Comment prévenir les attaques par mot de passe
Les attaques par mot de passe ciblent le point d’entrée le plus vulnérable de votre sécurité : les identifiants utilisateur. Les attaquants utilisent des outils automatisés pour voler ou deviner des mots de passe et accéder sans autorisation à vos comptes professionnels, réseaux et données sensibles.
Selon le rapport 2024 sur la cybercriminalité de l’Internet Crime Complaint Center (IC3) du FBI, le phishing et les attaques par vol d’identifiants ont généré plus de 193 000 plaintes et contribué à des pertes record liées à la cybercriminalité. Résultat : pertes financières, violations de données et perturbations opérationnelles.
Points clés
- La plupart des attaques par mot de passe réussissent parce que les utilisateurs réutilisent leurs mots de passe sur plusieurs comptes, ce qui rend les attaques de credential stuffing particulièrement efficaces.
- Les attaques automatisées peuvent compromettre des mots de passe faibles en quelques secondes, tandis que des mots de passe complexes comportant au moins douze caractères prennent beaucoup plus de temps à casser.
- Une défense multicouche combinant des mots de passe robustes, l’authentification multifacteurs et la détection de bots offre la protection la plus efficace contre les attaques par mots de passe.
Qu’est-ce qu’une attaque par mot de passe ?
Les attaques par mots de passe sont des cyberattaques qui tentent d’obtenir un accès non autorisé aux comptes ou aux réseaux en déchiffrant ou en devinant les mots de passe des utilisateurs. Les attaquants utilisent des scripts automatisés, des logiciels malveillants ou des tactiques d’ingénierie sociale pour compromettre les identifiants et infiltrer les systèmes. Une fois qu’ils ont piraté un compte, les attaquants peuvent voler des données confidentielles, commettre des fraudes, déployer des ransomwares ou utiliser le compte compromis comme point de départ pour des attaques plus larges.
Pourquoi les attaques par mots de passe fonctionnent
Les attaques par mots de passe réussissent en raison du comportement humain prévisible et de pratiques de sécurité faibles. Les utilisateurs choisissent des mots de passe faciles à retenir mais aussi faciles à deviner. Les schémas courants incluent « 123456 », « password » ou des informations personnelles comme les dates de naissance et les noms d’animaux domestiques. La réutilisation des mots de passe aggrave le problème. Lorsqu’un compte est piraté, les attaquants testent ces mêmes identifiants sur plusieurs plateformes.
Les outils utilisés par les attaquants sont également devenus plus sophistiqués. Les bots automatisés peuvent tester des milliards de combinaisons de mots de passe en quelques minutes. Les bases de données d’identifiants volés circulent librement sur les forums du dark web : le rapport d’enquête sur les violations de données 2024 de Verizon a révélé que 2,8 milliards de mots de passe ont été mis en vente sur des places de marché criminelles.
Le coût des attaques par mot de passe pour votre entreprise
Pertes financières directes
Les attaques par mot de passe entraînent des dommages financiers immédiats par le biais de transactions frauduleuses, des vols de fonds et d’informations de paiement compromises. Le rapport sur la cybercriminalité 2024 du FBI a documenté 16,6 milliards de dollars de pertes totales dues à la cybercriminalité, les attaques basées sur les identifiants étant un contributeur majeur(1).
Perturbation opérationnelle
La gestion des attaques par mot de passe mobilise d’importantes ressources. Les équipes de sécurité doivent enquêter sur les activités suspectes, le service client traiter les réclamations liées aux comptes compromis, et les équipes IT réinitialiser les mots de passe ou mettre en œuvre des mesures de sécurité d’urgence. Ces actions détournent vos équipes de leurs missions stratégiques.
Érosion de la confiance des clients
Les violations de données issues d’attaques par mot de passe nuisent à la relation client. Les utilisateurs perdent confiance lorsque leurs comptes sont compromis, ce qui entraîne une perte de clientèle et une mauvaise publicité. Restaurer cette confiance nécessite des efforts et des ressources qui dépassent largement les coûts immédiats de l’incident.
