SlideShare une entreprise Scribd logo
1  sur  29
Télécharger pour lire hors ligne
Dans cette présentation approfondie, nous examinerons les attaques par force brute sous toutes
leurs facettes : leur définition, leur fonctionnement et les différentes formes qu'elles peuvent
revêtir. Nous explorerons également les outils populaires utilisés par les pirates informatiques et
illustrerons notre propos avec un exemple concret d'attaques par force brute en action. À la
conclusion de cette présentation, vous serez en mesure de maîtriser les mesures de prévention
essentielles contre ces types d'attaques.
Dans le cadre de notre présentation, nous diviserons la présentation en deux parties distinctes. La
première se focalisera sur "Qu'est-ce qu'une attaque par force brute ? Types, exemples et
prévention", proposant une analyse approfondie de la nature de cette menace, les différentes
variantes possibles, exemple concret, ainsi que des stratégies préventives éprouvées.
La deuxième partie se plongera dans l'aspect pratique de l'attaque, détaillant comment elle peut
être exécutée et les contre-mesures envisageables. Cette approche professionnelle vise à nous
doter d'une compréhension holistique de la question, transcendant la théorie pour explorer la
réalité pratique de cette attaque.
Qu’est-ce qu’une attaque Force Brute?
Une attaque par force brute est une cyberattaque dans laquelle un pirate
informatique devine des informations, telles que des noms d'utilisateur et des mots
de passe, pour accéder à un système privé. Le pirate informatique utilise des essais
et des erreurs jusqu'à deviner correctement les informations d'identification
nécessaires pour obtenir un accès non autorisé aux comptes d'utilisateurs ou aux
réseaux organisationnels.
La terminologie de « force brute » est dérivée de la tactique consistant à recourir à
des tentatives constantes ou à une « force » excessive jusqu'à ce que l’acteur
malveillant parvienne au résultat souhaité : entrer dans un système avec les
informations d'identification appropriées. Les pirates utilisent souvent des
informations personnelles telles que les noms, adresses ou centres d'intérêt de
leurs cibles comme point de départ pour deviner un mot de passe.
Comment fonctionne une attaque par force
brute ?
• Les attaquants utilisent des outils automatisés pour mener des attaques par force brute. Ceux qui ne
possèdent pas les compétences nécessaires pour créer leurs propres outils peuvent les acquérir sur le
dark web sous la forme de kits malveillants. Ils ont également la possibilité d'acheter des données,
comme des informations d'identification divulguées, qui peuvent être exploitées dans le cadre d'une
attaque de type credential stuffing ou d'une attaque hybride par force brute. Ces listes sont souvent
proposées dans le cadre d'un ensemble où le vendeur inclut non seulement les listes, mais aussi les
outils automatisés, ainsi que d'autres valeurs ajoutées telles que des consoles de gestion.
• Une fois que l'attaquant a configuré ses outils et les a intégrés aux listes, si nécessaire, l'attaque est
lancée. Les attaques par force brute peuvent être orchestrées à l'aide de botnets. Les botnets
représentent des systèmes d'ordinateurs piratés fournissant une puissance de traitement sans le
consentement ni la connaissance de l'utilisateur légitime. Les botnets peuvent être utilisés dans tout type
d’attaque par force brute. Tout comme les kits de logiciels malveillants mentionnés précédemment, les
kits de botnets peuvent être achetés sur le dark web.
Comment fonctionne une attaque par force
brute ?
Types d'attaques par force brute
Attaque simple par force brute
• Une simple attaque par force brute consiste à parcourir tous les mots de passe possibles et à vérifier s’ils fonctionnent.
• Le principal avantage de ce type d’attaque est qu’elle est très rapide ; cependant, cela peut également s'avérer très
inefficace car de nombreux systèmes limitent le nombre de tentatives possibles.
• De plus, certains mots de passe sont trop longs pour qu’un système informatique puisse les gérer dans un délai raisonnable.
Attaque de credential stuffing
• Au fil des années, plus de 8,5 milliards de noms d’utilisateur et de mots de passe ont été divulgués.
• Ces identifiants volés sont vendus entre mauvais acteurs sur le dark web et utilisés dans diverses activités, du spam aux
piratages de comptes.
• Une attaque de credential stuffing exploite ces combinaisons de connexion volées sur de multiples sites.
• Le credential stuffing réussit en raison de la tendance des individus à réutiliser leurs noms d'utilisateur et mots de passe.
• Ainsi, si un pirate informatique accède au compte d'une personne auprès d'une compagnie d'électricité, il peut également
accéder au compte bancaire en ligne de cette personne.
Attaque de dictionnaire
• Une attaque par dictionnaire explore des combinaisons de mots et d'expressions courants.
• Initialement, ces attaques utilisaient des mots issus d'un dictionnaire ainsi que des chiffres.
• Actuellement, elles exploitent également des mots de passe révélés lors de violations de données antérieures.
• Ces mots de passe divulgués sont disponibles à l'achat sur le dark web et peuvent même être trouvés gratuitement sur le web
classique.
• Un logiciel de dictionnaire est utilisé pour substituer des caractères par des équivalents similaires, générant de nouvelles
suppositions.
