Comment les mots de passe sont-ils devinés sans l’aide de l’IA ??
À l’ère de la cybersécurité, la plupart des organisations mettent l’accent sur des règles de complexité des mots de passe ou sur des solutions sophistiquées comme l’intelligence artificielle pour la protection des comptes. Cependant, les attaquants n’ont pas nécessairement besoin d’IA pour deviner les mots de passe; les méthodes classiques, bien comprises et adaptées au contexte, restent extrêmement efficaces.
Pourquoi les attaques par devinette de mots de passe fonctionnent sans IA
Contrairement à la perception générale, la plupart des attaques par devinette de mots de passe n’impliquent pas de modèles d’intelligence artificielle ou de techniques avancées d’apprentissage automatique. Au lieu de cela, les attaquants utilisent des listes de mots de passe générées à partir du langage et des informations publiques disponibles sur l’organisation ciblée.
Cette approche exploite un fait simple: les utilisateurs ont tendance à créer des mots de passe faciles à retenir. Au lieu d’utiliser des combinaisons de caractères complètement aléatoires, ils incluent dans leurs mots de passe des termes familiers. Par exemple, le nom de l’entreprise, des produits, des lieux ou d’autres détails associés à l’organisation.
Que sont les listes de mots de passe contextualisées (targeted wordlists)
Les listes de mots de passe adaptées au contexte sont générées en collectant des mots et des expressions provenant de sources publiques de l’organisation ciblée. Celles-ci incluent les sites web, les blogs, les pages de description des services, etc. Les informations collectées sont ensuite transformées en combinaisons de mots de passe possibles.
Un outil très populaire pour cette tâche est CeWL (Custom Word List Generator), un crawler open-source largement utilisé par les pentesteurs et les attaquants. CeWL extrait des termes des pages web, puis crée une liste de mots qui reflète le langage spécifique de l’organisation.
Ces termes « contextuels » incluent généralement :
- Le nom de l’entreprise ou de l’organisation
- Les services, produits ou acronymes internes
- Les noms de lieux ou de projets
- Les termes industriels pertinents pour le domaine.
La liste résultante peut sembler inhabituelle pour une attaque informatique « générique », mais pour une attaque ciblée, elle est particulièrement efficace, car elle reflète exactement le langage utilisé au sein de l’organisation.
Comment les mots de passe sont-ils déduits, en pratique
Une simple liste de mots extraits du site ne suffit pas pour une attaque efficace. Cette « base de données » est ensuite soumise à un « traitement » avec des permutations et des combinaisons pour générer des mots. Des exemples de transformations incluent :
- L’ajout de chiffres à la fin des mots (par ex. Entreprise123)
- Des changements de capitalisation (entreprise, Entreprise, ENTREPRISE)
- L’ajout de symboles tels que !, @, #
- La combinaison de plusieurs termes en une seule chaîne.
Des outils comme Hashcat permettent ensuite d’utiliser ces règles de mutation à grande échelle, rendant ainsi possible le test efficace de millions de combinaisons basées sur la même liste thématique.
Pourquoi les règles classiques de complexité ne suffisent pas
La plupart des politiques d’approbation de mots de passe exigent encore :
- Au moins un caractère majuscule
- Au moins un chiffre
- Au moins un caractère spécial.
Le problème est que ces règles sont faciles à satisfaire et même des mots de passe construits à partir de termes sensibles, mais modifiés superficiellement, peuvent respecter les exigences de complexité. Par exemple, le mot de passe
NumeCompanie123! est long et respecte tous les critères techniques, mais reste extrêmement prévisible si l’attaquant dispose d’une base d’informations sur l’organisation concernée.
Selon les analyses réalisées sur des milliards de mots de passe compromis, de tels choix sont fréquents et faciles à exploiter.
Comment se défendre efficacement
1. Éviter les mots de passe basés sur le langage contextuel
Les règles de politique devraient aller au-delà des exigences de complexité de base et empêcher l’utilisation :
- Du nom de l’entreprise ou du système
- Des noms de projets internes
- Des termes de l’industrie
- Des variables claires ou faciles à associer à l’organisation.
2. Bloquer les mots de passe déjà compromis
Une pratique moderne consiste à bloquer les mots de passe déjà trouvés dans des fuites de données connues. Cela empêche la réutilisation des mêmes mots compromis, même s’ils respectent les exigences de complexité.
3. Créer des mots de passe longs et réels (passphrase)
Les mots de passe sous forme de phrases longues (15+ caractères), formées de mots non apparentés, sont considérablement plus difficiles à deviner, même pour des attaques ciblées.
4. Activer l’authentification multi-facteurs (MFA)
Le MFA n’empêche pas la compromission d’un mot de passe, mais réduit significativement le risque qu’un attaquant utilise le mot de passe compromis pour obtenir un accès.
Conclusion
Les attaques basées sur la déduction ne reposent pas toujours sur des algorithmes d’IA avancés ; parfois, les méthodes les plus efficaces sont les plus simples, mais bien adaptées au contexte. En générant des listes de mots spécifiques au langage et à la terminologie d’une organisation, les attaquants peuvent deviner les mots de passe avec un taux de succès beaucoup plus élevé que s’ils utilisaient uniquement des listes génériques de mots de passe.
Pour vous protéger correctement, il est essentiel d’implémenter des politiques de sécurité axées sur la prévention de l’utilisation de mots prévisibles, de bloquer les mots compromis et d’appliquer l’authentification multi-facteurs là où c’est possible.
Source : bleepingcomputer.com
