5 stratégies efficaces pour prévenir une attaque par force brute

Les attaques par force brute ont évolué, passant de simples tentatives de deviner des mots de passe à des campagnes sophistiquées alimentées par l’IA, capables de deviner des mots de passe complexes en quelques minutes plutôt qu’en plusieurs mois. Ce qui les rend particulièrement dangereuses, c’est leur persistance : les bots peuvent fonctionner en continu pendant des semaines, testant des millions de combinaisons tout en imitant parfaitement le comportement humain pour éviter la détection.

Points clés à retenir

• Les attaques modernes par force brute utilisent une automatisation avancée et l’IA pour compromettre les mots de passe plus rapidement que jamais, tout en imitant le comportement humain afin d’éviter la détection.
• Il existe plusieurs vecteurs d’attaque au-delà de la simple tentative de mot de passe, notamment le credential stuffing, le password spraying, les attaques hybrides et les techniques de rainbow table.
• Les attaques peuvent persister sans être détectées pendant des semaines ou des mois, les attaquants utilisant des adresses IP distribuées et des des schémas de navigation similaires à ceux des utilisateurs humains pour se fondre dans le trafic légitime.
• Les mesures de sécurité traditionnelles comme le rate limiting et les WAF échouent souvent face à des bots avancés capables d’adapter leur comportement et de se déployer sur de vastes plages d’IP.
• Une protection complète nécessite une analyse comportementale et une détection basée sur l’IA capables d’identifier les schémas subtils qui distinguent les bots des utilisateurs légitimes.

Qu’est-ce qu’une attaque par force brute ?

Une attaque par force brute est une méthode de cyberattaque qui utilise une approche par essais et erreurs pour deviner systématiquement des mots de passe, des identifiants de connexion ou des clés de chiffrement. Les attaquants utilisent des outils automatisés pour tester toutes les combinaisons possibles de caractères jusqu’à trouver celle qui permet d’accéder à un compte utilisateur ou à un système. Voici comment fonctionnent les attaques par force brute : en exploitant l’automatisation pour deviner des mots de passe à grande vitesse, en ciblant les comptes utilisateurs et les données sensibles via des tentatives répétées et persistantes.

Une attaque par force brute simple consiste à essayer toutes les combinaisons possibles de mots de passe sans raccourcis ni logique d’optimisation pour compromettre des comptes utilisateurs, en particulier ceux protégés par des mots de passe faibles ou courts. Plus la longueur du mot de passe est importante, plus il devient difficile pour les attaquants de réussir avec cette méthode. Les attaquants peuvent également utiliser des techniques de force brute pour cibler des clés de chiffrement, en appliquant la même approche exhaustive afin d’obtenir un accès non autorisé à des données chiffrées.

Examinons des exemples concrets pour comprendre l’impact des attaques par force brute sur les organisations.

Exemples d’attaques par force brute médiatisées

Fuite de données chez Dell (2024)

En mai 2024, Dell a subi une attaque massive par force brute affectant 49 millions de clients(1). L’attaquant, connu sous le nom de Menelik, a créé plusieurs comptes partenaires sur le portail de l’entreprise Dell et a lancé des attaques par force brute soutenues, envoyant plus de 5 000 requêtes par minute pendant près de trois semaines.

L’attaque a généré environ 50 millions de requêtes et a permis de récupérer près de 49 millions d’enregistrements clients, incluant des noms, des adresses, des service tags et des informations de garantie. L’aspect le plus préoccupant est que Dell n’a pas eu connaissance de l’attaque en cours malgré le volume massif de requêtes automatisées ciblant ses systèmes.

Supermarché en ligne Ubaldi

Ubaldi, un supermarché en ligne spécialisé dans l’électroménager et les produits pour la maison, a également été victime d’une attaque par force brute. Des bots ciblaient le endpoint de connexion de leur site web, testant un grand nombre d’adresses email et de mots de passe. Vincent Salard, CIO de Ubaldi.com, explique le défi :

« L’utilisation massive d’adresses email et de bibliothèques de mots de passe, que des individus malveillants testaient en lançant des attaques par force brute sur notre site web, à la recherche de combinaisons valides qu’ils pouvaient ensuite revendre sous forme de base de données consolidée », a déclaré Salard.

