Qu’est-ce qu’une attaque par force brute et comment vous en prémunir ?

Device hacking the computer through internet
Cliquez ici pour un résumé de cet article
Qu’est-ce qu’une attaque par force brute ? Aperçu rapide.

Une attaque par force brute vise à deviner un nom d’utilisateur ou un mot de passe par une série de tentatives. Le logiciel de force brute tente de se connecter à un service en utilisant des milliers, si ce n’est des millions, de combinaisons de caractères. Certaines attaques par force brute sont plus complexes. Elles utilisent d’anciens identifiants piratés comme base pour leurs tentatives.

Si vous souhaitez vous protéger contre ce type d’attaque, voici ce que vous pouvez faire :

  1. Utilisez des mots de passe plus longs et complexes.
  2. Configurez l’authentification multifacteurs.
  3. Abonnez-vous à un gestionnaire de mots de passe. Nous vous recommandons 1Password. Il est sûr et abordable.
Découvrez 1Password

Si vous souhaitez en apprendre davantage sur le fonctionnement des attaques par force brute et comment vous en prémunir, consultez notre article complet ci-dessous.

Vous vous êtes déjà demandé comment les pirates mettaient la main sur les mots de passe de victimes innocentes ? Ils n’exploitent pas toujours les failles de sécurité d’une plateforme populaire pour cela. Il suffit parfois d’essayer des suites aléatoires de lettres et de chiffres. C’est ce que fait une attaque par force brute.

Elle consiste en une série de tentatives de deviner les identifiants d’un utilisateur, c’est-à-dire son nom d’utilisateur et son mot de passe. Ces tentatives reposent sur un algorithme qui utilise un dictionnaire ou une liste d’identifiants éventuels. L’algorithme tentera différentes variantes jusqu’à trouver le bon identifiant.

Il s’agit de la méthode basique, mais les attaques par force brute modernes sont bien plus complexes. Comment fonctionnent-elles précisément ? Et comment vous en protéger ?

Comment fonctionnent les attaques par force brute ?

Sous sa forme la plus simple, une attaque par force brute tentera de deviner un identifiant et le mot de passe correspondant. Voici la méthode couramment utilisée par les pirates :

  1. Via la génération d’identifiants, ils forment les outils d’attaque par force brute à générer des identifiants en respectant des paramètres précis, comme un mot de passe de plus de six symboles.
  2. Le logiciel générera une (très) longue liste de combinaisons possibles. Ces dernières se chiffrent en milliers de milliards.
  3. Les outils d’attaque par force brute tenteront de se connecter à un service donné à l’aide de chacune de ces combinaisons. Ce processus peut prendre des jours, des semaines ou des mois, même avec un ordinateur puissant.

Si une combinaison finit par déverrouiller un compte, l’attaque par force brute est réussie et le pirate a accès au compte.

Différents types d’attaques par force brute

La partie précédente décrit une attaque théorique. En réalité, ces attaques simples ne suffisent pas à pirater un compte. Le plus souvent, la réussite d’une attaque par force brute repose sur l’utilisation de différentes techniques. Nous les évoquons ci-après.

Infographic showing the types of Brute force attempts

1. Attaques par force brute basiques

Les attaques basiques exploitent des listes d’identifiants générés. Des logiciels, comme Hydra, génèrent des combinaisons d’identifiants de ce genre qui peuvent être utilisés comme noms d’utilisateur et mots de passe sur différentes plateformes. Ce type d’attaque n’est toutefois pas d’une grande efficacité et il est facile de comprendre pourquoi.

Le nombre total de combinaisons de lettres, de chiffres et de symboles dans une suite de six caractères se chiffre en milliers de milliards. Ajoutez à cela la sensibilité à la casse et le fait que de nombreux mots de passe comptent plus de six caractères et vous comprendrez le problème. Même pour un ordinateur, cela fait un grand nombre de combinaisons aléatoires à essayer.

En quelques mots, ces attaques par force brute basiques ne permettront pas aux pirates d’obtenir des résultats probants.

2. Attaques par force brute hybrides

Les attaques par force brute hybrides ajoutent des règles logiques à la génération d’identifiants. Les pirates peuvent établir une liste de noms d’utilisateur courants et ne générer que des mots de passe, par exemple.

