Qu’est ce qu’une attaque par force brute ?

Les attaques par force brute forcent les données en essayant toutes les combinaisons possibles, comme un voleur qui forcerait un coffre en essayant toutes les combinaisons sur le verrou.

Share facebook icon linkedin icon twitter icon email icon

Attaque par force brute

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Différentier les attaques par force brute des attaques plus sophistiquées
  • Définir les forces et les faiblesses des attaques par force brute
  • Expliquer les meilleures façons de se protéger contre les attaques par force brute

Qu'est-ce qu'une attaque par force brute ?

Une attaque par force brute est une méthode par essais et corrections utilisée pour décoder des données sensibles. Les applications les plus courantes pour les attaques par force brute sont le craquage de mots de passe et le craquage de clés de chiffrement (continuez à lire pour en savoir plus sur les clés de chiffrement). Les autres cibles courantes des attaques par force brute sont les clés API et les connexions SSH. Les attaques par force brute de mot de passe sont souvent effectuées par des scripts ou des bots qui ciblent la page de connexion d'un site Web.

Ce qui différencie les attaques par force brute des autres méthodes de craquage, c'est que les attaques par force brute n'utilisent pas de stratégie intellectuelle ; elles essaient simplement d'utiliser différentes combinaisons de caractères jusqu'à ce que la bonne combinaison soit trouvée. C'est un peu comme un voleur qui tente de s'introduire dans un coffre-fort en essayant toutes les combinaisons possibles de chiffres jusqu'à ce que le coffre-fort s'ouvre.

Quelles sont les forces et les faiblesses des attaques par force brute ?

Les plus grands avantages des attaques par force brute sont qu'elles sont relativement simples à réaliser et, avec suffisamment de temps et l'absence de stratégie d'atténuation pour la cible, elles fonctionnent toujours. Chaque système basé sur un mot de passe et chaque clé de chiffrement peuvent être piratés à l'aide d'une attaque par force brute. En fait, le temps nécessaire à la force brute pour pénétrer dans un système est une mesure utile pour évaluer le niveau de sécurité de ce système.

D'autre part, les attaques par force brute sont très lentes, car elles peuvent devoir parcourir toutes les combinaisons possibles de caractères avant d'atteindre leur objectif. Cette lenteur est aggravée lorsque le nombre de caractères dans la chaîne cible augmente (une chaîne n'est qu'une combinaison de caractères). Par exemple, un mot de passe à quatre caractères prend beaucoup plus de temps à la force brute qu'un mot de passe à trois caractères, et un mot de passe à cinq caractères prend beaucoup plus de temps qu'un mot de passe à quatre caractères. Une fois que le nombre de caractères dépasse un certain point, l'attaque par force d'un mot de passe correctement aléatoire devient irréaliste.

Brute Force Cracking Times

Si la chaîne cible est suffisamment longue, un pirate faisant usage de l'attaque par force brute peut prendre des jours, des mois, voire des années pour décoder un mot de passe correctement aléatoire. En raison de la tendance actuelle à exiger des mots de passe et des clés de chiffrement plus longs, les attaques par force brute sont un peu plus difficiles. Lorsque de bons mots de passe et un bon chiffrement sont utilisés, les pirates essaient généralement d'autres méthodes de décryptage de code telles que l'ingénierie sociale ou les attaque de type « intermédiaire ».

Comment se protéger contre les attaques par force brute

Les développeurs qui gèrent les systèmes d'autorisation peuvent prendre des mesures telles que le verrouillage des adresses IP qui ont généré trop de connexions infructueuses et l'incorporation d'un délai dans leur logiciel de vérification des mots de passe. Même un délai de quelques secondes, peut considérablement paralyser l'efficacité d'une attaque par force brute.

Les utilisateurs de services Web peuvent réduire leur vulnérabilité aux attaques par force brute en choisissant des mots de passe plus longs et plus complexes. Il est également recommandé d'activer l'authentification à 2 facteurs et d'utiliser des mots de passe uniques pour chaque service. Si un pirate est capable d'attaquer par force le mot de passe d'un utilisateur pour un service, ce pirate peut essayer d'utiliser les mêmes identifiant et mot de passe sur de nombreux autres services populaires. Ceci est connu sous le nom d'attaque par infiltration de compte.

Les utilisateurs doivent également éviter de saisir des mots de passe ou des informations personnelles, telles que des numéros de cartes de crédit ou des coordonnées bancaire, sur des services Web qui ne protègent pas leurs données avec des clés de chiffrement solides.

Qu'est-ce qu'une clé de chiffrement ?

Les clés de chiffrement sont des chaînes aléatoires de bits générées pour brouiller et débrouiller les données. Une fois les données brouillées, elles apparaissent sous la forme d'une chaîne de caractères aléatoires et mélangées jusqu'à ce qu'elles soient débrouillées avec la bonne clé de chiffrement. Tout comme les mots de passe, les clés de chiffrement peuvent être piratées à l'aide d'attaques par force brute, mais il existe de nos jours des clés de chiffrement qui demanderaient une si longue période de craquage à l'aide d'ordinateurs modernes qu'elles sont considérées comme impossibles à craquer.

Quelle est la différence entre le chiffrement 128 bits et le chiffrement 256 bits ?

Une clé de chiffrement plus longue est exponentiellement plus sûre qu'une clé plus courte. Par exemple, dans une clé de chiffrement 128 bits, il y a 2128 combinaisons possibles qu'un pirate utilisant l'attaque par force brute devrait essayer. Pour un chiffrement 256 bits, un pirate devrait essayer 2256 combinaisons différentes, ce qui nécessiterait 2128 fois plus de puissance de calcul pour se craquer qu'une clé 128 bits ! (2128 = 340, 282, 366, 920, 938, 463, 463, 374, 607, 431, 768, 211, 456 combinaisons possibles).

Pour vous donner une idée de la signification de ces chiffres, un ordinateur puissant capable de vérifier des milliards de combinaisons par seconde aurait besoin de plus d'un sexdécillion d'années pour déchiffrer une clé de cryptage de 256 bits (un sexdécillion est égal à 1 suivi de 96 zéros).

Étant donné que les clés de chiffrement à bits élevés sont pratiquement à l'abri des attaques actuelles par force brute, il est recommandé que tous les services Web qui collectent des informations sur les utilisateurs chiffrent leurs données et communications à l'aide de clés de chiffrement 256 bits. Cloudflare utilise le meilleur chiffrement TLS de sa catégorie pour empêcher les attaques par force brute, et a travaillé sur la protection future contre l'informatique quantique.