Ubaldi a choisi DataDome pour se protéger contre ces attaques. DataDome a bloqué l’ensemble des bots malveillants qui tentaient de saturer leur site et a considérablement réduit l’impact de ces bots sur les ressources serveur d’Ubaldi.

Quels sont les différents types d’attaques par force brute ?

Les attaques par force brute prennent plusieurs formes, chacune avec des caractéristiques et des méthodes spécifiques. Comprendre ces différences est essentiel pour une prévention efficace. La plupart des attaques sont des attaques basées sur des credentials menées par des acteurs malveillants à des fins de gain financier ou de vol de données.

Attaques en ligne vs hors ligne

Les attaques par force brute en ligne ciblent un site web ou une application mobile en fonctionnement. Elles sont faciles à lancer, car il suffit d’envoyer des bots vers n’importe quel site en ligne, mais elles peuvent être relativement lentes puisque l’attaquant doit attendre la réponse du serveur ciblé. Les entreprises ont également tendance à mettre en place du rate limiting sur leurs endpoints sensibles. ce qui ralentit davantage ces attaques.

Les attaques par force brute hors ligne ne sont possibles que lorsqu’un attaquant a obtenu un fichier de base de données contenant des informations chiffrées. Une fois en possession de ce fichier, il peut tester différentes clés pour déchiffrer les données sur son propre ordinateur plutôt que sur un serveur distant, ce qui rend ces attaques nettement plus rapides.

Attaques par dictionnaire

Les attaques par dictionnaire utilisent une liste prédéfinie de mots courants et de mots de passe pour deviner le bon mot de passe. Les bots de l’attaquant testent différentes combinaisons issues de ce dictionnaire pour trouver des identifiants valides. Ces attaques fonctionnent parce que les utilisateurs utilisent fréquemment des mots du dictionnaire dans leurs mots de passe.

Attaques hybrides

Une attaque par force brute hybride combine une attaque par dictionnaire avec une attaque par force brute classique. Lorsque les tentatives basées sur le dictionnaire échouent, l’attaquant passe à des combinaisons systématiques de caractères, en testant toutes les possibilités de lettres, chiffres et symboles. Cette méthode est particulièrement efficace, car elle cible à la fois les mots de passe courants et les combinaisons plus complexes.

Password spraying

Le password spraying consiste à appliquer un même mot de passe courant à de nombreux comptes. Au lieu de tester de nombreux mots de passe sur un seul compte, les attaquants inversent l’approche en essayant des mots de passe fréquemment utilisés comme « Password123! » ou « Summer2024 » sur des milliers de noms d’utilisateur. Cette méthode reste discrète en évitant les mécanismes de verrouillage de compte déclenchés après trop de tentatives échouées sur un même compte.

Un mot de passe testé sur de nombreux comptes

Attaques par force brute inversée

Une attaque par force brute inversée commence à partir d’un mot de passe connu publiquement ou divulgué. À partir de ce mot de passe, l’attaquant utilise l’automatisation pour rechercher un nom d’utilisateur, un numéro de compte ou une clé correspondante. Cette méthode exploite des mots de passe issus de fuites de données précédentes disponibles en ligne.

Credential stuffing

De nombreux utilisateurs réutilisent les mêmes credentials pour plusieurs comptes. Le credential stuffing exploite cette pratique en réutilisant des combinaisons identifiant-mot de passe volées pour accéder à d’autres comptes sans autorisation. Les attaquants utilisent des outils automatisés pour tester ces credentials sur différents sites jusqu’à trouver des correspondances.

Attaques par rainbow table

Les rainbow tables sont des tables pré-calculées contenant des des valeurs de hachage utilisées pour retrouver des mots de passe. Les attaques par rainbow table permettent de récupérer des mots de passe à partir de leur hash généré par différents algorithmes, notamment MD5, SHA-1 et NTLM. Les attaquants peuvent ainsi retrouver rapidement le texte en clair correspondant à un hash donné, sans avoir à recalculer toutes les combinaisons possibles.

