Les cybercriminels s'aventurent de moins en moins à utiliser des attaques par force brute sur les mots de passe longs

Selon un ingénieur de Microsoft

Les cybercriminels s'aventurent de moins en moins à utiliser des attaques par force brute sur les mots de passe longs,
selon un ingénieur de Microsoft

Selon les données collectées par le réseau de serveurs de pots de miel de Microsoft, la plupart des attaquants par force brute tentent principalement de deviner des mots de passe courts, très peu d'attaques ciblant des informations d'identification longues ou contenant des caractères complexes.

« J'ai analysé les informations d'identification saisies à partir de plus de 25 millions d'attaques par force brute contre SSH. Cela représente environ 30 jours de données dans le réseau de capteurs de Microsoft », a déclaré Ross Bevington, chercheur en sécurité chez Microsoft.

« 77 % des tentatives ont utilisé un mot de passe entre 1 et 7 caractères. Un mot de passe de plus de 10 caractères n'a été vu que dans 6 % des cas », a déclaré Bevington, qui travaille en tant que Head of Deception chez Microsoft, un poste dans lequel il est chargé de créer des systèmes de pot de miel d'apparence légitime afin d'étudier les tendances des attaquants. Il s'agit d'un système informatique configuré pour servir de leurre et attirer les pirates. Son but est de détecter, de détourner ou d'étudier les tentatives d'accès non autorisé à des systèmes d'information.

En général, un « pot de miel » est un dispositif informatique dont le rôle est de simuler le comportement d'un vrai système et de faire croire qu'il appartient à un réseau alors qu'il est en réalité isolé et étroitement surveillé.

Toutes les communications établies avec un pot de miel sont considérées comme hostiles, car des utilisateurs légitimes n'ont aucune raison d'y accéder. La surveillance et la journalisation de cette activité permettent d'acquérir des informations sur le niveau et le type des menaces qui pèsent sur une infrastructure réseau, tout en détournant les pirates des ressources présentant une véritable valeur.

Bevington dit que seulement 7 % des tentatives de force brute qu'il a analysées dans les données de l'échantillon incluaient un caractère spécial. De plus, 39 % avaient en fait au moins un numéro, et aucune des tentatives de force brute n'a utilisé de mots de passe contenant des espaces blancs.

Les résultats du chercheur suggèrent que les mots de passe plus longs qui incluent des caractères spéciaux sont très probablement à l'abri de la grande majorité des attaques par force brute, tant qu'ils n'ont pas été divulgués en ligne et ne font pas partie des dictionnaires de force brute des attaquants.

Les attaques par force brute RDP ont triplé cette année

RDP est l'abréviation de Remote Desktop Protocol. Il s'agit d'un protocole de communication d'application qui permet à un utilisateur de se connecter à un ordinateur ou un serveur Windows distant et d'utiliser l'interface graphique du système d'exploitation. Il a été développé par Microsoft et, par défaut, il utilise le port 3389. Une connexion RDP à un point de terminaison distant se produit après avoir entré un ensemble d'informations d'identification de connexion valides.

Bevington a déclaré que sur la base des données de plus de 14 milliards d'attaques par force brute tentées contre le réseau de serveurs de pots de miel de Microsoft (également connu sous le nom de réseau de capteurs) jusqu'en septembre de cette année, les attaques sur les serveurs RDP ont triplé par rapport à 2020, soit une hausse de 325 %.

Les services d'impression réseau ont également connu une augmentation de 178 %, ainsi que les systèmes Docker et Kubernetes, qui ont connu une augmentation de 110 %.

« Les statistiques sur SSH et VNC sont tout aussi mauvaises - elles n'ont tout simplement pas beaucoup changé depuis l'année dernière », a déclaré Bevington.

« Par défaut, les solutions telles que RDP sont désactivées, mais si vous décidez de les activer, ne mettez pas de contenu directement sur Internet. N'oubliez pas que les attaquants s'attaqueront à tout protocole d'administration à distance brutalement forcé. Si vous devez avoir le vôtre accessible sur Internet, utilisez des mots de passe forts, une identité gérée, MFA », a déclaré le responsable de Microsoft.

La multiplication des attaques RDP avait d'ailleurs déjà été soulignée par Kaspersky dans un rapport paru l'année dernière qui imputait ces statistiques au télétravail entraîné par la pandémie :

« Avec la propagation du COVID-19, les organisations du monde entier ont introduit le travail à distance, qui a un impact direct sur la cybersécurité et le paysage des menaces.

Outre le volume plus élevé de trafic d'entreprise, l'utilisation de services tiers pour l'échange de données et les employés travaillant sur des ordinateurs personnels (et des réseaux Wi-Fi potentiellement non sécurisés), un autre casse-tête pour les équipes d'infosec est l'augmentation du nombre de personnes utilisant les outils d'accès à distance.

