Les attaques sur les mots de passe

Les attaques sur les mots de passe
Image par Gerd Altmann de Pixabay

Nous l’avons vu dans le principe de l’authentification et de vérification, les mots de passe ne sont pas infaillibles. Les attaques sur mots de passe pour s’en emparer peuvent être de plusieurs types :

  • directe (en « devinant » le mot de passe)
  • indirecte (en utilisant la ruse pour récupérer le mot de passe)

Les attaques sur mots de passe directes

Les attaques directes sont celles par lesquelles un attaquant va s’attaquer de manière très concrète à votre mot de passe ou au système d’authentification.

Ce type d’attaque lui permet de récupérer vos identifiants et mot de passe pour se connecter ensuite sur votre compte en utilisant les mêmes moyens que les vôtres.

Attaques par force brute

L’attaque par force brute est la première attaque à connaître car il s’agit de l’attaque direct la plus simple.

Elle consiste tout simplement à tester tous les mots de passe possibles un à un jusqu’à tomber sur le bon, c’est pourquoi elle est souvent considérée comme l’attaque la moins rapide.

Un individu malveillant pourra par exemple utiliser un programme qui testera automatiquement et successivement les mots de passe : « a…,b…,c…,aa…,ab…,ac… » … et ainsi de suite jusqu’à trouver le bon mot de passe.

Le dictionnaire, un classique des attaques sur mots de passe

L’attaque par dictionnaire suppose que vous avez utilisé un mot de passe facile à retenir, comme un lieu de naissance, un prénom, une date marquante ou des combinaisons de ces différents éléments.

Dans ce cas, l’attaquant peut recourir à l’ingénierie sociale pour trouver des informations concernant, par exemple en cherchant sur les réseaux sociaux, et réussir plus rapidement son attaque.

Pour préparer cette attaque, les attaquants fabriquaient des « dictionnaires » composés d’une liste de mots de passe potentiels contenant des mots de passe du dictionnaire (de la langue française ou étrangère), avec plus ou moins de personnalisation selon la personne, la nationalité, l’âge, etc.

Les dictionnaires prêts à l’emploi et adapté à la langue de la cible sont disponibles sur internet, certains plus complets que d’autre, et aussi s’acheter où s’échanger entre attaquants.

Notez que les attaques par force brute commencent très souvent par des attaques par dictionnaire, afin de tester les mots de passe les plus vraisemblables dans un premier temps.

Les attaques par permutation

Une variante de l’attaque par dictionnaire et l’attaque par permutation. Elle consiste à fabriquer des dictionnaires en modifiant certains caractères. Les attaquants se servent ainsi des ruses utilisées par la plupart d’entre vous par exemple arobase à la place du « a », le chiffre 0 à la place d’un « o », ajouter 123 après le mot de passe, etc.

Le dictionnaire est l’ensemble des mots « communs » (qu’ils soit génériques où spécifiques à la victime) les règles de permutation vont effectuer les transformations sur les mots de passe volés en changeant par exemple le mot ballon par « b@llon » ou encore « b@110n ».

Vitesse d’attaque

Notez que la vitesse de compromission des mots de passe varie selon que l’attaque se déroule en ligne (c’est à dire en interagissant avec le service) où hors ligne (c’est-à-dire que l’attaque peut être menée sans accès au réseau). En effet, avec les attaques en ligne un attaquant est confronté à plusieurs problématiques comme la vitesse du réseau, et performances du serveur, ou encore là limitation du nombre d’essais.

En revanche, ces paramètres n’affecte pas les attaques hors ligne qui sont plus rapides et plus discrètes. Pour améliorer l’efficacité de son attaque, l’attaquant peut disposer de ces machines propres, utiliser des machines de calcul louer, où exploiter un réseau d’ordinateurs compromis (botnet).

Attaques sur mots de passe distribuées

L’attaque peut être facilitée lorsqu’il est possible de la « distribuer », autrement dit de répartir la charge de travail entre plusieurs ordinateurs en testant un ensemble de mots de passe en parallèle.

Ainsi, un programme testant toutes les possibilités de mots de passe d’un forum en ligne peut être lancé sur 10 000 ordinateurs, rendant alors 10 000 fois plus rapide le temps de recherche du mot de passe.

