Lorsque vous pensez au piratage de mots de passe, vous imaginez probablement un pirate essayant plusieurs centaines de mots de passe sur un seul compte. Bien que cela se produise encore, ce n'est pas toujours ce qui se passe; parfois, un pirate effectuera une pulvérisation de mot de passe à la place.
Voyons ce qu'est la pulvérisation de mots de passe et ce que vous pouvez faire pour vous défendre.
Si une attaque de piratage "normale" implique d'essayer de nombreux mots de passe différents sur quelques comptes, la pulvérisation de mots de passe est l'inverse de cela. C'est lorsqu'un pirate a accès à de nombreux noms de compte différents et tente de s'y introduire en utilisant seulement quelques mots de passe.
Les pirates n'appliqueront pas la méthode de piratage "normale" si la sécurité du compte est stricte. Un système sécurisé remarquera que quelqu'un essaie à plusieurs reprises d'accéder à un compte et le verrouillera pour protéger la confidentialité de la cible. Vous avez peut-être vécu cela vous-même lorsque vous saisissez votre mot de passe de manière incorrecte trop souvent dans un service --- cela vous bloque.
Si les pirates n'utilisent qu'un petit nombre de mots de passe par attaque, quels mots de passe utilisent-ils ? Le meilleur pari du pirate est d'utiliser certains des mots de passe les plus couramment utilisés sur Internet. De cette façon, ils maximisent leurs chances de pouvoir pénétrer par cette petite fenêtre d'opportunité.
Bien sûr, cette attaque dépend entièrement de quelqu'un qui utilise un mot de passe couramment utilisé sur son compte. De nos jours, cependant, quelle est la probabilité que quelqu'un utilise l'un de ces mots de passe ?
Malheureusement, nos habitudes de mot de passe ne se sont pas beaucoup améliorées au fil des ans. Le NCSC a mené une étude sur les organisations désireuses de tester leur sensibilité à une attaque par pulvérisation. Ils ont constaté que 75 % des organisations avaient au moins un compte qui utilisait un mot de passe parmi les 1 000 premiers mots de passe, et 87 % avaient au moins un compte avec un mot de passe parmi les 10 000 premiers.
C'est la faille de sécurité que les pulvérisateurs de mots de passe visent à exploiter. Il suffit qu'un utilisateur d'une organisation utilise un mot de passe faible pour qu'une attaque par pulvérisation fonctionne. Une fois que le pirate a accédé à ce compte, il peut utiliser cet effet de levier pour approfondir le système.
En règle générale, les pirates utilisent ces attaques contre les grandes entreprises et les organisations. Ils utilisent également la pulvérisation de mots de passe contre les utilisateurs dans une fuite de base de données, où le pirate dispose d'un grand nombre de noms de compte mais pas de mots de passe.
Toute situation où un pirate dispose d'une multitude de comptes à parcourir, mais n'a qu'une fenêtre limitée pour attaquer chacun d'entre eux, c'est lorsque la pulvérisation de mot de passe devient la méthode d'attaque préférée.
Les pirates choisissent la pulvérisation de mots de passe lorsque les comptes sont sévèrement pénalisés en cas de saisies incorrectes. Si un pirate informatique obtient des informations sur les comptes d'un site Web, mais que le site Web n'autorise que cinq tentatives de mot de passe avant de verrouiller le compte, un pirate informatique utilisera les cinq mots de passe les plus utilisés dans l'espoir que les gens les utilisent.
Dans un monde idéal, tout le monde au sein d'une organisation utilisera un mot de passe fort pour empêcher les pulvérisateurs d'entrer. Malheureusement, les pirates ont eu du succès dans le passé avec cette tactique, à tel point que Redmond Mag a rapporté comment la pulvérisation de mots de passe a vu une augmentation des cas en 2018.
Un grand nombre d'attaques se concentrent sur les entreprises, probablement pour voler des documents commerciaux précieux à des fins lucratives. Les organisations peuvent également avoir une structure de nom d'utilisateur qui permet aux pirates de collecter facilement une liste de noms à attaquer.
Threatpost a rapporté comment l'entreprise de virtualisation logicielle Citrix a été touchée par une attaque par pulvérisation après que l'un de ses comptes a été compromis. Les pirates se sont emparés de précieux documents commerciaux grâce aux autorisations découvertes dans le compte auquel ils ont accédé.
La partie effrayante de cette attaque est à quel point elle était silencieuse; en raison de la nature « bas » de la pulvérisation de mot de passe, elle n'a déclenché aucune alarme ni causé de problème. Citrix n'avait même aucune idée que l'attaque s'était produite jusqu'à ce que le FBI l'informe longtemps après que l'attaque ait eu lieu.
La solution à cette attaque est simple; utilisez de meilleurs mots de passe ! La pulvérisation de mot de passe dépend entièrement de votre utilisation d'un mot de passe qui figure dans la liste des 100 premiers mots de passe les plus utilisés.
En rendant votre mot de passe plus compliqué, vous vous sortez du pool de mots de passe qu'un pulvérisateur utilisera contre vous. Pour commencer, si votre mot de passe est l'un des pires mots de passe, assurez-vous de le changer immédiatement !
Si vous voulez creuser un peu plus, Password Random a une liste des 10 000 mots de passe les plus utilisés. Il y a du langage adulte dans ces mots de passe, alors faites attention où vous le lisez !
Maintenant que nous savons ce qui fait un mot de passe faible, qu'en est-il d'un bon ?
Le problème avec les mots de passe est que plus ils sont complexes, plus ils sont forts; cependant, plus ils sont difficiles à retenir.
La raison pour laquelle les gens ont recours à des mots de passe comme "mot de passe" ou "12345" est qu'ils sont faciles à retenir et à taper. Il n'y a pas de majuscules ou de symboles étranges, mais c'est ce qu'il faut pour aider à contrer une attaque de pulvérisateur de mot de passe.
Heureusement, il existe des moyens de concevoir un mot de passe à la fois fort et mémorable. Si l'hygiène de votre mot de passe n'est pas à la hauteur, assurez-vous de lire comment créer un mot de passe fort que vous n'oublierez pas.
La pulvérisation de mots de passe est un problème important pour les utilisateurs et les entreprises qui n'utilisent pas de mots de passe forts. Parfois, tout ce qu'il faut, c'est qu'un compte ait un mot de passe faible, et les pirates peuvent utiliser l'effet de levier pour endommager davantage le système. Heureusement, en renforçant vos mots de passe et en utilisant 2FA, vous pouvez vous défendre.
Malheureusement, la pulvérisation de mots de passe n'est pas la seule tactique utilisée par les pirates. Assurez-vous de lire les tactiques les plus courantes utilisées pour pirater les mots de passe afin de renforcer davantage votre sécurité.
Crédit image :yekophotostudio/Depositphotos