• Par exemple, le logiciel remplace un "l" minuscule par un "I" majuscule ou un "a" minuscule par un signe "@".
• Ce logiciel cible uniquement les combinaisons jugées les plus susceptibles de réussir, suivant une logique propre à l'application.
Attaque hybride
• Une attaque hybride par force brute combine une attaque par dictionnaire et une attaque par force brute.
• Souvent, les utilisateurs ajoutent une série de chiffres, généralement quatre, à la fin de leur mot de passe, correspondant
souvent à une année significative, comme la naissance ou l'obtention d'un diplôme.
• Les quatre chiffres commencent généralement par un 1 ou un 2.
• Dans une attaque par force brute inversée, les attaquants utilisent l'attaque par dictionnaire pour fournir les mots, puis
automatisent une attaque par force brute sur la dernière partie, c'est-à-dire les quatre nombres.
• Cette approche s'avère plus efficace que l'utilisation exclusive d'une attaque par dictionnaire ou d'une attaque par force brute.
Attaque inversée
• Les attaques par force brute inversée se produisent lorsque des pirates tentent de deviner le mot de
passe en fonction de ce qu'ils savent de la vie ou des activités de la cible.
Par exemple, si vous avez un animal de compagnie nommé " Max " et que quelqu'un
essaie " Max123 " comme mot de passe sans le savoir, cela serait considéré comme une
attaque par force brute inversée de votre part.
Pulvérisation de mot de passe
Les attaques traditionnelles par force brute tentent de deviner le mot de passe d'un seul compte. La
pulvérisation de mot de passe adopte l’approche opposée et tente d’appliquer un mot de passe
commun à plusieurs comptes.
Cette approche évite d'être pris par des politiques de verrouillage qui limitent le nombre de tentatives
de saisie de mots de passe. La pulvérisation de mots de passe est généralement utilisée contre des
cibles dotées d'une authentification unique (SSO) et d'applications basées sur le cloud qui utilisent
l'authentification fédérée.
Motifs derrière les attaques par force brute
Les attaquants peuvent utiliser des attaques par force brute pour :
→ Voler des données sensibles
→ Propager des logiciels malveillants
→ Détourner des systèmes à des fins malveillantes
→ Rendre les sites Web indisponibles
→ Profiter des publicités
→ Rediriger le trafic du site Web vers des sites publicitaires
commandés
→ Infecter des sites avec des logiciels espions afin de collecter des
données à vendre aux annonceurs
Outils utilisés pour les attaques par force brute
Des outils, pour la plupart gratuits, sont disponibles sur Internet ouvert et fonctionnent sur une
grande variété de plates-formes et de protocoles. En voici quelques-uns :
• DaveGrohl : DaveGrohl est un outil de force brute pour Mac OS X qui prend en charge les attaques
par dictionnaire. Il dispose d'un mode distribué qui permet à un attaquant d'exécuter des attaques
à partir de plusieurs ordinateurs sur le même hachage de mot de passe.
• Hashcat : Hashcat est un outil de piratage de mots de passe basé sur le processeur et disponible
gratuitement. Il fonctionne sur les systèmes Windows, Mac OS et Linux, et fonctionne dans de
nombreux types d'attaques, y compris la simple force brute, par dictionnaire et hybride.
• THC Hydra : THC Hydra déchiffre les mots de passe des authentifications réseau. Il effectue des
attaques par dictionnaire contre plus de 30 protocoles, notamment HTTPS, FTP et Telnet.
• John the Ripper : Il s'agit d'un outil gratuit de piratage de mots de passe développé pour les
systèmes Unix. Il est désormais disponible pour 15 autres plates-formes, dont Windows, OpenVMS
et DOS. John the Ripper détecte automatiquement le type de hachage utilisé dans un mot de
passe, afin qu'il puisse être exécuté sur un stockage de mot de passe crypté.
• L0phtCrack : L0phtCrack est utilisé dans des attaques simples par force brute, par dictionnaire,
hybrides et par table arc-en-ciel pour déchiffrer les mots de passe Windows.
Quelle est la meilleure protection contre les
attaques par force brute ?
• Augmenter la longueur du mot de passe : plus de caractères équivaut à plus de temps pour le craquage par force brute
• Augmenter la complexité du mot de passe : plus d'options pour chaque caractère augmentent également le temps de
craquage par force brute
• Limiter les tentatives de connexion : les attaques par force brute incrémentent un compteur de tentatives de connexion
échouées sur la plupart des services d'annuaire - une bonne défense contre les attaques par force brute consiste à verrouiller
les utilisateurs après quelques tentatives infructueuses, annulant ainsi une attaque par force brute en cours.
• Implémenter Captcha : Captcha est un système courant permettant de vérifier qu'un humain est un humain sur des sites
Web et peut arrêter les attaques par force brute en cours.
• Utiliser l'authentification multi facteur : l'authentification multi facteur ajoute une deuxième couche de sécurité à chaque
tentative de connexion qui nécessite une intervention humaine, ce qui peut empêcher le succès d'une attaque par force
brute.
Exemple d'attaque par force brute
20,6 millions de comptes compromis chez Alibaba
En 2016, une équipe de pirates informatiques a utilisé une base de données
précédemment piratée contenant plus de 99 millions d'identifiants pour
plusieurs applications Web. Profitant des mots de passe faibles et des
utilisateurs implémentant le même mot de passe sur d’autres comptes, ils
ont eu recours à la force brute et au credential stuffing pour accéder avec
succès à près de 20 % de tous les comptes ciblés.
➢ Bien qu'aucun montant de dommages n'ait été indiqué, il a été confirmé
que près de 20,6 millions de comptes Alibaba ont été compromis et
accessibles de manière malveillante, et tous les utilisateurs ont été invités à
modifier leur mot de passe.
Outils utilisés lors de pratique:
• DVWA: Abréviation de Damn Vulnerable Web Application, est un outil éducatif
simulant des vulnérabilités web. Conçu à des fins pédagogiques, DVWA permet aux
professionnels de la sécurité de pratiquer l'identification et la résolution de failles
courantes. En ce qui concerne les attaques de force brute, DVWA propose des
fonctionnalités permettant de simuler ces scénarios, offrant ainsi aux utilisateurs une
expérience pratique pour comprendre et contrer ce type de menace
• Burp suite: est une application Java, développée par PortSwigger, qui peut
être utilisée pour la sécurisation ou effectuer des tests de pénétration sur les
applications web.
• FoxyProxy: est une extension de navigateur, souvent associée à Mozilla Firefox, qui
simplifie la gestion des proxies, offrant aux utilisateurs une flexibilité accrue dans le
choix des connexions réseau. Principalement utilisé pour renforcer la confidentialité
et la sécurité en permettant le basculement entre différents serveurs proxy.
Pour initier le processus, pour
installer DVWA sur votre
machine kali vous pouvez
consultez ce lien:
https://www.youtube.com/watc
h?v=jJbMkqUezpI&t=306s&ab_
channel=TECHDHEE. Ensuite,
nous commençons par ajuster
le niveau de sécurité au sein de
DVWA à un paramètre inférieur
(LOW Level Security), rendant
ainsi l'application vulnérable.
Ensuite, nous explorons trois
types d'attaques de force brute
(Low-Medium-.
L'exploration commence par l'accès à la page de
connexion de DVWA à l'aide des identifiants par défaut.
Les informations d'authentification de base, telles que
"admin" comme utilisateur et "password" comme mot de
passe, sont utilisées pour ouvrir une session.
Après la connexion réussie, une exploration du site révèle
un répertoire d'images d'utilisateurs. Ce répertoire
contient des fichiers image avec des noms liés aux
utilisateurs, fournissant une piste précieuse pour extraire
les noms d'utilisateur.
Après la connexion réussie, une exploration du
site révèle un répertoire d'images d'utilisateurs.
Ce répertoire contient des fichiers image avec des
noms liés aux utilisateurs, fournissant une piste
précieuse pour extraire les noms d'utilisateur.
Après, nous extrayons les noms d'utilisateur à partir des
noms de fichiers image dans le répertoire. Ces noms
d'utilisateur seront ensuite utilisés pour cibler des
attaques de force brute spécifiques.
On élimine de lien URL /admin.jpg
Avec les noms d'utilisateur en main, l'outil Burp Suite est
configuré pour exécuter une attaque de force brute. Des
captures d'écran détaillent le processus de configuration dans
Burp Suite, mettant l'accent sur les paramètres tels que la
sélection des zones d'injection de payload (nom d'utilisateur et
mot de passe).
On crée un fichier .txt dans lequel on met les noms
d’utilisateurs.
Nous utilisons ensuite Burp Suite
pour exécuter une attaque de force
brute, en essayant divers mots de
passe pour chaque utilisateur. Le
succès ou l'échec de chaque
tentative est identifié par les
réponses reçues, nous permettant
ainsi de découvrir efficacement des
identifiants valides. Ainsi qu’on
active l’extention FoxyProxy
Par la suite, nous mettons en œuvre une approche systématique avec Burp Suite en interceptant le trafic
et en envoyant les requêtes au module Intruder. À ce stade, nous importons une liste de noms
d'utilisateur que nous avons préalablement extraits du répertoire d'images. Pour les mots de passe,
nous optons pour une liste courante trouvée en ligne. Le processus de brute force est ensuite déclenché,
essayant chaque combinaison possible de nom d'utilisateur et de mot de passe. Les réponses obtenues
nous permettent de distinguer les succès des échecs.
On ouvre un fichier dans lequel on va mettre la
liste de mot de passe qu’on veut tester
Avant de commencer l'attaque, il est
essentiel de désactiver tous les paramètres
par défaut. Cela implique de nettoyer
toutes les zones préremplies en appuyant
sur le bouton "Clear".
Nous explorons la recherche de listes de
mots de passe couramment utilisés sur
GitHub. Les étapes sont simples : ouvrez un
navigateur et effectuez une recherche pour
"common password list in github".
Une liste de mots de passe courants apparaît,
et pour cet exemple, un mot de passe est
copié directement depuis cette liste.
Sélection des Zones d'Injection :
Ensuite, le processus implique la
sélection des zones où injecter le
payload, à savoir les fichiers
contenant les noms d'utilisateur et
les mots de passe. Il y a deux
zones distinctes : la zone de nom
d'utilisateur et la zone de mot de
passe.
