Rapid7 est une boite assez connue, qui se positionne sur le secteur de la sécurité informatique. Elle est notamment à la tête du projet Heisenberg qui s’appuie sur plusieurs honeypots déployés à travers le monde. Grâce à ces charmants pots de miel, l’entreprise est capable de suivre certaines attaques menées par les hackers, et notamment celles s’appuyant sur le protocole RDP.
Honey… quoi ? Honeypot ! Contrairement aux apparences, ce terme n’a absolument aucun lien avec Winnie L’Ourson et il fait en réalité référence à une méthode de défense souvent utilisée par les sociétés de sécurité informatique.
Les hackers ont aussi leur dictionnaire, mais il ne ressemble pas au vôtre.
Pour vulgariser un peu le concept, les honeypots fonctionne un peu comme des parafoudres et ils sont spécialement conçus pour attirer les hackers avec de les identifier et de les neutraliser.
Les honeypots sont là pour attirer les hackers
En gros, ils fonctionne un peu comme des leurres et ils permettent aux grosses sociétés de se protéger contre d’éventuelles attaques.
Le RDP, lui, fait allusion à un protocole qui permet à une personne de se connecter à distance à un serveur en s’appuyant sur Microsoft Terminal Services. Il n’est pas tout jeune puisqu’il date de Windows NT 4.0 Server mais il est présent sur les dernières versions du système et il est souvent utilisé par des hackers pour mener leurs attaques.
Rapid7 a donc déployé plusieurs honeypots à travers le monde pour collecter des informations sur les hackers et sur la manière dont ils procèdent pour attaquer certaines infrastructure.
L’entreprise a collecté pas mal de données depuis mars 2015 et elle a même pu analyser un peu plus de 220 000 tentatives de connexions enregistrées depuis plus de 5 000 adresses IP situées dans 119 pays différents.
Elles provenaient surtout de la Chine (39,9%) et des Etats-Unis (24,9%), mais elles se sont surtout appuyées sur plus de 1 800 noms d’utilisateurs et plus de 3 900 mots de passe différents.
Notez tout de même que l’on parle ici des attaques qui ont été menées en brute force. Ce détail est loin d’être anodin car il existe de nombreuses autres méthodes pour obtenir des accès à des serveurs.
En compilant toutes ces données, Rapid7 a pu générer la liste des dix noms d’utilisateurs et des dix mots de passe les plus testés par les hackers, avec pas mal de surprises à la clé.
Top 10 des noms d’utilisateurs testés par les hackers :
- administrator (34,9%)
- Administrator (24,2%)
- user1 (3,9%)
- admin (2,2%)
- alex (1,8%)
- pos (1%)
- demo (0,9%)
- db2admin 0,8%)
- Admin (0,6%)
- sql (0,6%)
Top 10 des mots de passe testés par les hackers :
- x (5,36%)
- Zz (4,79%)
- [email protected] (3,62%)
- 1 (2,57%)
- [email protected] (2,55%)
- bl4ck4ndwhite (2,32%)
- admin (2,32%)
- alex (1,82%)
- …… (1,21%)
- administrator (1,01%)
Du coup, si vous utilisez un de ces noms d’utilisateurs et un de ces mots de passe sur vos postes ou sur vos serveurs, il sera sans doute préférable de le changer tout de suite.