussi être trouvé facilement, puisqu’il apparaît en auteur des posts.

Des malwares Windows ont aussi été utilisés pour effectuer ces attaques bruteforce sur WordPress.
Vous trouvez des informations sur la page : Les attaques brute force contre WordPress

WordPress_Bruteforce

Sathurbot en vidéo avec le mode de propagation avec les attaques par brute force contre WordPress et l’injection de DLL :

Brute-force SSH

Tout serveur reçoit des tentatives de bruteforce SSH, c’est le protocole le plus visé.
Les utilisateurs visés sont souvent des utilisateurs par défaut comme root ou admin ou des prénoms américains.

Ci-dessous, un exemple d’attaque bruteforce sur le service SSH :

bruteforce_ssh_2 bruteforce_ssh

Des Trojan.PsyBNC qui avaient été installés suite à des attaques Bruteforce SSH.
Ce tweet et celui-là montrent que le but était de les louer ou de les vendre.

Les chinois raffolent des attaques Bruteforce SSH,FTP etc. Lorsqu’ils arrivent à pénétrer, ils installent des backdoors Linux pour se constituer un botnet afin d’effectuer différents types d’attaques DoS / DDoS. L’Operation Distributed Dragon en est un bel exemple.

Bref, cela permet d’installer des malwares/virus pour Linux.

Brute-force compte mail

Les comptes mails sont très intéressant pour les cybercriminels puisqu’ils peuvent être utilisés pour spammer depuis un serveur « sain », c’est à dire n’étant pas blacklisté.
Sachant que les comptes postmaster ou webmaster sont très courants, ils peuvent faire l’objet d’attaque par brute-force sur le SMTP.
Si l’attaquant parvient à casser le mot de passe, il est alors possible d’envoyer des mails de SPAM depuis cette adresse.

Brute-force RDP / VNC

Il s’agit ici de récupérer des accès à des machines, soit pour effectuer des opérations de vols, soit de rebonds selon si on tombe sur un réseau.
Dernièrement les terminal serveur avec des comptes ayant des mots de passe faibles ont été visés.
Si l’attaquant obtient un accès administrateur, il installe un ransomware, Les ransomwares .XTBL ont été particulièrement actifs de ce côté là.

Le filtrage de ces services et une bonne gestion pour ce type de service est donc de mise.

Protection contre le brute-force

La meilleure protection reste une bonne gestion des couples utilisateurs et mots de passe.
L’utilisation de mot passe complexe étant donc très important.

Comprenez que la plupart du temps, il s’agit d’attaque automatisée, là, si vraiment ça fonctionne, c’est que vous un mot de passe vraiment faible.

Mot de passe complexe

Un mot de passe complexe rend l’opération tellement difficile qu’il peut tout simplement décourager l’attaquant ou demander trop de ressources.
Quand ont parle de bon mot de passe, on parle de longueur et mixer les lettres majuscules/minuscules chiffres et caractères spéciaux.
Cela étend considérablement les combinaisons pour casser le mot de passe.
La page suivante donne les règles et conseils à suivre : Comment choisir un mot de passe fort et sécurisé (et sans souvenir)

Le total des combinaisons étant le nombre de caractères à la puissance de la longueur du mot de passe.
Par exemple, un mot de passe composés de seulement des caractères minuscules de longueur 3, donne un total de combinaisons à tester de : 26^3 = 17576
de longueur 8 : 26^8= 208827064576 combinaisons.

La longueur joue beaucoup donc.

  • Nombre (0 à 9) donc 10 chiffres.
  • Caractères (A-Z ou a-z); 26 caractères minuscules et 26 caractères majuscules soit donc 52.
  • Caractères Spéciaux (!, @, ., #, $, %, ^, &,* etc), soit donc au total 32.

Pour un mot de passe de longueur 8 qui accepte les chiffres, majuscules, minuscules et caractères spéciaux, on atteint donc (10+52+32)^8= 6,095689385×10¹⁵

Le site suivant donne les vitesse pour cracker un mot de passe, selon le nombre de combinaisons et la vitesse de l’ordinateur : http://www.lockdown.co.uk/?pg=combi&s=articles
(Le site est en anglais).

Les tableaux sont triés par classe.
Partez du principe que votre ordinateur est de Class E.bruteforce_mot_passe_temps_cracker_2

Comme vous pouvez le constater, un mot de passe de 26 caractères, ne vit que 35 min.
bruteforce_mot_passe_temps_cracker

Cela devient intéressant quand on a une combinaison de 62 caractères de longueurs 8 et au delà.

bruteforce_mot_passe_temps_cracker_3

Bref, plus vous avez de combinaisons, mieux c’est, car plus l’attaquant devra y passer du temps et des ressources.
Cela peut vite le décourager.

Pour illustrer pourquoi les mots de passe complexes sont importants, j’ai fait une vidéo avec ophcrack qui tente de cracker des mots de passe d’utilisateurs Windows.
Les mots de passe les plus complexes ne sont pas trouvés :

Pour les serveurs

La détection des attaques est possible pour les services WEB, SSH ou FTP.

  • Une bonne politique de mot de passe : forcer les mots de passe complexe, changer ces derniers régulièrement
  • des programmes de détections peuvent bloquer certaines IPs si des attaques brute-force sont détectées notamment Fail2ban.
  • Filtrer les accès aux services (filtrage IPs etc).
  • Pour les serveurs WEB : Vous pouvez aussi protéger les accès aux pages de logging, soit avec un htaccess, soit en changeant le nom de la page. Détecter les attaques et faire apparaitre un captacha est aussi très utile.
  • Protéger les comptes sensibles par une double authentification (envoie de SMS) ou des services comme Google Authentificator

Autres attaques

Les liens du site autour d’autres types d’attaques :

Pour tout ce qui est sécurité, voir le menu en haut Virus & Sécurité mais aussi le tag Sécurité.

(Visité 1 079 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet