Close Menu

    Qu’est-ce que la pulvérisation de mots de passe et comment peut-elle être utilisée contre vous ?

    Louise GoossensBy 7 Mins Read Technologies
    password-spraying
    partners

    Qu’est-ce que la pulvérisation de mots de passe et comment peut-elle être utilisée contre vous ?


    Lorsque vous pensez au piratage de mots de passe, vous pouvez imaginer que des pirates essaient des centaines de mots de passe sur un seul compte. Bien que cela se produise encore, ce n’est pas toujours le cas. Parfois, les pirates effectuent une pulvérisation de mot de passe à la place.

    Voyons ce qu’est la pulvérisation de mots de passe et ce que vous pouvez faire pour vous protéger.

    Qu’est-ce que la pulvérisation de mot de passe ?

    Si le piratage « normal » consiste à essayer de nombreux mots de passe différents sur plusieurs comptes, la pulvérisation de mots de passe est l’inverse. Lorsque les pirates ont accès à de nombreux noms de compte différents et tentent de s’y introduire en utilisant seulement quelques mots de passe.

    Si la sécurité du compte est stricte, les pirates n’appliqueront pas les méthodes de piratage « normales ». Le système de sécurité remarque les tentatives répétées d’accès au compte et le verrouille pour protéger la confidentialité de la cible. Vous avez probablement vécu cela lorsque vous avez entré plusieurs fois votre mot de passe de manière incorrecte dans un service – cela vous exclut.

    Si les pirates n’utilisent qu’un petit nombre de mots de passe par attaque, lesquels utilisent-ils ? Le meilleur pari d’un pirate est d’utiliser certains des mots de passe les plus couramment utilisés sur Internet. De cette façon, ils peuvent maximiser la possibilité d’entrer par cette petite fenêtre.

    Utilisons-nous des mots de passe faibles ?

    Crédit image : designer491/DepositPhotos

    Bien sûr, cette attaque dépend entièrement de la personne qui utilise le mot de passe commun sur son compte. Cependant, de nos jours, quelle est la probabilité que quelqu’un utilise l’un de ces mots de passe ?

    Faire une vidéo du jour

    Malheureusement, nos habitudes de mot de passe ne se sont pas beaucoup améliorées au fil des ans. Le NCSC a mené une étude auprès d’organisations désireuses de tester leur sensibilité aux attaques par pulvérisation. Ils ont constaté que parmi les 1 000 premiers mots de passe, 75 % des organisations avaient au moins un compte avec un mot de passe, et 87 % des 10 000 premiers avaient au moins un compte avec un mot de passe.

    C’est la faille de sécurité que les pulvérisateurs de mot de passe sont conçus pour exploiter. Laissez simplement un utilisateur de l’organisation vaporiser avec un mot de passe faible. Une fois que les pirates ont accès au compte, ils peuvent utiliser cet effet de levier pour pénétrer plus profondément dans le système.

    Qui est à risque d’attaque par pulvérisation de mot de passe ?

    Crédit photo : Artur Verkhovetskiy/DepositPhotos

    En règle générale, les pirates utilisent ces attaques contre de grandes entreprises et organisations. Ils ont également utilisé la pulvérisation de mots de passe sur les utilisateurs dans la fuite de la base de données, où les pirates pouvaient utiliser un grand nombre de noms de compte mais pas de mots de passe.

    Dans tous les cas, si un pirate a un grand nombre de comptes à traverser, mais que chaque compte a une fenêtre d’attaque limitée, la pulvérisation de mot de passe devient la méthode d’attaque de choix.

    Les pirates optent pour la pulvérisation de mot de passe lorsque les comptes sont sévèrement punis pour les fautes de frappe. Si un pirate informatique obtient des informations sur un compte de site Web, mais que le site Web n’autorise que cinq tentatives de mot de passe avant de verrouiller le compte, le pirate informatique utilisera les cinq mots de passe les plus courants, en espérant que les gens les utiliseront.

