Qu’est-ce qu’une attaque par pulvérisation de mots de passe ?
La pulvérisation de mots de passe est un type d'attaque par force brute au cours de laquelle un acteur malveillant tente d'utiliser le même mot de passe sur plusieurs comptes avant d'en essayer un autre. Les attaques par pulvérisation de mots de passe sont souvent efficaces, car de nombreux utilisateurs utilisent des mots de passe simples et faciles à deviner, comme « motdepasse » ou encore « 123456 ».
Dans de nombreuses organisations, les utilisateurs sont bloqués après un certain nombre de tentatives de connexion infructueuses. Comme les attaques par pulvérisation de mots de passe consistent à essayer un seul mot de passe sur plusieurs comptes, elles évitent les blocages de compte qui se produisent généralement lors d'une attaque par force brute d'un seul compte avec plusieurs mots de passe.
La pulvérisation de mots de passe se distingue par le fait qu'elle peut cibler des milliers, voire des millions d'utilisateurs différents en même temps, plutôt qu'un seul compte. Le processus est souvent automatisé et peut s'étaler dans le temps pour échapper à la détection.
Les attaques par pulvérisation de mots de passe ont souvent lieu lorsque l'application ou l'administrateur d'une organisation particulière définit un mot de passe par défaut pour les nouveaux utilisateurs. L'authentification unique et les plateformes basées sur le cloud peuvent également s'avérer particulièrement vulnérables.
Si la pulvérisation de mots de passe peut sembler simpliste par rapport à d'autres types de cyberattaques, même des groupes cybercriminels avertis y ont recours. Par exemple, en 2022, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une alerte sur les cyberacteurs parrainés par des États, énumérant les différentes tactiques qu'ils utilisent pour accéder à des réseaux ciblés – et la pulvérisation de mots de passe en faisait partie.
En quoi consiste une attaque par pulvérisation de mots de passe ?
Les attaques par pulvérisation de mots de passe comportent généralement les étapes suivantes :
Étape 1 : Les cybercriminels achètent une liste de noms d'utilisateurs ou créent leur propre liste
Pour lancer une attaque par pulvérisation de mots de passe, les cybercriminels commencent généralement par acheter des listes de noms d'utilisateurs, qui ont bien souvent été volées à diverses organisations. On estime que plus de 15 milliards d'identifiants sont en vente sur le Dark Web.
Les cybercriminels peuvent également créer leur propre liste en suivant le format des adresses email des entreprises – par exemple, prenom.nom@nomentreprise.com – et en utilisant une liste d'employés obtenue sur LinkedIn ou sur d'autres sources d'informations publiques.
Les cybercriminels ciblent parfois des groupes spécifiques d'employés (les employés financiers, les administrateurs ou les cadres supérieurs), car les approches ciblées peuvent donner de meilleurs résultats. Ils ciblent souvent les entreprises ou les départements qui utilisent des protocoles d'authentification unique (SSO) ou d'authentification fédérée – c'est-à-dire la possibilité de se connecter à Facebook avec ses identifiants Google, par exemple – ou qui n'ont pas mis en place l'authentification à plusieurs facteurs.
Étape 2 : Les cybercriminels obtiennent une liste de mots de passe courants
Les attaques par pulvérisation de mots de passe intègrent des listes de mots de passe courants ou utilisés par défaut. Il est relativement simple de connaître les mots de passe les plus courants : divers rapports ou études les publient chaque année, et Wikipédia propose même une page qui répertorie les 10 000 mots de passe les plus courants. Les cybercriminels peuvent également faire leurs propres recherches pour deviner les mots de passe, par exemple, en utilisant le nom d'équipes sportives ou de lieux importants situés à proximité de l'organisation ciblée.
