Il existe de nombreux hacks extrêmement techniques et sophistiqués. Comme vous pouvez le deviner d'après son nom, une attaque par force brute n'est pas vraiment tout cela. Cela ne veut pas dire que vous devez les ignorer. Aussi peu sophistiqués soient-ils, ils peuvent être très efficaces. Avec suffisamment de temps et de puissance de traitement, une attaque par force brute devrait toujours avoir un taux de réussite de 100 %.
Sous-classes
Il existe deux sous-classes principales: les attaques en ligne et hors ligne. Une attaque par force brute en ligne n'implique pas nécessairement Internet. Au lieu de cela, il s'agit d'une classe d'attaque qui cible directement le système en cours d'exécution. Une attaque hors ligne peut être effectuée sans avoir à interagir avec le système attaqué.
Mais comment attaquer un système sans attaquer le système? Eh bien, les violations de données contiennent souvent des listes de noms d'utilisateur et de mots de passe divulgués. Les conseils de sécurité recommandent cependant que les mots de passe soient stockés dans un format haché. Ces hachages ne peuvent être déchiffrés qu'en devinant le bon mot de passe. Malheureusement, maintenant que la liste des hachages est accessible au public, un attaquant peut simplement télécharger la liste et essayer de la casser sur son propre ordinateur. Avec suffisamment de temps et de puissance de traitement, cela leur permet de connaître une liste de noms d'utilisateur et de mots de passe valides avec une certitude à 100 % avant même de se connecter au site concerné.
En comparaison, une attaque en ligne tenterait de se connecter directement au site Web. Non seulement c'est beaucoup plus lent, mais c'est aussi perceptible par à peu près n'importe quel propriétaire de système qui se soucie de regarder. En tant que telles, les attaques par force brute hors ligne sont généralement préférées par les attaquants. Parfois, cependant, ils peuvent ne pas être possibles.
Informations d'identification brutales
La classe la plus facile à comprendre et la menace la plus courante sont les informations de connexion par force brute. Dans ce scénario, un attaquant essaie littéralement autant de combinaisons de noms d'utilisateur et de mots de passe que possible pour voir ce qui fonctionne. Comme indiqué ci-dessus, lors d'une attaque par force brute en ligne, l'attaquant peut simplement essayer de saisir autant de combinaisons de nom d'utilisateur et de mot de passe dans le formulaire de connexion. Ce type d'attaque génère beaucoup de trafic et des erreurs de tentative de connexion échouées qui peuvent être remarquées par un administrateur système qui peut alors prendre des mesures pour bloquer l'attaquant.
Une attaque par force brute hors ligne consiste à craquer les hachages de mots de passe. Ce processus prend littéralement la forme de deviner toutes les combinaisons possibles de caractères. Avec suffisamment de temps et de puissance de traitement, il réussirait à casser n'importe quel mot de passe en utilisant n'importe quel schéma de hachage. Les schémas de hachage modernes conçus pour le hachage de mot de passe, cependant, ont été conçus pour être « lents » et sont généralement réglés pour prendre des dizaines de millisecondes. Cela signifie que même avec une énorme puissance de traitement, il faudra plusieurs milliards d'années pour déchiffrer un mot de passe suffisamment long.
Pour essayer d'augmenter les chances de déchiffrer la plupart des mots de passe, les pirates ont tendance à utiliser à la place des attaques par dictionnaire. Cela implique d'essayer une liste de mots de passe couramment utilisés ou précédemment piratés pour voir si certains de l'ensemble actuel ont déjà été vus. Malgré les conseils de sécurité pour utiliser des mots de passe uniques, longs et complexes pour tout, cette stratégie d'attaque par dictionnaire réussit généralement très bien à craquer environ 75 à 95 % des mots de passe. Cette stratégie nécessite encore beaucoup de puissance de traitement et reste un type d'attaque par force brute, elle est juste légèrement plus ciblée qu'une attaque par force brute standard.
Autres types d'attaques par force brute
Il existe de nombreuses autres façons d'utiliser la force brute. Certaines attaques consistent à tenter d'accéder physiquement à un appareil ou à un système. Généralement, un attaquant essaiera d'être furtif à ce sujet. Par exemple, ils peuvent essayer de voler furtivement un téléphone, ils peuvent essayer de crocheter une serrure ou ils peuvent franchir une porte à accès contrôlé. Les alternatives de force brute à celles-ci ont tendance à être très littérales, utilisant la force physique réelle.
Dans certains cas, une partie d'un secret peut être connue. Une attaque par force brute peut être utilisée pour deviner le reste. Par exemple, quelques chiffres de votre numéro de carte de crédit sont souvent imprimés sur les reçus. Un attaquant pourrait essayer toutes les combinaisons possibles d'autres numéros pour déterminer votre numéro de carte complet. C'est pourquoi la plupart des numéros sont masqués. Les quatre derniers chiffres, par exemple, sont suffisants pour identifier votre carte, mais pas assez pour qu'un attaquant ait une chance décente de deviner le reste du numéro de carte.
Les attaques DDOS sont un type d'attaque par force brute. Ils visent à submerger les ressources du système ciblé. Peu importe la ressource. il peut s'agir de la puissance du processeur, de la bande passante du réseau ou de l'atteinte d'un plafond de prix de traitement dans le cloud. Les attaques DDOS consistent littéralement à envoyer suffisamment de trafic réseau pour submerger la victime. Il ne "hacke" rien en fait.
Conclusion
Une attaque par force brute est un type d'attaque qui implique de compter sur la chance, le temps et les efforts. Il existe de nombreux types d'attaques par force brute. Alors que certains d'entre eux peuvent impliquer des outils quelque peu sophistiqués à exécuter, tels que des logiciels de craquage de mots de passe, l'attaque elle-même n'est pas sophistiquée. Cela ne signifie pas pour autant que les attaques par force brute sont des tigres de papier, car le concept peut être très efficace.