Comprendre ces sept attaques contre les mots de passe et savoir les arrêter

Dans cet article, nous allons explorer les sept types d'attaques contre les mots de passe les plus courants et vous fournirons des conseils sur la façon de vous en défendre. En comprenant les tactiques des pirates et en apprenant les meilleures pratiques pour les arrêter, vous serez en mesure de renforcer la sécurité globale de votre organisation.

Les attaques par force brute

Lors d'une attaque par force brute, les pirates utilisent des outils automatisés pour vérifier méthodiquement toutes les combinaisons de mots de passe possibles jusqu'à ce qu'ils trouvent la bonne. Si la sophistication leur fait défaut, ils la compensent par avec une incroyable persévérance : les attaques par force brute peuvent être étonnamment efficaces, en particulier contre les mots de passe faibles ou courts.

Comment prévenir une attaque par force brute :

• Mettez en oeuvre des politiques de verrouillage de compte après un certain nombre de tentatives infructueuses
• Rendez obligatoires les mots de passe de 20 caractères minimum
• Utilisez des passphrases plutôt que des mots de passe complexes et difficiles à retenir

Les attaques par dictionnaire

Dans une attaque par dictionnaire, les pirates utilisent des listes de mots, d'expressions et de mots de passe couramment utilisés, ainsi que des mots de passe précédemment divulgués, pour tenter d'obtenir un accès non autorisé. Cela peut considérablement accélérer les techniques de force brute lorsqu'elles sont combinées dans une attaque hybride.

Comment prévenir une attaque par dictionnaire :

• Appliquez des politiques de mots de passe solides qui exigent un mélange de lettres, de chiffres et de symboles
• Mettez en place des dictionnaires personnalisés pour bloquer les termes courants propres à votre secteur ou votre organisation
• Effectuez un audit des mots de passe : utilisez des outils comme Specops Password Auditor pour identifier les risques liés aux mots de passe dans votre Active Directory. Téléchargez-le gratuitement et lancez une analyse en lecture seule dès aujourd'hui.

La pulvérisation de mots de passe

Les pirates informatiques utilisent des techniques de pulvérisation de mots de passe pour éviter d'être détectés et contourner les paramètres de verrouillage de compte. Plutôt que d'effectuer plusieurs tentatives sur un même compte, les attaquants utilisent un petit ensemble de mots de passe communs contre de nombreux comptes. En élargissant leurs tentatives, les pirates informatiques parviennent souvent à passer sous le radar des mesures de sécurité traditionnelles.

Comment prévenir une attaque par pulvérisation de mots de passe :

• Utilisez des outils offrant une authentification adaptative capable de détecter et de répondre aux modèles de connexion inhabituels
• Imposez l'utilisation de mots de passe uniques et complexes pour chaque utilisateur
• Vérifiez et mettez régulièrement à jour les politiques de mots de passe pour garder une longueur d'avance sur les menaces en constante évolution

Credential stuffing

Technique de piratage informatique très efficace, le « credential stuffing » consiste pour les kackers à utiliser la combinaison compromise nom d'utilisateur/mot de passe d'un service pour tenter d'accéder à d'autres services, profitant de la tendance humaine à réutiliser les informations d'identification sur plusieurs comptes.

Comment éviter une attaque de type credential stuffing :

• Sensibilisez vos utilisateurs aux dangers liés à l'utilisation d'un même mot de passe sur plusieurs comptes
• Encourager (ou rendez obligatoire) l'utilisation de gestionnaires de mots de passe pour faciliter l'utilisation de mots de passe uniques pour chaque compte

Le phishing ou hameçonnage

Les attaques de phishing peuvent être extrêmement sophistiquées, imitant un service ou un site légitime pour inciter les gens à effectuer des actions ou à divulguer des informations confidentielles. Les pirates informatiques hameçonnent leurs victimes de diverses manières, notamment par courrier électronique et par SMS.

Comment prévenir une attaque par hameçonnage :

• Délivrez régulièrement des formations de sensibilisation complètes aux utilisateurs
• Implémentez des filtres de messagerie et configurez les serveurs de messagerie pour détecter et bloquer les tentatives de phishing
• Utilisez des bannières de courrier électronique pour identifier clairement les courriers électroniques externes

Keylogger attack

Les attaques par keylogger font partie des types d'attaques contre les mots de passe les plus dangereux. Lors d'une attaque par enregistreur de frappe, un pirate utilise un logiciel ou du matériel pour enregistrer chaque frappe effectuée par un utilisateur, y compris les numéros de carte de crédit ou les mots de passe qu'il saisit. Ces attaques sont particulièrement insidieuses car elles peuvent capturer les mots de passe les plus complexes qui pourraient résister à d'autres formes d'attaque.