Changement de l'Option de Sniper à
Cluster : Puisque l'attaque cible deux
champs (nom d'utilisateur et mot de
passe), la configuration passe de
"Sniper" à "Cluster". Sniper se
concentre sur un seul champ, alors
que Cluster permet de s'attaquer à
plusieurs champs simultanément.
Importation du Champ de Nom d'Utilisateur : Le
processus d'importation commence en
sélectionnant le payload pour le champ de nom
d'utilisateur, suivi du choix du fichier contenant les
noms d'utilisateur.
Importation du Champ de Mot de Passe : De
manière similaire, le payload pour le champ de mot
de passe est sélectionné, et le fichier contenant les
mots de passe est importé.
Copie Directe du Mot de Passe : Plutôt que de
charger le mot de passe depuis un fichier, une
copie directe est effectuée depuis github. Cette
approche est choisie pour éviter les problèmes de
surcharge et d'instabilité potentielle lors du
chargement de fichiers lourds.
On lance L’attaque
On utilise la barre de filtrage pour réduire le
volume d’analyse en tapons Incorrect pour
afficher les usernames avec les mots de
passes incorrects .
On constate 1 mot de passe qui match avec l’analyse qu’on a fait
Questions fréquemment posées
• Une attaque par force brute est-elle illégale ?
La légalité d’une attaque par force brute est dictée par l’intention. En d’autres
termes, si vous tentez d’accéder de manière malveillante à un compte d’utilisateur
ou au réseau d’une organisation pour causer un préjudice pour des raisons
financières ou autres, cela est illégal. Cependant, si vous effectuez un test d'intrusion
sur une organisation en tant que service, disposez d'une autorisation préalable et d'un
accord de service avec le client cible, et choisissez d'utiliser la force brute pour
évaluer les risques de sécurité, alors ce n'est pas illégal.
• Quelle est la fréquence des attaques par force brute ?
En raison de la diversité des définitions des attaques par force brute, il est difficile
de déterminer leur fréquence réelle. Cependant, une étude récente a révélé qu’en
2021, 6 % de toutes les intrusions réseau réussies étaient le résultat de la force brute
, contre 4 % l’année précédente.
• Quelle est la réussite des attaques par force brute ?
Théoriquement, les attaques par force brute ont un taux de réussite de 100 %, même si le pirate
informatique devra peut-être attendre des années pour que ses systèmes automatisés devinent
correctement un mot de passe complexe. En réalité, les attaques par force brute sont populaires et
efficaces pour déterminer des mots de passe faibles, en particulier pour les applications Web,
représentant 80 % de toutes les attaques .
• Quelles sont les faiblesses de la force brute ?
Pour la plupart, les attaques par force brute ne fonctionnent que si l’utilisateur dispose d’un mot de
passe faible. Par conséquent, une attaque par force brute n'est pas efficace contre un mot de passe fort
comportant au moins 12 caractères utilisant des majuscules, des minuscules, des chiffres et des
caractères spéciaux qui n'incluent pas d'informations personnelles. Les organisations peuvent
également investir dans des solutions d’authentification sans mot de passe pour éliminer le risque
d’attaque par force brute.
• Combien de temps faut-il pour déchiffrer un mot de passe à 8 caractères ?
Le temps nécessaire pour déchiffrer un mot de passe à 8 caractères varie selon la conception du mot
de passe. Grâce à certains des outils avancés de piratage de mots de passe par force brute disponibles,
les pirates peuvent découvrir instantanément un mot de passe qui n'utilise qu'un seul type de
caractère. Lorsque les utilisateurs utilisent à la fois des caractères majuscules et minuscules, il faut
deux minutes aux pirates pour déchiffrer le mot de passe, suivis de sept minutes avec l'ajout de
chiffres. Enfin, cela prend 39 minutes lorsque vous incluez des caractères spéciaux.
"In the world of cybersecurity, a brute force attack is the equivalent of
attempting to unlock a door by tirelessly trying every possible key. It serves
as a stark reminder that even the strongest defenses must remain vigilant
against the persistence and adaptability of malicious actors."

