L’essor du numérique a malheureusement stimulé la cybercriminalité. Les attaques informatiques, comme celles par dictionnaire, représentent une menace pour l’identité, les entreprises et les données. Cet article explore la nature des attaques par dictionnaire, leurs spécificités par rapport à d’autres types d’attaques, et les stratégies pour s’en prémunir.
Qu’est-ce qu’une attaque par dictionnaire ?
Une attaque par dictionnaire est une méthode employée pour déchiffrer une clé de chiffrement. Elle consiste à tester une série limitée de mots de passe potentiels, extraits d’une liste préétablie, le « dictionnaire ». L’objectif est d’accéder illicitement à un système ou un compte. Ce type d’attaque cible fréquemment les comptes de messagerie, les mots de passe Wi-Fi, les clés de chiffrement peu robustes et les comptes bancaires en ligne.
Ce « dictionnaire » est constitué de milliers voire de millions d’entrées, issues de fuites de données antérieures. Les attaques par dictionnaire réussissent souvent car de nombreux utilisateurs choisissent des mots de passe courants, faciles à deviner à partir des données divulguées lors de précédentes failles de sécurité. Ces mots de passe peuvent être des combinaisons simplistes, incluant l’ajout d’un chiffre, de caractères de ponctuation, de numéros d’identification personnels ou de caractères visuellement similaires.
Les attaques par dictionnaire, parfois classifiées comme une forme d’attaque par force brute, peuvent être réalisées en ligne ou hors ligne. Lors d’une attaque en ligne, le pirate informatique s’appuie sur des mots de passe fréquemment utilisés, identifiés par le système ou suite à des analyses de données issues de précédentes violations. L’attaque en ligne doit être rapide, car une tentative prolongée pourrait alerter le propriétaire du système. En revanche, une attaque hors ligne permet au pirate de tester les mots de passe du dictionnaire à plusieurs reprises, sans risque d’être bloqué.
Conséquences des attaques par dictionnaire
Les attaques par dictionnaire sont aussi dangereuses que d’autres cyberattaques. Si le pirate devine le mot de passe, il peut accéder à l’intégralité du système ou du compte et potentiellement dérober des informations sensibles. Cet accès non autorisé peut entraîner des pertes financières, des violations de données et des usurpations d’identité.
Ces attaques peuvent causer des dommages importants pour les entreprises. Le pirate, en accédant au système, peut s’ouvrir les portes vers d’autres comptes d’applications importantes. Une attaque par dictionnaire peut nuire à la réputation et éroder la confiance des clients et partenaires, en raison de l’incapacité à protéger les données.
Les cybercriminels peuvent aussi mettre la main sur les données personnelles du propriétaire du système, avec des conséquences potentiellement désastreuses. Ainsi, une attaque par dictionnaire peut conduire à d’autres attaques et violations. De plus, le renforcement des mesures de sécurité et les pertes économiques engendrées par ces attaques peuvent affecter le budget de l’entreprise.
Les entreprises peuvent subir des pertes considérables si les cybercriminels prennent le contrôle total de leurs systèmes. Cela peut se traduire par des revers financiers, des interruptions d’activité, une baisse de la productivité et des poursuites judiciaires suite à des violations de données.
Comment fonctionne une attaque par dictionnaire ?
Examinons le déroulement d’une attaque par dictionnaire :
Étape 1 : Les cybercriminels mènent des attaques par dictionnaire de différentes manières. Certains se limitent à utiliser des listes optimisées de mots de passe courants, tandis que d’autres explorent l’ensemble du dictionnaire.
Les pirates collectent les mots de passe couramment utilisés via diverses sources, telles que des bases de données précédemment piratées, des mots de passe divulgués et des listes de termes supposés. Par exemple, un utilisateur pourrait choisir un mot de passe simple comme « pass1234 » ou « p1234 ».
Les pirates puisent également dans le dictionnaire des entrées basées sur le style de vie et les données démographiques, obtenues grâce à des piratages antérieurs. Par exemple, de nombreux jeunes amateurs de football peuvent utiliser des mots de passe tels que « messi123 » ou « foot1234ball ». Ces dictionnaires peuvent contenir des milliers, voire des millions d’entrées.
Étape 2 : Une fois le dictionnaire de mots de passe constitué, les pirates identifient le système cible qu’ils souhaitent pirater. Ce système peut être une messagerie électronique, un réseau social, un compte utilisateur sur un site Web ou une application.
Étape 3 : Lorsque le dictionnaire de mots de passe et le système cible sont définis, les pirates tentent de faire correspondre chaque mot de passe avec l’identifiant utilisateur du système visé.