Les attaques de proximité

D’autres attaques nommées « attaque de proximité » regroupe toutes les attaques qui seront sans intermédiaire, qu’il s’agisse d’humains ou de machines.

Il peut s’agir d’un coup d’œil au-dessus de votre épaule lors de vos opérations au distributeur automatique de billets, ou encore d’un visiteur dans l’entreprise qui regarde sous le clavier s’il n’y a pas un post-it ou si le mot de passe de l’équipe n’est pas noté sur un tableau

Les prestataires de services externes à l’entreprise et disposant d’un accès aux locaux sont également des attaques de proximité possibles. On désigne ces attaques par le terme anglais « evil maid attack ».

D’autres attaques peuvent être plus sophistiquées comme un hall de gare avec une caméra équipée d’un bon zoom, ou plus complexe mais très efficace, comme deviner le mot de passe par écoute du spectre électromagnétique du clavier dans la salle, comme l’a réalisé l’école polytechnique fédérale de Lausanne en 2008.

Extrait d'un article sur les attaques sur mots d epasse

Piégeage du poste

Une autre attaque consiste à piéger un matériel informatique (poste de travail, téléphone portable, équipements de paiement, etc.).

Ce piégeage peut concerner n’importe quelle partie de l’équipement : Port USB, carte mère, disque dur, clavier, lecteur de carte, etc.

Ces attaques nécessitent que l’attaquant ait un accès physique au matériel, ce qui lui fait prendre un risque. Mais l’enjeux peut en valoir la peine et c’est la raison pour laquelle ces attaques sont malgré tout non seulement réalistes mais même assez courantes (en particulier, dans le monde de la magnétique).

Certaines attaques peuvent être combinées : elles profitent d’un défaut de conception du matériel (port Fire Wire à une certaine époque) pour récupérer des données (mot de passe par exemple) ou modifier le système d’exploitation en fonctionnement

Quelques secondes peuvent suffire et il est quasiment impossible de s’en rendre compte. Les attaques matérielles sont souvent très difficiles à détecter.

C’est pourquoi, si vous pensez que votre équipement contient des données suffisamment sensibles pour qu’il puisse être la cible, vous devez le conserver en permanence sous votre contrôle (sur vous ou dans un lieu réputé sûr).

Keylogger USB

Plutôt que de mener une attaque complexe, un attaquant pourra donc se contenter de compromettre votre poste pour y récupérer des mots de passe.

Des keyloggers, ou enregistreur de frappe sont ainsi disponibles pour une cinquantaine d’euros, branché au niveau du port USB de votre poste, ou directement au niveau de la carte mère.

Ces enregistreurs peuvent ensuite être récupérés par l’attaquant, mais ces dispositifs peuvent aussi parfois envoyer des frappes enregistrées par réseau WiFi ou 3G.

Il suffit alors un individu malveillant de les brancher entre votre câble USB de leur clavier et votre unité centrale pour récupérer l’ensemble des caractères que vous saisissez au clavier donc vous mot de passe.

Programme malveillant

ce piégeage peut aussi être réalisé par un programme malveillant (virus, maliciel, etc.) qui lui aussi enregistrera toutes les frappes de clavier et transmettra par internet aux individus qui contrôlent le programme en question.

Certains sont mises à disposition gratuitement sur internet.

D’autres, plus perfectionnés, sont en vente libre (leur prix varie généralement en fonction de leur capacité de contournement de protection antivirus).

Des attaques sur la mémoire

Notez que lorsque le disque dur d’un ordinateur n’est pas chiffré, il est possible d’en extraire beaucoup d’informations sans avoir besoin de connaître le mot de passe de l’utilisateur.

Pour éviter que vos mots de passe ne soient facilement interceptés, ne les écrivez pas sur un post-it, ne les sauvegardez pas dans des fichiers textes utilisés comme mémo et il ne les partagez pas par e-mail.

Des solutions de chiffrement sont encore assez peu utilisées mais elles permettent de rendre le contenu du disque dur illisible par un individu malveillant qui ne possède pas le mot de passe de déchiffrement.

D’autres attaques font également appel à des lits que nos logis beaucoup plus évolué, permettant de récupérer des mots de passe directement dans la mémoire vive du post, tels que les attaques par démarrage à froid.