L'un des protocoles de niveau application les plus populaires pour accéder aux postes de travail ou aux serveurs Windows est le protocole propriétaire de Microsoft RDP. Le confinement a vu l'apparition d'un grand nombre d'ordinateurs et de serveurs pouvant être connectés à distance, et en ce moment on assiste à une augmentation de l'activité cybercriminelle en vue d'exploiter la situation pour attaquer les ressources de l'entreprise désormais mises à disposition (parfois en vitesse) aux télétravailleurs.

Les attaques de ce type sont des tentatives de force brute sur un nom d'utilisateur et un mot de passe pour RDP en essayant systématiquement toutes les options possibles jusqu'à ce que la bonne soit trouvée. La recherche peut être basée sur des combinaisons de caractères aléatoires ou sur un dictionnaire de mots de passe populaires ou compromis. Une attaque réussie donne au cybercriminel un accès à distance à l'ordinateur cible du réseau.

Les attaquants par force brute ne sont pas chirurgicaux dans leur approche, mais opèrent par zone. Autant que l'on sache, suite au passage massif au télétravail, ils ont logiquement conclu que le nombre de serveurs RDP mal configurés allait augmenter, d'où l'augmentation du nombre d'attaques ».


Quelques recommandations avec l'utilisation de ce protocole

Il est peu probable que les attaques contre l'infrastructure d'accès à distance (ainsi que les outils de collaboration) s'arrêtent de si tôt. Donc, si vous utilisez RDP dans votre travail, assurez-vous de prendre toutes les mesures de protection possibles :

• utilisez des mots de passe forts ;
• n'activez RDP que via un VPN d'entreprise ;
• utilisez l'authentification au niveau du réseau (NLA) ;
• si possible, activez l'authentification à deux facteurs ;
• si vous n'utilisez pas RDP, désactivez-le et fermez le port 3389 ;
• utilisez une solution de sécurité fiable.

Si vous utilisez un autre protocole d'accès à distance, vous n'êtes pas épargné : fin 2019, les experts de Kaspersky ont découvert 37 vulnérabilités dans divers clients connectés via le protocole VNC, qui, comme RDP, est utilisé pour l'accès à distance.

Les entreprises doivent surveiller de près les programmes en cours d'utilisation et les mettre à jour sur tous les appareils de l'entreprise en temps opportun. Voici le conseil des experts de Kaspersky :

• formez les employés aux bases de la sécurité numérique ;
• utilisez différents mots de passe forts pour accéder aux différentes ressources de l'entreprise ;
• mettez à jour tous les logiciels sur les appareils des employés vers la dernière version ;
• dans la mesure du possible, utilisez le chiffrement sur les appareils utilisés à des fins professionnelles ;
• faites des copies de sauvegarde des données critiques ;
• installez des solutions de sécurité sur tous les appareils des employés, ainsi que des solutions de suivi des équipements en cas de perte.

L'avenir appartient à l'authentification passwordless (sans mot de passe) pour Microsoft

L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confronté à plusieurs enjeux, notamment la mémorisation, en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont il peut faire l'objet. Microsoft travaille depuis quelques années à rendre le mot de passe obsolète et a annoncé en décembre dernier qu'il dispose désormais d'assez d'alternatives pouvant lui permettre de supprimer le mot de passe pour ses clients dès 2021.

Selon Microsoft, les mots de passe sont un véritable casse-tête et ils présentent des risques de sécurité pour les utilisateurs et les organisations de toutes tailles, avec une moyenne d'un compte d'entreprise sur 250 compromis chaque mois. Selon Gartner, 20 à 50 % de tous les appels au service d'assistance sont destinés à la réinitialisation de mots de passe. Le Forum économique mondial (World economic forum - WEF) estime que la cybercriminalité coûte à l'économie mondiale environ 2,9 millions de dollars chaque minute, dont environ 80 % pour les mots de passe.

Il existe également d'autres études traitant des défis liés aux défis des mots de passe auxquels les organisations sont confrontées. Des centres de recherche et plusieurs acteurs du secteur de la cybersécurité recherchent depuis quelques années des solutions pour venir à bout de ces problèmes et d'autres, comme Microsoft, sont pour une approche sans mot de passe. La firme de Redmond est en effet un partisan de la technologie sans mot de passe depuis un certain temps et a récemment déclaré qu'elle veut que les mots de passe traditionnels et non sécurisés soient remplacés.

Pour se faire, Microsoft a investi ces dernières années dans diverses solutions telles que Windows Hello, Microsoft Authenticator, les clefs de sécurité FIDO2 et un système...