Lernzettel: Sécurité contre Force Brute et XSS

📋 Plan du Cours

1. Attaque par force brute : principe et déroulement
2. Défenses contre la force brute à l’authentification
3. Outils et accélération matérielle de la force brute
4. Étude USENIX NSDI sur les attaques SSH massives
5. Mesures de prévention contre la force brute
6. Impacts d’une attaque par force brute
7. Attaque XSS : injection et exécution côté client
8. Types de XSS et vulnérabilités exploitées
9. Cas TweetDeck : XSS stocké et propagation
10. Prévention XSS : encodage, politiques et bonnes pratiques

📖 1. Attaque par force brute : principe et déroulement

🔑 Notions clés & Définitions

• Attaque par force brute : Une attaque par force brute consiste à tester successivement des combinaisons possibles de mots de passe ou de clés jusqu’à trouver celles qui permettent l’authentification.
• Combinaison mot de passe : Une combinaison mot de passe est un essai complet (identifiant associé + mot de passe ou clé) tenté contre un service d’authentification.
• Échecs d’authentification : Les échecs d’authentification sont les tentatives infructueuses qui alimentent les mécanismes de détection et de blocage.
• Temps d’attaque : Le temps d’attaque correspond à la durée nécessaire pour parcourir l’espace des combinaisons, en fonction du nombre de possibilités et de la vitesse de test.

📝 Points essentiels

• Une attaque par force brute teste, une à une, les combinaisons possibles pour un identifiant donné afin de se connecter au service ciblé.
• La durée dépend du nombre de possibilités, de la vitesse de test de l’attaquant et des défenses rencontrées.
• L’attaque est décrite comme ancienne et très répandue chez les pirates.
• La défense de base intervient pendant l’authentification, en réaction aux échecs répétés.
• Un organisme peut mettre en place des systèmes de protection contre ce comportement automatisé.
• Le succès dépend notamment de la taille de l’espace de recherche et de la capacité à tester rapidement.

💡 Astuce mémo

Force brute = « essais successifs » jusqu’à trouver la bonne combinaison.

📖 2. Défenses contre la force brute à l’authentification

🔑 Notions clés & Définitions

• Blocage de compte : Le blocage de compte est une mesure qui empêche temporairement l’accès après un nombre limité d’échecs d’authentification pour un même identifiant.
• Seuil d’échecs : Un seuil d’échecs est la limite fixée par le système avant déclenchement d’une action de protection (ex. blocage temporaire).
• Authentification à facteurs multiples : L’authentification à facteurs multiples ajoute une étape supplémentaire, ce qui réduit l’efficacité d’un simple devinage de mot de passe.
• Surveillance des logs : La surveillance des logs consiste à observer les traces d’authentification pour détecter des tentatives répétées ou anormales.

📝 Points essentiels

• La première ligne de défense mentionnée est le blocage d’un compte après un nombre limité d’échecs pour un même identifiant.
• Les défenses agissent au moment de l’authentification, donc avant qu’un accès ne soit accordé.
• L’authentification à facteurs multiples rend inefficace la découverte d’un mot de passe seul.
• Les pare-feu peuvent bloquer des adresses IP suspectes après un certain nombre de tentatives échouées.
• Les systèmes de détection d’intrusion repèrent des comportements anormaux sur le réseau ou les serveurs.
• Les procédures de sécurité incluent des alertes en cas de tentatives répétées et un plan de réponse aux incidents.

💡 Astuce mémo

Échecs répétés → seuil atteint → blocage temporaire (et MFA ajoute une barrière en plus).