Contenu connexe

Similaire à Know everything about Brute Force Attack

Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.pptNatijTDI
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfsimogamer3
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
LES DANGERS DU PHISHING AVEC KASPERSKY
LES DANGERS DU PHISHING AVEC KASPERSKYLES DANGERS DU PHISHING AVEC KASPERSKY
LES DANGERS DU PHISHING AVEC KASPERSKYPROJECT SI
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur InternetBELVEZE Damien
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...SOCIALware Benelux
 
Guide Ransomware 2018
Guide Ransomware 2018Guide Ransomware 2018
Guide Ransomware 2018Zyxel France
 
Api win32 ancestrales pour chevaux de troie hyper furtifs
Api win32 ancestrales pour chevaux de troie hyper furtifsApi win32 ancestrales pour chevaux de troie hyper furtifs
Api win32 ancestrales pour chevaux de troie hyper furtifsUltraUploader
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques Manuel Cédric EBODE MBALLA
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptmowaffakfejja
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptChloLau
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterNRC
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)ACCESS Group
 
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...onyikondi
 
cybersecurity-140713064844-phpapp01.en.fr.pdf
cybersecurity-140713064844-phpapp01.en.fr.pdfcybersecurity-140713064844-phpapp01.en.fr.pdf
cybersecurity-140713064844-phpapp01.en.fr.pdfKira Dess
 

Similaire à Know everything about Brute Force Attack (20)

Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.ppt
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
LES DANGERS DU PHISHING AVEC KASPERSKY
LES DANGERS DU PHISHING AVEC KASPERSKYLES DANGERS DU PHISHING AVEC KASPERSKY
LES DANGERS DU PHISHING AVEC KASPERSKY
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur Internet
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
 
Guide Ransomware 2018
Guide Ransomware 2018Guide Ransomware 2018
Guide Ransomware 2018
 
Api win32 ancestrales pour chevaux de troie hyper furtifs
Api win32 ancestrales pour chevaux de troie hyper furtifsApi win32 ancestrales pour chevaux de troie hyper furtifs
Api win32 ancestrales pour chevaux de troie hyper furtifs
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
 
cybersecurity-140713064844-phpapp01.en.fr.pdf
cybersecurity-140713064844-phpapp01.en.fr.pdfcybersecurity-140713064844-phpapp01.en.fr.pdf
cybersecurity-140713064844-phpapp01.en.fr.pdf
 

Know everything about Brute Force Attack

  • 1.
  • 2. Dans cette présentation approfondie, nous examinerons les attaques par force brute sous toutes leurs facettes : leur définition, leur fonctionnement et les différentes formes qu'elles peuvent revêtir. Nous explorerons également les outils populaires utilisés par les pirates informatiques et illustrerons notre propos avec un exemple concret d'attaques par force brute en action. À la conclusion de cette présentation, vous serez en mesure de maîtriser les mesures de prévention essentielles contre ces types d'attaques. Dans le cadre de notre présentation, nous diviserons la présentation en deux parties distinctes. La première se focalisera sur "Qu'est-ce qu'une attaque par force brute ? Types, exemples et prévention", proposant une analyse approfondie de la nature de cette menace, les différentes variantes possibles, exemple concret, ainsi que des stratégies préventives éprouvées. La deuxième partie se plongera dans l'aspect pratique de l'attaque, détaillant comment elle peut être exécutée et les contre-mesures envisageables. Cette approche professionnelle vise à nous doter d'une compréhension holistique de la question, transcendant la théorie pour explorer la réalité pratique de cette attaque.
  • 3. Qu’est-ce qu’une attaque Force Brute? Une attaque par force brute est une cyberattaque dans laquelle un pirate informatique devine des informations, telles que des noms d'utilisateur et des mots de passe, pour accéder à un système privé. Le pirate informatique utilise des essais et des erreurs jusqu'à deviner correctement les informations d'identification nécessaires pour obtenir un accès non autorisé aux comptes d'utilisateurs ou aux réseaux organisationnels. La terminologie de « force brute » est dérivée de la tactique consistant à recourir à des tentatives constantes ou à une « force » excessive jusqu'à ce que l’acteur malveillant parvienne au résultat souhaité : entrer dans un système avec les informations d'identification appropriées. Les pirates utilisent souvent des informations personnelles telles que les noms, adresses ou centres d'intérêt de leurs cibles comme point de départ pour deviner un mot de passe.
  • 4. Comment fonctionne une attaque par force brute ? • Les attaquants utilisent des outils automatisés pour mener des attaques par force brute. Ceux qui ne possèdent pas les compétences nécessaires pour créer leurs propres outils peuvent les acquérir sur le dark web sous la forme de kits malveillants. Ils ont également la possibilité d'acheter des données, comme des informations d'identification divulguées, qui peuvent être exploitées dans le cadre d'une attaque de type credential stuffing ou d'une attaque hybride par force brute. Ces listes sont souvent proposées dans le cadre d'un ensemble où le vendeur inclut non seulement les listes, mais aussi les outils automatisés, ainsi que d'autres valeurs ajoutées telles que des consoles de gestion. • Une fois que l'attaquant a configuré ses outils et les a intégrés aux listes, si nécessaire, l'attaque est lancée. Les attaques par force brute peuvent être orchestrées à l'aide de botnets. Les botnets représentent des systèmes d'ordinateurs piratés fournissant une puissance de traitement sans le consentement ni la connaissance de l'utilisateur légitime. Les botnets peuvent être utilisés dans tout type d’attaque par force brute. Tout comme les kits de logiciels malveillants mentionnés précédemment, les kits de botnets peuvent être achetés sur le dark web.
  • 5. Comment fonctionne une attaque par force brute ?