    Existe-t-il des cas réels de pulvérisation de mot de passe ?

    Dans un monde idéal, tout le monde dans l’organisation utiliserait un mot de passe fort pour empêcher le nébuliseur d’entrer. Malheureusement, les pirates ont réussi avec cette tactique dans le passé, à tel point que Redmond Mag a rapporté comment la pulvérisation de mots de passe a vu les cas augmenter en 2018.

    De nombreuses attaques se concentrent sur les entreprises, éventuellement pour voler des documents commerciaux précieux à des fins lucratives. Les organisations peuvent également avoir une structure de nom d’utilisateur qui permet aux pirates de rassembler facilement une liste de noms à attaquer.

    Threatpost rapporte comment l’entreprise de virtualisation logicielle Citrix a été affectée par une attaque par pulvérisation après que l’un de ses comptes a été compromis. Les pirates ont volé des documents commerciaux précieux avec des autorisations trouvées dans les comptes auxquels ils ont accédé.

    Ce qui fait peur dans cette attaque, c’est à quel point elle était silencieuse. En raison de la nature « discrète » de la pulvérisation de mots de passe, elle n’a déclenché aucune alarme ni causé aucune inquiétude. Citrix ne savait même pas que l’attaque avait eu lieu jusqu’à ce que le FBI les notifie longtemps après l’attaque.

    Comment se défendre contre la pulvérisation de mot de passe

    Crédit image : Jirsak/DepositPhotos

    La solution à cette attaque est simple ; utilisez de meilleurs mots de passe ! La pulvérisation de mot de passe concerne le mot de passe que vous utilisez dans la liste des 100 premiers mots de passe les plus courants.

    En complexifiant vos mots de passe, vous vous libérez du pool de mots de passe que les pulvérisateurs utilisent contre vous. Tout d’abord, si votre mot de passe est l’un des pires, assurez-vous de le changer maintenant !

    Si vous voulez creuser plus profondément, Password Random répertorie les 10 000 mots de passe les plus couramment utilisés. Il y a du langage adulte dans ces mots de passe, alors soyez prudent lorsque vous les lisez !

    Qu’est-ce qu’un bon mot de passe ?

    Maintenant que nous savons ce qui constitue un mot de passe faible, qu’est-ce qu’un bon mot de passe ?

    Le problème avec les mots de passe est que plus ils sont complexes, plus ils sont forts, mais plus ils sont difficiles à retenir.

    La raison pour laquelle les gens utilisent des mots de passe comme « mot de passe » ou « 12345 » est qu’ils sont faciles à retenir et à saisir. Il n’y a pas de majuscules ou de symboles étranges, mais c’est tout ce dont vous avez besoin pour aider à vaincre une attaque de pulvérisateur de mot de passe.

    Heureusement, il existe des moyens de concevoir un mot de passe à la fois fort et mémorable. Si l’hygiène de votre mot de passe n’est pas à la hauteur, assurez-vous de lire comment créer des mots de passe forts que vous n’oublierez pas.

    Protégez-vous avec un mot de passe plus fort

    La pulvérisation de mots de passe est un problème important pour les utilisateurs et les entreprises qui n’utilisent pas de mots de passe forts. Parfois, il suffit d’un seul compte pour avoir un mot de passe faible, et les pirates peuvent utiliser cet effet de levier pour causer d’autres dommages au système. Heureusement, en renforçant votre mot de passe et en utilisant 2FA, vous pouvez vous protéger.

    Malheureusement, la pulvérisation de mots de passe n’est pas la seule tactique utilisée par les pirates. Assurez-vous de lire les stratégies les plus courantes utilisées pour déchiffrer les mots de passe afin de renforcer davantage la sécurité.

    Crédit photo : yekophotostudio/Depositphotos

    A propos de l’auteur

    Share.

    Related Posts

    Add A Comment
    Leave A Reply