Les attaques par force brute ont expliqué comment tout le cryptage est vulnérable
Les attaques par force brute sont assez simples à comprendre, mais difficiles à protéger. Le chiffrement est un calcul mathématique, et à mesure que les ordinateurs accélèrent, ils essaient plus rapidement de toutes les solutions et de voir laquelle convient le mieux..
Ces attaques peuvent être utilisées contre tout type de chiffrement, avec plus ou moins de succès. Les attaques par force brute deviennent de plus en plus rapides et efficaces chaque jour qui passe, à mesure que du matériel informatique plus récent et plus rapide est disponible.
Les bases de la force brute
Les attaques par force brute sont simples à comprendre. Un attaquant possède un fichier crypté, par exemple votre base de données de mots de passe LastPass ou KeePass. Ils savent que ce fichier contient des données qu'ils souhaitent voir et ils savent qu'une clé de cryptage le déverrouille. Pour le déchiffrer, ils peuvent commencer à essayer tous les mots de passe possibles et voir si le résultat est un fichier déchiffré..
Ils le font automatiquement avec un programme informatique. Ainsi, la vitesse à laquelle une personne peut chiffrer par force brute augmente à mesure que le matériel informatique disponible devient de plus en plus rapide, capable de faire plus de calculs par seconde. L'attaque par force brute commencerait probablement avec des mots de passe à un chiffre avant de passer aux mots de passe à deux chiffres, etc., en essayant toutes les combinaisons possibles jusqu'à ce que l'un d'eux fonctionne.
Une «attaque par dictionnaire» est similaire et essaie des mots dans un dictionnaire - ou une liste de mots de passe courants - au lieu de tous les mots de passe possibles. Cela peut être très efficace, car de nombreuses personnes utilisent des mots de passe aussi faibles et courants..
Pourquoi les pirates ne peuvent pas utiliser les services Web de force brute
Il y a une différence entre les attaques par force brute en ligne et hors ligne. Par exemple, si un attaquant veut forcer brutalement son accès dans votre compte Gmail, il peut commencer à essayer chaque mot de passe possible - mais Google va rapidement le supprimer. Les services permettant d'accéder à de tels comptes vont limiter les tentatives d'accès et interdire les adresses IP qui tentent de se connecter plusieurs fois. Ainsi, une attaque contre un service en ligne ne fonctionnerait pas très bien, car très peu de tentatives peuvent être faites avant que l'attaque ne soit arrêtée..
Par exemple, après quelques tentatives de connexion infructueuses, Gmail vous montrera une image CATPCHA pour vérifier que vous n'êtes pas un ordinateur essayant automatiquement des mots de passe. Ils vont probablement arrêter vos tentatives de connexion complètement si vous avez réussi à continuer assez longtemps.
Supposons, par exemple, qu'un attaquant ait saisi un fichier crypté sur votre ordinateur ou ait réussi à compromettre un service en ligne et à télécharger de tels fichiers cryptés. L’attaquant dispose désormais des données chiffrées sur son propre matériel et peut essayer autant de mots de passe qu’il le souhaite. S'ils ont accès aux données cryptées, il n'y a aucun moyen de les empêcher d'essayer un grand nombre de mots de passe en peu de temps. Même si vous utilisez un cryptage renforcé, il est dans votre intérêt de protéger vos données et d'empêcher les autres utilisateurs d'y accéder..
Hachage
Des algorithmes de hachage puissants peuvent ralentir les attaques par force brute. Essentiellement, les algorithmes de hachage effectuent un travail mathématique supplémentaire sur un mot de passe avant de stocker une valeur dérivée du mot de passe sur le disque. Si un algorithme de hachage plus lent est utilisé, il vous faudra des milliers de fois plus de travail mathématique pour essayer chaque mot de passe et ralentir considérablement les attaques par force brute. Cependant, plus le travail requis est important, plus un serveur ou un autre ordinateur doit travailler à chaque fois que l'utilisateur se connecte avec son mot de passe. Le logiciel doit trouver un équilibre entre la résilience, les attaques en force et l'utilisation des ressources.
Force brute vitesse
La vitesse dépend du matériel. Les agences de renseignement peuvent créer du matériel spécialisé uniquement pour les attaques par force brute, tout comme les mineurs de Bitcoin construisent leur propre matériel spécialisé optimisé pour l'extraction de Bitcoin. En matière de matériel grand public, le type de matériel le plus efficace pour les attaques par force brute est une carte graphique (GPU). Comme il est facile d'essayer plusieurs clés de chiffrement différentes à la fois, de nombreuses cartes graphiques fonctionnant en parallèle sont idéales..
À la fin de 2012, Ars Technica a indiqué qu'un cluster de 25 GPU pouvait déchiffrer chaque mot de passe Windows de moins de 8 caractères en moins de six heures. L'algorithme NTLM utilisé par Microsoft n'était tout simplement pas assez résistant. Cependant, lors de la création de NTLM, il aurait fallu beaucoup plus de temps pour essayer tous ces mots de passe. Cela n'était pas considéré comme une menace suffisante pour que Microsoft renforce le chiffrement..
La vitesse augmente et, dans quelques décennies, nous pourrions découvrir que même les algorithmes de chiffrement et les clés de chiffrement les plus puissants que nous utilisons aujourd'hui peuvent être rapidement déchiffrés par les ordinateurs quantiques ou par tout autre matériel que nous utiliserons à l'avenir..
Protection de vos données contre les attaques par force brute
Il n'y a aucun moyen de vous protéger complètement. Il est impossible de dire à quelle vitesse le matériel informatique va aller et si l'un des algorithmes de chiffrement que nous utilisons aujourd'hui présente des faiblesses qui seront découvertes et exploitées à l'avenir. Cependant, voici les bases:
- Protégez vos données cryptées contre les attaques des attaquants. Une fois que vos données sont copiées sur leur matériel, ils peuvent essayer à leur guise des attaques par force brute..
- Si vous exécutez un service qui accepte les connexions via Internet, assurez-vous qu'il limite les tentatives de connexion et bloque les personnes qui tentent de se connecter avec de nombreux mots de passe différents sur une courte période. Le logiciel serveur est généralement configuré pour le faire immédiatement, car c'est une bonne pratique de sécurité..
- Utilisez des algorithmes de cryptage puissants, tels que SHA-512. Assurez-vous de ne pas utiliser d'anciens algorithmes de chiffrement avec des faiblesses connues, faciles à résoudre..
- Utilisez des mots de passe longs et sécurisés. Toute la technologie de cryptage dans le monde ne va pas aider si vous utilisez "mot de passe" ou le "populaire" chasseur2.
Les attaques par force brute sont un sujet de préoccupation lorsque vous protégez vos données, choisissez des algorithmes de chiffrement et choisissez des mots de passe. Ils sont également une raison de continuer à développer des algorithmes cryptographiques plus puissants - le cryptage doit suivre la vitesse à laquelle il est rendu inefficace par le nouveau matériel..
Crédit d'image: Johan Larsson sur Flickr, Jeremy Gosney