Étape 4 : Les cybercriminels emploient des logiciels ou des configurations informatiques automatisées pour ces attaques. Si un mot de passe ne correspond pas, le processus se poursuit avec le mot de passe suivant, jusqu’à ce que la bonne combinaison identifiant/mot de passe soit trouvée.
Les attaques par dictionnaire sont généralement couronnées de succès lorsque les mots de passe sont faibles et faciles à deviner. De plus, les pirates peuvent accéder à d’autres comptes avec des mots de passe similaires au sein du même système. Si le pirate est expérimenté, il peut mener cette opération en un temps très court.
Attaque par dictionnaire vs attaque par force brute
L’attaque par dictionnaire est comparable à une attaque par force brute. Cependant, lors d’une attaque par dictionnaire, l’attaquant se limite à tester les mots présents dans son dictionnaire. Ces attaques sont généralement rapides, car le pirate ne cherche pas à deviner toutes les combinaisons de caractères possibles d’un mot de passe.
Une attaque par force brute explore, quant à elle, toutes les combinaisons de caractères possibles du dictionnaire. Ces attaques sont souvent lentes et gourmandes en ressources informatiques.
Attaque par dictionnaire et pulvérisation de mots de passe
La pulvérisation de mots de passe est une forme d’attaque par dictionnaire. La particularité de cette technique est qu’elle utilise le même mot de passe pour plusieurs identifiants utilisateur. Ainsi, le pirate tente d’accéder à de nombreux comptes avec un nombre limité de mots de passe. Le taux de réussite de cette attaque est inférieur à celui des attaques par dictionnaire et par force brute. Toutefois, cette approche peut s’avérer efficace pour les comptes utilisant des mots de passe faibles.
Attaque par dictionnaire vs attaque par table arc-en-ciel
L’attaque par table arc-en-ciel se distingue légèrement de l’attaque par dictionnaire. Le cybercriminel compare la valeur de hachage du mot de passe cible avec les valeurs de hachage stockées dans la table arc-en-ciel. En fonction de cette valeur, le pirate tente d’identifier le mot de passe. Dans l’attaque par dictionnaire, le pirate teste tous les mots de son dictionnaire pour trouver le mot de passe correspondant. Les attaques par table arc-en-ciel sont rapides car elles effectuent une recherche dans une table précalculée, au lieu de tester tous les mots de passe de la liste. Le « salage » des mots de passe, qui consiste à ajouter des données aléatoires à chaque mot de passe avant le hachage, peut limiter l’efficacité d’une attaque par table arc-en-ciel.
Exemples concrets d’attaques par dictionnaire
Violation de LinkedIn
En 2012, LinkedIn a subi une grave violation de données. Le site a été la cible d’une attaque par dictionnaire qui a révélé 160 millions d’informations d’identification d’utilisateurs. Cette faille de sécurité est due à l’utilisation d’un hachage SHA-1 non salé pour le stockage des mots de passe et à des mesures de sécurité insuffisantes.
Le piratage d’Ashley Madison
Le site de rencontres Ashley Madison a été victime d’une violation de données controversée en 2015. Lors de cette attaque par dictionnaire, les pirates ont dérobé les mots de passe hachés, les informations personnelles et les détails de paiement des utilisateurs du site. Cette violation est le résultat de mesures de sécurité inadéquates.
La violation de Dropbox
Le service de stockage cloud Dropbox a également subi une attaque par dictionnaire de grande ampleur, compromettant 68 millions de mots de passe et d’adresses e-mail hachés. Cette attaque est principalement due à l’utilisation de mots de passe faibles.
Le piratage d’Adobe
Le géant du logiciel Adobe a lui aussi été la cible d’une attaque par dictionnaire en 2013. Cette faille a exposé les données sensibles de 38 millions d’utilisateurs, y compris les mots de passe cryptés et les informations de carte de crédit. Cette attaque a été rendue possible par l’utilisation de méthodes de chiffrement peu robustes.
Comment atténuer les attaques par dictionnaire ?
Ces exemples concrets soulignent l’importance d’un réseau sécurisé et d’un chiffrement robuste pour contrer les attaques par dictionnaire.
- Authentification à deux facteurs (2FA) : L’authentification à deux facteurs est l’une des meilleures méthodes pour protéger un compte contre les attaques malveillantes. Elle consiste à demander à l’utilisateur un code OTP (mot de passe à usage unique) envoyé par SMS, en plus de son mot de passe habituel. L’accès au compte n’est possible qu’après validation de ce code. La 2FA est également un excellent moyen de protéger vos plateformes de réseaux sociaux.
- Mots de passe forts : Privilégiez des mots de passe uniques et complexes, associant des lettres majuscules et minuscules avec des caractères spéciaux. Évitez les mots de passe faciles à deviner, avec des chiffres répétés, des séries de numéros ou votre nom.
