Promo % Promo Promo de Noël Promo Promo % Promo Promo Promo de Noël Promo Promo % Promo Promo Promo de Noël

Les caractéristiques d’une attaque par force brute

Lukas Grigas
Rédacteur en cybersécurité
brute force attack

Une attaque par force brute consiste à essayer des millions de noms d’utilisateur et de mots de passe chaque seconde, jusqu’à trouver la bonne combinaison. Voilà pour l’essentiel. Cependant, même si ces attaques sont plutôt simples, elles sont trop souvent couronnées de succès.

Aujourd’hui, nous allons vous expliquer ce qu’est une attaque par force brute, comment elle fonctionne, sa légalité et sa résistance aux systèmes de sécurité actuels.

Comment fonctionne une attaque par force brute ?

Sur le plan technique, les attaques par force brute sont simples et donnent souvent d’excellents résultats pour leurs auteurs. Les malfaiteurs utilisent les attaques par force brute pour accéder à des comptes en ligne.

Ils adorent ce type d’attaque, car tout le travail est effectué par les ordinateurs. La tâche consiste à deviner rapidement le nom d’utilisateur et le mot de passe du compte auquel le pirate tente d’accéder sans autorisation. Lors d’une attaque par force brute, un programme informatique travaille alors de façon acharnée, en essayant sans arrêt des combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce qu’il trouve une correspondance.

Quelle est la vitesse d’une attaque par force brute ?

La vitesse à laquelle votre mot de passe est craqué dépend de :

  • La force de votre mot de passe.

  • La puissance de l’ordinateur du criminel.

Voici un aperçu des deux

La vitesse dépend de la force du mot de passe :

  • Les programmes informatiques utilisés pour les attaques par force brute peuvent vérifier entre 10 000 et 1 milliard de mots de passe par seconde.

  • Un clavier classique comporte 94 chiffres, lettres et symboles. Au total, il est donc possible de générer près de deux cents milliards de mots de passe à 8 caractères.

  • Plus un mot de passe est long et aléatoire, plus il est difficile à craquer. Il faut environ 2 heures pour trouver un mot de passe à 9 caractères comprenant un caractère unique. Quant à un mot de passe sans caractère unique, il suffit de 2 minutes à peine !

  • En comparaison, un mot de passe à 12 caractères mixtes prendrait des siècles à être craqué.

À retenir

Un mot de passe simple composé uniquement de lettres minuscules offre beaucoup moins de combinaisons qu’un mot de passe qui comporte un mélange de caractères aléatoires, environ 300 millions, pour être exact. Par conséquent, les ordinateurs ne requièrent que peu d’efforts pour deviner un mot de passe simple, soit 8 h 30 sur un Pentium 100 et instantanément sur un superordinateur.

(Un Pentium 100 peut essayer 10 000 mots de passe par seconde. Un superordinateur peut quant à lui en tester 1 000 000 000 par seconde). Il est donc essentiel de bien penser à vos mots de passe.

Types d’attaques par force brute

Les attaques par force brute se présentent sous différentes formes. Voici certains des types d’attaques par force brute les plus courants que les pirates informatiques utilisent pour accéder à des comptes sans autorisation.

Attaque par force brute simple

L’attaque par force brute simple, comme son nom l’indique, est la plus basique de toutes. Lors d’une telle attaque, le malfaiteur essaie de deviner le mot de passe de l’utilisateur manuellement, sans outil logiciel. Il s’appuie sur l’essai de mots de passe faibles couramment utilisés, comme 123456, azerty, password ou password123. Malheureusement, cette simple attaque par force brute peut s’avérer très efficace. En effet, nous observons régulièrement que des personnes continuent d’utiliser des mots de passe faibles ou inadéquats pour sécuriser leurs comptes en ligne.

Attaque par dictionnaire

Bien qu’une attaque par dictionnaire ne corresponde pas exactement aux critères de qualification d’une attaque par force brute, les deux sont étroitement liées. Pour faire simple, une attaque par dictionnaire est une méthode qui consiste à craquer le mot de passe en essayant un grand nombre de mots courants et leurs variations. Pour ce faire, les pirates utilisent un logiciel capable de faire des milliers de suppositions chaque seconde en utilisant des bases de données contenant des dictionnaires, d’où le nom de l’attaque. Au fil des ans, de nouvelles méthodes apparaissant, les attaques par dictionnaire ont perdu en popularité.