  • 6. Types d'attaques par force brute Attaque simple par force brute • Une simple attaque par force brute consiste à parcourir tous les mots de passe possibles et à vérifier s’ils fonctionnent. • Le principal avantage de ce type d’attaque est qu’elle est très rapide ; cependant, cela peut également s'avérer très inefficace car de nombreux systèmes limitent le nombre de tentatives possibles. • De plus, certains mots de passe sont trop longs pour qu’un système informatique puisse les gérer dans un délai raisonnable. Attaque de credential stuffing • Au fil des années, plus de 8,5 milliards de noms d’utilisateur et de mots de passe ont été divulgués. • Ces identifiants volés sont vendus entre mauvais acteurs sur le dark web et utilisés dans diverses activités, du spam aux piratages de comptes. • Une attaque de credential stuffing exploite ces combinaisons de connexion volées sur de multiples sites. • Le credential stuffing réussit en raison de la tendance des individus à réutiliser leurs noms d'utilisateur et mots de passe. • Ainsi, si un pirate informatique accède au compte d'une personne auprès d'une compagnie d'électricité, il peut également accéder au compte bancaire en ligne de cette personne.
  • 7. Attaque de dictionnaire • Une attaque par dictionnaire explore des combinaisons de mots et d'expressions courants. • Initialement, ces attaques utilisaient des mots issus d'un dictionnaire ainsi que des chiffres. • Actuellement, elles exploitent également des mots de passe révélés lors de violations de données antérieures. • Ces mots de passe divulgués sont disponibles à l'achat sur le dark web et peuvent même être trouvés gratuitement sur le web classique. • Un logiciel de dictionnaire est utilisé pour substituer des caractères par des équivalents similaires, générant de nouvelles suppositions. • Par exemple, le logiciel remplace un "l" minuscule par un "I" majuscule ou un "a" minuscule par un signe "@". • Ce logiciel cible uniquement les combinaisons jugées les plus susceptibles de réussir, suivant une logique propre à l'application. Attaque hybride • Une attaque hybride par force brute combine une attaque par dictionnaire et une attaque par force brute. • Souvent, les utilisateurs ajoutent une série de chiffres, généralement quatre, à la fin de leur mot de passe, correspondant souvent à une année significative, comme la naissance ou l'obtention d'un diplôme. • Les quatre chiffres commencent généralement par un 1 ou un 2. • Dans une attaque par force brute inversée, les attaquants utilisent l'attaque par dictionnaire pour fournir les mots, puis automatisent une attaque par force brute sur la dernière partie, c'est-à-dire les quatre nombres. • Cette approche s'avère plus efficace que l'utilisation exclusive d'une attaque par dictionnaire ou d'une attaque par force brute.
  • 8. Attaque inversée • Les attaques par force brute inversée se produisent lorsque des pirates tentent de deviner le mot de passe en fonction de ce qu'ils savent de la vie ou des activités de la cible. Par exemple, si vous avez un animal de compagnie nommé " Max " et que quelqu'un essaie " Max123 " comme mot de passe sans le savoir, cela serait considéré comme une attaque par force brute inversée de votre part. Pulvérisation de mot de passe Les attaques traditionnelles par force brute tentent de deviner le mot de passe d'un seul compte. La pulvérisation de mot de passe adopte l’approche opposée et tente d’appliquer un mot de passe commun à plusieurs comptes. Cette approche évite d'être pris par des politiques de verrouillage qui limitent le nombre de tentatives de saisie de mots de passe. La pulvérisation de mots de passe est généralement utilisée contre des cibles dotées d'une authentification unique (SSO) et d'applications basées sur le cloud qui utilisent l'authentification fédérée.
  • 9. Motifs derrière les attaques par force brute Les attaquants peuvent utiliser des attaques par force brute pour : → Voler des données sensibles → Propager des logiciels malveillants → Détourner des systèmes à des fins malveillantes → Rendre les sites Web indisponibles → Profiter des publicités → Rediriger le trafic du site Web vers des sites publicitaires commandés → Infecter des sites avec des logiciels espions afin de collecter des données à vendre aux annonceurs
  • 10. Outils utilisés pour les attaques par force brute Des outils, pour la plupart gratuits, sont disponibles sur Internet ouvert et fonctionnent sur une grande variété de plates-formes et de protocoles. En voici quelques-uns : • DaveGrohl : DaveGrohl est un outil de force brute pour Mac OS X qui prend en charge les attaques par dictionnaire. Il dispose d'un mode distribué qui permet à un attaquant d'exécuter des attaques à partir de plusieurs ordinateurs sur le même hachage de mot de passe. • Hashcat : Hashcat est un outil de piratage de mots de passe basé sur le processeur et disponible gratuitement. Il fonctionne sur les systèmes Windows, Mac OS et Linux, et fonctionne dans de nombreux types d'attaques, y compris la simple force brute, par dictionnaire et hybride. • THC Hydra : THC Hydra déchiffre les mots de passe des authentifications réseau. Il effectue des attaques par dictionnaire contre plus de 30 protocoles, notamment HTTPS, FTP et Telnet. • John the Ripper : Il s'agit d'un outil gratuit de piratage de mots de passe développé pour les systèmes Unix. Il est désormais disponible pour 15 autres plates-formes, dont Windows, OpenVMS et DOS. John the Ripper détecte automatiquement le type de hachage utilisé dans un mot de passe, afin qu'il puisse être exécuté sur un stockage de mot de passe crypté. • L0phtCrack : L0phtCrack est utilisé dans des attaques simples par force brute, par dictionnaire, hybrides et par table arc-en-ciel pour déchiffrer les mots de passe Windows.