Sanctions réglementaires
Les organisations évoluant dans des secteurs réglementés s’exposent à des conséquences juridiques lorsque des attaques par mot de passe entraînent des violations de données. Le RGPD, la HIPAA et d’autres réglementations prévoient des amendes importantes en cas de manquement à la protection des données des utilisateurs. La surveillance réglementaire est également amenée à s’intensifier en réponse à ces attaques, exigeant davantage de rapports de conformité et d’audits.
Atteinte à la réputation
La divulgation publique d’incidents liés à des attaques par mot de passe nuit à l’image de la marque. La couverture médiatique des violations influence les décisions des clients potentiels, et vos concurrents peuvent exploiter vos failles de sécurité dans leur communication. Les entreprises cotées voient presque systématiquement leur action chuter après l’annonce d’une faille.
Signes révélateurs d’attaques par mot de passe
Modèles de connexion inhabituels : surveillez les pics soudains de tentatives de connexion échouées. Plusieurs échecs suivis d’un succès indiquent souvent une attaque de credential stuffing. Des incohérences géographiques, comme une connexion à un compte depuis New York puis Londres en l’espace de quelques minutes, signalent des identifiants compromis.
Comportements séquentiels ou automatisés : les utilisateurs légitimes font des erreurs, se corrigent et montrent une variation naturelle dans le rythme de saisie. Les bots remplissent les formulaires de connexion avec une précision mécanique, un timing identique entre les champs et une exactitude parfaite. Surveillez les comportements uniformes et suspects lors de tentatives répétées.
Sources de trafic suspectes : analysez l’origine des tentatives de connexion. Un trafic excessif en provenance de centres de données, de services cloud ou de fournisseurs VPN connus est souvent le signe d’attaques automatisées. Les utilisateurs légitimes se connectent généralement via des FAI résidentiels, et non via des proxys de centres de données.
Pics de verrouillage de comptes : une hausse soudaine des comptes verrouillés dans votre base d’utilisateurs peut indiquer une attaque de type password spraying. Les attaquants testent des mots de passe courants sur de nombreux comptes, ce qui déclenche les seuils de verrouillage. Surveillez les schémas où plusieurs comptes sont verrouillés simultanément.
Validation d’identifiants sans activité associée : certains attaquants valident les identifiants sans utiliser les comptes immédiatement. Les utilisateurs qui se connectent avec succès mais n’effectuent aucune action typique peuvent être des attaquants confirmant que leurs identifiants volés fonctionnent avant de les vendre ou de planifier des attaques ultérieures.
Types d’attaques par mot de passe
Attaque par force brute
Une attaque par force brute tente systématiquement toutes les combinaisons possibles de mots de passe jusqu’à trouver la bonne. Les attaquants utilisent des outils automatisés capables de tester des milliards de combinaisons très rapidement.
Ces attaques sont particulièrement efficaces contre les mots de passe faibles. Un mot de passe de six caractères peut être cassé en quelques secondes, tandis qu’un mot de passe complexe de 12 caractères prend 62 000 milliards de fois plus de temps. L’attaque continue jusqu’à réussir ou jusqu’à ce que le compte soit verrouillé.
Comment stopper les attaques par force brute : appliquez des politiques de verrouillage de compte après plusieurs tentatives de connexion échouées. Imposez des règles de complexité de mot de passe incluant longueur, majuscules, minuscules, chiffres et caractères spéciaux. Surveillez les schémas de connexion suspects comme des tentatives rapides répétées depuis la même adresse IP.
Attaque par dictionnaire
Les attaques par dictionnaire utilisent des listes de mots courants, d’expressions et de mots de passe déjà divulgués. Plutôt que de tester toutes les combinaisons possibles, les attaquants essaient des mots de passe issus de dictionnaires spécialisés contenant les mots de passe les plus fréquemment utilisés.