Comment fonctionne une attaque par force brute ?

Avant de détailler comment détecter et prévenir les bots associés aux attaques par force brute, examinons leur fonctionnement. Une attaque par force brute menée par des bots suit généralement les étapes suivantes :

1. Identification des URL cibles et des paramètres : Les attaquants identifient les pages cibles du site et préconfigurent les paramètres nécessaires dans leurs outils d’attaque par force brute. En plus des pages de connexion classiques, les pages d’administration des systèmes de gestion de contenu (CMS) sont des cibles fréquentes :
   a. Pages de connexion WordPress wp-admin ou wp-login.php
   b. Pages /index.php et pages d’administration Magento
   c. Administrator pour Joomla!
   d. admincp pour vBulletin
2. Exécution des processus de force brute : Les bots tentent de deviner des mots de passe en les comparant à des listes de mots de passe issues de dictionnaires, en utilisant des rainbow tables de hash de mots de passe pré-calculés ou en appliquant des règles basées sur des caractéristiques du site, comme les schémas de noms d’utilisateurs ou de pages.
3. Extraction de contenu et de données : Lorsque certaines tentatives de connexion réussissent, les attaquants extraient des contenus et des données propriétaires du site cible à des fins de fraude, de gain économique ou pour préparer d’autres vecteurs d’attaque.

Comprendre ces mécanismes est essentiel pour identifier et stopper les attaques par force brute. Voyons maintenant comment détecter les signes d’une attaque en cours.

Comment identifier une attaque par force brute ?

L’objectif d’une attaque par force brute est d’accéder à des informations cachées ou protégées, telles que des comptes utilisateurs ou administrateurs. Les pages permettant d’accéder à ces informations sont les principales cibles. Les principaux indicateurs de trafic d’une attaque par force brute incluent :

• Des pics de trafic importants sur les pages de connexion
• De multiples requêtes provenant des mêmes adresses IP
• Un volume élevé de tentatives de connexion échouées
• Des requêtes provenant de zones géographiques inhabituelles

Les principaux indicateurs comportementaux incluent :

• Des tentatives de connexion systématiques sur plusieurs comptes
• Des requêtes à des vitesses inhumaines
• Des chaînes User-Agent identiques entre les requêtes
• L’absence de schémas de navigation typiques d’un humain

L’analyse des journaux d’authentification peut révéler des schémas tels qu’un grand nombre de connexions échouées et des tentatives d’accès avec des noms d’utilisateur inexistants, deux indicateurs forts d’une activité de force brute. La surveillance de ces logs est essentielle pour la détection.

L’utilisation d’outils de outils de SIEM (security information and event management) aide les organisations à surveiller et à générer des alertes sur les tentatives de connexion suspectes. Une surveillance régulière des activités de connexion et des journaux d’authentification est essentielle pour identifier et contrer les attaques par force brute avant qu’elles ne s’intensifient.

Comment prévenir les attaques par force brute

Les opérateurs modernes d’attaques par force brute conçoivent des bots capables d’imiter le comportement humain et d’utiliser un très grand nombre d’adresses IP différentes. Les mesures de sécurité traditionnelles basées sur des règles, comme les WAF, ne permettent pas d’arrêter ces attaques sophistiquées. Voici cinq méthodes efficaces pour stopper une attaque par force brute :

1. Bonnes pratiques de sécurité des mots de passe

Générez des mots de passe forts et uniques à l’aide d’un gestionnaire de mots de passe, en respectant ces critères :

• Au moins 15 caractères (idéalement plus)
• Combinaison de majuscules, minuscules, chiffres et caractères spéciaux
• Éviter les mots du dictionnaire, quelle que soit la langue
• Ne jamais réutiliser un mot de passe sur plusieurs comptes

2. Mesures de contrôle d’accès

Limiter les tentatives de connexion :