📖 3. Outils et accélération matérielle de la force brute

🔑 Notions clés & Définitions

• Aircrack-ng : Aircrack-ng est une suite d’outils utilisée pour évaluer la sécurité Wi‑Fi et mener des attaques via des techniques comme de faux points d’accès et l’injection de paquets.
• John the Ripper : John the Ripper est un outil open source de récupération de mot de passe, supportant de nombreux types de hachage et de chiffrement.
• Décodage de mot de passe : Le décodage de mot de passe est l’usage d’applications qui testent des combinaisons d’identifiants et de mots de passe pour retrouver des secrets.
• Accélération CPU+GPU : L’accélération CPU+GPU est l’exploitation conjointe du processeur et du processeur graphique pour traiter plusieurs tâches et accélérer les essais.
• Mots de passe faibles : Les mots de passe faibles sont des secrets faciles à deviner, par exemple des suites simples ou des variantes très courantes.

📝 Points essentiels

• Les outils de force brute incluent des applications de décodage qui testent des paires identifiant/mot de passe.
• Aircrack-ng est décrit comme permettant d’attaquer un réseau Wi‑Fi d’entreprise via de faux points d’accès et l’injection de paquets.
• John the Ripper supporte des centaines de types de chiffrement et de hachage, y compris des mots de passe pour macOS, Unix, Windows et des applications Web.
• Une attaque peut nécessiter d’énormes quantités de puissance de calcul, ce qui motive l’usage de solutions matérielles.
• L’ajout d’un élément de calcul côté GPU permet de traiter plusieurs tâches simultanément et d’accélérer le déchiffrement.
• Les attaques profitent souvent de mots de passe faibles, de mauvaises habitudes (ex. réutilisation) et de reconnaissance minimale (ex. centres d’intérêt).

💡 Astuce mémo

Outils = « John » pour casser des hachages, « Aircrack » pour le Wi‑Fi ; matériel = CPU+GPU pour aller plus vite.

📖 4. Étude USENIX NSDI sur les attaques SSH massives

🔑 Notions clés & Définitions

• Where The Wild Things Are: Brute-Force SSH Attacks In The W : Where The Wild Things Are: Brute-Force SSH Attacks In The Wild est une étude présentée à USENIX NSDI sur des attaques SSH par force brute à grande échelle.
• CloudLab : CloudLab est une infrastructure de recherche utilisée par des chercheurs, dont des machines ont produit des logs SSH analysés dans l’étude.
• Logs SSH : Les logs SSH sont des traces d’authentification contenant notamment les utilisateurs, les adresses IP d’origine et les ports utilisés.
• Attaques distribuées : Des attaques distribuées sont des tentatives provenant d’un très grand nombre d’adresses IP, suggérant une automatisation via infrastructure d’attaque.
• Honeypot : Un honeypot est une ressource volontairement exposée pour attirer des adversaires et les identifier, contrairement à des serveurs de production.

📝 Points essentiels

• L’étude « Where The Wild Things Are: Brute-Force SSH Attacks In The Wild » a été présentée à USENIX NSDI en avril 2024.
• Les attaques observées se situent entre novembre 2022 et janvier 2023.
• Les chercheurs ont analysé des logs SSH d’échecs de connexion sur des machines CloudLab.
• Ils rapportent 381 millions d’échecs d’authentification SSH sur une période étudiée.
• Ils observent des pics quotidiens allant jusqu’à 3,5 millions de tentatives échouées en une journée.
• Les attaques sont continues et proviennent d’un très grand nombre d’adresses IP, ce qui suggère une infrastructure automatisée et distribuée ; l’étude n’utilise pas de honeypot et observe des serveurs de production.

💡 Astuce mémo

USENIX NSDI 2024 : CloudLab, logs SSH, 381M échecs et pics à 3,5M/jour.

📖 5. Mesures de prévention contre la force brute

🔑 Notions clés & Définitions

• Pare-feu : Un pare-feu est un mécanisme réseau capable de bloquer des adresses IP suspectes après un certain nombre de tentatives échouées.
• Système de détection d’intrusion : Un système de détection d’intrusion repère des comportements anormaux sur le réseau ou sur les serveurs.
• Chiffrement des données et mots de passe : Le chiffrement des données et des mots de passe empêche un attaquant d’exploiter directement des informations obtenues.
• Politiques de sécurité des mots de passe : Les politiques de sécurité des mots de passe encadrent la complexité et la durée de vie des mots de passe.
• Clés SSH : Les clés SSH sont un mode d’accès à distance qui est présenté comme préférable aux mots de passe pour réduire le risque de force brute.

