Attaques par Force Brute et Comment les Prévenir

Qu’est-ce qu’une Attaque par Force Brute?

Les attaques par force brute sont un moyen de déterminer une combinaison de nom d’utilisateur et de mot de passe ou de jeton haché afin d’obtenir un accès non autorisé à un compte, un fichier ou d’autres informations protégées. Une attaque par force brute est une méthode d’attaque basée sur des essais et des erreurs qui fonctionne en devinant les informations d’identification, les chemins de fichiers ou les URL, soit par logique, soit en exécutant toutes les combinaisons de clavier possibles.

Les attaquants utilisent souvent des logiciels malveillants et d’autres outils pour automatiser le processus d’attaques par force brute, soit en répartissant l’attaque sur divers emplacements sources, soit en exploitant des logiciels malveillants pour attaquer des comptes internes protégés. Les outils courants tels que Hydra, Chaos, CrackMapExec et PoshC2 ont tous des fonctions de force brute.

Une fois l’accès obtenu, un attaquant peut accéder à des informations financières, propager des logiciels malveillants ou pirater votre système. Il existe quelques points d’entrée vulnérables aux attaques par force brute:

Attaque par force brute SMB/CIFS

Le bloc de messages serveur (SMB) et le système de fichiers Internet commun (CIFS) sont des protocoles de partage de fichiers réseau les plus couramment utilisés par Windows. Les deux peuvent être vulnérables aux attaques par force brute. Une fois qu’un attaquant a accès à un compte d’utilisateur, il peut accéder à des fichiers, se déplacer latéralement ou tenter d’escalader des privilèges.

Attaque par force brute SSH

SSH ou Secure Shell est un protocole réseau qui permet une communication cryptée sur des réseaux non sécurisés. SSH est utilisé pour les connexions à distance, l’exécution de commandes, le transfert de fichiers, etc. Les attaques par force brute SSH sont souvent réalisées par un attaquant essayant un nom d’utilisateur et un mot de passe communs sur des milliers de serveurs jusqu’à ce qu’il trouve une correspondance.

Attaque par force brute DNS

Plutôt que de deviner un mot de passe ou un nom d’utilisateur, les attaques par force brute sur DNS peuvent identifier tous les sous-domaines d’un site. Les attaquants utilisent des scripts et d’autres outils pour envoyer des requêtes d’apparence légitime. L’attaquant peut l’utiliser pour cartographier les sous—domaines, les noms d’hôtes et les enregistrements DNS disponibles, le tout dans le but de cartographier un réseau à la recherche de vulnérabilités.

Attaque par force brute RDP

Les attaques par force brute sur RDP sont peu coûteuses et relativement faciles à réaliser. Même si ce type d’attaque par force brute est bruyant, il peut être très efficace en raison du caractère commun des mots de passe faibles et réutilisés. Un attaquant peut effectuer une attaque par force brute sur les comptes RDP pour trouver des mots de passe faibles ou des informations de connexion valides. Une fois qu’un attaquant a accédé à des mots de passe ou à des informations de connexion valides, il peut facilement ouvrir plusieurs sessions RDP à partir d’un seul appareil pour contrôler de nombreux appareils sur le réseau.

La force brute et d’autres attaques contre RDP sont devenues une préoccupation croissante en raison de l’expansion massive du travail à domicile due à COVID-19.