Imaginons qu’un pirate tente de s’introduire dans la zone d’administration d’un petit site internet. Plutôt que de générer des noms d’utilisateur, il dressera une liste d’options, comme « admin », « administration » et le nom du propriétaire du site.

Le logiciel tentera uniquement de remplir le champ du nom d’utilisateur avec les options de cette liste. Pour le champ du mot de passe, il aura recours à une attaque par force brute basique en essayant autant de combinaisons que possible afin d’obtenir le bon mot de passe.

3. Attaques par force brute inversées

Une attaque par force brute inversée utilisera un mot de passe courant, comme « 123456 » ou « motdepasse », et générera des noms d’utilisateur jusqu’à en trouver un qui correspond. Bien entendu, pour être plus efficaces, les pirates peuvent combiner attaques par force brute inversées et approche hybride.

Les attaques par force brute inversées sont généralement utilisées sur des applications ou sites sur lesquels un pirate dispose déjà d’autres informations.

4. Attaques par dictionnaires

Les attaques par dictionnaires sont une sorte d’amélioration de l’attaque basique. Plutôt que de combiner tous les symboles, elles exploitent des suites de caractères et des expressions fréquemment utilisées comme identifiants. Ces dernières sont réunies dans un dictionnaire qui est alors utilisé pour tenter de se connecter. Cela peut être des noms pour les champs de noms d’utilisateur et des suites de chiffres pour les mots de passe.

Les attaques par dictionnaires affichent un taux de réussite plus élevé, mais sont plus difficiles à mettre en œuvre. Plus le dictionnaire est enrichi par les pirates, plus celui-ci sera efficace (et dangereux).

5. Recyclage d’identifiants

Le recyclage d’identifiants est l’une des méthodes les plus efficaces en matière d’attaque par force brute. Celle-ci repose sur l’utilisation par des pirates d’une base de données d’identifiants dérobés obtenue quelque part, souvent sur le dark web.

Par exemple, si un pirate achète un bot sur Genesis Market, il constatera que certains identifiants ne sont plus fonctionnels. Il peut alors utiliser la force brute pour trouver les nouveaux mots de passe liés aux noms d’utilisateur dont il dispose.

6. Attaques par force brute par rainbow table

Les attaques par force brute par rainbow table (ou « table arc-en-ciel ») sont un peu plus complexes. Pour les comprendre, nous avons besoin de nous pencher sur d’autres éléments.

Les sites internet peuvent stocker les mots de passe de trois façons :

  • En texte en clair, ce qui est assez dangereux, car la moindre fuite de données entraîne une divulgation directe des identifiants.
  • En texte chiffré, cette solution est meilleure, mais elle n’est pas parfaite, car tout texte chiffré peut également être déchiffré. Ce processus fonctionne dans les deux sens.
  • En texte haché unidirectionnel, vous pouvez faire passer du texte en clair dans une fonction de hachage, mais vous ne pouvez pas obtenir du texte en clair à partir du texte haché. Théoriquement, il s’agit d’une méthode de stockage d’identifiants infaillible.

Malheureusement, en pratique, le texte haché peut tout de même être déchiffré, et c’est l’objectif des attaques par force brute s’appuyant sur une rainbow table. La plupart des algorithmes de hachage (les programmes qui transforment des mots de passe en clair en texte haché) sont optimisés pour être rapides, ils traitent donc autant d’informations que possible. En exploitant ce défaut de conception, les pirates peuvent essayer tous les mots de passe du monde sous forme de texte haché jusqu’à trouver le bon.

Pour agir efficacement, ils utilisent une rainbow table. Il s’agit de listes de textes hachés précalculés représentant les mots de passe couramment utilisés, comme « motdepasse », « 123456 » ou « azerty ». Si votre mot de passe est vulnérable (comme ceux mentionnés ci-dessus), vous êtes plus susceptible d’être victime d’une attaque par force brute, même si vos mots de passe sont hachés. Comme cette méthode requiert une plus grande connaissance en cryptographie, elle n’est pas aussi fréquente.

Quels sont les dangers des attaques par force brute ?