📝 Points essentiels

• Les pare-feu peuvent bloquer des adresses IP suspectes après plusieurs échecs d’authentification.
• Les antivirus et systèmes de détection d’intrusion aident à repérer des comportements anormaux sur le réseau ou les serveurs.
• Le chiffrement limite l’impact d’informations obtenues par un attaquant.
• L’authentification à facteurs multiples ajoute une couche rendant inefficace la simple découverte d’un mot de passe.
• Côté organisation, des politiques strictes portent sur la complexité et la durée de vie des mots de passe.
• Côté bonnes pratiques, limiter le nombre de tentatives, bloquer temporairement après plusieurs échecs, utiliser des clés SSH et surveiller les tentatives anormales sont cités comme efficaces.

💡 Astuce mémo

Prévenir = bloquer (pare-feu) + détecter (IDS) + renforcer (MFA, clés SSH) + encadrer (politiques, logs).

📖 6. Impacts d’une attaque par force brute

🔑 Notions clés & Définitions

• Accès à des systèmes critiques : Un accès à des systèmes critiques désigne la prise de contrôle ou l’atteinte de ressources sensibles pouvant entraîner des dommages importants.
• Indisponibilité temporaire : L’indisponibilité temporaire est l’état où un service ne fonctionne plus correctement pendant ou après l’attaque.
• Coûts directs : Les coûts directs sont les dépenses liées à la réparation, au remplacement de matériel et à l’intervention de spécialistes.
• Coûts indirects : Les coûts indirects regroupent les pertes liées à l’indisponibilité (ex. baisse de chiffre d’affaires) et les dépenses de crise.
• Responsabilité RGPD : La responsabilité RGPD correspond au risque juridique pour l’organisation en cas de fuite de données personnelles et de manquement à la sécurité.

📝 Points essentiels

• Une attaque par force brute peut permettre à un intrus d’accéder à des systèmes critiques.
• Elle peut entraîner la perte ou la corruption de données.
• Elle peut provoquer une indisponibilité temporaire des services.
• Des systèmes compromis peuvent nécessiter des restaurations longues ou des corrections coûteuses.
• Les coûts directs incluent réparation, remplacement de matériel et intervention de spécialistes en cybersécurité.
• Les coûts indirects incluent pertes de chiffre d’affaires dues à l’indisponibilité et dépenses de communication/gestion de crise ; juridiquement, une fuite peut engager la responsabilité au titre du RGPD avec des amendes

💡 Astuce mémo

Dommages = données + service indisponible ; impacts = coûts (directs/indirects) + juridique (RGPD) + réputation + opérationnel.

📖 7. Attaque XSS : injection et exécution côté client

🔑 Notions clés & Définitions

• XSS : L’attaque XSS (Cross-Site Scripting) injecte du code malveillant dans des pages web pour l’exécuter dans le navigateur d’une victime.
• Injection de code malveillant : L’injection de code malveillant est l’introduction d’un script dans une application via des entrées réutilisées sans protection.
• Exécution côté client : L’exécution côté client correspond au moment où le navigateur interprète et exécute le script injecté après le rendu de la page.
• Données non filtrées : Les données non filtrées sont des entrées utilisateur renvoyées ou affichées sans contrôle, permettant l’exécution de scripts.
• Frontière serveur navigateur : La frontière serveur navigateur désigne le point où des données passent du traitement côté serveur à l’interprétation côté client.

📝 Points essentiels

• Le XSS permet à un attaquant d’exécuter du JavaScript non autorisé dans le contexte d’un site légitime consulté par une victime.
• Les objectifs cités incluent vol de cookies, redirection vers un site piégé, modification de contenu et formulaires frauduleux.
• Le principe repose sur la réutilisation d’entrées utilisateur sans filtrage/encodage/validation lors de l’affichage.
• L’attaque se produit généralement lors de la phase de rendu et d’interprétation côté client, après génération de la page par le serveur.
• Contrairement à la SQL Injection, l’impact se situe dans le navigateur et non dans la base de données.
• Le XSS exploite l’absence de séparation entre données et scripts, à la frontière entre traitement serveur et exécution client.

