Attaques brute-force de mot de passe

Annonces et informations relatives à la communauté phpBB et à phpBB-fr.com

Modérateur: Chefs d'équipes

Attaques brute-force de mot de passe

Messagepar ErnadoO » 20 Jan 2010 à 15:26

Bonjour,

Une annonce intéressante a été publiée sur phpBB.com et nous avons pris la liberté de la traduire afin que tous les membres de notre communauté puissent en profiter.
ToonArmy a écrit:Bonjour,

La semaine dernière, il a été porté à notre attention que phpBB.com avait subi, sans succès, des attaques brute-force sur les certificats de connexion de la part d'un individu malveillant. Cette attaque a été facilitée par une recherche des termes "powered by phpbb" sur un moteur de recherche. Bien que cette attaque n'ai pas aboutie puisque phpBB comporte plusieurs fonctionnalités afin de s'assurer de ne pas être vulnérable face à de telles attaques, les utilisateurs devraient prendre des mesures et s'assurer que leurs forums sont correctement protégés.

Analyse de l'attaque
Pour réaliser l'attaque, l'attaquant enregistre un compte sur le forum et vérifie si la liste des membres lui est accessible afin d'obtenir la liste des utilisateurs. L'attaquant utilise ensuite une procédure automatique pour se connecter et télécharger des milliers de noms d'utilisateurs de la liste des membres. Ici, l'attaquant s'est emparé d'un peu plus de 5000 noms d'utilisateurs. Après avoir récolté ces données, il tente de mener une attaque brute-force sur les certificats de connexion en envoyant des demandes de connexion de manière répétitive au forum. Comme l'attaque n'arrive pas à résoudre le CAPTCHA des tentatives de connexion non valides, l'attaque est limitée au nombre de tentatives spécifié dans l'option de configuration "Nombre maximal de tentatives de connexion".

Les signes
Les signes visibles de cette attaque sont :
  • Les utilisateurs doivent introduire un CAPTCHA après une tentative de connexion initiale.
  • Augmentation de la charge du serveur.
  • Des requêtes répétées de type POST sur ucp.php?mode=login depuis la même adresse IP.

Prévention
phpBB fournit plusieurs outils permettant aux utilisateurs de réduire ces efforts.

  • Afin d'empêcher la réussite des attaques brute-force, un administrateur peut s'assurer que le paramètre "Nombre maximal de tentatives de connexion" (accessible via le Panneau d'administration dans la section "Paramètres de sécurité") est définit avec un nombre suffisamment petit (Le nombre par défaut est 3), ce qui permet d'afficher un CAPTCHA qui sera obligatoire si un nombre excessif d'échecs de connexion survient.
  • En outre, un administrateur peut empêcher les Nouveaux utilisateurs enregistrés de voir la liste des membres. Pour ce faire, assurez-vous que le groupe des Nouveaux utilisateurs enregistrés est activé (ce paramètre est accessible dans la section "Paramètres des inscriptions"; vérifiez que le paramètre "Limite de message d'un nouveau membre" est supérieur à 0), rendez-vous ensuite dans Permissions -> Modèle d'utilisateurs -> "Nouvel utilisateur enregistré" -> Panneau de l'utilisateur -> Attribuez la valeur Jamais à "Peut voir un profil public, la liste des membres et les utilisateurs connectés".
  • De plus, ce genre d'attaque peut être limité par la sélection d'un mot de passe correct. Assurez-vous que votre mot de passe (et les mots de passe de vos utilisateurs) contient des lettres et des chiffres et ne sont pas des mots courants, des expressions, des combinaisons (mot de passe, 1234, etc.). Les exigences de complexité des mots de passe pour votre forum peuvent être définies sur la page "Paramètres des inscriptions" dans le Panneau d'administration.

Bien qu'il soit à nouveau souligné que cette attaque n'a pas aboutie, les administrateurs devraient prendre en considération les mesures ci-dessus pour assurer la sécurité de leur forum et de leurs utilisateurs.

Si vous avez des questions concernant la mise en œuvre de ces procédures, veuillez ouvrir un nouveau sujet sur le Forum de support.

Bonne journée ;)

Source: phpBB.com traduit par miniil pour phpBB-fr.com.
ErnadoO
 

Retourner vers Annonces et informations

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 2 invités