Speaker #0Hello, on se retrouve aujourd'hui pour le troisiĂšme Ă©pisode de notre capsule spĂ©ciale piratage de sites. Et aujourd'hui, on se retrouve pour une nouvelle attaque, pour dĂ©crypter un nouveau type d'attaque. C'est la force brute. Alors, dit comme ça, ça ne te parle absolument pas. Quand on entend force brute. Tu t'imagines quelque chose d'ultra violent oĂč on essaie de t'arracher ton sac Ă main dans la rue ? Absolument pas. Si on devait comparer la force brute Ă une maison, ça reviendrait Ă quelqu'un qui tente de taper plein de fois Ă la porte pour essayer d'entrer chez toi et toi tu rĂ©ponds pas. Et on essaye de forcer la porte, c'est-Ă -dire qu'on essaye d'entrer par tous les moyens possibles. Les portes, les fenĂȘtres, tout ce qu'on peut trouver. C'est exactement ça. En gros, c'est comme si c'Ă©tait un cambrioleur. Pour ton site, c'est pareil. La seule chose, la seule diffĂ©rence, c'est que ce n'est pas un cambrioleur, ce n'est pas une personne physique, c'est vraiment un systĂšme qui est automatisĂ© derriĂšre. Ce sont des robots qui sont liĂ©s les uns aux autres ou pas, mais des robots qui tentent de rentrer sur le panneau de connexion de ton site. On le sait, tous les WordPress ont un mĂȘme panneau de connexion qui se trouve Ă l'adresse du site slash WP Admin. Ce n'est pas nouveau. Si toi, tu ne le savais pas, crois-moi, les pirates, eux, le savent. Et donc, il lance comme ça des tentatives multiples en tentant des combinaisons de mots de passe et d'identifiant. Et puis, ça se fait des dizaines et des dizaines et des dizaines de fois par minute, voire mĂȘme des centaines de fois par minute, jusqu'Ă temps que soit on trouve la faille, soit on fasse crasher le site. C'est-Ă -dire que ton hĂ©bergeur, Ă force de recevoir comme ça plein de demandes, au bout d'un moment, il sature et on crĂ©e une faille. C'est comme ça aussi que les pirates peuvent entrer sur ton site. Ce n'est pas forcĂ©ment l'attaque la plus connue. On connaĂźt plus le phishing dont on a parlĂ© dans le prĂ©cĂ©dent Ă©pisode. Mais la force brute, c'est l'attaque la plus utilisĂ©e. Pourquoi ? Parce que tout simplement, c'est ce qui fonctionne le mieux. C'est le plus simple Ă mettre en place. C'est-Ă -dire qu'on cible plein de sites en mĂȘme temps, avec plein de combinaisons de mots de passe qui sont gĂ©nĂ©rĂ©s automatiquement, plein de combinaisons aussi d'identifiant qui sont gĂ©nĂ©rĂ©s automatiquement. Et mĂȘme le plus souvent, il n'y a mĂȘme pas... Ă gĂ©nĂ©rer un identifiant parce que la plupart des personnes utilisent comme identifiant le mot admin. Si c'est ton cas, j'ai envie de te dire, il est grand temps de changer. Il est grand temps de retirer tout ça pour passer sur quelque chose de plus Ă©laborĂ©. La deuxiĂšme chose aussi, c'est que des fois, il n'y a pas besoin de chercher trĂšs loin pour le mot de passe. C'est pour ça que maintenant, la plupart des sites demandent des mots de passe forts avec des combinaisons de majuscules, minuscules, chiffres, caractĂšres spĂ©ciaux et avec un minimum de lettres requis, un minimum de caractĂšres requis. Parce que justement, c'Ă©tait beaucoup trop simple. Ă une Ă©poque, on avait des mots de passe type 1, 2, 3, 4, 5. Ou alors le fameux 4-0 que absolument tout le monde a eu sur sa carte SIM Ă un moment donnĂ©. C'Ă©tait le mĂȘme genre pour les sites internet. Et crois-moi, du coup, il n'y avait pas besoin de lancer beaucoup d'attaques de robots pour trouver les mots de passe. Et puis surtout, le problĂšme encore qui est derriĂšre, c'est qu'il n'y a pas de limite. C'est-Ă -dire que si le pirate veut tenter de faire ça 8000 fois dans la mĂȘme minute, il va pouvoir le faire s'il le veut. Alors j'exagĂšre peut-ĂȘtre un petit peu parce que mille fois ça fait vraiment beaucoup, beaucoup, beaucoup, beaucoup. Mais s'il a plusieurs robots qui s'en occupent, ça peut arriver. Pour rĂ©soudre ce problĂšme-lĂ , il n'y a pas besoin de faire grand-chose Ă part changer rĂ©guliĂšrement son mot de passe. Ăa, j'insiste lĂ -dessus. Essaye de le changer. Si tu vois que tu as beaucoup d'attaques, au moins une fois par mois, voire Ă©ventuellement en pĂ©riode de forte attaque, une fois par semaine. Et puis sinon, une fois minimum par trimestre parce que malheureusement, si le mot de passe reste le mĂȘme, il y a un moment donnĂ© oĂč si cette combinaison n'a pas Ă©tĂ© testĂ©e, elle le sera peut-ĂȘtre un jour. Donc plus tu vas tenter de renouveler ton mot de passe et moins tu as de chances de tomber dans ce piĂšge de l'attaque par force brute. DeuxiĂšme chose, on change son nom d'utilisateur. MĂȘme si on est l'admin du site, on le sait tous trĂšs bien. Il n'y a pas besoin de l'Ă©crire pour se connecter. Donc change le nom d'utilisateur. Et puis, dernier petit point, dĂ©place l'URL de connexion, ne la laisse plus Ă wp-admin. Ăa Ă©vitera de gros problĂšmes. Si tu dois retenir quelque chose de cet Ă©pisode, c'est que cette fois-ci, on ne t'attaque pas toi directement. On attaque ton site en essayant de trouver les infos par tous les moyens dans les codes sources, etc. Et on essaye des tentatives de connexion avec un mot de passe qu'on gĂ©nĂšre automatiquement plusieurs fois par seconde pour pouvoir rĂ©ussir Ă trouver quelque chose. Dans le prochain Ă©pisode, on va parler d'un autre risque. Cette fois-ci, on va parler des failles techniques. qu'on laisse bien souvent entrer par nous-mĂȘmes sur nos sites. Je te dĂ©voile tout ça dĂšs demain dans l'Ă©pisode, qui sera le quatriĂšme de cette capsule. Et en attendant, je te souhaite une trĂšs belle soirĂ©e, une trĂšs belle nuit, et je te dis Ă demain !
