Attaques par pulvérisation de mots de passe : comment réagir et comment les éviter

En matière de piratage de mots de passe, les organisations connaissent pour la plupart les attaques par force brute, qui consistent à essayer des dizaines de milliers de mots de passe par seconde à l’aide d’algorithmes, jusqu’à trouver le bon. Pourtant, la pulvérisation de mots de passe, aussi appelée password spraying, fait de plus en plus figure d’alternative à cette stratégie, car elle permet d’éviter les blocages de comptes qui se déclenchent désormais sur de nombreux systèmes et appareils après un certain nombre de tentatives de connexion.

Cette technique consiste à tester des mots de passe courants et simples sur l’ensemble d’une organisation, en espérant qu’un de ses utilisateurs ait choisi la facilité avec « abc123 », « password » ou un autre mot de passe figurant parmi les plus prisés. Dans cet article, nous allons voir les bases de la pulvérisation de mots de passe, le déroulement d’une telle attaque et les mesures que vous pouvez prendre pour vous en prémunir.

Qu’est-ce que la pulvérisation de mots de passe ?
Pulvérisation de mots de passe et autres attaques ciblant les mots de passe
Fonctionnement des attaques par pulvérisation de mots de passe
Trois indices témoignant d’une attaque par pulvérisation de mots de passe
Trois mesures pour remédier à une attaque par pulvérisation de mots de passe
Comment éviter les attaques des campagnes de pulvérisations de mot de passe
FAQ sur la pulvérisation de mots de passe

Qu’est-ce que la pulvérisation de mots de passe ?

La pulvérisation de mots de passe diffère des attaques par force brute, car elle vise large et ne se concentre pas sur des utilisateurs, appareils ou comptes spécifiques. Son auteur commence généralement par tester un mot de passe banal en espérant qu’il a été choisi par un utilisateur quelque part dans l’organisation. Si cette première tentative échoue, il passe à un autre mot de passe. Cette stratégie lui évite d’être bloqué, car il n’essaie pas de se connecter à de nombreuses reprises et sur une courte période à un même compte. Elle constitue ainsi une méthode discrète et lente pour hacker des mots de passe. Les cybercriminels vont au plus simple en s’intéressant aux mots de passe les plus fréquents et en les testant lentement, sur une période longue, jusqu’à réussir. Une fois qu’ils sont parvenus à accéder à un ordinateur ou à un compte, ils cherchent à exploiter cet accès pour infiltrer d’autres parties du système. Ils peuvent par exemple accéder au lecteur cloud d’un utilisateur pour y chercher les mots de passe d’autres comptes ou de droits d’administrateur. Les utilisateurs de cette technique n’atteignent pas forcément directement leur objectif ultime, mais ils mettent un pied dans la porte leur permettant de s’adonner à de nombreuses activités malveillantes. Plus de la moitié des Américains ne changent leur mot de passe que lorsqu’ils l’ont oublié : la pulvérisation de mots de passe est donc très populaire pour cibler les personnes qui choisissent un mot de passe simple et ne voient pas l’intérêt d’en changer.

Pulvérisation de mots de passe et autres attaques ciblant les mots de passe

Aujourd’hui, les cybercriminels emploient un vaste arsenal pour hacker les mots de passe et accéder sans autorisation aux appareils, systèmes et réseaux. Voici quelques-unes des attaques à leur disposition et leurs différences avec la pulvérisation de mots de passe.

Attaques par force brute

Les attaques par force brute reposent sur des programmes qui essaient sans relâche des milliers de combinaisons de mots de passe pour tenter de se connecter à un compte ou à une machine donnés. A contrario, la pulvérisation de mots de passe n’utilise qu’un mot de passe à la fois. Les attaques par force brute sont efficaces même contre les mots de passe complexes, au bout d’un nombre d’essais suffisant, tandis que la pulvérisation de mots de passe ne s’intéresse qu’aux plus simples. L’anatomie d’une attaque par force brute est généralement plus complexe que celle d’une pulvérisation de mots de passe.

Attaques par keylogger

Dans ce type d’attaque, des acteurs malveillants récupèrent le mot de passe d’un utilisateur en surveillant ses saisies au clavier. Pour ce faire, ils installent en général un malware sur la machine, sans que l’utilisateur ne s’en rende compte. Toutefois, ils peuvent aussi s’appuyer sur un appareil de surveillance physique. La pulvérisation de mots de passe consiste à deviner le mot de passe. Avec un keylogger, les attaquants savent exactement quel mot de passe l’utilisateur a saisi.