Ces listes sont générées à partir de l’analyse de millions de mots de passe divulgués lors de violations de données. Les attaquants savent que les utilisateurs choisissent souvent des mots de passe basés sur des mots du dictionnaire, ce qui rend cette méthode bien plus rapide qu’une attaque par force brute pure. Des mots de passe comme « password123 » ou « welcome » figurent dans tous les dictionnaires d’attaque.
Comment arrêter les attaques par dictionnaire : interdisez l’utilisation de mots de passe courants lors de la création de comptes. Utilisez des indicateurs de robustesse de mot de passe qui rejettent les mots du dictionnaire et les schémas prévisibles. Sensibilisez les utilisateurs aux phrases de passe qui combinent des mots aléatoires avec des chiffres et des symboles.
Attaque par credential stuffing
Le credential stuffing consiste à utiliser des paires identifiant/mot de passe issues de fuites de données. Les attaquants récupèrent des identifiants exposés sur un service, puis les testent de manière systématique sur des milliers d’autres sites et applications.
Les attaques de credential stuffing fonctionnent parce que les utilisateurs réutilisent leurs mots de passe. Si votre mot de passe Netflix a été exposé lors d’une violation de données et que vous utilisez le même pour votre banque, les attaquants essaieront cette combinaison sur des plateformes bancaires. Les bots automatisent ce processus, testant des millions d’identifiants volés en parallèle sur plusieurs services.
Comment arrêter le credential stuffing : déployez des solutions de détection de bots capables d’identifier les tentatives de connexion automatisées. Surveillez les scénarios de déplacement impossible, où un compte se connecte depuis des lieux géographiques très éloignés en quelques minutes. Mettez en œuvre l’empreinte digitale des appareils pour détecter les schémas suspects.
Attaque par password spraying
Le password spraying inverse la logique de la force brute. Au lieu de tester de nombreux mots de passe sur un seul compte, les attaquants essaient quelques mots de passe courants sur des milliers de comptes. Ils testent des mots de passe comme « Password123! » ou « Winter2024! » sur l’ensemble de votre base utilisateurs.
Cette méthode permet d’éviter les verrouillages de compte, car les attaquants ne font qu’une ou deux tentatives par compte. Ils répartissent les tentatives sur de nombreux comptes, de manière à rester en dessous des seuils de détection. Cette technique est particulièrement efficace dans les entreprises aux politiques de mot de passe peu strictes.
Comment arrêter le password spraying : analysez les journaux d’authentification pour identifier des schémas où le même mot de passe est essayé sur plusieurs comptes. Bloquez les mots de passe courants au niveau de l’organisation. Mettez en place une authentification adaptative qui renforce la sécurité dès que des schémas suspects apparaissent.
Attaque par phishing
Le phishing (ou hameçonnage) consiste à tromper les utilisateurs pour qu’ils divulguent volontairement leurs mots de passe. Les attaquants envoient des emails frauduleux qui semblent provenir de services légitimes et redirigent les victimes vers de fausses pages de connexion. Les utilisateurs saisissent leurs identifiants sur ces pages imitées, les remettant directement aux attaquants.
Le phishing moderne est devenu très sophistiqué. Les attaquants copient à la perfection les sites web légitimes, utilisent des modèles d’emails convaincants et créent un sentiment d’urgence à travers des messages sur des problèmes de compte ou de sécurité. Certaines campagnes ciblent des individus précis avec des informations personnalisées, ce qui rend la fraude encore plus crédible.
Comment arrêter les attaques par phishing : formez les utilisateurs à vérifier les adresses d’expéditeur et à survoler les liens avant de cliquer. Mettez en œuvre des filtres de sécurité des e-mails qui détectent et bloquent les tentatives de hameçonnage. Utilisez une authentification sans mot de passe ou des clés de sécurité FIDO2 qui empêchent la saisie d’identifiants sur de faux sites.
Attaque par enregistreur de frappe (keylogger)
Les keyloggers sont des logiciels malveillants qui enregistrent chaque frappe clavier sur un appareil infecté. Lorsqu’un utilisateur saisit un mot de passe, le keylogger l’enregistre et l’envoie aux attaquants. Les utilisateurs installent souvent ces logiciels à leur insu, en téléchargeant des fichiers infectés ou en cliquant sur des liens malveillants.
