IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les cybercriminels s'aventurent de moins en moins à utiliser des attaques par force brute sur les mots de passe longs
Selon un ingénieur de Microsoft

Le , par Stéphane le calme

124PARTAGES

6  0 
Selon les données collectées par le réseau de serveurs de pots de miel de Microsoft, la plupart des attaquants par force brute tentent principalement de deviner des mots de passe courts, très peu d'attaques ciblant des informations d'identification longues ou contenant des caractères complexes.

« J'ai analysé les informations d'identification saisies à partir de plus de 25 millions d'attaques par force brute contre SSH. Cela représente environ 30 jours de données dans le réseau de capteurs de Microsoft », a déclaré Ross Bevington, chercheur en sécurité chez Microsoft.

« 77 % des tentatives ont utilisé un mot de passe entre 1 et 7 caractères. Un mot de passe de plus de 10 caractères n'a été vu que dans 6 % des cas », a déclaré Bevington, qui travaille en tant que Head of Deception chez Microsoft, un poste dans lequel il est chargé de créer des systèmes de pot de miel d'apparence légitime afin d'étudier les tendances des attaquants. Il s'agit d'un système informatique configuré pour servir de leurre et attirer les pirates. Son but est de détecter, de détourner ou d'étudier les tentatives d'accès non autorisé à des systèmes d'information.

En général, un « pot de miel » est un dispositif informatique dont le rôle est de simuler le comportement d'un vrai système et de faire croire qu'il appartient à un réseau alors qu'il est en réalité isolé et étroitement surveillé.

Toutes les communications établies avec un pot de miel sont considérées comme hostiles, car des utilisateurs légitimes n'ont aucune raison d'y accéder. La surveillance et la journalisation de cette activité permettent d'acquérir des informations sur le niveau et le type des menaces qui pèsent sur une infrastructure réseau, tout en détournant les pirates des ressources présentant une véritable valeur.

Bevington dit que seulement 7 % des tentatives de force brute qu'il a analysées dans les données de l'échantillon incluaient un caractère spécial. De plus, 39 % avaient en fait au moins un numéro, et aucune des tentatives de force brute n'a utilisé de mots de passe contenant des espaces blancs.

Les résultats du chercheur suggèrent que les mots de passe plus longs qui incluent des caractères spéciaux sont très probablement à l'abri de la grande majorité des attaques par force brute, tant qu'ils n'ont pas été divulgués en ligne et ne font pas partie des dictionnaires de force brute des attaquants.

Les attaques par force brute RDP ont triplé cette année

RDP est l'abréviation de Remote Desktop Protocol. Il s'agit d'un protocole de communication d'application qui permet à un utilisateur de se connecter à un ordinateur ou un serveur Windows distant et d'utiliser l'interface graphique du système d'exploitation. Il a été développé par Microsoft et, par défaut, il utilise le port 3389. Une connexion RDP à un point de terminaison distant se produit après avoir entré un ensemble d'informations d'identification de connexion valides.

Bevington a déclaré que sur la base des données de plus de 14 milliards d'attaques par force brute tentées contre le réseau de serveurs de pots de miel de Microsoft (également connu sous le nom de réseau de capteurs) jusqu'en septembre de cette année, les attaques sur les serveurs RDP ont triplé par rapport à 2020, soit une hausse de 325 %.

Les services d'impression réseau ont également connu une augmentation de 178 %, ainsi que les systèmes Docker et Kubernetes, qui ont connu une augmentation de 110 %.

« Les statistiques sur SSH et VNC sont tout aussi mauvaises - elles n'ont tout simplement pas beaucoup changé depuis l'année dernière », a déclaré Bevington.

« Par défaut, les solutions telles que RDP sont désactivées, mais si vous décidez de les activer, ne mettez pas de contenu directement sur Internet. N'oubliez pas que les attaquants s'attaqueront à tout protocole d'administration à distance brutalement forcé. Si vous devez avoir le vôtre accessible sur Internet, utilisez des mots de passe forts, une identité gérée, MFA », a déclaré le responsable de Microsoft.

La multiplication des attaques RDP avait d'ailleurs déjà été soulignée par Kaspersky dans un rapport paru l'année dernière qui imputait ces statistiques au télétravail entraîné par la pandémie :

« Avec la propagation du COVID-19, les organisations du monde entier ont introduit le travail à distance, qui a un impact direct sur la cybersécurité et le paysage des menaces.

