Les cybercriminels s'aventurent de moins en moins à utiliser des attaques par force brute sur les mots de passe longs,
selon un ingénieur de Microsoft

Selon les données collectées par le réseau de serveurs de pots de miel de Microsoft, la plupart des attaquants par force brute tentent principalement de deviner des mots de passe courts, très peu d'attaques ciblant des informations d'identification longues ou contenant des caractères complexes.

« J'ai analysé les informations d'identification saisies à partir de plus de 25 millions d'attaques par force brute contre SSH. Cela représente environ 30 jours de données dans le réseau de capteurs de Microsoft », a déclaré Ross Bevington, chercheur en sécurité chez Microsoft.

« 77 % des tentatives ont utilisé un mot de passe entre 1 et 7 caractères. Un mot de passe de plus de 10 caractères n'a été vu que dans 6 % des cas », a déclaré Bevington, qui travaille en tant que Head of Deception chez Microsoft, un poste dans lequel il est chargé de créer des systèmes de pot de miel d'apparence légitime afin d'étudier les tendances des attaquants. Il s'agit d'un système informatique configuré pour servir de leurre et attirer les pirates. Son but est de détecter, de détourner ou d'étudier les tentatives d'accès non autorisé à des systèmes d'information.

En général, un « pot de miel » est un dispositif informatique dont le rôle est de simuler le comportement d'un vrai système et de faire croire qu'il appartient à un réseau alors qu'il est en réalité isolé et étroitement surveillé.

Toutes les communications établies avec un pot de miel sont considérées comme hostiles, car des utilisateurs légitimes n'ont aucune raison d'y accéder. La surveillance et la journalisation de cette activité permettent d'acquérir des informations sur le niveau et le type des menaces qui pèsent sur une infrastructure réseau, tout en détournant les pirates des ressources présentant une véritable valeur.

Bevington dit que seulement 7 % des tentatives de force brute qu'il a analysées dans les données de l'échantillon incluaient un caractère spécial. De plus, 39 % avaient en fait au moins un numéro, et aucune des tentatives de force brute n'a utilisé de mots de passe contenant des espaces blancs.

Les résultats du chercheur suggèrent que les mots de passe plus longs qui incluent des caractères spéciaux sont très probablement à l'abri de la grande majorité des attaques par force brute, tant qu'ils n'ont pas été divulgués en ligne et ne font pas partie des dictionnaires de force brute des attaquants.

Les attaques par force brute RDP ont triplé cette année

RDP est l'abréviation de Remote Desktop Protocol. Il s'agit d'un protocole de communication d'application qui permet à un utilisateur de se connecter à un ordinateur ou un serveur Windows distant et d'utiliser l'interface graphique du système d'exploitation. Il a été développé par Microsoft et, par défaut, il utilise le port 3389. Une connexion RDP à un point de terminaison distant se produit après avoir entré un ensemble d'informations d'identification de connexion valides.

Bevington a déclaré que sur la base des données de plus de 14 milliards d'attaques par force brute tentées contre le réseau de serveurs de pots de miel de Microsoft (également connu sous le nom de réseau de capteurs) jusqu'en septembre de cette année, les attaques sur les serveurs RDP ont triplé par rapport à 2020, soit une hausse de 325 %.

Les services d'impression réseau ont également connu une augmentation de 178 %, ainsi que les systèmes Docker et Kubernetes, qui ont connu une augmentation de 110 %.

« Les statistiques sur SSH et VNC sont tout aussi mauvaises - elles n'ont tout simplement pas beaucoup changé depuis l'année dernière », a déclaré Bevington.

« Par défaut, les solutions telles que RDP sont désactivées, mais si vous décidez de les activer, ne mettez pas de contenu directement sur Internet. N'oubliez pas que les attaquants s'attaqueront à tout protocole d'administration à distance brutalement forcé. Si vous devez avoir le vôtre accessible sur Internet, utilisez des mots de passe forts, une identité gérée, MFA », a déclaré le responsable de Microsoft.

La multiplication des attaques RDP avait d'ailleurs déjà été soulignée par Kaspersky dans un rapport paru l'année dernière qui imputait ces statistiques au télétravail entraîné par la pandémie :

« Avec la propagation du COVID-19, les organisations du monde entier ont introduit le travail à distance, qui a un impact direct sur la cybersécurité et le paysage des menaces.

