BRUTE FORCE Selon Gabriel Cholette-Rioux
Qu’est-ce que l’attaque Brute force ? L’attaque brute force est une attaque dite de crypto-analyse qui calcule chaque combinaison possible pour faire un mot de passe, et le teste pour voir si c’est le bon mot de passe. C’est comme essayer toutes les clefs possibles dans une serrure. Cette méthode est quasi infaillible mais prends beaucoup de temps.
Types de brute force Il est possible de brute force « online » et « offline » Online pourrait être un site web ou la session d’un autre ordinateur par exemple Offline pourrait être un mot de passe hashé que l’on « brute force » pour extirper le mot de passe
Les plateformes concernées La plus part des plateformes contenant des données désirables ayant une faille de sécurité. Par exemple: SSH, iCloud (vulnérable en 2014), mySQL, Android, IOS, Windows, telnet, les sites web
Comment brute forcer? Il y a plusieurs outils disponibles pour brute force, surtout sur linux Par exemple: Medusa, Hydra ou ncrack Certains outils utilisent des dictionnaires de mots de passe pour tester, par exemple rockyou.txt (de base dans kali linux), contient 140 Mo de mots de passe Ce dictionnaire contient les mots de passe les plus utilisés au début comme « » ou « babygirl » pour les premiers milliers de passwords. Après, c’est des mots de passe moins communs en ordre alphabétique, de « » à « robert###! »
Un exemple J’utiliserai Medusa pour essayer de retrouver le mot de passe du compte « jean » sur l’ordinateur a Vincent par le port vulnérable ssh. Medusa –h [TargetIP] –u [Username] –P [PasswordDictionairy] –n [port] –M [ModuleName] –t [NbThreads] medusa -h u jean -P /usr/share/wordlists/rockyou.txt -n M ssh -t 3
Comment se protéger Pour les sites web, souvent un capcha après quelques essais est pas pire pantoute. Instaurer un password authentification delay, par exemple ssh le fait. Bloquer les comptes après un nombre X d’éssais.
Conclusion Brute force est une attaque souvent simple à effectuer et versatile, mais prends très souvent beaucoup de temps avant de trouver un match.