Outre le volume plus élevé de trafic d'entreprise, l'utilisation de services tiers pour l'échange de données et les employés travaillant sur des ordinateurs personnels (et des réseaux Wi-Fi potentiellement non sécurisés), un autre casse-tête pour les équipes d'infosec est l'augmentation du nombre de personnes utilisant les outils d'accès à distance.

L'un des protocoles de niveau application les plus populaires pour accéder aux postes de travail ou aux serveurs Windows est le protocole propriétaire de Microsoft RDP. Le confinement a vu l'apparition d'un grand nombre d'ordinateurs et de serveurs pouvant être connectés à distance, et en ce moment on assiste à une augmentation de l'activité cybercriminelle en vue d'exploiter la situation pour attaquer les ressources de l'entreprise désormais mises à disposition (parfois en vitesse) aux télétravailleurs.

Les attaques de ce type sont des tentatives de force brute sur un nom d'utilisateur et un mot de passe pour RDP en essayant systématiquement toutes les options possibles jusqu'à ce que la bonne soit trouvée. La recherche peut être basée sur des combinaisons de caractères aléatoires ou sur un dictionnaire de mots de passe populaires ou compromis. Une attaque réussie donne au cybercriminel un accès à distance à l'ordinateur cible du réseau.

Les attaquants par force brute ne sont pas chirurgicaux dans leur approche, mais opèrent par zone. Autant que l'on sache, suite au passage massif au télétravail, ils ont logiquement conclu que le nombre de serveurs RDP mal configurés allait augmenter, d'où l'augmentation du nombre d'attaques ».


Le nombre d'attaques Bruteforce.Generic.RDP a explosé sur presque toute la planète

Quelques recommandations avec l'utilisation de ce protocole

Il est peu probable que les attaques contre l'infrastructure d'accès à distance (ainsi que les outils de collaboration) s'arrêtent de si tôt. Donc, si vous utilisez RDP dans votre travail, assurez-vous de prendre toutes les mesures de protection possibles :
  • utilisez des mots de passe forts ;
  • n'activez RDP que via un VPN d'entreprise ;
  • utilisez l'authentification au niveau du réseau (NLA) ;
  • si possible, activez l'authentification à deux facteurs ;
  • si vous n'utilisez pas RDP, désactivez-le et fermez le port 3389 ;
  • utilisez une solution de sécurité fiable.

Si vous utilisez un autre protocole d'accès à distance, vous n'êtes pas épargné : fin 2019, les experts de Kaspersky ont découvert 37 vulnérabilités dans divers clients connectés via le protocole VNC, qui, comme RDP, est utilisé pour l'accès à distance.

Les entreprises doivent surveiller de près les programmes en cours d'utilisation et les mettre à jour sur tous les appareils de l'entreprise en temps opportun. Voici le conseil des experts de Kaspersky :
  • formez les employés aux bases de la sécurité numérique ;
  • utilisez différents mots de passe forts pour accéder aux différentes ressources de l'entreprise ;
  • mettez à jour tous les logiciels sur les appareils des employés vers la dernière version ;
  • dans la mesure du possible, utilisez le chiffrement sur les appareils utilisés à des fins professionnelles ;
  • faites des copies de sauvegarde des données critiques ;
  • installez des solutions de sécurité sur tous les appareils des employés, ainsi que des solutions de suivi des équipements en cas de perte.

L'avenir appartient à l'authentification passwordless (sans mot de passe) pour Microsoft

L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confronté à plusieurs enjeux, notamment la mémorisation, en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont il peut faire l'objet. Microsoft travaille depuis quelques années à rendre le mot de passe obsolète et a annoncé en décembre dernier qu'il dispose désormais d'assez d'alternatives pouvant lui permettre de supprimer le mot de passe pour ses clients dès 2021.

Selon Microsoft, les mots de passe sont un véritable casse-tête et ils présentent des risques de sécurité pour les utilisateurs et les organisations de toutes tailles, avec une moyenne d'un compte d'entreprise sur 250 compromis chaque mois. Selon Gartner, 20 à 50 % de tous les appels au service d'assistance sont destinés à la réinitialisation de mots de passe. Le Forum économique mondial (World economic forum - WEF) estime que la cybercriminalité coûte à l'économie mondiale environ 2,9 millions de dollars chaque minute, dont environ 80 % pour les mots de passe.