Les attaques par force brute compromettent la vie privée et la sécurité des personnes du monde entier. Elles sont plus fréquentes que vous pourriez l’imaginer. En 2021, 23 % des entreprises étudiées (article en anglais) par Verizon ont rapporté des attaques par force brute.

Si des pirates parviennent à leurs fins de cette façon, cela peut entraîner divers problèmes. Pour les particuliers, les conséquences peuvent être :

  • Du contenu de type « spam » publié sur leurs profils de réseaux sociaux.
  • Une perte d’accès au compte piraté.
  • Une fuite de données et des conversations privées.
  • La propagation de logiciels malveillants ou de fraudes via sa liste de contacts.

Lorsque des attaques par force brute ciblent les comptes d’un développeur, les conséquences sont encore plus graves. Vous obtenez tous les effets négatifs déjà cités, multipliés par le nombre d’utilisateurs de l’application ou du site de ce développeur.

Comment éviter les attaques par force brute ?

Si vous êtes soucieux de la protection de votre vie privée et que vous souhaitez vous prémunir contre les attaques par force brute, vous pouvez prendre plusieurs mesures :

Infographic showing examples of how to prevent Brute force attacks

  • Créer des mots de passe longs. Plus votre mot de passe est long, plus il est difficile de le trouver à l’aide de la seule force brute. Pour chaque tentative exploitant la génération d’identifiants, le pirate doit configurer la longueur des mots de passe à générer. Si votre mot de passe fait plus de 15 ou 20 caractères, il est peu probable qu’une attaque vous prenne pour cible.
  • Créer des mots de passe plus complexes. Si vous combinez différents types de caractères, notamment des lettres, des chiffres et des symboles, les pirates auront plus de difficultés à le deviner, même à l’aide d’algorithmes.
  • Utiliser un mot de passe unique pour chaque service. Ainsi, si des pirates ciblent l’un de vos comptes, ils ne pourront pas utiliser les mêmes informations pour accéder à vos autres comptes.
  • Activer l’authentification multifacteurs. Il s’agit d’une protection supplémentaire impliquant une seconde vérification pour vous connecter, par exemple en saisissant un code reçu par SMS. Avec l’authentification multifacteurs, même si un pirate devine votre mot de passe, il ne pourra pas accéder instantanément à votre compte.
  • Utiliser un gestionnaire de mots de passe. Si vous ne souhaitez pas prendre la peine de créer des mots de passe longs et complexes pour l’intégralité de vos comptes, un gestionnaire de mots de passe s’en chargera. Il vous permettra d’utiliser de meilleurs mots de passe sans avoir à vous souvenir de tous. Nous vous recommandons tout particulièrement 1Password, car il s’agit d’un service sûr et très intuitif.

Améliorez votre sécurité en ligne

Même si vous utilisez les meilleurs mots de passe, vos identifiants restent vulnérables. Des dangers comme des campagnes d’hameçonnage et les « attaques de l’homme du milieu » sont toujours présents. Si vos identifiants ont été piratés par d’autres moyens, ils peuvent même être utilisés dans le cadre d’autres attaques par force brute. C’est pourquoi il est essentiel de renforcer votre sécurité en ligne.

Si vous souhaitez rester protégé en ligne, vous devriez éviter de cliquer sur des liens inconnus, vous méfier des prises de contact d’inconnus et évitez les applications ou sites douteux.

Nous vous recommandons en outre d’utiliser des applications de sécurité spéciales. Notamment un VPN performant et un antivirus fiable. Ils sécuriseront votre connexion et vous protégeront contre les programmes malveillants et les virus.

Que faire si vous êtes la cible d’une attaque par force brute ?

Il peut être difficile de savoir que vous êtes la cible d’une telle attaque lorsqu’elle se produit. Le fait de recevoir de nombreux courriels concernant une tentative de connexion dont vous n’êtes pas à l’origine peut être un indice. Mis à part cela, vous ne remarquerez probablement rien jusqu’au piratage effectif de votre compte.