Credential Stuffing

Le credential stuffing consiste à récupérer une liste de comptes ou d’identifiants compromis lors d’une attaque précédente. (Ces identifiants sont généralement disponibles sur le Dark Web, gratuitement ou moyennant finance, ou dans les communautés de hackers.) Les malandrins essaient ensuite de deviner par force brute les mots de passe de comptes déjà compromis au lieu de cibler tous les comptes sans tenir compte des violations précédentes.

Attaque de phishing

Les hackers peuvent également essayer de récupérer le mot de passe d’un utilisateur en interagissant directement avec lui. Pour ce faire, ils se font passer pour un tiers ou un service de confiance et l’invitent à cliquer sur un lien pour le rediriger vers une page Web malveillante imitant sa banque, son compte médical ou autre et sur laquelle il doit saisir son mot de passe. La pulvérisation de mots de passe est bien plus discrète et intervient en coulisses, à l’insu des utilisateurs et des organisations.

Interception de trafic

Un autre moyen pour les hackers de découvrir des mots de passe consiste à surveiller les données et le trafic via les réseaux Wi-Fi. Ils ciblent les applications de messagerie ou les e-mails pour tenter de trouver des messages contenant des mots de passe. Les connexions Wi-Fi non sécurisées qui ne chiffrent pas le trafic HTTP sont particulièrement vulnérables. Cette stratégie implique des moyens technologiques et des efforts plus importants, et la pulvérisation de mots de passe est donc souvent préférée par les hackers.

Fonctionnement des attaques par pulvérisation de mots de passe

Les attaques par pulvérisation de mots de passe se déroulent généralement en trois étapes :

1. Acquisition d’une liste de noms d’utilisateur

La récupération d’une liste des noms d’utilisateur des comptes d’une organisation est bien souvent plus simple qu’il n’y paraît. La plupart des entreprises adoptent une convention pour leurs adresses e-mail, qui jouent aussi le rôle de noms d’utilisateur, par exemple prenom.nom@entreprise.com. Les hackers peuvent ensuite utiliser des logiciels pour confirmer l’exactitude des noms d’utilisateur qu’ils pensent exister. Des listes de noms d’utilisateur sont également en vente sur le Dark Web. Parfois, les noms d’utilisateur et les adresses e-mail associées sont même directement indiqués sur le site de l’entreprise ou les profils des utilisateurs en ligne.

2. Début de la pulvérisation de mots de passe

Il n’y a rien de compliqué non plus à trouver une liste de mots de passe fréquemment utilisés. Une simple recherche sur Google ou Bing permet d’identifier les mots de passe les plus populaires de l’année, et Wikipédia en publie même la liste ! Il s’agit de bons points de départ, mais les hackers peuvent aussi prendre en compte des spécificités régionales pour créer leurs propres listes. Dans le cas d’une organisation basée à Dallas, ils peuvent par exemple choisir le nom d’une équipe sportive populaire dans la ville, comme « cowboys , car de nombreux utilisateurs choisiront ce terme facile à retenir. Après avoir essayé un premier mot de passe, les attaquants attendent au moins 30 minutes avant d’en tester un nouveau pour éviter le blocage du compte.

3. Accès au compte et au système

Dans de nombreux cas, un des mots de passe courants fonctionnera. Il suffit pour cela qu’un seul utilisateur ne respecte pas les conseils et bonnes pratiques en matière de mots de passe. Le hacker peut alors accéder à de nombreux comptes et services associés à l’utilisateur, et partir en reconnaissance, cibler des réseaux plus profonds ou compromettre des comptes disposant de privilèges supérieurs. Ce type d’attaque ouvre la voie à des accès très larges et rend donc cruciale la génération de mots de passe forts.

Trois indices témoignant d’une attaque par pulvérisation de mots de passe

Une des meilleures choses à faire pour vous prémunir contre la pulvérisation de mots de passe consiste à mettre en place un système de détection approprié. Voici les trois indices susceptibles de trahir ce type d’attaque.

1. Hausse soudaine du nombre d’échecs de connexion

La pulvérisation de mots de passe concerne un très grand nombre de comptes en même temps : un nombre élevé d’échecs de connexion sur une période réduite peut donc indiquer qu’une attaque de ce type est en cours.

