Une attaque par force brute consiste à essayer des millions de noms d'utilisateur et de mots de passe chaque seconde, jusqu'à trouver la bonne combinaison. Voilà le principe. Cependant, même si ces attaques sont plutôt simples, elles sont trop souvent couronnées de succès.
Aujourd'hui, nous allons vous expliquer ce qu'est une attaque par force brute, comment elle fonctionne, sa légalité et sa résistance aux systèmes de sécurité actuels.
Comment fonctionne une attaque par force brute ?
Sur le plan technique, les attaques par force brute sont simples et donnent souvent d'excellents résultats pour leurs auteurs. Les malfaiteurs utilisent les attaques par force brute pour accéder à des comptes en ligne.
Ils favorisent ce type d'attaque car tout le travail est effectué par les ordinateurs. La tâche consiste à deviner rapidement le nom d'utilisateur et le mot de passe du compte auquel le pirate tente d'accéder sans autorisation. Lors d'une attaque par force brute, un programme informatique travaille alors de façon acharnée, en essayant sans arrêt des combinaisons de noms d'utilisateur et de mots de passe jusqu'à ce qu'il trouve une correspondance.
Quelle est la vitesse d'une attaque par force brute ?
La vitesse à laquelle votre mot de passe est craqué dépend de :
La force de votre mot de passe.
La puissance de l'ordinateur du criminel.
Voici un aperçu des deux
La vitesse dépend de la force du mot de passe :
Les programmes informatiques utilisés pour les attaques par force brute peuvent vérifier entre 10 000 et 1 milliard de mots de passe par seconde.
Un clavier classique comporte 94 chiffres, lettres et symboles. Au total, ils peuvent donc générer près de deux cents milliards de mots de passe à 8 caractères.
Plus un mot de passe est long et aléatoire, plus il est difficile à craquer. Il faut environ 2 heures pour trouver un mot de passe à 9 caractères comprenant un caractère unique. Quant à un mot de passe sans caractère unique, il suffit de 2 minutes à peine !
En comparaison, un mot de passe à 12 caractères mixtes prendrait des siècles à être craqué.
À retenir
Un mot de passe simple composé uniquement de lettres minuscules offre beaucoup moins de combinaisons qu'un mot de passe qui comporte un mélange de caractères aléatoires, environ 300 millions, pour être exact. Par conséquent, les ordinateurs ne requièrent que peu d'efforts pour deviner un mot de passe simple, soit 8h30 sur un Pentium 100 et instantanément sur un superordinateur.
(Un Pentium 100 peut essayer 10 000 mots de passe par seconde. Un superordinateur peut quant à lui en tester 1 000 000 000 par seconde). Il est donc essentiel de bien penser à vos mots de passe.
Types d'attaques par force brute
Les attaques par force brute se présentent sous différentes formes. Voici quelques-uns des types d'attaques par force brute les plus courants que les pirates informatiques utilisent pour accéder à des comptes sans autorisation.
Attaque par force brute simple
L'attaque par force brute simple, comme son nom l'indique, est la plus basique de toutes. Lors d'une telle attaque, le malfaiteur essaie de deviner le mot de passe de l'utilisateur manuellement, sans outil logiciel. Il s'appuie sur l'essai de mots de passe faibles couramment utilisés, comme 123456, azerty, password ou password123. Malheureusement, cette simple attaque par force brute peut s'avérer très efficace. En effet, nous observons régulièrement que des personnes continuent d'utiliser des mots de passe faibles ou inadéquats pour sécuriser leurs comptes en ligne.
Attaque par dictionnaire
Bien qu'une attaque par dictionnaire ne réponde pas strictement aux critères de qualification d'une attaque par force brute, les deux sont étroitement liées. Pour faire simple, une attaque par dictionnaire est une méthode qui consiste à craquer le mot de passe en essayant un grand nombre de mots courants et leurs variations. Pour ce faire, les hackers utilisent un logiciel capable de faire des milliers de suppositions chaque seconde en utilisant des bases de données contenant des dictionnaires, d'où le nom de l'attaque. Au fil des ans, tandis que de nouvelles méthodes sont apparues, les attaques par dictionnaire ont perdu en popularité.