  • 11. Quelle est la meilleure protection contre les attaques par force brute ? • Augmenter la longueur du mot de passe : plus de caractères équivaut à plus de temps pour le craquage par force brute • Augmenter la complexité du mot de passe : plus d'options pour chaque caractère augmentent également le temps de craquage par force brute • Limiter les tentatives de connexion : les attaques par force brute incrémentent un compteur de tentatives de connexion échouées sur la plupart des services d'annuaire - une bonne défense contre les attaques par force brute consiste à verrouiller les utilisateurs après quelques tentatives infructueuses, annulant ainsi une attaque par force brute en cours. • Implémenter Captcha : Captcha est un système courant permettant de vérifier qu'un humain est un humain sur des sites Web et peut arrêter les attaques par force brute en cours. • Utiliser l'authentification multi facteur : l'authentification multi facteur ajoute une deuxième couche de sécurité à chaque tentative de connexion qui nécessite une intervention humaine, ce qui peut empêcher le succès d'une attaque par force brute.
  • 12. Exemple d'attaque par force brute 20,6 millions de comptes compromis chez Alibaba En 2016, une équipe de pirates informatiques a utilisé une base de données précédemment piratée contenant plus de 99 millions d'identifiants pour plusieurs applications Web. Profitant des mots de passe faibles et des utilisateurs implémentant le même mot de passe sur d’autres comptes, ils ont eu recours à la force brute et au credential stuffing pour accéder avec succès à près de 20 % de tous les comptes ciblés. ➢ Bien qu'aucun montant de dommages n'ait été indiqué, il a été confirmé que près de 20,6 millions de comptes Alibaba ont été compromis et accessibles de manière malveillante, et tous les utilisateurs ont été invités à modifier leur mot de passe.
  • 13. Outils utilisés lors de pratique: • DVWA: Abréviation de Damn Vulnerable Web Application, est un outil éducatif simulant des vulnérabilités web. Conçu à des fins pédagogiques, DVWA permet aux professionnels de la sécurité de pratiquer l'identification et la résolution de failles courantes. En ce qui concerne les attaques de force brute, DVWA propose des fonctionnalités permettant de simuler ces scénarios, offrant ainsi aux utilisateurs une expérience pratique pour comprendre et contrer ce type de menace • Burp suite: est une application Java, développée par PortSwigger, qui peut être utilisée pour la sécurisation ou effectuer des tests de pénétration sur les applications web. • FoxyProxy: est une extension de navigateur, souvent associée à Mozilla Firefox, qui simplifie la gestion des proxies, offrant aux utilisateurs une flexibilité accrue dans le choix des connexions réseau. Principalement utilisé pour renforcer la confidentialité et la sécurité en permettant le basculement entre différents serveurs proxy.
  • 14. Pour initier le processus, pour installer DVWA sur votre machine kali vous pouvez consultez ce lien: https://www.youtube.com/watc h?v=jJbMkqUezpI&t=306s&ab_ channel=TECHDHEE. Ensuite, nous commençons par ajuster le niveau de sécurité au sein de DVWA à un paramètre inférieur (LOW Level Security), rendant ainsi l'application vulnérable. Ensuite, nous explorons trois types d'attaques de force brute (Low-Medium-.
  • 15. L'exploration commence par l'accès à la page de connexion de DVWA à l'aide des identifiants par défaut. Les informations d'authentification de base, telles que "admin" comme utilisateur et "password" comme mot de passe, sont utilisées pour ouvrir une session. Après la connexion réussie, une exploration du site révèle un répertoire d'images d'utilisateurs. Ce répertoire contient des fichiers image avec des noms liés aux utilisateurs, fournissant une piste précieuse pour extraire les noms d'utilisateur.
  • 16. Après la connexion réussie, une exploration du site révèle un répertoire d'images d'utilisateurs. Ce répertoire contient des fichiers image avec des noms liés aux utilisateurs, fournissant une piste précieuse pour extraire les noms d'utilisateur.
  • 17. Après, nous extrayons les noms d'utilisateur à partir des noms de fichiers image dans le répertoire. Ces noms d'utilisateur seront ensuite utilisés pour cibler des attaques de force brute spécifiques. On élimine de lien URL /admin.jpg
  • 18. Avec les noms d'utilisateur en main, l'outil Burp Suite est configuré pour exécuter une attaque de force brute. Des captures d'écran détaillent le processus de configuration dans Burp Suite, mettant l'accent sur les paramètres tels que la sélection des zones d'injection de payload (nom d'utilisateur et mot de passe). On crée un fichier .txt dans lequel on met les noms d’utilisateurs.
  • 19. Nous utilisons ensuite Burp Suite pour exécuter une attaque de force brute, en essayant divers mots de passe pour chaque utilisateur. Le succès ou l'échec de chaque tentative est identifié par les réponses reçues, nous permettant ainsi de découvrir efficacement des identifiants valides. Ainsi qu’on active l’extention FoxyProxy
  • 20. Par la suite, nous mettons en œuvre une approche systématique avec Burp Suite en interceptant le trafic et en envoyant les requêtes au module Intruder. À ce stade, nous importons une liste de noms d'utilisateur que nous avons préalablement extraits du répertoire d'images. Pour les mots de passe, nous optons pour une liste courante trouvée en ligne. Le processus de brute force est ensuite déclenché, essayant chaque combinaison possible de nom d'utilisateur et de mot de passe. Les réponses obtenues nous permettent de distinguer les succès des échecs.