2. Nombre élevé de comptes verrouillés

La pulvérisation des mots de passe évite le blocage des comptes en laissant s’écouler un temps suffisant entre deux tentatives de connexion. Toutefois, si vous observez un nombre inhabituel de comptes verrouillés, cela peut indiquer qu’après une tentative, les hackers ont été bloqués et attendent donc le déblocage pour réessayer.

3. Tentatives de connexion portant sur des comptes inconnus ou non valides

Les hackers lançant des attaques par pulvérisation de mots de passe ne disposent généralement pas d’une liste parfaitement exacte des identifiants de votre organisation. Leur liste peut être basée sur des hypothèses, ou obsolète dans le cas d’un achat sur le Dark Web. Des tentatives de connexion par d’anciens employés ou des noms d’utilisateur non valides devraient donc vous mettre la puce à l’oreille.

Trois mesures pour remédier à une attaque par pulvérisation de mots de passe

Si vous parvenez à détecter une attaque active, prenez les mesures ci-dessous pour protéger les comptes vulnérables et renforcer vos défenses contre les attaques à venir.

1. Modifiez les mots de passe de l’organisation

La première chose à faire consiste à demander à tous les membres du personnel de mettre à jour leurs mots de passe. Expliquez-leur qu’ils ne doivent pas utiliser de mots de passe courants ou des phrases ou combinaisons trop simples. Communiquez-leur des règles permettant de créer des mots de passe suffisamment complexes, voire un outil à cet effet.

2. Mettez en place et auditez un plan de réponse aux incidents

Chaque entreprise doit disposer d’un plan de réponse aux cyberincidents. Si vous pensez être victime d’une attaque par pulvérisation de mots de passe, appliquez-le sans attendre. Une fois que vous estimez que vos comptes utilisateur sont en sécurité, passez en revue votre plan pour vous assurer qu’il inclut des activités de remédiation spécifiques à la pulvérisation de mots de passe.

3. Configurez les paramètres de sécurité des mots de passe

Si votre organisation utilise une plateforme de journalisation des événements de sécurité, veillez à ce qu’elle soit configurée pour repérer ou détecter les échecs de connexion sur tous les systèmes. Ainsi, vous détecterez les indices trahissant ce type d’attaque à l’avenir, mais aussi toute attaque active. Votre capacité d’investigation en sera aussi décuplée, car vous pourrez voir tous les échecs de connexion.

Comment éviter les attaques des campagnes de pulvérisations de mot de passe

Maintenant que vous comprenez exactement en quoi consistent les attaques par pulvérisation de mots de passe et les mesures à prendre lorsque vous en détectez une, vous devez mettre en place une infrastructure appropriée pour mettre en échec les futures tentatives des hackers.

Activez la protection des mots de passe d’Active Directory

De nombreux systèmes, comme Microsoft Azure, permettent aux administrateurs de bloquer l’utilisation des mots de passe courants ou trop simples. Si vous disposez d’une telle option, activez-la. En interdisant les identifiants les plus susceptibles d’être victimes d’une attaque par pulvérisation de mots de passe, vous rendez plus difficile le travail des hackers. Vous pouvez également inclure des listes personnalisées de mots de passe en lien avec votre secteur, votre entreprise ou votre région. Si vous opérez dans le secteur de la tech, par exemple, vous pouvez bloquer les mots de passe de type « SteveJobs123 ».

Organisez des simulations d’attaques ou des tests d’intrusion

Que vous la réalisiez vous-même ou avec l’aide d’un partenaire de cybersécurité, une simulation d’attaque par pulvérisation de mots de passe vous permettra de déterminer l’efficacité de vos règles de mots de passe. Par exemple, certains logiciels de simulation vous permettent de choisir une liste de mots de passe courants et de vérifier combien d’utilisateurs de votre entreprise ont opté pour l’un d’entre eux. Les simulations vous permettent également de tester des mots de passe régionaux ou sectoriels, et de déterminer lesquels doivent être inclus dans votre liste noire.

