Attaque par dictionnaire : et si un dictionnaire de mot de passe était la solution ?

Saviez-vous qu’il existe des dictionnaires de mots de passe en accès libre sur internet ?

Si la nouvelle peut effrayer de prime abord, puisqu’elle signifie que des pirates informatiques peuvent y recourir, sachez que les entreprises ont également des avantages à en retirer !

Comment ?

Nous revenons en détail dans cet article sur cette notion de liste de mots de passe, et nous vous expliquons comment vous en servir pour vous prémunir d’attaques par dictionnaire. Le tout agrémenté de quelques conseils pour assurer encore davantage la sécurité des mots de passe déployés au sein de votre organisation.

Un dictionnaire de mots de passe, que nous retrouvons également sous la dénomination liste de mots de passe, compile un ensemble de mots de passe, généralement piratés ou en provenance de failles de sécurité.

Ces dictionnaires revêtent une double utilité.

En premier lieu, ils se révèlent utiles aux hackers procédant via des attaques par dictionnaire. En effet, suite à des piratages de comptes, à l’image de celui opéré sur LinkedIn en 2012 (et qui a vu les informations de 100 millions d’utilisateurs dérobées), les pirates informatiques mettent souvent à disposition sur internet les données obtenues, notamment par leur vente sur le dark web.

Mais bonne nouvelle, le contenu de ces listes de mots de passe profite également aux particuliers et aux entreprises : grâce à elles, ils sont en mesure de vérifier si leurs mots de passe y figurent.

Par exemple, les DSI et responsables de la sécurité des organisations peuvent y recourir dans l’objectif de simuler des attaques par dictionnaire, et de contrôler ainsi la vulnérabilité des mots de passe utilisés par les collaborateurs. D’ailleurs, le NIST, l’équivalent américain de l’ANSSI, inclut dans ses recommandations ce type de vérification.

Afin de mieux saisir la manière dont les listes de mots de passe peuvent vous être utiles, il convient de revenir sur la notion d’attaque par dictionnaire.

Les attaques par dictionnaire font partie des cyberattaques les plus répandues, avec entre autres les attaques par force brute ainsi que les tentatives de phishing.

Elles consistent à tester une série de mots potentiels, les uns après les autres, à l’aide d’un dictionnaire donné, jusqu’à trouver le bon.

Pour ce faire, les hackers utilisent :

• des listes de mots de passe déjà divulguées,
• des termes contenus dans les dictionnaires les plus courants,
• des déclinaisons :
  • des combinaisons de caractères souvent usitées (abc123),
  • des mots de passe modifiés grâce au leet speak, méthode consistant à employer des caractères visuellement proches des caractères initiaux (« MOTDEPASSE » devient « M07D3P4553 »),
  • des répétitions (motdepassemotdepasse),
  • des mots incluant le nom de l’organisation visée ou une dénomination proche, etc.
• d’autres types de listes comme :
  • des dates de naissance ou des dates d’événements célèbres,
  • des patronymes,
  • des plaques d’immatriculation, etc.

☝️ Si ce type d’attaques fonctionne, c’est que de nombreux internautes restent imprudents et continuent à user de termes ou de suites de caractères courants pour construire leurs mots de passe, en particulier :

• des noms propres (prénom, ville, pays, etc.),
• des noms communs (animal, adjectif, etc.),
• des suites logiques de chiffres (123 456), etc.

Vous êtes DSI et vous souhaitez accéder à ces fameux dictionnaires de mots de passe pour tester la sécurité au sein de votre entreprise ?

Il en existe beaucoup, passons en revue les principaux.

La liste de mots de passe CrackStation a été publiée par le célèbre hacker Stun… et elle contient pas moins de 1 493 677 782 mots !