Il existe également d'autres études traitant des défis liés aux défis des mots de passe auxquels les organisations sont confrontées. Des centres de recherche et plusieurs acteurs du secteur de la cybersécurité recherchent depuis quelques années des solutions pour venir à bout de ces problèmes et d'autres, comme Microsoft, sont pour une approche sans mot de passe. La firme de Redmond est en effet un partisan de la technologie sans mot de passe depuis un certain temps et a récemment déclaré qu'elle veut que les mots de passe traditionnels et non sécurisés soient remplacés.

Pour se faire, Microsoft a investi ces dernières années dans diverses solutions telles que Windows Hello, Microsoft Authenticator, les clefs de sécurité FIDO2 et un système d'authentification des veines de la paume, entre autres choses. Ainsi, il s'efforce de faire passer les gens à ses solutions sans mot de passe et jeudi dernier, il a mis en évidence les progrès qu'il a réalisés pour tuer les mots de passe en 2020, et a déclaré qu'elle prévoit de les faire disparaître pour tous ses clients en 2021.

Selon les chiffres de la société, en novembre 2019, 100 millions de personnes utilisaient la connexion sans mot de passe de Microsoft. Ce chiffre est passé à 150 millions en mai 2020, ce qui montre bien que des millions de personnes sont prêtes à abandonner leurs mots de passe en raison de la gêne qu'elles ressentent à les mémoriser et de l'insécurité qu'elles peuvent ressentir. Tout au long de l'année 2020, Microsoft a participé à diverses conférences pour partager sa vision d'un avenir sans mot de passe et d'un environnement Zero Trust.

Microsoft a également dévoilé en avant-première la prise en charge d'Azure Active Directory pour les clefs de sécurité FIDO2 dans les environnements hybrides, ainsi qu'un nouveau assistant sans mot de passe via le centre d'administration Microsoft 365. L'entreprise s'est également engagée avec plusieurs partenaires de sécurité dans la Microsoft Intelligent Security Association (MISA) pour mettre en place des solutions sans mot de passe. Pour rappel, FIDO2 est le terme général qui désigne la toute nouvelle série de spécifications de l'Alliance FIDO.

Depuis septembre 2021, toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe du compte pour disposer d'une meilleure alternative de sécurité. Le vice-président de Microsoft, Vasu Jakka, l'a annoncé dans un billet de blog :

« Personne n'aime les mots de passe. Ils sont gênants. Ils sont une cible privilégiée pour les attaques. Pourtant, pendant des années, ils ont été la couche de sécurité la plus importante pour tout dans notre vie numérique, des e-mails aux comptes bancaires, des paniers d'achats aux jeux vidéo.

Nous sommes censés créer des mots de passe complexes et uniques, les mémoriser et les modifier fréquemment, mais personne n'aime faire cela non plus. Dans un récent sondage sur Twitter de Microsoft, une personne sur cinq a déclaré qu'elle préférait accidentellement "répondre à tous" – ce qui peut être monumentalement embarrassant – plutôt que de réinitialiser un mot de passe.

Mais quelle alternative avons-nous ?

Au cours des deux dernières années, nous avons dit que l'avenir est sans mot de passe, et aujourd'hui, je suis ravi d'annoncer la prochaine étape de cette vision. En mars 2021, nous avons annoncé que la connexion sans mot de passe était généralement disponible pour les utilisateurs commerciaux, apportant la fonctionnalité aux entreprises du monde entier.

À partir d'aujourd'hui, vous pouvez désormais supprimer complètement le mot de passe de votre compte Microsoft. Utilisez l'application Microsoft Authenticator, Windows Hello, une clef de sécurité ou un code de vérification envoyé à votre téléphone ou par e-mail pour vous connecter à vos applications et services préférés, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc. Cette fonctionnalité sera déployée dans les semaines à venir ».

Sources : Ross Bevington, Kaspersky, Microsoft

Et vous ?

Comment définissez-vous vos mots de passe ?
Qu'est-ce qui pourrait, selon vous, expliquer que les cybercriminels s'aventurent de moins en moins à utiliser des attaques par force brute sur les mots de passe longs ?
Trouvez-vous cette observation crédible ? Dans quelle mesure ?
Que pensez-vous des authentifications sans mots de passe ?
Vous servez-vous d'une telle solution ? Si oui, laquelle ?
Mise en parallèle avec l'authentification à deux facteurs, laquelle préférez-vous ? Pourquoi ?