• Définir un nombre maximal d’échecs avant verrouillage du compte
• Mettre en place des délais progressifs entre les tentatives
• Restreindre les tentatives de connexion par adresse IP
• Créer des blocages temporaires dont la durée augmente progressivement

Surveiller les adresses IP et les localisations :

• Suivre les activités de connexion, y compris les échecs et les IP sources
• Configurer des alertes pour les connexions depuis des localisations anormales
• Bloquer les plages d’IP malveillantes connues
• Mettre en place du geofencing lorsque pertinent

3. Renforcement de l’authentification

Déployer une authentification multifacteur (MFA) :

• Exiger une vérification supplémentaire au-delà du mot de passe
• Utiliser des tokens matériels pour les comptes à risque élevé
• Envisager l’authentification biométrique lorsque pertinent
• Éviter la MFA par SMS en raison des vulnérabilités liées au SIM swapping

4. Renforcement de l’infrastructure

Sécuriser les configurations serveur :

• Remplacer les noms d’utilisateur administrateur par défaut comme « admin »
• Masquer les pages de connexion admin et client en modifiant leurs noms par défaut
• Désactiver les connexions SSH root avec « PermitRootLogin no »
• Utiliser des des méthodes de hachage des mots de passe sécurisées avec salage

Créer des URL de connexion uniques pour différents groupes d’utilisateurs afin de compliquer la découverte des endpoints d’authentification pour les attaquants.

5. Surveillance comportementale avancée

Observer les schémas de comportement des utilisateurs :

• Surveiller les comptes très actifs sans conversions
• Détecter des horaires ou localisations de connexion inhabituels
• Identifier des tentatives de connexion rapides sur plusieurs comptes
• Analyser les sessions pour détecter des comportements automatisés

Mettre en place une architecture zero-trust qui vérifie chaque demande d’accès quelle que soit sa source ou des credentials utilisés.

Protection de DataDome contre les attaques par force brute

DataDome protège contre les attaques par force brute grâce à une approche multicouche combinant deux produits conçus spécifiquement : Bot Protect et Account Protect.

Bot Protect

DataDome Bot Protect bloque les attaques par force brute automatisées avant qu’elles n’atteignent votre page de connexion.

La détection alimentée par l’IA analyse en temps réel les schémas comportementaux et les signaux techniques, identifiant les bots malveillants en moins de 2 millisecondes. Avec un taux de faux positifs inférieur à 0,01 %, les utilisateurs légitimes ne subissent aucune friction, tandis que les tentatives de credential stuffing et de devinette de mots de passe sont immédiatement stoppées.

Account Protect

DataDome Account Protect permet de prévenir les attaques par force brute sophistiquées ciblant les comptes utilisateurs en :

• Analysant des signaux tels que les empreintes IP/appareil, la réputation des emails et les schémas comportementaux
• Détectant des anomalies comme des tentatives de connexion rapides, des incohérences de localisation et des parcours de navigation suspects
• S’appuyant sur une intelligence réseau issue de 5 trillions de signaux quotidiens provenant de l’ensemble des clients DataDome
• Fournissant des recommandations basées sur le niveau de risque (Allow, Challenge avec MFA, Review ou Deny)

Plus performant que les WAF

Les WAF traditionnels reposent sur des règles statiques et des signatures, ils bloquent les menaces connues mais passent à côté des attaques sophistiquées qui adaptent leur comportement. DataDome adopte une approche différente : une détection basée sur l’intention.

En analysant les schémas comportementaux et les signaux techniques en temps réel, DataDome identifie les intentions malveillantes, qu’elles proviennent de bots automatisés, d’attaques manuelles ou d’opérations hybrides. Cela permet de stopper le credential stuffing, les account takeovers et les tentatives de force brute avant qu’ils ne réussissent, sans perturber les utilisateurs légitimes.

Prêt à protéger votre site contre les attaques par force brute ? Réservez une démo pour en savoir plus sur DataDome, ou lancez un scan de vulnerabilité gratuitement pour vérifier si votre site est vulnérable aux bots malveillants et aux agents IA malveillants.