  • 21. On ouvre un fichier dans lequel on va mettre la liste de mot de passe qu’on veut tester Avant de commencer l'attaque, il est essentiel de désactiver tous les paramètres par défaut. Cela implique de nettoyer toutes les zones préremplies en appuyant sur le bouton "Clear".
  • 22. Nous explorons la recherche de listes de mots de passe couramment utilisés sur GitHub. Les étapes sont simples : ouvrez un navigateur et effectuez une recherche pour "common password list in github". Une liste de mots de passe courants apparaît, et pour cet exemple, un mot de passe est copié directement depuis cette liste.
  • 23. Sélection des Zones d'Injection : Ensuite, le processus implique la sélection des zones où injecter le payload, à savoir les fichiers contenant les noms d'utilisateur et les mots de passe. Il y a deux zones distinctes : la zone de nom d'utilisateur et la zone de mot de passe. Changement de l'Option de Sniper à Cluster : Puisque l'attaque cible deux champs (nom d'utilisateur et mot de passe), la configuration passe de "Sniper" à "Cluster". Sniper se concentre sur un seul champ, alors que Cluster permet de s'attaquer à plusieurs champs simultanément.
  • 24. Importation du Champ de Nom d'Utilisateur : Le processus d'importation commence en sélectionnant le payload pour le champ de nom d'utilisateur, suivi du choix du fichier contenant les noms d'utilisateur. Importation du Champ de Mot de Passe : De manière similaire, le payload pour le champ de mot de passe est sélectionné, et le fichier contenant les mots de passe est importé. Copie Directe du Mot de Passe : Plutôt que de charger le mot de passe depuis un fichier, une copie directe est effectuée depuis github. Cette approche est choisie pour éviter les problèmes de surcharge et d'instabilité potentielle lors du chargement de fichiers lourds.
  • 25. On lance L’attaque On utilise la barre de filtrage pour réduire le volume d’analyse en tapons Incorrect pour afficher les usernames avec les mots de passes incorrects .
  • 26. On constate 1 mot de passe qui match avec l’analyse qu’on a fait
  • 27. Questions fréquemment posées • Une attaque par force brute est-elle illégale ? La légalité d’une attaque par force brute est dictée par l’intention. En d’autres termes, si vous tentez d’accéder de manière malveillante à un compte d’utilisateur ou au réseau d’une organisation pour causer un préjudice pour des raisons financières ou autres, cela est illégal. Cependant, si vous effectuez un test d'intrusion sur une organisation en tant que service, disposez d'une autorisation préalable et d'un accord de service avec le client cible, et choisissez d'utiliser la force brute pour évaluer les risques de sécurité, alors ce n'est pas illégal. • Quelle est la fréquence des attaques par force brute ? En raison de la diversité des définitions des attaques par force brute, il est difficile de déterminer leur fréquence réelle. Cependant, une étude récente a révélé qu’en 2021, 6 % de toutes les intrusions réseau réussies étaient le résultat de la force brute , contre 4 % l’année précédente.
  • 28. • Quelle est la réussite des attaques par force brute ? Théoriquement, les attaques par force brute ont un taux de réussite de 100 %, même si le pirate informatique devra peut-être attendre des années pour que ses systèmes automatisés devinent correctement un mot de passe complexe. En réalité, les attaques par force brute sont populaires et efficaces pour déterminer des mots de passe faibles, en particulier pour les applications Web, représentant 80 % de toutes les attaques . • Quelles sont les faiblesses de la force brute ? Pour la plupart, les attaques par force brute ne fonctionnent que si l’utilisateur dispose d’un mot de passe faible. Par conséquent, une attaque par force brute n'est pas efficace contre un mot de passe fort comportant au moins 12 caractères utilisant des majuscules, des minuscules, des chiffres et des caractères spéciaux qui n'incluent pas d'informations personnelles. Les organisations peuvent également investir dans des solutions d’authentification sans mot de passe pour éliminer le risque d’attaque par force brute. • Combien de temps faut-il pour déchiffrer un mot de passe à 8 caractères ? Le temps nécessaire pour déchiffrer un mot de passe à 8 caractères varie selon la conception du mot de passe. Grâce à certains des outils avancés de piratage de mots de passe par force brute disponibles, les pirates peuvent découvrir instantanément un mot de passe qui n'utilise qu'un seul type de caractère. Lorsque les utilisateurs utilisent à la fois des caractères majuscules et minuscules, il faut deux minutes aux pirates pour déchiffrer le mot de passe, suivis de sept minutes avec l'ajout de chiffres. Enfin, cela prend 39 minutes lorsque vous incluez des caractères spéciaux.
  • 29. "In the world of cybersecurity, a brute force attack is the equivalent of attempting to unlock a door by tirelessly trying every possible key. It serves as a stark reminder that even the strongest defenses must remain vigilant against the persistence and adaptability of malicious actors."