La psychologie du hacker de mot de passe

D’autres tactiques, comme les malwares de récupération de la mémoire, ou des outils comme le voleur de mots de passe Redline, utilisé récemment lors des attaques de ransomwares Lapsus$, permettent également de voler des identifiants.

Matthieu Jouzel, Solutions Engineer de BeyondTrust nous livre son expertise sur le sujet

Histoire des mots de passe

Les êtres humains utilisent des mots de passe depuis les premiers jours de la civilisation. Jadis, tout le monde avait le même mot de passe. Il permettait à celui qui pouvait l’énoncer de passer un contrôle de sécurité. Ce n’était pas une preuve d’identité mais plutôt d’un contrôle d’accès basé sur le rôle, la preuve qu’on était autorisé à accéder à la ressource. Le problème avec cette méthode est qu’elle n’est applicable seulement si le mot de passe est gardé secret.

Ainsi, les mots de passe sont reconnus depuis longtemps comme le talon d’Achille du contrôle d’identité. Voilà des décennies que l’on nous promet la mort du mot de passe et l’imminence d’un avenir sans mot de passe. Pourtant, êtres humains et machines n’ont jamais autant utilisé de mots de passe. Certaines approches de substitution des mots de passe rencontrent le succès mais restent un marché de niche et partagent souvent finalement les mêmes caractéristiques que les mots de passe. L’horizon s’éclaircit néanmoins en ceci que l’on utilise de moins en moins le mot de passe seul.

Psychologie du hacker de mot de passe

Equipé d’identifiants valides (nom d’utilisateur + mot de passe), un utilisateur lambda peut s’authentifier auprès d’une ressource. Il suffit que des hackers connaissent le nom d’utilisateur pour avoir envie de casser le mot de passe et de pirater le compte.

Souvent, un acteur malveillant ciblera d’abord un administrateur systèmes puisque ses identifiants, assortis de privilèges, lui permettront d’avoir directement accès à des données sensibles et à des systèmes stratégiques. Avec de tels identifiants privilégiés, un cybercriminel peut se déplacer latéralement au sein de l’environnement sans éveiller de soupçon. Une fois qu’un hacker s’est procuré des identifiants, tous les privilèges associés au compte lui sont accordés. Par conséquent, la compromission d’identifiants des comptes les plus sensibles (domaine, administrateur de base de données, etc.) peut avoir des conséquences désastreuses pour une entreprise. C’est une porte d’entrée très convoitée pour perpétrer des attaques d’élévation de privilèges.

Les agresseurs ont l’avantage

Les auteurs de ces cyber-attaques ont au moins deux avantages de taille sur leurs cibles :

1. L’avantage du temps, puisqu’ils visent de nombreuses cibles en même temps ;
2. L’avantage de l’automatisation des attaques par leurs outils de piratage de mots de passe.

Les outils de piratage de mot de passe peuvent tester des mots de passe à un rythme très lent pour éviter de déclencher un blocage de comptes individuels. Même si un mot de passe est testé toutes les 10 minutes pour un compte, cela prend du temps de tester 100 000 mots de passe… Les hackers voudront donc tester chaque mot de passe pour tous les comptes dont ils ont connaissance car rares sont les systèmes qui surveillent le nombre de tentatives à l’échelle de plusieurs comptes. Les défenses possibles sont limitées même avec des solutions SIEM (Security Information and Event Monitoring) ou UEBA (User and Entity Behavioral Analysis). Impossible de bloquer tous les comptes ! De plus, bloquer l’adresse IP source n’aura pour effet que de voir l’attaque se poursuivre avec une nouvelle IP, si elle ne s’est pas déjà distribuée à des centaines ou des milliers d’adresses IP.

La meilleure défense contre ce type d’attaque est que le mot de passe ne soit pas sur la liste. On rechigne à changer fréquemment de mot de passe. « motdepasse » devient « motdepasse1 », puis « motdepasse2 ». Tous les adeptes du piratage de mot de passe connaissent nos faiblesses et nos mauvaises habitudes. Ils savent aussi décrypter les lettres remplacées par des chiffres et des symboles, 3 pour E, 4 pour A, @ pour a. Les outils de piratage de mots de passe sont entraînés à décoder ces variations.

Les hackers se renseignent sur le degré de complexité des mots de passe, longueur minimum et maximum, lettres minuscules et majuscules, chiffres, symboles, combinaison, etc. Ils s’informent aussi sur les contraintes imposées :

• Première lettre majuscule
• Ne pas débuter par un chiffre
• Nombre minimum de tel type de caractère

En limitant la répétition de caractères, ces systèmes de production de mots de passe réduisent le nombre de combinaisons que le hacker doit examiner et fragilisent donc l’efficacité du mot de passe. Les outils de piratage de mots de passe peuvent être configurés pour tenir compte des restrictions imposées et accélérer ainsi la procédure.

Ce type d’attaque a peu de chances de réussir sur des utilisateurs individuels et des comptes personnels. En effet, les attaques sur un seul compte sont susceptibles de déclencher un verrouillage. Une attaque par force brute à rythme lent risque de prendre un temps indéfini pour trouver la bonne combinaison de connexion, même pour des mots de passe relativement courts.

Cependant dans le cadre de l’entreprise, les outils de hacking de mot de passe conviennent parfaitement pour deviner automatiquement des mots de passe, mais aussi pour cribler les données à la recherche de thèmes, expressions et informations courants.