Attaque par force brute hybride

Comme son nom l’indique, une attaque par force brute hybride combine une attaque par dictionnaire et une par force brute afin d’obtenir de meilleures chances de réussite. Souvent, une attaque hybride est utilisée lorsque son auteur connaît déjà le nom d’utilisateur de sa cible.

Une attaque hybride est principalement conçue pour tester de nombreuses combinaisons de mots de passe peu courants, par exemple MonkeyBig123. Dans la plupart des cas, le cybercriminel commence par une liste de mots, puis tente de permuter les caractères et d’ajouter des symboles spéciaux ou des chiffres pour obtenir le plus grand nombre de variations possibles à partir des mots initiaux.

Attaque par force brute inversée

Considérez l’attaque par force brute inversée comme le contraire d’une attaque hybride. Une attaque par force brute inversée implique que l’assaillant connaisse le mot de passe à l’avance et tente ensuite de deviner le nom d’utilisateur.

Les pirates en possession d’un mot de passe, obtenu le plus souvent à partir de bases de données qui ont fait l’objet de fuites, l’utilisent pour retrouver les noms d’utilisateur associés et les faire correspondre.

Bourrage d’identifiants de connexion

Bourrage d’identifiants de connexion est le type d’attaque menée par des pirates lorsqu’ils disposent déjà d’un ensemble de noms d’utilisateur et de mots de passe. Les hackers obtiennent des bases de données entières d’identifiants de connexion volés et tentent ensuite de les appliquer au compte auquel ils essaient d’accéder. Ce type d’attaque peut être particulièrement dévastateur si la personne visée utilise les mêmes mots de passe sur plusieurs comptes.

Attaque par rainbow table

Une attaque de type rainbow table (ou table arc-en-ciel) est une méthode de craquage de mots de passe qui utilise des rainbow tables pour casser les hachages de mots de passe dans une base de données. Concrètement, les sites ou les applications ne stockent pas les mots de passe en clair. Au lieu de cela, ils chiffrent les mots de passe avec des hachages. Une fois que le mot de passe est utilisé pour se connecter, il est immédiatement converti en un hachage. Lors de la prochaine connexion de l’utilisateur à l’aide de son mot de passe, le serveur vérifie si le mot de passe correspond au hachage précédemment créé. Si les deux hachages correspondent, l’utilisateur est alors authentifié. Une table utilisée pour stocker les hachages de mots de passe est appelée rainbow table.

Le plus souvent, le pirate qui lance une attaque par rainbow table doit déjà disposer de celle-ci. Souvent, les rainbow tables peuvent être achetées sur le Dark Web ou volées. Au cours de l’attaque, les malfaiteurs utilisent la table pour déchiffrer les hachages de mots de passe et obtenir ainsi à un mot de passe en clair.

Quels sont les objectifs des attaques par force brute ?

Les attaques par force brute constituent généralement la première vague d’une offensive plus large. Dans la plupart des cas, les attaques par force brute permettent aux pirates d’obtenir un point d’entrée non autorisé dans un réseau. Une fois l’accès obtenu, les pirates déploient d’autres attaques par force brute pour renforcer leurs privilèges au sein du réseau afin de faire plus de dégâts ou d’accéder aux serveurs et aux bases de données.

Une attaque par force brute est-elle illégale ?

Les attaques par force brute ne sont légales que dans le cadre d’un test de la sécurité d’un système avec l’accord écrit du propriétaire, dans le respect de l’éthique.

Dans la plupart des cas, une attaque par force brute est utilisée pour voler les identifiants des utilisateurs, ce qui permet d’accéder sans autorisation à des comptes bancaires, des abonnements, des fichiers sensibles, etc. C’est ce qui les rend illégales.

Comment prévenir une attaque par force brute

Les entreprises et les particuliers peuvent se protéger des attaques par force brute de différentes manières. Le facteur déterminant d’une attaque par force brute est le temps. Certaines peuvent prendre des semaines, voire des mois, avant de réussir. Ainsi, la plupart des stratégies de défense contre une attaque par force brute impliquent que le temps nécessaire à la réussite d’une attaque soit toujours plus important.