💡 Astuce mémo

XSS = « données → navigateur » : si elles ne sont pas encodées, le navigateur les traite comme du code.

📖 8. Types de XSS et vulnérabilités exploitées

🔑 Notions clés & Définitions

• XSS réfléchi : Le XSS réfléchi est un type où le script injecté provient de la requête et est renvoyé immédiatement au navigateur.
• XSS stocké : Le XSS stocké est un type où le script est enregistré (ex. commentaires, profils, messages) puis exécuté à chaque visite.
• XSS DOM-based : Le XSS DOM-based est un type où l’injection résulte du traitement JavaScript côté navigateur dans le DOM.
• Absence d’encodage de sortie : L’absence d’encodage de sortie est une vulnérabilité où les données affichées ne sont pas transformées pour empêcher l’interprétation comme code.
• Librairie front-end : Une librairie front-end est un ensemble de modules utilisés côté navigateur, pouvant contribuer à la vulnérabilité si elle est mal employée ou insuffisamment sécurisée.

📝 Points essentiels

• Le XSS réfléchi renvoie le script directement depuis la requête vers le navigateur sans stockage durable.
• Le XSS stocké enregistre le script dans une base (commentaires, profils, messages) et l’exécute pour chaque visiteur.
• Le XSS DOM-based se déclenche via le traitement JavaScript du navigateur.
• Les vulnérabilités exploitées incluent absence de validation d’entrée, absence d’encodage de sortie et usage de librairies front-end problématiques.
• L’attaque tire parti d’un manque de séparation entre données et scripts, ce qui permet l’interprétation du contenu comme du code.
• La découverte peut s’appuyer sur des analyseurs, des tests d’injection et des consoles de navigateur.

💡 Astuce mémo

Réfléchi = « retour immédiat », Stocké = « enregistré », DOM-based = « dans le DOM ».

📖 9. Cas TweetDeck : XSS stocké et propagation

🔑 Notions clés & Définitions

• TweetDeck : TweetDeck est présenté comme un client officiel de Twitter ayant subi une vulnérabilité XSS stockée en juin 2014.
• XSS stocké : L’XSS stocké est le type où le script est enregistré puis exécuté automatiquement lors des visites des utilisateurs.
• Unicode : Unicode est la caractéristique de caractères mentionnée comme liée au traitement qui a permis l’exécution du code dans TweetDeck.
• Propagation virale : La propagation virale correspond à la diffusion rapide de l’effet malveillant à de nombreux comptes via l’automatisation déclenchée.
• Retweet automatique : Le retweet automatique est l’action déclenchée automatiquement par le script exécuté chez les comptes visualisant le tweet.

📝 Points essentiels

• L’incident TweetDeck a eu lieu en juin 2014 et concerne une vulnérabilité de type XSS stocké.
• TweetDeck présentait une faiblesse liée au traitement de certains caractères Unicode.
• Un utilisateur a publié un tweet contenant une séquence spéciale qui, une fois rendue, exécutait automatiquement du JavaScript.
• Le script forçait les comptes visualisant le tweet à le retweeter instantanément, provoquant une propagation virale en quelques secondes.
• L’incident a été découvert quand de nombreux comptes officiels (médias, entreprises, institutions) ont retweeté sans action humaine.
• Twitter a désactivé temporairement TweetDeck pour corriger la vulnérabilité.

💡 Astuce mémo

TweetDeck (juin 2014) : Unicode mal traité → JavaScript → retweet auto → propagation en secondes.

