Qu’est ce qu’une attaque par force brute ?

Les attaques par force brute forcent les données en essayant toutes les combinaisons possibles, comme un voleur qui forcerait un coffre en essayant toutes les combinaisons de la serrure à l'aide du sélecteur.

Share facebook icon linkedin icon twitter icon email icon

Attaque par force brute

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Différentier les attaques par force brute des attaques plus sophistiquées
  • Définir les forces et les faiblesses des attaques par force brute
  • Expliquer les meilleures façons de se protéger contre les attaques par force brute

Qu'est-ce qu'une attaque par force brute ?

Une attaque par force brute est une méthode par tâtonnements utilisée pour décoder des données sensibles. Les applications les plus courantes des attaques par force brute sont le craquage des mots de passe et le craquage des clés de chiffrement (continuez à lire pour en savoir plus sur les clés de chiffrement). Les autres cibles courantes des attaques par force brute sont les clés API et les connexions SSH. Les attaques par force brute de mot de passe sont souvent effectuées par des scripts ou des bots qui ciblent la page de connexion d'un site web.

La différence entre les attaques par force brute et les autres méthodes de craquage, tient au fait que les attaques par force brute n'utilisent pas de stratégie intellectuelle. Elles essaient simplement d'utiliser différentes combinaisons de caractères jusqu'à ce que la bonne combinaison soit trouvée : un peu comme un voleur qui tente de forcer un coffre-fort en essayant toutes les combinaisons possibles de chiffres jusqu'à ce que le coffre-fort s'ouvre.

Quelles sont les forces et les faiblesses des attaques par force brute ?

Les plus grands avantages des attaques par force brute sont leur relative simplicité de réalisation et, avec suffisamment de temps et l'absence de stratégie d'atténuation pour la cible, elles fonctionnent toujours. Chaque système basé sur un mot de passe et chaque clé de chiffrement peuvent être piratés à l'aide d'une attaque par force brute. En fait, le temps nécessaire à la force brute pour pénétrer dans un système est une mesure utile pour évaluer le niveau de sécurité de ce système.

D'autre part, les attaques par force brute sont très lentes, car elles doivent essayer toutes les combinaisons de caractères possibles avant d'atteindre leur objectif. Le procédé est encore plus lent lorsque le nombre de caractères dans la chaîne cible augmente (une chaîne n'est qu'une combinaison de caractères). Par exemple, un mot de passe à quatre caractères prend beaucoup plus de temps à la force brute qu'un mot de passe à trois caractères, et un mot de passe à cinq caractères prend beaucoup plus de temps qu'un mot de passe à quatre caractères. Une fois que le nombre de caractères dépasse un certain point, l'attaque par force brute d'un mot de passe « aléatoire » devient irréaliste.

Brute Force Cracking Times

Si la chaîne cible est suffisamment longue, un pirate faisant usage de l'attaque par force brute peut prendre des jours, des mois, voire des années pour décoder un mot de passe aléatoire. En raison de la tendance actuelle à demander des mots de passe et des clés de chiffrement plus longs, les attaques par force brute sont un peu plus difficiles. Lorsque de bons mots de passe et un bon chiffrement sont utilisés, les pirates essaient généralement d'autres méthodes de déchiffrement de code telles que l'ingénierie sociale ou les attaques de l'homme du milieu.

Comment se protéger contre les attaques par force brute

Les développeurs qui gèrent les systèmes d'autorisation peuvent prendre des mesures telles que le blocage des adresses IP qui ont généré trop de connexions infructueuses et l'incorporation d'un délai dans leur logiciel de vérification des mots de passe. Même un délai de quelques secondes, peut considérablement paralyser l'efficacité d'une attaque par force brute.

Les utilisateurs de services web peuvent réduire leur vulnérabilité aux attaques par force brute en choisissant des mots de passe plus longs et plus complexes. Il est également recommandé d'activer l'authentification à deux facteurs et d'utiliser des mots de passe uniques pour chaque service. Si un pirate est capable d'attaquer par force brute le mot de passe d'un utilisateur pour un service, ce pirate peut essayer d'utiliser la même combinaison identifiant et mot de passe sur d'autres services populaires. Cette attaque est connue sous le nom d'attaque par credential struffing.

Les utilisateurs doivent également éviter de saisir des mots de passe ou des informations personnelles, telles que des numéros de cartes de crédit ou des coordonnées bancaire, sur des services web qui ne protègent pas leurs données avec des clés de chiffrement fortes.

Qu'est-ce qu'une clé de chiffrement ?

Les clés de chiffrement sont des chaînes aléatoires de bits générées pour chiffrer (c'est-à-dire « brouiller ») et déchiffrer les données. Une fois les données chiffrées, elles apparaissent sous la forme d'une chaîne de caractères aléatoires mélangées jusqu'à ce qu'elles soient déchiffrées avec la bonne clé de chiffrement. Tout comme les mots de passe, les clés de chiffrement peuvent être piratées à l'aide d'attaques par force brute, mais il existe de nos jours des clés de chiffrement qui demanderaient une période de craquage si longue avec les ordinateurs actuels qu'elles sont considérées comme impossibles à craquer.

Quelle est la différence entre le chiffrement sur 128 bits et le chiffrement sur 256 bits ?

Une clé de chiffrement plus longue est exponentiellement plus sûre qu'une clé plus courte. Par exemple, dans une clé de chiffrement de 128 bits, il existe 128 combinaisons possibles qu'un pirate utilisant l'attaque par force brute devrait essayer. Pour un chiffrement de 256 bits, un pirate devrait essayer 2256 combinaisons différentes, ce qui nécessiterait 2128 fois plus de puissance de calcul pour ne craquer qu'une clé de 128 bits ! (2128 = 340282366920938463463374607431768211456 combinaisons possibles).

Pour vous donner une idée de la signification de ces nombres, un ordinateur puissant capable de vérifier des milliards de combinaisons par seconde aurait besoin de plus d'un sexdécillion d'années pour craquer une clé de chiffrement de 256 bits (un sexdécillion est égal à 1 suivi de 96 zéros).

Étant donné que les longues clés de chiffrement sont pratiquement à l'abri des attaques courantes par force brute, il est recommandé que tous les services web qui collectent des informations sur les utilisateurs chiffrent leurs données et communications à l'aide de clés de chiffrement de 256 bits. Cloudflare utilise un chiffrement TLS très efficace pour empêcher les attaques par force brute, et a travaillé sur les systèmes de protection future de l'informatique quantique.