Voir aussi :

Des chercheurs en sécurité déjouent Windows Hello en trompant une webcam du système de reconnaissance faciale : une photo infrarouge et une trame vidéo leur ont suffi

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de infozoide
Nouveau membre du Club https://www.developpez.com
Le 01/12/2021 à 6:22
Utilisez l'application Microsoft Authenticator, Windows Hello, une clef de sécurité ou un code de vérification envoyé à votre téléphone ou par e-mail pour vous connecter
Autrement dit "devenez encore plus captifs" la force marketing de micro$oft restera encore longtemps inégalée

Fort intéressant... surcouche à étudier plus attentivement... mais je reste pour l'instant fidèle à de bons vieux mots de passe.

Plus sérieusement, à de rares exceptions près, la plupart des serveurs que j'ai pu voir jusqu'ici, lorsqu'ils sont plus ou moins ouverts sur le cloud constituent effectivement de véritables "pots de miel" que ce soit avec ou sans VPN... d'ailleurs, un simple regard sur les journaux d'événements permet de s'en rendre immédiatement compte.

Outre d'inutiles prises de risque et une saturation certaine, les ressources consommées par les attaquants sont souvent loin d'être négligeables sur beaucoup trop de dispositifs.

Fort de ce constat, j'ai assez vite identifié plusieurs outils pour se prémunir de telles menaces... mais j'avoue n'avoir trouvé jusqu'ici aucun d'eux vraiment ergonomique ni forcément abordable

utilisez une solution de sécurité fiable
Plutôt que d'adopter à l'aveuglette des dispositifs tiers pouvant s'avérer trop compliqués et parfois aussi incertains sûrs que coûteux ou inefficaces indiscrets, j'ai donc depuis longtemps décidé de réaliser mon propre dispositif de sécurité de A à Z. Celui-ci m'a toujours donné une immense satisfaction. Depuis, je le déploie systématiquement sur mes nouveaux systèmes.

J'ai opté pour des choix à la base très légers, car sans la moindre restriction au départ... mais particulièrement réactifs, simples et rigoureux.
Dès qu'un visiteur indélicat tente de s'approcher d'un peu trop près, le système de sécurité devient immédiatement implacable... bannissant aussitôt les indésirables.
Difficile de faire plus simple.

utilisez des mots de passe forts
En continuant de préconiser à mes clients des mots de passe assez robustes, mais surtout pas trop imbuvables et restés inchangés pour certains depuis bientôt 15 ans (là, ça va commencer à hurler) je dois faire figure de "old-school"...
Mais les années passées ont largement su renforcer ma confiance dans le dispositif

Je me targue en effet d'avoir 100% de clients qui n'ont jamais subi la moindre attaque de type ransomware.
La seule exception que je connaisse, ça a été en 2016.
C'était une entreprise basée près de Toulon, qui venait à 3 reprises de devoir payer des rançons successives... à partir du moment où j'ai pu intervenir pour blinder le périmètre, cette entreprise n'a plus jamais subi de telles attaques... or si j'en crois le dirigeant, les différents prestataires qui étaient intervenus auparavant lui avaient pourtant bien certifié qu'il ne craignait absolument rien, du fait des fortunes investies avec eux dans de remarquables passoires protections de haut de gamme.
Je dois admettre que les différentes sociétés de conseil en informatique, auxquelles ce dirigeant a fructueusement su faire appel avant moi, disposent d'effectifs de plusieurs centaines de personnes alors que je reste relativement seul et isolé de mon côté... et je ne disposerai d'ailleurs probablement jamais d'une villa avec vue plongeante sur la mer et piscine à débordement, où ce beau monde semble aimer se retrouver pour barboter.

n'activez RDP que via un VPN d'entreprise
Bref, pour revenir à notre sujet je reste adepte des mots de passe et suis assez content de mon outil que je mets librement à disposition de mes clients (je sais... je reste une quiche sur le plan commercial).
Je vais probablement en faire hurler certains, mais cela m'autorise surtout à aller jusqu'à ouvrir en toute quiétude depuis ces dernières années mes propres serveurs cloud en RDP... en allant jusqu'à totalement me passer dorénavant d'une solution VPN pour eux.
Un vrai confort inattendu.

Je conserve ainsi un accès largement ouvert, facile d'accès et bien plus sécurisé que beaucoup d'autres, si j'en juge la stabilité sur le long terme.
Quand on sait qu'une simple solution de sécurité vraiment efficace permet de réellement se prémunir contre la totalité des attaques, je confirme qu'on est tout de suite beaucoup plus serein... surtout dans l'attente des futures actualités que les systèmes dénués de mots de passe ne manqueront pas de nous apporter au cours des prochaines années... je me régale d'avance !!!
0  0