Les attaques par force brute forcent les données en essayant toutes les combinaisons possibles, comme un voleur qui forcerait un coffre en essayant toutes les combinaisons de la serrure à l'aide du sélecteur.
Cet article s'articule autour des points suivants :
Contenu associé
Qu’est-ce qu’un bot ?
Qu’est-ce que la gestion des bots ?
Extraction de contenu
Qu’est-ce que l’infiltration de comptes ?
Qu'est-ce que robots.txt ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Une attaque par force brute est une méthode par tâtonnements utilisée pour décoder des données sensibles. Les applications les plus courantes des attaques par force brute consistent à percer les mots de passe et les clés de chiffrement (continuez à lire pour en savoir plus sur les clés de chiffrement). Les autres cibles courantes des attaques par force brute sont les clés API et les connexions SSH. Les attaques par force brute visant les mots de passe sont souvent effectuées par des scripts ou des bots qui ciblent la page de connexion d'un site web.
La différence entre les attaques par force brute et les autres méthodes de craquage, tient au fait que les attaques par force brute n'utilisent pas de stratégie intellectuelle. Elles essaient simplement d'utiliser différentes combinaisons de caractères jusqu'à ce que la bonne combinaison soit trouvée : un peu comme un voleur qui tente de forcer un coffre-fort en essayant toutes les combinaisons possibles jusqu'à ce que le coffre-fort s'ouvre.
Les plus grands avantages des attaques par force brute sont leur relative simplicité de réalisation et, avec suffisamment de temps et l'absence de stratégie d'atténuation pour la cible, elles fonctionnent toujours. Chaque système basé sur un mot de passe et chaque clé de chiffrement peuvent être piratés à l'aide d'une attaque par force brute. En fait, le temps nécessaire à la force brute pour pénétrer dans un système est une mesure utile pour évaluer le niveau de sécurité de ce système.
D'autre part, les attaques par force brute sont très lentes, car elles doivent essayer toutes les combinaisons de caractères possibles avant d'atteindre leur objectif. Le procédé est encore plus lent lorsque le nombre de caractères dans la chaîne cible augmente (une chaîne n'est qu'une combinaison de caractères). Par exemple, un mot de passe à quatre caractères prend beaucoup plus de temps à la force brute qu'un mot de passe à trois caractères, et un mot de passe à cinq caractères prend beaucoup plus de temps qu'un mot de passe à quatre caractères. Une fois que le nombre de caractères dépasse un certain point, l'attaque par force brute d'un mot de passe « aléatoire » devient irréaliste.
Si la chaîne cible est suffisamment longue, il peut falloir des jours, des mois, voire des années à un pirate utilisant l'attaque par force brute pour décoder un mot de passe aléatoire. Les mots de passe et clés de chiffrement demandés étant de plus en plus longs, les attaques par force brute sont beaucoup plus difficiles. Lorsque de bons mots de passe et un bon chiffrement sont utilisés, les pirates essaient généralement d'autres méthodes de déchiffrement de code telles que l'ingénierie sociale ou les attaques sur le chemin d'accès.
Les développeurs gérant les systèmes d’autorisation peuvent prendre des mesures comme le blocage des adresses IP ayant généré trop d’erreur de connexion ou l’incorporation d’un délai dans leur logiciel de vérification de mot de passe. Un délai, même de quelques secondes, peut fortement rendre une attaque par force brute inefficace.
Les utilisateurs de services web peuvent diminuer leur vulnérabilité aux attaques par force brute en choisissant des mots de passe plus longs et plus complexes. Il est également recommandé d’activer l’authentification à deux facteurs et d’utiliser un mot de passe unique pour chaque service. Si un attaquant est capable de pirater par force brute le mot de passe d’un utilisateur d’un service, il peut tenter de réutiliser l’identifiant et le mot de passe pour de nombreux autres services connus. C'est ce que l'on appelle le credential stuffing.
Les utilisateurs doivent également éviter de saisir des mots de passe ou des informations personnelles, telles que des numéros de cartes de crédit ou des coordonnées bancaire, sur des services web qui ne protègent pas leurs données avec des clés de chiffrement fortes.
Les clés de chiffrement sont des chaînes aléatoires de bits générées pour chiffrer (c'est-à-dire « brouiller ») et déchiffrer les données. Une fois les données chiffrées, elles apparaissent sous la forme d'une chaîne de caractères aléatoires mélangées jusqu'à ce qu'elles soient déchiffrées avec la bonne clé de chiffrement. Tout comme les mots de passe, les clés de chiffrement peuvent être piratées à l'aide d'attaques par force brute, mais il existe de nos jours des clés de chiffrement qui prendraient tellement de temps à craquer avec les ordinateurs modernes qu'elles sont considérées comme impossibles à craquer.
Une clé de chiffrement plus longue est exponentiellement plus sûre qu'une clé plus courte. Par exemple, pour une clé de chiffrement 128 bits, il existe 2128 combinaisons possibles qu'un attaquant par force brute devra essayer. Pour un chiffrement de 256 bits, un pirate devrait essayer 2256 combinaisons différentes, ce qui nécessiterait 2128 fois plus de puissance de calcul pour ne craquer qu'une clé de 128 bits ! (2128 = 340 282 366 920 938 463 463 374 607 431 768 211 456 combinaisons possibles).
Pour vous donner une idée de la signification de ces nombres, un ordinateur puissant capable de vérifier des milliards de combinaisons par seconde aurait besoin de plus d'un sexdécillion d'années pour craquer une clé de chiffrement de 256 bits (un sexdécillion est égal à un 1 suivi de 96 zéros).
Des clés de cryptage aussi élevées étant quasiment préservées des attaques par force brute actuelle, il est recommandé à tous les services web qui recueille des informations personnelles de chiffrer leurs données et communications à l’aide clé de chiffrement 256 bits. Cloudflare utilise le meilleur chiffrement TLS de sa catégorie pour empêcher les attaques par force brute et travaille à assurer la protection future contre l’informatique quantique.