- Gestionnaires de mots de passe : L’utilisation de gestionnaires de mots de passe permet de générer des mots de passe robustes et uniques pour chaque compte. Ces outils vous déchargent également de la mémorisation de vos mots de passe.
- Mises à jour régulières : Maintenez à jour vos applications, logiciels et systèmes d’exploitation. Les cybercriminels exploitent fréquemment les vulnérabilités connues des logiciels obsolètes.
- Politique de verrouillage de compte : Le verrouillage de compte bloque temporairement l’accès après un certain nombre de tentatives de connexion infructueuses. Cela permet de sécuriser le compte et d’empêcher les pirates d’utiliser des outils automatisés pour des attaques par dictionnaire.
- Utiliser un Captcha : L’implémentation d’un captcha sur les sites Web lors de la connexion permet de distinguer l’activité des robots automatisés de celle des utilisateurs humains.
- Pare-feu d’applications Web (WAF) : Le déploiement de pare-feu d’applications Web peut bloquer le trafic malveillant vers votre système. Un WAF permet également de prévenir les attaques par dictionnaire.
- Segmentation du réseau : Limitez l’accès à votre réseau à partir des sites sensibles en le segmentant. Cette approche permet de protéger votre système contre les attaques malveillantes.
- Audits de sécurité et tests d’intrusion : La réalisation régulière de tests d’intrusion et d’audits de sécurité permet d’identifier les vulnérabilités et les faiblesses du réseau et des logiciels.
- Mettre en place des outils d’analyse comportementale : La mise en œuvre d’outils d’analyse comportementale permet de détecter les activités de connexion inhabituelles.
- Systèmes de détection et de prévention d’intrusion (IDPS) : De nombreux outils IDPS aident à détecter le trafic réseau, ainsi que les tentatives et schémas de connexion suspects.
- Changement régulier de mot de passe : Modifier régulièrement les mots de passe réduit le risque de cyberattaques.
- Adopter de nouvelles technologies : De nombreuses entreprises déploient de nouveaux logiciels et technologies telles que la connexion sans mot de passe ou OTP, l’autorisation ouverte (OAuth) ou l’envoi de liens de connexion par e-mail pour un accès sécurisé.
Quelques gestionnaires de mots de passe populaires pour prévenir les attaques par dictionnaire
- Gestionnaire de mots de passe Google : Il enregistre en toute sécurité tous les mots de passe des différents comptes et fournit des suggestions de mots de passe robustes. Il peut proposer, par exemple, un mot de passe unique pour le site Web abc.com tel que « 6exRa$c57GUjas2 », composé d’une combinaison de lettres majuscules et minuscules, de caractères spéciaux et de chiffres. Ces suggestions de mots de passe permettent de protéger efficacement vos comptes contre les attaques par dictionnaire.
- 1Password : Ce gestionnaire propose des mesures de sécurité solides, telles que le stockage sécurisé des mots de passe et d’autres données sensibles comme les informations de carte de crédit.
- LastPass : LastPass est un outil performant pour la gestion des mots de passe. Il propose la génération de mots de passe, le stockage sécurisé et la synchronisation des données entre plusieurs appareils. Il prend également en charge l’authentification multifacteur.
- Dashlane : Ce service offre le stockage sécurisé des mots de passe, la génération de mots de passe et un portefeuille numérique. Il propose également la mise à jour régulière des mots de passe.
- Keeper : Keeper est un logiciel de chiffrement et de sécurité qui propose la gestion des mots de passe, la messagerie chiffrée, la surveillance du dark web et le stockage de fichiers numériques.
Que faire si vous êtes victime d’une attaque par dictionnaire ?
- Identifiez le compte compromis et surveillez les activités suspectes. Vérifiez tous vos comptes en ligne, tels que les e-mails, les réseaux sociaux et les autres plateformes.
- Modifiez immédiatement votre mot de passe et ajoutez une authentification multifacteur ou à deux facteurs pour une sécurité renforcée.
- Signalez sans tarder toute activité malveillante au service client. Renseignez-vous également sur les mesures de sécurité supplémentaires.
- Restez vigilant, surveillez vos comptes et mettez régulièrement à jour vos applications et logiciels.
Conclusion
À mesure que la technologie évolue, les techniques employées par les cybercriminels pour déchiffrer les mots de passe se perfectionnent également. En étant conscients de nos actions en ligne et en adoptant de bonnes pratiques, nous pouvons contrer efficacement les attaques par dictionnaire et protéger nos données numériques. Pour approfondir le sujet, voici quelques notions de base sur la cybersécurité pour les débutants.