Voici ce que vous pouvez faire si vous êtes visé par une attaque par force brute :

  • Contactez la plateforme sur laquelle vous disposez d’un compte. Si vous avez de la chance, un agent vous aidera à geler ce dernier. Si le compte a déjà été compromis et que vous ne pouvez pas le récupérer, il peut le supprimer afin que personne ne puisse se faire passer pour vous.
  • Modifiez votre mot de passe. Si vous avez toujours accès à votre compte, veillez à modifier votre mot de passe et à le rendre unique et sécurisé. Ainsi, il sera plus difficile à deviner lors d’une attaque par force brute.
  • Si ce n’est pas déjà le cas, configurez l’authentification multifacteurs. Cela garantira que même en cas de succès de l’attaque par force brute, le pirate ne pourra pas accéder à votre compte.

Comme les attaques par force brute peuvent être utilisées pour viser n’importe qui, il n’existe aucun moyen d’être sûr que vous n’en serez jamais la cible. Avec des modifications régulières de vos mots de passe et en suivant les conseils ci-dessus, vous pouvez augmenter les chances d’échec d’une telle attaque sur votre compte.

Protection contre la force brute pour les développeurs

Si vous gérez une application ou un site stockant des informations de connexion, il est essentiel de mettre en place des mesures de protection de vos utilisateurs contre les attaques par force brute. Voici les meilleures pratiques à mettre en place pour limiter les attaques par force brute sur votre plateforme :

  • Limiter les tentatives de connexion. Ainsi, les attaques par force brute prendront beaucoup plus de temps. La plupart des pirates seront découragés et ne tenteront même pas d’attaquer un site avec un nombre limité de tentatives de connexion par cette méthode.
  • Activer un captcha sur votre page de connexion. Nous savons que cela peut être agaçant pour certains utilisateurs, mais les captcha (ces outils qui vous demandent de « prouver que vous n’êtes pas un robot ») sont parmi des méthodes les plus fiables pour prévenir les attaques par force brute.
  • Configurer des mots de passe à usage unique. Ces mots de passe à usage unique sont utilisés pour la connexion à des services ou pour vérifier des opérations. Ils sont assez courants dans le secteur financier. Ce n’est pas l’approche la plus conviviale pour sécuriser une plateforme en ligne, mais si vous traitez des données confidentielles (par exemple, si vous gérez une start-up dans la finance), c’est une solution à envisager.

Protégez-vous contre d’autres types de cybercrimes en consultant nos ressources sur le sujet.

Attaques par force brute — FAQ

Nous espérons que notre article a répondu à toutes vos questions sur les attaques par force brute. Si vous souhaitez en savoir davantage, consultez notre section FAQ.

Une attaque par force brute est une tentative de piratage utilisant un logiciel spécialisé pour deviner les identifiants d’un utilisateur. Ce logiciel utilisera un dictionnaire ou une liste d’identifiants pour insérer des suites de caractères sur une page de connexion. Si vous souhaitez en apprendre davantage sur son fonctionnement et découvrir comment vous protéger contre ce type d’attaque, consultez notre article sur les attaques par force brute.

Malheureusement, oui. En 2021, 23 % des entreprises étudiées par Verizon ont signalé que leur système avait été victime d’une telle attaque. Cela étant dit, pirater les identifiants d’un compte à l’aide d’une attaque par force brute est très long. Une telle attaque est donc difficile à mettre en place, en particulier pour les cybercriminels ne disposant pas d’ordinateurs puissants. Si vous souhaitez en apprendre davantage sur les attaques par force brute, consultez notre article intitulé « Qu’est-ce qu’une attaque par force brute et comment vous en prémunir ? ».

Imaginons qu’un cybercriminel souhaite pirater les comptes d’un petit site de commerce en ligne avec peu de mesures de sécurité. Il utilisera un logiciel, comme Hydra, pour générer des combinaisons d’identifiants. Le logiciel entrera ensuite ces identifiants sur la page de connexion du site ciblé. Lorsqu’une combinaison entraîne une connexion réussie (cela peut prendre des semaines ou des mois), le logiciel informe le cybercriminel qui pourra accéder au compte.

Oui, dans la plupart des cas, il est illégal de mener une telle attaque. Des pirates éthiques peuvent en lancer pour découvrir des failles de sécurité. Cela concerne généralement les plateformes internes des entreprises. Il est toutefois illégal de lancer une attaque par force brute en vue de dérober les identifiants d’autrui.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.
Soumettre un commentaire
Soumettre un commentaire