Pulvérisation de mots de passe : la nouvelle tactique inversée des pirates pour cibler les comptes

Publié: 2019-04-18

Les pirates sont bien connus pour avoir utilisé des techniques d'attaque par force brute pour détourner des comptes et mener des vols d'identité et des abus d'informations, ainsi que pour voler des fonds à partir de comptes bancaires intégrés. C'est difficile à imaginer, mais ces pirates utilisent des centaines et des milliers de combinaisons de mots de passe pour trouver le bon et infiltrer le compte ciblé pour le vol d'identité. Cependant, les cyber-attaquants ont maintenant découvert une nouvelle tactique pour cibler les comptes et violer la sécurité des données au niveau de l'entreprise et au niveau personnel. Quelle est cette technique et quels dangers représente-t-elle pour la sécurité des données et la protection de l'identité en ligne ? Lisez à l'avance pour le savoir.

Doit lire : Conseils de protection des données pour les utilisateurs et les entreprises

Pulvérisation de mot de passe : inversion de la force brute

Pulvérisation de mot de passe Inverser la force brute
Source de l'image : Redmond Mag

La pulvérisation de mot de passe est un type d'attaque, où les intrus ou les pirates essaient une seule combinaison du mot de passe sur plusieurs connexions et noms d'utilisateur. Ceci est fait pour s'assurer qu'au moins l'un des noms d'utilisateur ciblés est intrus et que les informations de l'utilisateur sont volées pour d'autres fautes.

En quoi la pulvérisation de mots de passe est-elle différente de la force brute ?

La pulvérisation de mot de passe est différente de la force brute
Source de l'image : Threat Post

Dans Brute Force, les attaquants essaient plusieurs combinaisons de mots de passe sur un nom d'utilisateur pour violer ce compte en cas d'usurpation d'identité ou de vol en ligne. Cependant, maintenant, les systèmes ont été conçus pour initier un verrouillage si les tentatives de connexion sont faites avec de mauvais mots de passe sur un nombre limité d'instances. Cela garantit que les pirates ne dépassent pas la sécurité et les éloignent du ciblage de n'importe quel compte.

Mais, ici, tout le processus est inversé. Les attaquants obtiennent désormais les détails de plusieurs noms d'utilisateur via des attaques de phishing ou en examinant les profils sociaux. Ensuite, ils prennent une combinaison de mots de passe très courante, puis l'exécutent sur tous les noms d'utilisateur achetés dans l'espoir qu'ils dépasseraient au moins l'un d'entre eux.

Comment l'attaque par pulvérisation de mot de passe est-elle effectuée ?

Attaque par pulvérisation de mot de passe
Source de l'image : Kaspersky Lab
  • Premièrement, les attaquants utilisent le phishing ou l'ingénierie sociale pour se procurer autant de noms d'utilisateur qu'ils le peuvent. Dans le cas du phishing, les attaquants tentent de collecter les données des utilisateurs en les attirant vers une astuce de publicité malveillante. Dans l'ingénierie sociale, les pirates passent par les sites Web des entreprises, les plateformes de médias sociaux comme LinkedIn et Twitter, et d'autres publications de portefeuille.
Combinaison de mot de passe
Source de l'image : Luxemburger Wort
  • La combinaison de mots de passe est décidée par rapport aux tendances humaines de base, qui utilisent des combinaisons de chiffres comme « 12345 » et des caractères spéciaux courants comme « underscore(_) » et « at the rate(@) » dans leurs mots de passe.
Combinaison de mot de passe - Hackers de pulvérisation de mot de passe
Source de l'image : WTSCI
  • Ensuite, cette combinaison est essayée sur tous les noms d'utilisateur. Il est fort possible qu'au moins l'un d'entre eux devienne la proie de cette tactique et se voie dépouiller d'informations et de données personnelles pour une utilisation abusive et des pratiques illicites par des pirates.

Une véritable menace pour les entreprises

Menace réelle pour les entreprises
Source de l'image : Groupe de criminalistique numérique

La pulvérisation de mots de passe est plus dangereuse lorsqu'il s'agit d'entreprises que de comptes individuels. Dans presque toutes les moyennes et grandes entreprises, les identifiants de messagerie et les noms d'utilisateur se trouvent sous le domaine du nom de l'entreprise. Par exemple, chez Google, tous les employés auraient un identifiant de messagerie suivi de @google.com. Les combinaisons de noms d'utilisateur sont__ également assez courantes, par exemple, [email protected].

la série de numéros et le nom de l'entreprise
Source de l'image : VooServers

Dans un tel scénario, les pirates essaieraient probablement une combinaison de mot de passe qui inclurait une série de chiffres et le nom de l'entreprise. Si même l'un des comptes est piraté, les pirates peuvent accéder aux informations des autres en accédant aux e-mails privés et aux fichiers de données partagés. Cela coûterait non seulement à l'entreprise les informations de ses employés, mais également leurs fichiers confidentiels et les détails de communication contractuels. Or, ces détails peuvent nuire à l'entreprise à des niveaux financiers solides, ainsi que nuire à son image sur le marché.

La pulvérisation de mots de passe est-elle un succès pour les pirates ?

Citrix - un fournisseur américain de services de cloud computing et de mise en réseau
Image : TechHQ

Récemment, Citrix Inc., une société américaine de services de cloud computing et de mise en réseau, a été attaquée par des pirates de l'air utilisant la technique de pulvérisation de mots de passe. Bien que la détection précoce de Citrix et l'intervention du Federal Bureau of Investigation (FBI) dans l'affaire l'aient sauvé de pertes d'informations majeures, cela a conduit le FBI à lancer une enquête spéciale sur ce problème et à publier des avertissements à toutes les entreprises commerciales aux États-Unis. Même le CERT a publié un rapport sur les capacités des méthodes de pulvérisation de mot de passe utilisées par les pirates. Le FBI a également signalé que 36 entreprises à travers l'Europe et les États-Unis ont été confrontées à des tentatives de violation de données via une tactique de pulvérisation de mots de passe.

Par conséquent, il est assez évident que la technique est viable pour les pirates et il est nécessaire de reconnaître ses potentiels menaçants.

Comment la pulvérisation de mot de passe peut-elle être détectée ?

La pulvérisation de mot de passe doit être détectée
Source de l'image : le collectif

Conformément aux instructions du CERT, les mesures suivantes peuvent être initialement utiles pour prévenir la violation de données via la pulvérisation de mots de passe :

  • Utilisez des mesures d'authentification multifactorielle pour ajouter une couche de pare-feu supplémentaire entre les pirates et vos comptes.
  • Utilisez des mots de passe complexes et assurez-vous que les équipes informatiques des entreprises examinent les politiques de définition des mots de passe pour empêcher toute instance de pulvérisation de mot de passe.
  • Continuez à changer de mot de passe à intervalles réguliers. Même la modification de détails infimes aiderait à prévenir les violations de pulvérisation de mot de passe.
  • Évitez l'accès à distance aux comptes d'entreprise. Assurez-vous qu'il n'y a qu'un nombre limité de portails de compte accessibles à distance.

Lisez également : Faits et statistiques alarmants sur la cybersécurité

La pulvérisation de mots de passe est une technique plus lente que Brute Force et pour les pirates, elle laisse moins de risques de violation de données. Cependant, avec plusieurs organisations ciblées via Password Spraying, les pirates peuvent développer des tactiques pour améliorer ses capacités, et par conséquent, il serait préférable que cela soit traité à ses débuts.