Outre le volume plus élevé de trafic d'entreprise, l'utilisation de services tiers pour l'échange de données et les employés travaillant sur des ordinateurs personnels (et des réseaux Wi-Fi potentiellement non sécurisés), un autre casse-tête pour les équipes d'infosec est l'augmentation du nombre de personnes utilisant les outils d'accès à distance.

L'un des protocoles de niveau application les plus populaires pour accéder aux postes de travail ou aux serveurs Windows est le protocole propriétaire de Microsoft RDP. Le confinement a vu l'apparition d'un grand nombre d'ordinateurs et de serveurs pouvant être connectés à distance, et en ce moment on assiste à une augmentation de l'activité cybercriminelle en vue d'exploiter la situation pour attaquer les ressources de l'entreprise désormais mises à disposition (parfois en vitesse) aux télétravailleurs.

Les attaques de ce type sont des tentatives de force brute sur un nom d'utilisateur et un mot de passe pour RDP en essayant systématiquement toutes les options possibles jusqu'à ce que la bonne soit trouvée. La recherche peut être basée sur des combinaisons de caractères aléatoires ou sur un dictionnaire de mots de passe populaires ou compromis. Une attaque réussie donne au cybercriminel un accès à distance à l'ordinateur cible du réseau.

Les attaquants par force brute ne sont pas chirurgicaux dans leur approche, mais opèrent par zone. Autant que l'on sache, suite au passage massif au télétravail, ils ont logiquement conclu que le nombre de serveurs RDP mal configurés allait augmenter, d'où l'augmentation du nombre d'attaques ».

Nom : attaque.png
Affichages : 5836
Taille : 102,4 Ko
Le nombre d'attaques Bruteforce.Generic.RDP a explosé sur presque toute la planète

Quelques recommandations avec l'utilisation de ce protocole

Il est peu probable que les attaques contre l'infrastructure d'accès à distance (ainsi que les outils de collaboration) s'arrêtent de si tôt. Donc, si vous utilisez RDP dans votre travail, assurez-vous de prendre toutes les mesures de protection possibles :
  • utilisez des mots de passe forts ;
  • n'activez RDP que via un VPN d'entreprise ;
  • utilisez l'authentification au niveau du réseau (NLA) ;
  • si possible, activez l'authentification à deux facteurs ;
  • si vous n'utilisez pas RDP, désactivez-le et fermez le port 3389 ;
  • utilisez une solution de sécurité fiable.

Si vous utilisez un autre protocole d'accès à distance, vous n'êtes pas épargné : fin 2019, les experts de Kaspersky ont découvert 37 vulnérabilités dans divers clients connectés via le protocole VNC, qui, comme RDP, est utilisé pour l'accès à distance.

Les entreprises doivent surveiller de près les programmes en cours d'utilisation et les mettre à jour sur tous les appareils de l'entreprise en temps opportun. Voici le conseil des experts de Kaspersky :
  • formez les employés aux bases de la sécurité numérique ;
  • utilisez différents mots de passe forts pour accéder aux différentes ressources de l'entreprise ;
  • mettez à jour tous les logiciels sur les appareils des employés vers la dernière version ;
  • dans la mesure du possible, utilisez le chiffrement sur les appareils utilisés à des fins professionnelles ;
  • faites des copies de sauvegarde des données critiques ;
  • installez des solutions de sécurité sur tous les appareils des employés, ainsi que des solutions de suivi des équipements en cas de perte.

L'avenir appartient à l'authentification passwordless (sans mot de passe) pour Microsoft

L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confronté à plusieurs enjeux, notamment la mémorisation, en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont il peut faire l'objet. Microsoft travaille depuis quelques années à rendre le mot de passe obsolète et a annoncé en décembre dernier qu'il dispose désormais d'assez d'alternatives pouvant lui permettre de supprimer le mot de passe pour ses clients dès 2021.

Selon Microsoft, les mots de passe sont un véritable casse-tête et ils présentent des risques de sécurité pour les utilisateurs et les organisations de toutes tailles, avec une moyenne d'un compte d'entreprise sur 250 compromis chaque mois. Selon Gartner, 20 à 50 % de tous les appels au service d'assistance sont destinés à la réinitialisation de mots de passe. Le Forum économique mondial (World economic forum - WEF) estime que la cybercriminalité coûte à l'économie mondiale environ 2,9 millions de dollars chaque minute, dont environ 80 % pour les mots de passe.