Étape 3 : Les cybercriminels essaient différentes combinaisons de noms d'utilisateurs et de mots de passe
Une fois que le cybercriminel dispose d'une liste de noms d'utilisateurs et de mots de passe, son objectif est de les essayer jusqu'à ce qu'il trouve une combinaison qui fonctionne. Bien souvent, le processus est automatisé à l'aide d'outils de pulvérisation de mots de passe. Les cybercriminels utilisent un mot de passe pour plusieurs noms d'utilisateurs, puis répètent le processus avec le mot de passe suivant sur la liste, afin d'éviter de tomber sous le coup des stratégies de blocage ou des bloqueurs d'adresses IP qui limitent le nombre de tentatives de connexion.
Impact des attaques par pulvérisation de mots de passe
Lorsqu'un pirate informatique accède à un compte via une attaque par pulvérisation de mots de passe, il espère que ce compte contient des informations suffisamment précieuses pour être volées ou qu'il dispose d'autorisations suffisantes pour affaiblir davantage les mesures de sécurité de l'organisation afin d'accéder à des données encore plus confidentielles.
En cas de succès, les attaques par pulvérisation de mots de passe peuvent causer des dommages importants aux organisations. Par exemple, un pirate informatique utilisant des identifiants qui semblent valides peut accéder à des comptes financiers et effectuer des achats frauduleux. Si la fraude n'est pas détectée, elle peut avoir des conséquences financières importantes pour l'entreprise concernée. Le temps de rétablissement après une cyberattaque peut prendre jusqu'à quelques mois, voire plus.
En plus d'avoir une incidence sur les finances d'une organisation, la pulvérisation de mots de passe peut considérablement ralentir ou perturber les opérations quotidiennes. Les emails malveillants envoyés à travers l'entreprise peuvent réduire la productivité. Le piratage d'un compte professionnel par un pirate informatique peut lui permettre de voler des informations privées, d'annuler des achats ou de modifier la date de livraison de services.
Il y a également l'atteinte à la réputation : si une entreprise est victime d'une telle attaque, les clients sont moins enclins à croire que leurs données sont en sécurité dans cette entreprise. Ils risquent de s'adresser à d'autres entreprises, ce qui causera un préjudice supplémentaire.
Exemple de pulvérisation de mots de passe
« À la suite d'une attaque par pulvérisation de mot de passe contre ma banque, on m'a demandé de modifier mon mot de passe. Des acteurs malveillants ont pu essayer des millions de combinaisons de noms d'utilisateurs et de mots de passe pour se faire passer pour des clients de la banque, et malheureusement, j'étais l'un d'entre eux. »
Pulvérisation de mots de passe ou force brute
Une attaque par pulvérisation de mots de passe tente d'accéder à un grand nombre de comptes à l'aide de quelques mots de passe couramment utilisés. En revanche, les attaques par force brute tentent d'obtenir un accès non autorisé à un compte unique en devinant le mot de passe, bien souvent à l'aide de grandes listes de mots de passe potentiels.
En d'autres termes, les attaques par force brute utilisent plusieurs mots de passe pour chaque nom d'utilisateur. Tandis que la pulvérisation de mots de passe consiste à associer plusieurs noms d'utilisateurs à un seul mot de passe. Il s'agit de différentes façons d'effectuer des attaques d'authentification.
Reconnaître une attaque par pulvérisation de mots de passe
Les attaques par pulvérisation de mots de passe provoquent généralement des tentatives d'authentification fréquentes et infructueuses sur plusieurs comptes. Les organisations peuvent détecter les activités de pulvérisation de mots de passe en examinant les journaux d'authentification pour détecter les échecs de connexion aux systèmes et aux applications.
En général, les principaux signes d'une attaque par pulvérisation de mots de passe sont les suivants :
- Un volume élevé d'activités de connexion sur une courte période.
- Un pic de tentatives de connexion infructueuses de la part d'utilisateurs actifs.
- Des connexions à partir de comptes inexistants ou inactifs.
Se défendre contre les attaques par pulvérisation de mots de passe
Les organisations peuvent se protéger contre les attaques par pulvérisation de mots de passe en prenant les précautions suivantes :
Mettre en œuvre une stratégie de mots de passe forts
En imposant l'utilisation de mots de passe forts, les équipes informatiques peuvent minimiser le risque d'attaques par pulvérisation de mots de passe. Découvrez ici comment créer un mot de passe fort.