Si ce dictionnaire de mots de passe gratuit et disponible en torrent est très exhaustif, c’est parce qu’il a été élaboré à partir de différentes sources :

• des occurrences du dictionnaire,
• des listes de mots de passe issues de piratages récents, trouvées sur internet,
• des termes provenant des bases de données Wikipédia (dans toutes les langues),
• des mots issus des livres du projet Gutenberg, bibliothèque électronique regroupant des ouvrages principalement du domaine public.

Le projet Richelieu a donné lieu à un dictionnaire de mots de passe gratuit, distribué sur GitHub sous licence Creative Commons Attribution.

Il propose une liste des 20 000 mots de passe français les plus employés ces dernières années, issus de fuites de données et associés à des adresses email avec un nom de domaine « . fr ».

Kali Linux est une solution open source regroupant de nombreux outils relatifs à la sécurité informatique, servant notamment à réaliser des tests d’intrusion.

Parmi eux nous retrouvons Crunch, permettant la génération de dictionnaires de mots de passe afin de pouvoir opérer des tests d’attaques par dictionnaire.

💡 Notez également qu’avec l’environnement Kali Linux, il est possible d’accéder à Hydra, un outil de craquage de mots de passe aidant à simuler des attaques par dictionnaire, mais également des attaques par force brute.

Le logiciel Specops Password Policy accompagne les entreprises évoluant dans le cadre de l’Active Directory dans la gestion de leur politique de mot de passe.

Pour permettre aux organisations de se prémunir contre les attaques par dictionnaire, la solution inclut un système de filtrage de mots de passe élaboré à partir d’un dictionnaire comprenant plusieurs milliards d’entités en provenance d’attaques majeures :

• la fuite Collection #1-5,
• la liste Have I Been Pwned compilée par l’expert en sécurité Troy Hunt, etc.

De cette manière, si un collaborateur choisit un mot de passe figurant dans cette liste, le logiciel l’avertit afin qu’il change pour une option davantage sécurisée.

Au-delà de l’usage des listes de mots de passe, une bonne protection contre les attaques par dictionnaire implique l’adoption de comportements de sécurité de base, tels que ceux prodigués par l’ANSSI.

Avant toute chose, il convient d’augmenter la complexité de son mot de passe, pour se prémunir totalement des attaques par dictionnaire et se protéger fortement de celles par force brute.

Le mot de passe idéal se compose de la manière suivante :

• comprendre entre 8 et 12 caractères (voire plus si possible),
• comporter une combinaison de caractères spéciaux, des lettres majuscules, des lettres minuscules et des chiffres.

Et bien sûr, vous l’aurez compris, il ne doit pas se référer à quelque chose d’existant, à l’instar des mots du dictionnaire ou encore des suites « logiques » telles que des dates d’événements célèbres.

Enfin, d’autres bonnes pratiques doivent être observées :

• renouveler régulièrement son mot de passe (tous les 90 jours selon l’ANSSI),
• ne pas utiliser un mot de passe identique pour plusieurs comptes,
• limiter le nombre de tentatives de connexion autorisées, à trois par exemple.

Afin de ne pas conserver les mots de passe en clair dans les applications, ces derniers sont souvent stockés sous forme hashée.

Le problème, c’est que les hackers disposent de dictionnaires, les rainbow tables, capables de contourner ce système.

C’est là qu’intervient le salage des mots de passe : il permet d’ajouter au mot de passe utilisé une séquence de bit aléatoire, ce qui complexifie l’utilisation des rainbow tables.

On ne va pas se mentir, il s’avère souvent difficile de générer des mots de passe mémorisables à la fois complexes et uniques.

C’est pourquoi nous vous recommandons d’utiliser un gestionnaire de mot de passe. Grâce à ce type de logiciels, il vous suffit de mémoriser un mot de passe maître pour vous connecter de manière parfaitement sécurisée à vos différents comptes.

Vous connaissez désormais l’utilité des dictionnaires de mot de passe. À vous d’en faire bon usage et d’observer toutes les règles de sécurité informatique de base afin de protéger au mieux votre entreprise des cyberattaques.