Utilisez des mots de passe complexes et uniques

Les mots de passe complexes doivent être longs et inclure différents symboles spéciaux, chiffres et lettres minuscules et majuscules. Un mot de passe fort et unique utilisé pour protéger un point d’entrée peut mettre des centaines d’années à être craqué. Il est donc toujours recommandé d’utiliser un mot de passe d’au moins 12 caractères, comportant un mélange adéquat de chiffres et de symboles spéciaux.

De plus, n’oubliez pas de ne jamais réutiliser les mêmes mots de passe sur plusieurs comptes. Dans le cas contraire, les risques de piratage de vos comptes augmentent. La réutilisation des mots de passe est comparable à l’utilisation d’une seule clé pour fermer toutes les portes. Si des personnes mal intentionnées mettent la main sur le mot de passe que vous utilisez pour protéger plusieurs comptes, elles auront instantanément accès à tous vos comptes.

L’un des meilleurs moyens d’élaborer des mots de passe forts et uniques est d’utiliser un générateur de mot de passe qui est conçu pour créer à la demande des mots de passe complexes et difficiles à déchiffrer.

Mettez en place l’AMF dès que c’est possible

L’authentification multifacteur est une sécurité supplémentaire qui nécessite plusieurs étapes pour vérifier l’identité de l’utilisateur. Aujourd’hui, la plupart des services en ligne permettent aux utilisateurs de configurer l’AMF. Dans la plupart des cas, l’AMF fonctionne via des applications d’authentification ou des SMS. Avec l’AMF activé sur vos comptes, même si une personne parvient à obtenir votre nom d’utilisateur et votre mot de passe, elle n’aura aucun moyen de contourner une étape supplémentaire d’authentification sans un accès direct à vos appareils.

Évitez d’utiliser des services sans chiffrement des données

Le chiffrement est la norme du secteur en matière de protection des données. Tout fournisseur de service en ligne digne de ce nom veillera à ce que les données de ses utilisateurs, notamment les identifiants et les mots de passe, soient chiffrées.

Cependant, nous entendons régulièrement parler de plateformes qui choisissent la facilité en n’employant pas de mesures de sécurité adéquates et en stockant les mots de passe et autres données sensibles en texte clair. De telles pratiques sont la recette idéale pour une véritable catastrophe.

Donc, avant de vous inscrire sur un nouveau service en ligne, assurez-vous que le fournisseur emploie un chiffrement et d’autres mesures de cybersécurité pour protéger les données de ses clients.

Chiffrement XChaCha20

Pour faire simple, le chiffrement est une méthode qui permet de brouiller les données afin que seules les parties autorisées puissent comprendre les informations concernées. Les algorithmes de chiffrement modifient des données lisibles, telles que les mots de passe et les noms d’utilisateur, pour qu’elles semblent aléatoires ensuite. L’avantage est que les données chiffrées, même si elles sont volées, deviennent inutilisables pour un individu mal intentionné à moins qu’il ne dispose de clés cryptographiques, mais celles-ci ne sont pas faciles à obtenir.

NordPass utilise la technologie de pointe XChaCha20, ce qui en fait l’un des gestionnaires de mots de passe le plus sécurisé du marché. XChaCha20 prend également en charge la clé de 256 bits, soit le chiffrement le plus puissant actuellement disponible. Privilégié par Google et Cloudflare, ce niveau de chiffrement est si avancé qu’il faudrait des siècles à un superordinateur pour le craquer.

Un système de sécurité renforcé

Le chiffrement n’est qu’une partie d’une stratégie de sécurité. Il est donc essentiel de vérifier comment tous les composants sont combinés. Lorsqu’un formidable algorithme comme XChaCha20 se trouve au sein d’un système de défense poussé comme NordPass, un pirate n’a aucune chance.

En fait, c’est exactement ce qui sépare NordPass des produits qui offrent des caractéristiques ordinaires. Il s’agit d’un système de défense profondément complexe construit de l’intérieur vers l’extérieur.

S’abonner aux actualités de NordPass

Recevez les dernières actualités et astuces de NordPass directement dans votre boîte de réception.