Il existe également d'autres études traitant des défis liés aux défis des mots de passe auxquels les organisations sont confrontées. Des centres de recherche et plusieurs acteurs du secteur de la cybersécurité recherchent depuis quelques années des solutions pour venir à bout de ces problèmes et d'autres, comme Microsoft, sont pour une approche sans mot de passe. La firme de Redmond est en effet un partisan de la technologie sans mot de passe depuis un certain temps et a récemment déclaré qu'elle veut que les mots de passe traditionnels et non sécurisés soient remplacés.

Pour se faire, Microsoft a investi ces dernières années dans diverses solutions telles que Windows Hello, Microsoft Authenticator, les clefs de sécurité FIDO2 et un système d'authentification des veines de la paume, entre autres choses. Ainsi, il s'efforce de faire passer les gens à ses solutions sans mot de passe et jeudi dernier, il a mis en évidence les progrès qu'il a réalisés pour tuer les mots de passe en 2020, et a déclaré qu'elle prévoit de les faire disparaître pour tous ses clients en 2021.

Selon les chiffres de la société, en novembre 2019, 100 millions de personnes utilisaient la connexion sans mot de passe de Microsoft. Ce chiffre est passé à 150 millions en mai 2020, ce qui montre bien que des millions de personnes sont prêtes à abandonner leurs mots de passe en raison de la gêne qu'elles ressentent à les mémoriser et de l'insécurité qu'elles peuvent ressentir. Tout au long de l'année 2020, Microsoft a participé à diverses conférences pour partager sa vision d'un avenir sans mot de passe et d'un environnement Zero Trust.

Microsoft a également dévoilé en avant-première la prise en charge d'Azure Active Directory pour les clefs de sécurité FIDO2 dans les environnements hybrides, ainsi qu'un nouveau assistant sans mot de passe via le centre d'administration Microsoft 365. L'entreprise s'est également engagée avec plusieurs partenaires de sécurité dans la Microsoft Intelligent Security Association (MISA) pour mettre en place des solutions sans mot de passe. Pour rappel, FIDO2 est le terme général qui désigne la toute nouvelle série de spécifications de l'Alliance FIDO.

Depuis septembre 2021, toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe du compte pour disposer d'une meilleure alternative de sécurité. Le vice-président de Microsoft, Vasu Jakka, l'a annoncé dans un billet de blog :

« Personne n'aime les mots de passe. Ils sont gênants. Ils sont une cible privilégiée pour les attaques. Pourtant, pendant des années, ils ont été la couche de sécurité la plus importante pour tout dans notre vie numérique, des e-mails aux comptes bancaires, des paniers d'achats aux jeux vidéo.

Nous sommes censés créer des mots de passe complexes et uniques, les mémoriser et les modifier fréquemment, mais personne n'aime faire cela non plus. Dans un récent sondage sur Twitter de Microsoft, une personne sur cinq a déclaré qu'elle préférait accidentellement "répondre à tous" – ce qui peut être monumentalement embarrassant – plutôt que de réinitialiser un mot de passe.

Mais quelle alternative avons-nous ?

Au cours des deux dernières années, nous avons dit que l'avenir est sans mot de passe, et aujourd'hui, je suis ravi d'annoncer la prochaine étape de cette vision. En mars 2021, nous avons annoncé que la connexion sans mot de passe était généralement disponible pour les utilisateurs commerciaux, apportant la fonctionnalité aux entreprises du monde entier.

À partir d'aujourd'hui, vous pouvez désormais supprimer complètement le mot de passe de votre compte Microsoft. Utilisez l'application Microsoft Authenticator, Windows Hello, une clef de sécurité ou un code de vérification envoyé à votre téléphone ou par e-mail pour vous connecter à vos applications et services préférés, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc. Cette fonctionnalité sera déployée dans les semaines à venir ».

Sources : Ross Bevington, Kaspersky, Microsoft

Et vous ?

Comment définissez-vous vos mots de passe ?
Qu'est-ce qui pourrait, selon vous, expliquer que les cybercriminels s'aventurent de moins en moins à utiliser des attaques par force brute sur les mots de passe longs ?
Trouvez-vous cette observation crédible ? Dans quelle mesure ?
Que pensez-vous des authentifications sans mots de passe ?
Vous servez-vous d'une telle solution ? Si oui, laquelle ?
Mise en parallèle avec l'authentification à deux facteurs, laquelle préférez-vous ? Pourquoi ?

Voir aussi :

Des chercheurs en sécurité déjouent Windows Hello en trompant une webcam du système de reconnaissance faciale : une photo infrarouge et une trame vidéo leur ont suffi