Comment prévenir une attaque par keylogger :

• Maintenez tous vos systèmes à jour avec les derniers correctifs de sécurité
• Utilisez un logiciel de protection contre les logiciels malveillants à jour sur tous les appareils
• Mettez en oeuvre des politiques strictes sur l'utilisation des périphériques USB et l'installation de logiciels
• Encouragez l'utilisation de gestionnaires de mots de passe dotés de fonctions de remplissage automatique qui contournent la saisie au clavier

L'ingénierie sociale

« Hello Amy. Ici Darren du support informatique. Nous rencontrons des problèmes avec les ordinateurs de votre service. Je sais qu'il est presque 17 heures, mais pouvez-vous cliquer sur le lien que je viens de vous envoyer par e-mail et confirmer que vous arrivez à vous connecter ? »

Les attaques d'ingénierie sociale ont recours à diverses techniques pour manipuler les gens afin qu'ils effectuent des actions ou divulguent des informations confidentielles. Ces attaques créent souvent un sentiment d'urgence ou d'autorité, poussant les destinataires à agir rapidement sans vérifier la légitimité de la demande.

Comment prévenir une attaque d'ingénierie sociale :

• Organisez régulièrement des formations de sensibilisation à la sécurité comprenant des scénarios d'ingénierie sociale
• Mettez en oeuvre des procédures de vérification strictes pour les réinitialisations de mot de passe, en particulier au niveau du helpdesk
• Évitez les questions de sécurité, qui sont particulièrement sensibles à l'ingénierie sociale
• Créer une culture de sensibilisation à la sécurité, dans laquelle les employés se sentent à l'aise pour remettre en question les demandes inhabituelles

Bonnes pratiques supplémentaires

Lorsque vous préparez la défense de votre organisation contre les attaques de mots de passe, n'oubliez pas de mettre en oeuvre les bonnes pratiques suivantes :

• Déployer l'authentification multifacteurs (MFA) : l'authentification multifacteurs reste l'un des meilleurs moyens d'améliorer votre sécurité avec une atténuation de l'impact potentiel des mots de passe compromis, des tentatives d'ingénierie sociale et d'autres types d'attaques de mots de passe.
• Évitez d'écrire vos mots de passe : encouragez les utilisateurs à utiliser des gestionnaires de mots de passe plutôt que des notes sur papier ou des post-it.
• Empêchez la réutilisation du mot de passe : sensibilisez vos utilisateurs aux dangers liés à la réutilisation de mots de passe ou de simples variantes (par exemple, en changeant uniquement un numéro ou le nom d'un site web).
• Utilisez des passphrases : encouragez les utilisateurs à adopter des passphrases longues et facilement mémorisables plutôt que des mots de passe complexes et difficiles à retenir. Voici un guide pratique pour aider vos utilisateurs finaux à créer des passphrases.
• Effectuez régulièrement des audits de mots de passe : utilisez des outils comme Specops Password Auditor pour identifier les mots de passe faibles ou compromis dans votre Active Directory.

Se défendre contre les attaques de mots de passe

Specops Password Policy peut vous aider à bloquer en permanence plus de 4 milliards de mots de passe uniques compromis connus, à appliquer facilement la conformité et à réduire la charge de votre helpdesk en offrant aux utilisateurs finaux une meilleure expérience en matière de sécurité. Vous souhaitez en savoir plus sur la création d'une défense multicouche contre les attaques basées sur les informations d'identification ? Contactez un expert Specops.

Sur le même thème

Voir tous les articles Cybersécurité

MFA obligatoire sur Google Cloud : un premier calendrier communiqué

Par La rédaction le 6 nov. 2024

Campus Cyber : Michel Van Den Berghe quitte la présidence

Par Philippe Leroy le 5 nov. 2024

Cyber OT : la prise de conscience du secteur industriel

Par Alain Clapaud le 4 nov. 2024

Le MFA, une course à obstacles pour Snowflake

Par Clément Bohic le 31 oct. 2024

Phishing : recrudescence des attaques par QR code

Par Matthew Broersma - Silicon UK le 30 oct. 2024