Mettre en place une détection des tentatives de connexion
Les équipes informatiques devraient également mettre en place une détection des tentatives de connexion à plusieurs comptes à partir d'un même hôte dans un court laps de temps, car il s'agit d'un indicateur clair de tentatives de pulvérisation de mots de passe.
Assurer des stratégies de blocage efficaces
La définition d'un seuil approprié pour la stratégie de blocage au niveau du domaine permet de se prémunir contre la pulvérisation de mots de passe. Le seuil doit être suffisamment bas pour empêcher les attaquants d'effectuer plusieurs tentatives d'authentification au cours de la période de verrouillage, mais pas trop bas pour éviter que les utilisateurs authentiques soient empêchés d'accéder à leur compte à cause de simples erreurs. Il devrait également y avoir une procédure claire pour déverrouiller et réinitialiser les utilisateurs de comptes vérifiés.
Adopter une approche de confiance zéro
L'une des pierres angulaires de l'approche de confiance zéro consiste à ne donner accès qu'à ce qui est nécessaire à tout moment pour accomplir la tâche en question. La mise en place de la confiance zéro au sein d'une organisation est une contribution essentielle à la sécurité du réseau.
Utiliser une convention de nom d'utilisateur non standard
Pour tout ce qui ne relève pas des adresses email, éviter de choisir des noms d'utilisateurs évidents, comme jean.pierre ou jpierre, qui sont les méthodes les plus courantes pour former les noms d'utilisateurs. Séparer les identifiants non standard pour les comptes d'authentification unique est un moyen d'échapper aux pirates informatiques.
Utiliser les données biométriques
Afin empêcher les pirates informatiques d'exploiter les faiblesses potentielles des mots de passe alphanumériques, certaines organisations exigent une connexion biométrique. Si la personne n'est pas présente, le pirate ne peut pas se connecter.
Soyez attentif aux modèles
Assurez-vous que les mesures de sécurité en place permettent d'identifier rapidement des modèles de connexion suspects, comme un grand nombre de comptes qui tentent de se connecter simultanément.
L'utilisation d'un gestionnaire de mots de passe peut s'avérer utile
Les mots de passe ont pour objectif de protéger les informations confidentielles contre les acteurs malveillants. Cependant, l'utilisateur moyen a aujourd'hui tellement de mots de passe qu'il peut être difficile d'en garder la trace, d'autant plus que chaque série d'identifiants est censée être unique.
Pour tenter de s'y retrouver, certains utilisateurs commettent l'erreur d'utiliser des mots de passe évidents ou faciles à deviner, et utilisent souvent le même mot de passe pour plusieurs comptes. C'est précisément ce type de mots de passe qui est vulnérable aux attaques par pulvérisation de mots de passe.
Les compétences et les outils des pirates informatiques ont considérablement évolué ces dernières années. Aujourd'hui, les ordinateurs sont capables de deviner les mots de passe beaucoup plus rapidement. Les pirates informatiques se servent de l'automatisation pour attaquer les bases de données de mots de passe ou les comptes en ligne. Ils maîtrisent des techniques et des stratégies particulières qui leur permettent d'obtenir de meilleurs résultats.
Pour les particuliers, l'utilisation d'un gestionnaire de mots de passe, comme Kaspersky Password Manager, peut s'avérer utile. Les gestionnaires de mots de passe combinent complexité et longueur pour produire des mots de passe difficiles à pirater. Ils éliminent également le problème d'avoir à se souvenir de différents identifiants de connexion. En outre, un gestionnaire de mots de passe aidera à vérifier s'il y a répétition de mots de passe pour différents services. Ils constituent une solution pratique permettant aux utilisateurs de générer, gérer et stocker leurs identifiants uniques.
Produits associés :
Pour en savoir plus :