Attaques par force brute : l’absence de pro­tec­tion des mots de passe

Même si la société Apple n’a jamais confirmé of­fi­ciel­le­ment l’évènement, nous pouvons cependant croire qu’une simple lacune de sécurité au niveau de son service de stockage en ligne iCloud est bien à l’origine du scandale en 2014 du piratage de nombreux comptes d’uti­li­sa­teurs. En effet, tout porte à croire que le manque de pro­tec­tion contre la méthode d’attaque par force brute est en cause, ce qui a permis notamment aux hackers de voler plusieurs photos privées de cé­lé­bri­tés. A la suite de cette attaque, des mesures de pro­tec­tions ont ra­pi­de­ment étés prises par Apple. Notamment la mise en place d’un maximum de dix ten­ta­tives pour la saisie du mot de passe, si ce seuil maximum est dépassé, la procédure de connexion ou de login est alors bloquée et le titulaire du compte est avisé du problème. Avant ce scandale de piratage, il n’y avait aucune limite ou mesure pour pouvoir rentrer un mot de passe lors de la procédure de connexion, la pla­ni­fi­ca­tion d’une attaque de force brute n’était donc qu’une question de temps.

La méthode de recherche par force brute  ou recherche ex­haus­tive est une méthode de ré­so­lu­tion de problème dans les domaines de la cryp­to­lo­gie, de l’in­for­ma­tique et de la théorie des jeux. Cette méthode tient justement son nom du fait qu’elle soit basée sur l’uti­li­sa­tion et l’essai de toutes les solutions possibles, d’où également le terme de recherche ex­haus­tive. Cette technique est utilisée quand il n‘ a pas de meilleur al­go­rithme valable. Les hackers qui utilisent cette méthode sont par­ti­cu­liè­re­ment affutés à craquer des mots de passe et peuvent ainsi aisément accéder aux données per­son­nelles. Pour cela, ils utilisent des logiciels avec un simple al­go­rithme qui essaie ra­pi­de­ment et de manière suc­ces­sive un grand nombre de com­bi­nai­sons de ca­rac­tères com­pre­nant des chiffres, des espaces et des lettres jusqu’à une longueur maximale définie.

Plus le mot de passe est court et simple, plus ra­pi­de­ment il peut être craqué avec la méthode de force brute. C’est bien pourquoi les mots de passe com­pre­nant dif­fé­rents ca­rac­tères sont gé­né­ra­le­ment re­com­man­dés et il est aussi conseillé d’utiliser un système d’encodage pour les très grandes clefs ou mots de passe. Comme la quantité de puissance de calcul né­ces­saire pour réaliser une attaque par force brute devient de plus en plus fa­ci­le­ment dis­po­nible, cela signifie que les ten­ta­tives d’attaques peuvent s’effectuer dans un laps de temps plus court, rendant une pro­tec­tion complète contre les attaques par force brute aujourd’hui quasiment in­dis­po­nible.

Etant considéré la sim­pli­cité de la méthode, on pourrait penser que les mesures de pro­tec­tions sont déjà ap­pli­quées, mais ce n’est mal­heu­reu­se­ment pas toujours le cas. Po­ten­tiel­le­ment chaque or­di­na­teur qui est connecté à Internet est compromis. Dès qu’un hacker a accédé à votre système, ce qui arrive plus vite que vous ne le pensez, vos mots de passe ne sont alors plus hors de portée. En effet la plupart des systèmes d’ex­ploi­ta­tion exécutent des fichiers ou base de données ou les ID et mots de passe sont stockés. Pour Windows, les mots de passe et clefs sont par exemple dans le fichier .sam, et pour les systèmes Unixoid, ils peuvent être trouvés dans les dossiers .passwd ou .shadow.  

Les mots de passe dans ces fichiers ne sont bien évi­dem­ment pas stockés dans un texte clair et plein, ils sont effet encodés en utilisant un al­go­rithme de chif­fre­ment. Cependant un hacker peut tout de même avoir accès aux fichiers s’ils ne sont pas suf­fi­sam­ment protégés contre les accès non autorisés. Le hacker peut ainsi créer une copie du fichier et ensuite réaliser plusieurs attaques par force brute sans avoir à maintenir une connexion avec le système. En général il y a main­te­nant seulement trois variables qui dé­ter­mi­nent combien de temps il sera né­ces­saire à la réussite de l’attaque.

• La durée d’une simple étape de vé­ri­fi­ca­tion.
• La longueur du mot de passe
• La com­plexité du mot de passe

La durée d’une simple étape de vé­ri­fi­ca­tion, c’est à dire l’essai d’un possible mot de passe va dépendre de la puissance de calcul dis­po­nible de l’attaquant. Plus ce dernier à une puissance im­por­tante, le plus vite une tentative peut alors être réalisée, ainsi que la suivante. La longueur et la com­plexité du mot de passe aug­men­tent lo­gi­que­ment le nombre de com­bi­nai­sons possible et par con­sé­quent le nombre de pos­si­bi­li­tés que doit tester le hacker pendant l’attaque de force brute. Voici en détail quels sont les effets de la longueur et de la com­plexité d’un mot de passe :

Le tableau montre donc qu’avec un PC moderne, il faut seulement 35 minutes pour tester toutes les com­bi­nai­sons possibles pour un mot de passe simple qui a un set de 26 ca­rac­tères. Par contre, avec un set de 72 ca­rac­tères avec la même puissance de calcul, cela prendrait environ 83 jours. Cependant cela ne doit pas être une raison de ne pas s’inquiéter. En effet la méthode de force brute peut être combinée avec l’attaque par dic­tion­naire et par table arc-en-ciel (an anglais rainbow table, est une structure de données pour retrouver un mot de passe à partir de son empreinte) afin de trouver ef­fi­ca­ce­ment le mot de passe et cela de manière bien plus rapide.