📖 10. Prévention XSS : encodage, politiques et bonnes pratiques

🔑 Notions clés & Définitions

• Encodage systématique en sortie : L’encodage systématique en sortie consiste à transformer les données avant affichage pour empêcher qu’elles soient interprétées comme du code.
• Revue de code : Une revue de code est une pratique d’équipe qui vérifie la sécurité du code, notamment l’encodage et la validation des entrées.
• Tests de sécurité : Les tests de sécurité sont des vérifications planifiées (scans, tests) visant à repérer des vulnérabilités avant exploitation.
• Gestion de vulnérabilités : La gestion de vulnérabilités regroupe des actions comme le patch management et des scans périodiques pour réduire le risque.
• Permissions strictes aux cookies : Des permissions strictes aux cookies limitent l’impact potentiel d’un XSS sur la session et les données associées.

📝 Points essentiels

• La prévention commence par l’encodage systématique des données en sortie (HTML, URL, JavaScript, CSS).
• L’usage de mécanismes comme des pare-feu et de bibliothèques sécurisées est présenté comme une première ligne de défense.
• Les protections côté navigateur ne compensent pas des erreurs côté application.
• Les politiques de développement sécurisé incluent des revues de code régulières et l’intégration de tests de sécurité.
• La gestion de vulnérabilités passe par le patch management et des scans périodiques.
• Les bonnes pratiques incluent éviter l’injection de données dans des contextes sensibles et appliquer une politique de permissions strictes aux cookies.

💡 Astuce mémo

Encodage en sortie + dev sécurisé (revues/tests) + patch/scans + cookies bien protégés.

📅 Repères chronologiques

📊 Tableaux de synthèse

Force brute vs XSS (où se produit l’impact)

Types de XSS

⚠️ Pièges & confusions fréquents

1. Confondre le moment d’exécution : la force brute agit pendant l’authentification, alors que le XSS s’exécute dans le navigateur lors du rendu côté client.
2. Croire que le XSS impacte la base de données comme une SQL Injection : le cours précise que l’impact se produit dans le navigateur.
3. Mélanger les types de XSS : réfléchi = retour immédiat, stocké = enregistré, DOM-based = injection via traitement JavaScript du DOM.
4. Penser que des protections navigateur suffisent : la prévention XSS insiste sur l’encodage et la sécurité côté application.
5. Oublier que la défense de base contre la force brute est liée aux échecs d’authentification (seuil et blocage temporaire).

✅ Checklist Examen

1. Définir une attaque par force brute et expliquer ce qui détermine son temps (nombre de possibilités, vitesse de test, défenses).
2. Expliquer la défense de base à l’authentification : blocage après un nombre limité d’échecs pour un même identifiant.
3. Citer des exemples d’outils de force brute mentionnés (Aircrack-ng, John the Ripper) et leur rôle général tel que décrit.
4. Décrire l’idée d’accélération CPU+GPU et pourquoi elle rend les essais plus rapides.
5. Rappeler les éléments clés de l’étude USENIX NSDI : période (nov. 2022–janv. 2023), organisation touchée (CloudLab), volume (381 millions) et pics (jusqu’à 3,5 millions/jour).
6. Lister des mesures de prévention contre la force brute : pare-feu, détection d’intrusion, chiffrement, MFA, politiques de mots de passe, surveillance des logs, plan de réponse.
7. Décrire les impacts possibles d’une force brute : accès à systèmes critiques, perte/corruption de données, indisponibilité, coûts directs/indirects, risques RGPD, réputation et impacts opérationnels.
8. Définir le XSS et expliquer son principe : injection de code malveillant et exécution JavaScript non autorisé dans le navigateur de la victime.
9. Distinguer les trois types de XSS (réfléchi, stocké, DOM-based) et associer à chacun l’idée d’origine/stockage décrite.
10. Expliquer le cas TweetDeck : vulnérabilité XSS stockée liée à Unicode, retweet automatique, propagation en quelques secondes, désactivation temporaire pour correction.
11. Donner les mesures de prévention XSS : encodage systématique en sortie, bibliothèques sécurisées/mécanismes, politiques de dev sécurisé (revues/tests), patch management/scans, et bonnes pratiques sur contextes sensibles/