Attaque par force brute hybride
Comme son nom l'indique, une attaque par force brute hybride combine une attaque par dictionnaire et une par force brute afin d'obtenir de meilleures chances de réussite. Souvent, une attaque hybride est utilisée lorsque son auteur connaît déjà le nom d'utilisateur de sa cible.
Une attaque hybride est essentiellement conçue pour tester une variété de combinaisons de mots de passe peu courants, par exemple MonkeyBig123. Dans la plupart des cas, le cybercriminel commence par une liste de mots, puis tente de permuter les caractères et d'ajouter des symboles spéciaux ou des chiffres pour obtenir le plus grand nombre de variations possibles à partir des mots initiaux.
Attaque par force brute inversée
Considérez l'attaque par force brute inversée comme le contraire d'une attaque hybride. Une attaque par force brute inversée exige que l'assaillant connaisse le mot de passe à l'avance et tente ensuite de deviner le nom d'utilisateur.
Les pirates en possession d'un mot de passe, obtenu le plus souvent à partir de bases de données qui ont fait l'objet de fuites, l'utilisent pour retrouver les noms d'utilisateur associés et les faire correspondre.
Bourrage d'informations d'identification
Bourrage d'informations d'identification est le type d'attaque que les malfaiteurs effectuent lorsqu'ils disposent déjà d'un ensemble de noms d'utilisateur et de mots de passe. Les hackers peuvent obtenir des bases de données entières d'identifiants de connexion volés et tenter ensuite de les appliquer au compte auquel ils essaient d'accéder. Ce type d'attaque peut être particulièrement dévastateur si la personne visée utilise les mêmes mots de passe sur plusieurs comptes.
Attaque rainbow table
Une attaque de type rainbow table (ou table arc-en-ciel) est une méthode de craquage de mots de passe qui utilise des rainbow tables pour casser les hachages de mots de passe dans une base de données. Concrètement, les sites ou les applications ne stockent pas les mots de passe en clair. Au lieu de cela, ils chiffrent les mots de passe avec des hachages. Une fois que le mot de passe est utilisé pour se connecter, il est immédiatement converti en un hachage. Lors de la prochaine connexion de l'utilisateur à l'aide de son mot de passe, le serveur vérifie si le mot de passe correspond au hachage précédemment créé. Si les deux hachages correspondent, l'utilisateur est alors authentifié. Une table utilisée pour stocker les hachages de mots de passe est appelée rainbow table.
Le plus souvent, le pirate qui lance une attaque par table arc-en-ciel doit déjà disposer de celle-ci. Souvent, celles-ci peuvent être achetées sur le dark web ou volées. Au cours de l'attaque, les malfaiteurs utilisent la table pour déchiffrer les hachages de mots de passe et accéder ainsi à un mot de passe en clair.
Quels sont les motifs des attaques par force brute ?
Les attaques par force brute constituent généralement la première vague de l'offensive. Dans la plupart des cas, les attaques par force brute servent aux hackers pour obtenir un point d'entrée non autorisé dans un réseau. Une fois qu'ils ont obtenu cet accès, les pirates déploient d'autres attaques par force brute pour renforcer leurs pouvoirs au sein du réseau afin de faire plus de dégâts ou accéder aux serveurs et aux bases de données.
Une attaque par force brute est-elle illégale ?
Le seul cas où une attaque par force brute est légale est celui où vous testez déontologiquement la sécurité d'un système avec le consentement écrit du propriétaire.
Mais, le plus souvent, une attaque par force brute vise à dérober les informations d'identification de l'utilisateur, ce qui fournit un accès non autorisé aux comptes bancaires, aux abonnements, aux fichiers sensibles, etc. Cela la rend donc illégale.
Comment prévenir une attaque par force brute
Les entreprises et les particuliers peuvent se protéger des attaques par force brute de différentes manières. Le cœur de l'attaque par force brute est le temps. Certaines peuvent prendre des semaines, voire des mois, avant de réussir. Ainsi, la plupart des stratégies de défense contre une attaque par force brute impliquent que le temps nécessaire à la réussite d'une attaque soit toujours plus important.