Ces attaques sont particulièrement dangereuses car elles s’exécutent en arrière-plan. Même les mots de passe les plus complexes sont capturés caractère par caractère. Un keylogger peut rester indétecté pendant des mois et collecter en continu des identifiants et d’autres données sensibles.
Comment arrêter les attaques par keylogger : maintenez les antivirus et logiciels anti-malware à jour avec les dernières définitions. Formez les utilisateurs à repérer les fichiers ou pièces jointes suspects. Utilisez des claviers virtuels pour la saisie de mots de passe sensibles — bien que cela ne protège que contre certains keyloggers logiciels. Envisagez des méthodes d’authentification sans mot de passe qui éliminent toute saisie clavier.
Attaque de type man-in-the-middle (MITM)
Les attaques de type man-in-the-middle interceptent les communications entre un utilisateur et un service légitime. Les attaquants se positionnent dans le flux de données et capturent les identifiants au moment de la transmission. Cela se produit souvent sur des réseaux Wi-Fi publics non sécurisés ou via des équipements réseau compromis.
Lorsque les utilisateurs se connectent à un service, les attaquants interceptent la connexion et relaient les informations entre les deux parties. Tout semble normal côté utilisateur : la page de connexion fonctionne correctement. Pendant ce temps, les attaquants collectent les identifiants en temps réel, à l’insu des deux parties.
Comment arrêter les attaques MITM : imposez l’utilisation du chiffrement HTTPS sur tous les services avec des certificats SSL/TLS correctement configurés. Interdisez les opérations sensibles sur les réseaux Wi-Fi publics. Déployez l’épinglage de certificats pour empêcher les certificats frauduleux. Utilisez des VPN pour chiffrer le trafic réseau sur les réseaux non fiables.
Attaque par rainbow table
Les attaques par rainbow table utilisent des tables précalculées contenant des valeurs de hachage pour des millions de mots de passe possibles. Lorsque les systèmes stockent des mots de passe, ils les convertissent en valeurs de hachage par chiffrement unidirectionnel. Les attaquants comparent les hachages volés avec leurs rainbow tables pour trouver des correspondances sans avoir besoin de déchiffrer le hachage d’origine.
Ces attaques fonctionnent rapidement car le calcul est déjà effectué. Les attaquants recherchent simplement la valeur de hachage dans leur table pour trouver le mot de passe correspondant. Cette méthode contourne le temps requis pour les calculs de force brute.
Comment arrêter les attaques par rainbow table : ajoutez un salt (donnée aléatoire) aux hachages de mots de passe avant le hachage. Chaque mot de passe reçoit un salt unique, ce qui rend les rainbow tables inefficaces, car il faudrait une table différente pour chaque salt. Utilisez des algorithmes de hachage modernes comme bcrypt, scrypt ou Argon2, spécialement conçus pour résister à ce type d’attaque.
Prévenir les attaques par mot de passe avec DataDome
DataDome Account Protect bloque les attaques par mot de passe avant même que les attaquants puissent tester des identifiants sur vos systèmes. La solution utilise l’apprentissage automatique pour analyser des centaines de signaux comportementaux, notamment les empreintes d’appareils, les caractéristiques réseau, les schémas de connexion et l’historique des sessions. Le système détecte et bloque les attaques automatisées en temps réel :
- Détection de bots : identifie les outils automatisés utilisés pour le credential stuffing et les attaques par force brute
- Analyse comportementale : distingue les utilisateurs légitimes des attaquants grâce aux schémas d’interaction naturels
- Intelligence des appareils : reconnaît les appareils suspects et signale les scénarios impossibles
- Réponse adaptative : déclenche des vérifications supplémentaires sur les tentatives suspectes tout en laissant passer les utilisateurs sans friction
Account Protect fonctionne de manière transparente pour les utilisateurs réels, qui ne subiront aucun délai ni étape de vérification supplémentaire, tandis que les attaques automatisées par mots de passe sont bloquées à la page de connexion. La solution se déploie en quelques minutes sans nécessiter de modifications architecturales.