Que l’objectif d’une attaque de force brute soit le mot de passe de votre système central, ou comme dans l’exemple de l’ICloud pour obtenir des in­for­ma­tions d’uti­li­sa­teurs Apple, ces évè­ne­ments montrent bien l'im­por­tance de se protéger contre les procédés de dé­chif­fre­ment. En ce qui concerne les mots de passe du système privé, vous pouvez vous-même prendre les choses en main. En effet il suffit d’utiliser des com­bi­nai­sons qui se composent de nombreux types de ca­rac­tères dif­fé­rents. Dans le meilleur des cas, vous pouvez utiliser des ca­rac­tères ma­jus­cules et mi­nus­cules, les ca­rac­tères spéciaux et des chiffres pour vos mots de passe. Tout cela pour rendre plus difficile le piratage de vos clefs.

Mais la situation se complique pour la création de mots de passe pour les services en ligne. En effet vous êtes alors tri­bu­taire des exigences du four­nis­seur. En général un mot de passe classique comporte au maximum 8 ca­rac­tères et est souvent limité aux chiffre et lettres, ce qui n’est pas optimal en matière de sécurité. Dans ce cas, vous devriez alors re­cher­cher quelles pré­cau­tions les opé­ra­teurs de site Web prennent afin de se protéger contre les attaques de force brute. Lorsque vous êtes ex­ploi­tant d’un site Internet avec un mécanisme de login, c’est en effet votre res­pon­sa­bi­lité. Il existe pour cela deux approches possibles :

• Sécuriser le mécanisme de mot de passe
• Etablir une au­then­ti­fi­ca­tion mul­ti­fac­to­rielle

La sé­cu­ri­sa­tion du mécanisme de mot de passe devrait être la base pour tout login, mais le scandale de l’ICloud a démontré que ce n’est mal­heu­reu­se­ment pas toujours le cas. Le but du mécanisme de pro­tec­tion est de rendre le travail du logiciel de force brute bien plus difficile. Cela signifie par exemple que lorsqu’un mot de passe incorrect est rentré plusieurs fois, aucune autre tentative ne peut être réalisée et la fonction de login est alors bloquée. De plus il est aussi possible d’augmenter le temps après et entre chaque tentative de login. Vous pouvez aussi choisir une étape sup­plé­men­taire, comme l’applique désormais Apple, qui est de bloquer en­tiè­re­ment le compte de l’uti­li­sa­teur dans le cas où il y a plusieurs ten­ta­tives répétées de login.

De nombreux sites offrent main­te­nant aussi l’option d’une au­then­ti­fi­ca­tion mul­ti­fac­to­rielle. Cela entraine un processus de login plus compliqué puisque plusieurs com­po­sants sont né­ces­saires en plus du mot de passe. Cela peut être la réponse à une question secrète, la rentrée d’un code Pin, ou encore répondre à un test Captcha. Un test Captcha est un court test qui consiste à vérifier si le processus de login est bien réalisé par une personne et non comme dans le cas d’un logiciel de force brute, par un robot.

En plus de mesures pré­sen­tées ci-dessus, il existe aussi quelques astuces pour se prémunir des attaques par force brute. Un logiciel de hacking fonc­tionne nor­ma­le­ment avec dif­fé­rents modèles de re­con­nais­sance de sorte que cela complique le système si les messages d’erreurs standards ne sont pas envoyés à l’uti­li­sa­teur di­rec­te­ment, mais sont envoyés sur un système externe, comme un site Internet différent. L’uti­li­sa­tion de noms dif­fé­rents pour les champs de saisie de texte sont restaurés après une tentative de login peut aussi apporter une dif­fi­culté sup­plé­men­taire pour les outils des hackers. L’uti­li­sa­tion d’une ou de plusieurs mesures est re­com­mandé afin d’améliorer la pro­tec­tion de votre site Internet contre la méthode d’attaques par force brute. Il existe aussi pour certaines ap­pli­ca­tions et pla­te­formes, des ex­ten­sions et des outils spé­ci­fiques contre les attaques par force brute. L’extension Jetpack qui a été à la base créé pour faciliter la gestion de sites WordPress, contient un module intégré pour prévenir des attaques dan­ge­reuses basées sur une blacklist d’IP. Les adresses IP col­lec­tées dans cette liste sont celles qui ont étés reportés via des pré­cé­dentes attaques par force brute sur des pages WordPress. Cette blacklist est bien évi­dem­ment cons­tam­ment ac­tua­li­sée.