Toujours plus d’attaques par force brute. Surtout en Europe. Et de tous les secteurs, les services publics sont aujourd’hui les plus visés. 

L’Europe, première région du monde pour les attaques par force brutale ! Selon le SIRT de F5, l’Europe concentre 43,5 % de ce type de menaces. Si le Canada arrive juste derrière (41,7 %), les États-Unis suivent (33,3 %) et, loin derrière, la région APAC (9,5 %). Aujourd’hui, les attaques par force brute à l’encontre des clients de F5 représentent 18 % du nombre total d’attaques et 19 % des incidents traités.

Et c’est le secteur des services publics qui est le plus touché : 50 % de tous les incidents. Les services financiers suivent (47,8 %). Puis la santé (41,7 %). L’éducation (27,3 %) et les fournisseurs de services (25 %) étaient aussi dans la ligne de mire.

«Selon la robustesse des capacités de surveillance, les attaques par force brute peuvent sembler inoffensives. Ce peut être, par exemple, une connexion légitime avec un nom d’utilisateur et un mot de passe corrects, illustre Ray Pompon, Principal Threat Researcher Evangelist, F5 Networks. Les attaques de cette nature peuvent être difficiles à détecter. Souvent, le hacker semble être l’utilisateur légitime.

Authentification via formulaire HTTP 

Toute application nécessitant une authentification peut potentiellement subir des attaques par force brute. Toutefois, F5 a surtout observé des attaques se concentrant sur l’authentification via formulaire HTTP (29 % des attaques enregistrées dans le monde). Egalement Outlook Web Access (17,5 %), Office 365 (12 %), ADFS (17,5 %).

En raison des fonctionnalités d’authentification unique (Single Sign-On) les attaques d’accès réussies contre ces protocoles ont aussi un impact sur la messagerie électronique d’Active Directory Federation Services. Mais aussi, souligne F5, sur des intranets entiers et des volumes importants d’informations sensibles.

Les attaques d’accès SSH et SFTP (18 %) sont parmi les plus courantes. Ce qui est dû, en partie, au fait qu’une authentification SSH réussie est souvent un moyen rapide d’obtenir des privilèges administrateur. Les cybercriminels y ont largement recours. Ce qui s’explique : de nombreux systèmes continuent d’utiliser des informations d’identification par défaut.

Les attaques S-FTP par force brute (6%) sont dangereuses. En effet, elles permettent d’implanter des malwares offrant un large éventail de possibilités. Ainsi, l’élévation des privilèges, l’enregistrement des frappes clavier, ainsi que d’autres formes de surveillance et de pénétration du réseau.

La messagerie électronique est globalement le service le plus menacé. Pour nombre de cybercriminels, c’est une cible principale. Elle est la cause de 39 % des violations d’accès et 34,6 % des causes d’attaques. Le mail est directement mis en cause dans plus d’un tiers des déclarations de violations.

Comment bien se protéger ?

Se protéger contre les attaques au niveau de l’accès représente encore un défi majeur pour de nombreuses entreprises. L’authentification à plusieurs facteurs peut se révéler difficile à mettre en œuvre et n’est pas toujours réalisable dans les délais impartis. Fait inquiétant, bien que les mots de passe n’offrent généralement pas une protection suffisante, le rapport Application Protection Report 2018 de F5 indique que 75 % des entreprises continuent d’utiliser de simples combinaisons nom d’utilisateur/mot de passe pour l’accès à leurs applications Web critiques.

«Même s’il faut s’attendre à ce que les tactiques d’attaque d’accès évoluent en même temps que les technologies de défense, les principes de base d’une bonne protection demeureront essentiels à l’avenir», indique Ray Pompon.

Pour commencer, les entreprises doivent s’assurer que leur système peut au moins détecter les attaques par force brute. Il est important de mettre en place des mécanismes de réinitialisation pour l’entreprise et ses utilisateurs. Et ne pas se contenter de définir quelques alarmes de pare-feu pour les tentatives d’attaque par force brute.

Il est important de tester les contrôles de surveillance et de réponse, exécuter des tests de scénarios de réponse aux incidents et créer des playbooks de réponse aux incidents pour pouvoir réagir de manière rapide et fiable.