Découvrez comment DataDome Account Protect peut défendre votre plateforme contre les attaques par mot de passe et protéger vos utilisateurs contre l’account takeover.
FAQ
Les attaques par force brute consistent à deviner systématiquement les combinaisons de mots de passe à l’aide d’outils automatisés qui essaient toutes les possibilités. Le credential stuffing, quant à lui, repose sur l’utilisation d’identifiants (nom d’utilisateur et mot de passe) volés lors de précédentes violations de données. La force brute nécessite une puissance de calcul importante et du temps, tandis que le credential stuffing exploite des identifiants déjà compromis et réussit grâce à la réutilisation des mots de passe.
L’authentification multifacteur réduit considérablement le succès des attaques par mot de passe. Même lorsque des attaquants volent ou devinent un mot de passe, ils ne peuvent pas accéder au compte sans le second facteur d’authentification. Toutefois, la MFA n’est pas infaillible. Les attaquants peuvent contourner l’authentification par SMS via des attaques de type SIM swapping, ou utiliser l’ingénierie sociale pour pousser les utilisateurs à approuver une demande d’authentification. Pour une protection optimale, mettez en œuvre des méthodes MFA résistantes au phishing, comme les clés de sécurité physiques.
Les gestionnaires de mots de passe contribuent à prévenir les attaques en générant et en stockant des mots de passe forts et uniques pour chaque compte. Cela élimine la réutilisation des mots de passe, rendant les attaques de credential stuffing inefficaces. Les utilisateurs n’ont qu’à mémoriser un mot de passe maître, tandis que chaque compte dispose de son propre mot de passe complexe. Cependant, les gestionnaires de mots de passe ne protègent pas contre les keyloggers ni contre les attaques de phishing, dans lesquelles les utilisateurs sont incités à saisir leur mot de passe maître sur des sites frauduleux.
Les services financiers sont les plus exposés, car les comptes contiennent directement des fonds. Les plateformes e-commerce sont fortement ciblées pour la fraude au paiement et les account takeovers. Les établissements de santé subissent de plus en plus d’attaques visant les données patients et les fraudes à l’assurance. Les entreprises technologiques et les éditeurs SaaS sont quant à eux confrontés à des attaques par identifiants pouvant compromettre plusieurs services interconnectés.
Les mots de passe simples se cassent presque instantanément. « 123456 » prend moins d’une seconde. Les mots de passe de six caractères peuvent être cassés en quelques secondes à quelques heures selon leur complexité. Les mots de passe de huit caractères composés uniquement de lettres minuscules peuvent être compromis en quelques heures. En revanche, un mot de passe de 12 caractères combinant majuscules, minuscules, chiffres et symboles prend 62 000 milliards de fois plus de temps à casser qu’un mot de passe de six caractères, ce qui le rend pratiquement impossible à compromettre avec les technologies actuelles.
Les CAPTCHA traditionnels sont de moins en moins efficaces contre les attaques par mot de passe. Les services de bots modernes utilisent l’apprentissage automatique pour résoudre automatiquement les CAPTCHA avec des taux de réussite supérieurs à 90 %. Les services de résolution humaine permettent également aux attaquants de contourner les CAPTCHA à grande échelle pour quelques centimes par validation. En outre, les CAPTCHA frustrent les utilisateurs légitimes, car ils créent une friction qui entraîne l’abandon de la part des clients. Les solutions avancées de détection de bots, basées sur l’analyse des comportements, offrent une meilleure protection sans nuire à l’expérience utilisateur.
Références
- FBI Internet Crime Complaint Center. Rapport 2024 sur la cybercriminalité. https://www.ic3.gov/AnnualReport/Reports/2024_IC3Report.pdf
- Verizon. Rapport 2024 sur les enquêtes de violations de données. https://www.verizon.com/business/resources/reports/dbir./