Sécurité IT : les pirates ont leur idée des mots de passe
Rapid7 met en lumière les choix (parfois surprenants) d’identifiants et de mots de passe effectués par les pirates dans le cadre d’attaques par force brute.
Dans le cadre de leurs attaques par force brute sur des équipements informatiques accessibles à distance via le protocole RDP, les cybercriminels ont tendance à tester un échantillon relativement restreint de mots de passe, mais beaucoup d’identifiants, parmi lesquels le fameux « admin ».
C’est l’un des constats établis par Rapid7 dans son rapport « The Attacker’s Dictionary » (document PDF, 26 pages).
Le fournisseur américain de solutions de sécurité coté en Bourse s’est appuyé sur les logs collectés entre le 12 mars 2015 et le 9 février 2016 par son réseau Heisenberg. Celui-ci est constitué de « pots de miel », c’est-à-dire des systèmes conçus pour être scannés… et qui gardent une trace de toutes les connexions entrantes.
Seul Rapid7 a en théorie connaissance de l’IP associée à ces serveurs. On peut donc considérer que le trafic qu’ils enregistrent provient de services spécifiquement destinés à parcourir le Net, par exemple pour tenter de récupérer des données.
En 334 jours, pas moins de 221 203 tentatives de connexion en RDP ont été recensées. Elles émanent de 5 076 adresses IP réparties dans 119 pays. Près de 4 000 mots de passe ont été essayés, pour un peu plus de 1 800 identifiants.
Le hacker a ses raisons…
Au premier abord, les pirates ne raisonnent pas comme les utilisateurs : il faut descendre assez loin dans le classement des mots de passe les plus essayés pour trouver l’un de ceux que SplashData conseillait, dans son dernier pointage annuel « Worst Passwords », d’éviter à tout prix pour ne pas s’exposer à un hack.
Exit les sempiternels « 12345 » et « password » : le premier sur la liste n’est autre que « x », avec 11 865 tentatives à son actif (5,36 %). Suivent « Zz » (4,79 %) et « St@rt123 » (3,62 %).
En quatrième position, on trouve « 1 » (2,57 %), qui devance « P@ssw0rd » (2,55 %) et « bl4ckAndwhite » (2,32 %).
On tombe ensuite dans du plus classique avec « admin » (2,17 %), « alex » (1,82 %) et « administrator » (1,01 %).
Intercalé au 9e rang, un mot de passe particulièrement curieux : « ……. ».
En creusant, on s’aperçoit que ces « points à la suite » sont souvent exploités en lien avec l’identifiant « sql », tout comme « St@rt123 » et « St@rt1234 » sont régulièrement associés à « user1 », « administrator » (34,87 % des tentatives) étant plutôt couplé à « x ».
Ces combinaisons ne figurent pas nécessairement dans les bases de données qui fuitent sur Internet. Ce qui laisse penser que les pirates ont d’autres sources. Notamment les manuels d’utilisation des appareils, où apparaissent souvent l’identifiant et le mot de passe par défaut (voir, à ce sujet, notre article sur le piratage des PME via leurs équipements de téléphonie).
On notera que 39,9 % des tentatives repérées par Rapid7 proviennent de Chine, contre 24,9 % des États-Unis, la France se classant 8e pays (1,68 %). Des chiffres à relativiser néanmoins, les pirates pouvant se cacher derrière des proxys.
Crédit photo : Alexey Belyaev – Shutterstock.com