Qu’est ce qu’une attaque par force brute ?

Les attaques par force brute forcent les données en essayant toutes les combinaisons possibles, comme un voleur qui forcerait un coffre en essayant toutes les combinaisons sur le verrou.

Share facebook icon linkedin icon twitter icon email icon

Attaque par force brute

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Différentier les attaques par force brute des attaques plus sophistiquées
  • Définir les forces et les faiblesses des attaques par force brute
  • Expliquer les meilleures façons de se protéger contre les attaques par force brute

Qu’est ce qu’une attaque par force brute ?

Une attaque par force brute est une méthode de tâtonnement utilisée pour décoder des données sensibles. Les applications les plus fréquentes pour les attaques par force brute sont le piratage de mots de passe et de clés de chiffrement (poursuivez la lecture pour en savoir plus sur les clés de chiffrement). D’autres cibles privilégiées pour les attaques par force brute sont les clés d’API et les connexions SSH. Les attaques de mots de passe par force brute sont souvent menées par des scripts ou des bots qui ciblent la page de connexion d’un site Web.

Ce qui différencie les attaques par force brute des autres méthodes de piratage est que ces attaques n’utilisent pas de stratégie intellectuelle. Elles essaient simplement différentes combinaisons de caractères jusqu’à trouver la bonne. Ces attaques sont similaires à un voleur essayant de forcer un coffre à chiffres en essayant chaque combinaison jusqu’à ce que le coffre s’ouvre.

Quelles sont les forces et les faiblesses des attaques par force brute ?

Le plus grand avantage des attaques par force brute est qu’elles sont relativement simples à réaliser et, pour peu qu’elles disposent de suffisamment de temps et qu’aucune stratégie d’atténuation ne soit mise en place, elles fonctionnent toujours. Tous les systèmes basés sur mot de passe et toutes les clés de chiffrement peuvent être piratées par une attaque par force brute. Le temps nécessaire pour pirater un système par force brute est d’ailleurs une mesure intéressante du niveau de sécurité.

En revanche, les attaques par force brute sont très lentes puisqu’elles peuvent avoir à essayer toutes les combinaisons de caractères possibles avant d’atteindre leur objectif. Cette lenteur est aggravée à mesure que le nombre de caractères de la chaîne cible augmente (une chaîne est seulement une combinaison de caractères). Par exemple, un mot de passe à 4 caractères est beaucoup plus long à pirater par force brute qu’un mot de passe à 3 caractères mais beaucoup moins qu’un mot de passe à 5 caractères. Au delà d’un certain nombre de caractères, pirater par force brute un mot de passe aléatoire est irréaliste.

Brute Force Cracking Times

Si la chaîne cible est assez long, alors un attaquant par force brute pourra mettre plusieurs jours, mois ou même années à décoder un mot de passe aléatoire. Les mots de passe et clés de chiffrement demandés étant de plus en plus longs, les attaques par force brute sont beaucoup plus difficiles. Lorsque des mots de passe et un cryptage corrects sont utilisés, les attaquants essayent généralement d’autres méthodes de piratage des codes, comme l’ingénierie sociale ou les attaques de l’homme du milieu.

Comment se protéger contre les attaques par force brute

Les développeurs gérant les systèmes d’autorisation peuvent prendre des mesures comme le verrouillage des adresses IP ayant généré trop d’erreur de connexion ou l’incorporation d’un délai dans leur logiciel de vérification de mot de passe. Un délai, même de quelques secondes, peut fortement mettre à mal l’efficacité d’une attaque par force brute.

l

Les utilisateurs de services Web peuvent diminuer leur vulnérabilité aux attaques par force brute en choisissant des mots de passe plus longs et plus complexes. Il est également recommandé d’activer l’authentification à 2 facteurs et d’utiliser un mot de passe unique pour chaque service. Si un attaquant est capable de pirater par force brute le mot de passe d’un utilisateur d’un service, il peut tenter de réutiliser l’identifiant et le mot de passe pour de nombreux autres services connus. Cette pratique est appelée infiltration de comptes.

Les utilisateurs doivent éviter de saisir des mots de passe ou des informations personnelles, telles que des numéros de cartes de crédit ou des coordonnées bancaire, sur des services Web qui ne protègent pas leurs données avec des clés de chiffrement solides.

Qu’est ce qu’une clé de chiffrement ?

Les clés de chiffrement sont des chaines de bits aléatoires, générées pour chiffrer et déchiffrer les données. Une fois les données chiffrées, elles apparaissent sous forme d’une chaine de caractères aléatoires jusqu’à être déchiffrée avec la bonne clé de chiffrement. Tout comme les mots de passe, les clés de chiffrement peuvent être piratées par force brute, mais les clés de chiffrement actuelles seraient si longues à pirater par les ordinateurs modernes qu’elles sont considérées comme inviolables.

Quelle est la différence entre un chiffrement 128 bits et un chiffrement 256 bits ?

Une clé de chiffrement plus longue est exponentiellement plus sécurisée qu’une clé plus courte. Par exemple, pour une clé de chiffrement 128 bits, un attaquant peut essayer 2 128 combinaisons possibles. Pour un chiffrement 256 bits, un attaquant devrait essayer 2 256 combinaisons différentes, ce qui exigerait 2 128 fois plus de puissance de calcul que pour une clé 128 bits ! (2 128 = 340,282,366,920,938,463,463,374,607,431,768,211,456 combinaisons possibles).

Pour vous donner un ordre d’idée, il faudrait à un ordinateur puissant qui peut vérifier des milliards de combinaisons par seconde plus d’un sexdécillion années pour pirater une clé de chiffrement 256 bits (un sexdécillion est égal à 1 suivi de 96 zéros).

Des clés de cryptage aussi élevées étant quasiment préservées des attaques par force brute actuelle, il est recommandé à tous les services Web qui recueille des informations personnelles de chiffrer leurs données et communications à l’aide clé de chiffrement 256 bits. Cloudflare utilise le meilleur chiffrement TLS de sa catégorie pour empêcher les attaques par force brute et s’est attelé à assurer la pérennité de sa protection contre l’informatique quantique..