Utilisez des mots de passe complexes et uniques
Les mots de passe complexes doivent être longs et inclure une variété de symboles spéciaux, de chiffres et de lettres minuscules et majuscules. Un mot de passe fort et unique utilisé pour protéger un point d'entrée peut mettre des centaines d'années à être craqué. Il est donc toujours recommandé d'utiliser un mot de passe d'au moins 12 caractères, comportant un mélange adéquat de chiffres et de symboles spéciaux.
De plus, n'oubliez pas de ne jamais réutiliser les mêmes mots de passe sur plusieurs comptes. Cela augmente les risques de piratage de vos comptes. Pensez à la réutilisation des mots de passe comme au fait d'avoir une seule clé pour verrouiller toutes les portes de votre logement. Si des personnes mal intentionnées mettent la main sur le mot de passe que vous utilisez pour protéger plusieurs comptes, elles auront instantanément accès à tous vos comptes.
L'une des meilleures façons de créer des mots de passe forts et uniques est d'utiliser un générateur de mot de passe, conçu pour créer des mots de passe complexes et difficiles à pirater.
Mettez en place la MFA dès que c'est possible
L'authentification multifacteur (MFA) est une couche de sécurité additionnelle qui exige des étapes supplémentaires pour vérifier l'identité de l'utilisateur. Aujourd'hui, la plupart des services en ligne permettent aux utilisateurs de configurer la MFA. Dans la plupart des cas, elle fonctionne par le biais d'applications d'authentification ou de SMS. Avec la MFA activée sur vos comptes, même si quelqu'un parvient à obtenir votre nom d'utilisateur et votre mot de passe, il n'aura aucun moyen de contourner une étape supplémentaire d'authentification sans un accès direct à vos appareils.
Évitez d'utiliser des services sans chiffrement des données
Le chiffrement est la norme du secteur en matière de protection des données. Tout fournisseur de service en ligne digne de ce nom veillera à ce que les données de ses utilisateurs, y compris les identifiants et les mots de passe, soient chiffrées.
Cependant, nous entendons régulièrement parler de plateformes qui choisissent la facilité en n'employant pas de mesures de sécurité adéquates et en stockant les mots de passe et autres données sensibles en texte clair. De telles pratiques sont la recette idéale pour un véritable désastre.
Donc, avant de vous inscrire sur un nouveau service en ligne, assurez-vous que le fournisseur emploie un chiffrement et d'autres mesures de cybersécurité pour protéger les données de ses clients.
Chiffrement XChaCha20
Pour faire simple, le chiffrement est une méthode qui permet de brouiller les données afin que seules les parties autorisées puissent comprendre les informations concernées. Les algorithmes de chiffrement prennent des données lisibles, comme les mots de passe et les noms d'utilisateur, et les modifient pour qu'elles semblent aléatoires. L'avantage est que les données chiffrées, même si elles sont volées, deviennent inutilisables pour un individu mal intentionné à moins qu'il ne dispose de clés cryptographiques, mais celles-ci ne sont pas faciles à obtenir.
NordPass utilise le tout dernier XChaCha20, ce qui en fait l'un des gestionnaires de mots de passe les plus sûrs. XChaCha20 prend également en charge la clé de 256 bits, soit le chiffrement le plus puissant actuellement disponible. Privilégié par Google et Cloudflare, ce niveau de chiffrement est si avancé qu'il faudrait des siècles à un superordinateur pour le craquer.
Un système de sécurité étendu
Le chiffrement n'est qu'une partie d'une stratégie de sécurité. Il est donc essentiel de vérifier comment tous les composants sont combinés. Lorsqu'un formidable algorithme comme XChaCha20 se trouve au sein d'un système de défense poussé comme NordPass, un pirate n'a aucune chance.
En fait, c'est exactement ce qui sépare NordPass et les produits qui offrent des caractéristiques ordinaires. Il s'agit d'un système de défense profondément complexe construit de l'intérieur vers l'extérieur.