Celle-ci consiste à couper l’alimentation de la poste allumé, par exemple le poste de l’utilisateur ayant verrouiller, puis à remettre les composants sous tensions au sein d’un poste contrôlé par attaquants. Les mémoires volatiles (aussi appelé RAM) conserve alors les traces du contenu de la session précédente.

Les attaques indirectes sur mots de passe

Un autre type d’attaque sur mot de passe, l’attaque indirecte, permet également de récupérer vos mots de passe.

A l’inverse des attaques directes qui volent vos mots de passe sur vos postes ou lors de vos frappes au clavier, les attaques indirectes utilisent la ruse pour vous piéger et récupérer vos informations d’authentification à votre insu.

L’ingénierie sociale est une technique fréquemment utilisée par la pirates pour vous atteindre et accéder à vos informations par la ruse.

Rappelez-vous ce que nous avons vu dans les précédentes unités, l’hameçonnage qui tire son nom de la pêche en anglais, consiste à tendre un hameçon, sous la forme d’un mail, d’un message de forum, d’un SMS, d’une fausse pub, etc. Il suffit ensuite d’attendre que nous autres, petits poissons, mordions à l’hameçon et donnions à l’attaquant ce qu’il veut.

Hameçonnage

Qui n’a jamais reçu d’email indiquant que son compte de messagerie, ou qu’un service web un tant soit peu connu, soit suspecté de malveillance ou piraté ?

Initialement rédigés dans un français douteux, ces courriers vous incitent à cliquer sur une lien web pour résoudre le problème et c’est là que les ennuis commencent en réalité, puisque le lien ne mène pas à « monservicemail.com » mais à « monservicemaii.com », ou encore vers le très convainquant « monserviceemail.com ».

Les services de transport postal, web-marchands, magasins d’applications, services de cloud, messageries en ligne, site bancaires etc. sont souvent l’objet de campagnes d’hameçonnage.

Souvent, l’individu malveillant a pris la précaution de positionner le lien sur une image Web qui affiche bien la bonne orthographe, mais qui dirige vers une adresse contrôlée par un pirate.

Il a également pu créer un sous-domaine qui semble à première vue correcte et qui peut se présenter sous la forme : http://monservicemail.domaine.com.

Cette technique consistant à réserver un nom de domaine proche du nom légitime s’appelle le typo squattage.

Ces différentes ruses n’ont qu’un seul objectif : vous emmener sur un site conçu par l’attaquant et qui ressemble en tout points au service attendu, mais qui se contente de récupérer vos identifiants. Dès que vous saisissez ceux-ci, le site de l’attaquant pourra alors prétexter une erreur réseau ou tout simplement les utiliser pour se connecter au service de messagerie officiel et vous y rediriger, rendant l’attaque alors quasiment invisible.

Ce dernier exemple s’applique à quiconque, mais lorsque c’est une entreprise privée ou une administration publique qui est visée, l’attaque peut être beaucoup plus ciblée et donc redoutablement efficace : utilisation des adresses électroniques du support informatique, signature avec l’adresse d’un collègue de confiance, envoi de plusieurs mails coordonnées, etc.

Cette technique utilisée par les pirate consiste à se renseigner sur vous pour déjouer les mécanismes de recouvrement qui reposent souvent sur une question secrète

Il y a quelque années, la solution la plus utilisée sur de nombreux sites pour résoudre le problème de la perte du mot de passe était la « question secrète ».

Ce genre d’informations n’étant, de manière générale, pas confidentiel, il s’suffit à l’attaquant de se renseigner un minimum sur sa cible, voire de lui demander directement les réponses à ses questions en se faisant passer pour un service municipal ou tout autre possibilité selon l’inventivité de l’attaquant et le manque de vigilance de la victime.

Illustration des attaques sur mots de passe par piégeage

Utilisation d’information personnelles

Les méthodes de recouvrement, plus modernes, présentent elles aussi des risques. Elles sont basées sur l’envoi de SMS et la récupération à partir d’adresses électroniques de secours. En effet, les SMS peuvent être interceptés avec du matériel d’interception téléphonique (IMSI catcher), ou d’autres méthodes.

Notez cependant que ces moyens techniques évolués sont rarement utilisés sur les utilisateurs lambda et qu’ils nécessitent de se trouver « au bon endroit » et « au bon moment » pour fonctionner.