Mettez en place un accès sans mot de passe

L’une des mesures les plus efficaces contre la pulvérisation de mots de passe ? Se passer de mots de passe. Pour ce faire, il convient de mettre en place un accès biométrique ou vocal, extrêmement difficile pour les hackers à voler, reproduire ou forcer (pour le moment). A minima, vous devez activer l’authentification à plusieurs facteurs pour qu’un mot de passe ne permette pas à lui seul d’accéder à un système ou à un appareil. À terme, une infrastructure entièrement dénuée de mot de passe reste néanmoins probablement la solution la plus efficace contre la pulvérisation de mots de passe.

Tirez parti des solutions Varonis

La pulvérisation de mots de passe n’est qu’un des nombreux risques que vous font courir les hackers. Une fois qu’ils ont accédé à votre réseau, ils peuvent mettre en place un accès persistant, exfiltrer des données sensibles et déclencher des ransomwares. Les solutions de détection des menaces et réponse comme Varonis DatAlert peuvent aider les organisations à protéger leurs données stratégiques contre les cyberattaques. Varonis s’appuie sur des modèles de menace comportementaux pour détecter les premiers indices d’une violation, qu’il s’agisse d’une pulvérisation de mots de passe depuis une source unique ou d’un nombre inhabituel de blocages de comptes. Nous surveillons l’activité des données pour repérer des menaces, comme un accès anormal aux données sensibles. Des alertes peuvent également déclencher des réponses automatisées, par exemple la fermeture des sessions utilisateur suspectes ou la modification des mots de passe pour bloquer les attaques. Varonis propose également une piste d’audit très claire qui limite la durée des investigations liées aux attaques par pulvérisation de mots de passe. Cette accélération est de l’ordre de plus de 90 %, d’après une étude conduite par Forrester Research. Au-delà de la détection, Varonis vous permet de visualiser le risque et de réduire considérablement votre surface d’attaque en éliminant automatiquement les accès superflus aux données sensibles. Vous souhaitez en savoir plus ? Programmez un échange avec notre équipe.

FAQ sur la pulvérisation de mots de passe

Quels systèmes sont la cible des attaques par pulvérisation de mots de passe ?

Les campagnes de pulvérisation de mots de passe visent souvent les applications cloud à authentification unique (SSO) reposant sur des protocoles d’authentification fédérée. Ces protocoles et plateformes permettent en effet de camoufler plus facilement le trafic malveillant. Par ailleurs, en ciblant des applications SSO, les hackers maximisent leur accès potentiel à des informations clés et à de la propriété intellectuelle.

Qu’est-ce que la pulvérisation de mots de passe IMAP ?

Une attaque ciblant le protocole IMAP (Internet Message Access Protocol) est conçue pour éviter les problèmes associés à l’authentification à plusieurs facteurs. Cette technologie étant ancienne, c’est aussi celle que les hackers risquent le plus de viser. De nombreux systèmes reposant uniquement sur l’IMAP ne peuvent pas bloquer les comptes après un certain nombre d’échecs de connexion, ce qui rend leurs comptes cloud plus faciles à compromettre.

Comment puis-je détecter les attaques par pulvérisation de mots de passe ?

Un nombre inhabituellement élevé de tentatives de connexion ou de comptes verrouillés constitue l’indice le plus évident. Une hausse de la rapidité des tentatives de connexion, dépassant la vitesse qu’un humain pourrait atteindre manuellement, est aussi un signe fort. Assurez-vous que vos systèmes sont configurés pour repérer ce type d’activités suspectes.

Est-il possible d’éviter les attaques par pulvérisation de mots de passe ?

Oui. Cette technique vise les mots de passe couramment utilisés, vous pouvez donc la neutraliser très efficacement en fixant des règles de définition des mots de passe et en bannissant les mots de passe classiques dans toute votre organisation. Vous pouvez également opter pour une authentification basée sur un accès biométrique pour éliminer totalement le recours aux mots de passe. Ainsi, ce type d’attaque n’a tout simplement plus de raison d’être.

Conclusion

L’utilisation d’expressions ou de combinaisons courantes revient à les communiquer directement aux hackers. Il est donc essentiel de mettre en place des politiques de mots de passe appropriées, ainsi qu’une technologie de détection des menaces et de réponse pour décourager les hackers de s’intéresser à une cible trop facile. Si vous découvrez tout juste les dangers et la prévalence de la pulvérisation de mots de passe, n’hésitez pas à entrer en contact avec un partenaire de cybersécurité expérimenté comme Varonis, afin d’éliminer pour de bon les mots de passe comme « abc123 » de votre organisation.