Aller au contenu
Blog Marc JESTIN

Attaque par force brute lente distribuée, 12 mai 2026

·561 mots·3 mins
Informatique Et Technologies Numériques Anecdotes #Spam #Sécurité #Courriel #Serveur #Messagerie Électronique #Postfix #Fail2ban

Bonjour,

Aujourd’hui, comme cela faisait un moment que je voyais des échecs de tentatives de connexion d’un groupe d’adresses suspect sur les journaux (logs) de mon serveur de messagerie Postfix / Dovecot, je suis passé voir les logs de l’outil de protection Fail2Ban.

J’ai vu passer une belle brochette d’adresses qui étaient retirées du bannissement temporaire :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.84/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.44/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.181/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.174/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.62/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.66/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.142/32
2026-05-12 xx:xx:xx INFO: Unbanning 81.30.98.49/32
[…]
# et pas mal d'autres…

Et un peu plus loin, des tentatives de connexion depuis ce même réseau qui continuaient tranquillement comme si de rien n’était :

1
2
3
4
5
6

2026-05-12 xx:xx:xx WARN: 81.30.98.207 matched rule id xxx (warning: unknown[81.30.98.207]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=xxxxxx)
2026-05-12 xx:xx:xx WARN: xxx more attempts in the next xxx seconds until 81.30.98.207/32 is banned
2026-05-12 xx:xx:xx WARN: 81.30.98.194 matched rule id xxx (warning: unknown[81.30.98.194]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=xxxxxx)
2026-05-12 xx:xx:xx WARN: xxx more attempts in the next xxx seconds until 81.30.98.194/32 is banned
[…]
# La liste est tout aussi longue…

Le SASL Login authentication failed signifie qu’ils essaient de se connecter à des comptes utilisateurs sur le serveur, tout simplement. 1

Nous avons là des petits malins qui se sont adaptés aux outils de protection. Ils font de la force brute lente et distribuée.

L’attaque par force brute (brute force attack), c’est le fait de tenter de se connecter et de répéter inlassablement l’opération. Les pirates utilisent généralement des listes d’identifiants et de mots de passes connus ou des dictionnaires pour finir, parfois, par réussir à se connecter.

La force brute lente et distribuée est une variante plus ingénieuse. Elle consiste à le faire à l’aide d’un groupe d’adresses sources et en respectant des intervalles entre chaque tentative depuis chacune des adresses.

Comme chaque IP ne tente sa chance qu’une ou deux fois toutes les quelques minutes, elle reste bien en dessous du seuil de xxx tentatives en xxx secondes.

Si l’algorithme est sophistiqué, il est capable de déduire nos paramétrages de protection assez rapidement. Il peut alors se caler pour « passer sous le radar » et continuer son petit bonhomme de chemin jusqu’à, peut-être, un jour, réussir à casser un code d’accès à un compte.

Ici, ils font l’erreur de faire tourner l’algorithme sur un plage d’adresses IP facilement identifiable, ce qui a attiré mon attention.

Contrairement à pas mal d’autres adresses qui sont déjà « brulées » (inscrites dans les différents registres de veille que mes outils de sécurité utilisent automatiquement), ces adresses semblent ne pas avoir été déjà identifiées.

J’ai donc ajouté ce réseau manuellement dans la liste des réseaux bannis (bloqués) sur mon serveur.

J’en ai profité pour durcir considérablement les règles du « jeu » par rapport aux paramètres par défaut de Fail2Ban.

Cela va réduire considérablement le remplissage de mes logs.

La sécurité informatique est active bien plus que passive : notre stratégie n’est réellement efficiente que si nous avons le temps et les ressources pour surveiller les événements et nous y adapter.

Au plaisir,

Marc JESTIN
https://marcjestin.fr

  1. SASL = Simple Authentication and Security Layer, couche d’authentification et de sécurité simple. ↩︎