Pour la plupart des usages courants, les SMS représentent donc un « second facteur » d’authentification adapté.

Attaque sur mot de passe

Autres possibilités

Nous avons parlé des attaques sur le mot de passe. Mais le même principe peut être utilisé pour vous pousser à donner à un attaquant l’accès à vos informations sensibles : document de travail, ou encore coordonnées de collègues qui serviront à faciliter de futures attaques, etc.

Il est malheureusement impossible d’être exhaustif quant aux possibilités d’attaques de manière générale. Mais c’est encore plus vrai dans le domaines de l’ingénierie sociale où l’inventivité des attaquants trouve peu de limites.

Réutilisation de mots de passe

Il est possible pour une entreprise ou un fournisseur de services sur le web de disposer d’un système d’information à l’état de l’art de la sécurité et de voir certains de ses utilisateurs piratés sans que la sécurité du système en lui-même ne présente de défaut. En effet, de nombreux utilisateurs utilisent aujourd’hui encore le même mot de passe pour un certain nombre de sites.

Les pirates se contentent alors d’attaquer des sites à la sécurité faible tels que des forums amateurs ou d’acheter sur des marchés parallèles des listes de mots de passe de sites piratés, puis de réutiliser les mots de passe obtenus sur des sites plus rentables, tels que des sites bancaires ou des services de messagerie.

Interception réseau

Enfin, un autre type d’attaque indirecte utilise les interceptions réseaux.

Celles-ci interviennent lorsqu’un pirate a pu se placer sur le lien de la communication. Il peut dans certains cas, lire les échanges non chiffrés (mails, recherches internet, etc.) ou encore les modifier, par exemple en se plaçant sur le même réseau Wifi de l’hôtel dans lequel vous résidez.

De nombreuses attaques sont possible. L’attaquant peut par exemple se faire passer pour votre correspondant et ainsi récupérer des données attaquées.

Il peut également forcer l’utilisation de protocole obsolètes ou de technologies moins sécurisées pour exploiter des vulnérabilités connues.

A titre d’exemple, nous avons cité l’outil IMSI Catcher permettant d’intercepter les communications téléphoniques. Notons que cet outil reste incapable de percer le chiffrement des nouvelles technologies mais se contente de les brouiller.

Les téléphones, afin de continuer à fournir le service téléphonique, choisissent alors des méthodes plus anciennes, comme si vous étiez en montagne dans une zone couverte en 2G mais pas en 4G, et l’attaque peut alors se faire.

Ce principe se retrouve sur la plupart des communications et nécessite un compromis entre sécurité et continuité de service. Rares sont les cas où nous acceptons de ne pas accéder au service car la sécurité n’est plus au rendez-vous.

Une information de type question secrète ou date de naissance n’est, de manière générale, pas confidentielle. Un attaquant peut facilement se renseigner sur sa cible. Il peut aussi se faire passer pour un service pour récupérer ce type d’informations.

Les méthodes plus modernes basées sur l’envoi de SMS et la récupération à partir d’adresses mail de secours présente elles aussi des risques.

Nous avons vu en effet, que même s’ils ne sont pas utilisés pour les utilisateurs « lambda », il existe des moyens techniques permettant d’intercepter ces SMS.

Pour la plupart des utilisateurs, les SMS représentent un bon moyen de renforcer son authentification par mot de passe.

Enfin, la notification de connexion par courriel peut aussi être intéressante. On la choisira pour des services que l’on n’utilise pas au quotidien et qui sont particulièrement critiques. Cela peut en effet permettre de détecter la compromission d’un compte.

Maxime Hinderschiett

Maxime Hinderschiett

Passionné d'informatique notamment dans les domaines de la virtualisation et de la sécurité des données. Je suis actuellement administrateur système et réseaux dans un service SI au sein d'une entreprise dijonnaise tournée vers les collectivités territoriales. Depuis l'entrée en vigueur du RGPD le 27 avril 2016, j'ai pu également mettre mon savoir-faire au service de mes collaborateurs et de nos clients. Je reste à l'affût des nouvelles technologies et des outils de domotique. Je travaille actuellement avec David sur de nombreux sujets qui nous tiennent à cœur et c'est pourquoi il m'a gentiment invité à partager les sujets qui m'animent.

Laisser un commentaire