ProtonBlog
S'abonner par RSS
what is a brute force attack

Qu’est-ce qu’une attaque par force brute ?

Partagez cette page

En matière de cybersécurité(new window), un terme qui revient souvent est l’attaque par force brute. Une attaque par force brute est toute attaque qui ne repose pas sur la finesse, mais utilise plutôt la puissance de calcul brute pour craquer la sécurité ou même le chiffrement(new window) sous-jacent.

Dans cet article, nous expliquons ce que sont les attaques par force brute, comment elles fonctionnent et comment vous pouvez les prévenir.

Que signifie attaque par force brute ?

L’équivalent dans le monde réel d’une attaque par force brute est de passer outre une serrure non pas avec un crochet, mais plutôt avec un pied-de-biche. C’est bruyant, désordonné et peu élégant, mais cela permet d’atteindre le but.

Un bon exemple de l’application de ce principe dans le domaine numérique est ce qu’on appelle une attaque par dictionnaire, utilisée lors du célèbre incident de sécurité Dropbox en 2012 qui a compromis les identifiants de 68 millions d’utilisateurs(new window). Dans ce scénario, un attaquant va essayer de deviner un mot de passe pour un compte en ligne en faisant en sorte qu’un programme essaie des milliers, voire des millions, de mots courants dans l’espoir de tomber sur le bon et de trouver celui qui fonctionne.

Les suppositions sont basées sur des mots de passe connus et leurs dérivés, pas seulement sur des mots de dictionnaire, et chaque tentative est généralement effectuée une par une. Il suffit d’un système suffisamment puissant pour répéter les calculs, encore et encore, jusqu’à ce que le programme tombe sur la bonne combinaison de symboles qui constitue le mot de passe de ce compte.

Il convient de mentionner que l’utilisation d’un pied-de-biche numérique de cette manière n’est pas seulement gourmande en ressources, mais prend aussi beaucoup de temps. Bien que la saisie de mots de passe possibles puisse être effectuée rapidement, en quelques millisecondes, le volume énorme signifie que ces millisecondes s’accumulent. En conséquence, les propriétaires d’un site peuvent souvent arrêter une attaque avant qu’elle ne cause de réels dommages, mais pas toujours.

Exemples d’attaques par force brute

Les attaques par dictionnaire ne sont qu’un type d’attaque par force brute, tout comme les pieds-de-biche ne sont qu’une manière de forcer une serrure. Voici quelques-unes des plus courantes.

Remplissage d’identifiants

Les attaques par remplissage d’identifiants(new window) sont un autre type très basique. Plutôt que de deviner les informations de connexion des victimes, elles prennent plutôt des identifiants connus, généralement rendus publics lors d’une fuite, et les essaient ensuite sur différents sites en grand nombre (les ‘stuffing’).

Puisque de nombreuses personnes réutilisent leur nom d’utilisateur et leur mot de passe, résultat de la fatigue des mots de passe(new window) autant que de toute autre chose, cela rend le remplissage d’identifiants une tactique d’attaque réussie pour tout cybercriminel cherchant à gagner de l’argent rapidement.

Attaques par pulvérisation de mots de passe

Les attaques par pulvérisation de mots de passe, également connues sous le nom d’attaques par force brute inversée, adoptent une approche similaire. Dans ce cas, les attaquants disposent d’une liste de noms d’utilisateur et essaient ensuite de les utiliser avec des mots de passe simples, dans l’espoir de trouver le bon.

Ce type est particulièrement efficace contre les organisations ayant une sécurité négligente. La plupart des entreprises ont une méthode établie pour générer des noms d’utilisateur(new window) (en combinant le prénom et le nom, par exemple) et les administrateurs ne font pas toujours changer le mot de passe par défaut (qui est souvent quelque chose comme motdepasse123). Si même un utilisateur n’a pas changé son mot de passe, les attaquants ont alors un accès facile.

Prévention des attaques par force brute

Si vous êtes attentif, vous avez remarqué que tous les types d’attaques par force brute mentionnés ci-dessus ont un point commun : ils ciblent tous des mots de passe faciles à deviner. Par conséquent, si vous sécurisez votre mot de passe, vous êtes en grande partie à l’abri de ces tactiques de force brute.

Par exemple, les attaques par dictionnaire peuvent être contrées en utilisant des mots de passe longs et aléatoires(new window). Cela va déjouer tout programme de génération de mots de passe puisqu’ils ne peuvent pas prédire quel sera le prochain symbole. Plus ils sont longs, plus il faudra de temps pour les craquer, ce qui peut représenter des milliards d’années avec un mot de passe de 16 caractères.

Les attaques par bourrage d’identifiants peuvent être évitées en utilisant toujours des mots de passe aléatoires et en ne réutilisant jamais le même mot de passe deux fois. Même si une violation expose l’un de vos mots de passe, vous saurez que tous vos autres comptes sont sécurisés.

En utilisant ces deux tactiques, vous empêcherez également les attaques par pulvérisation de mots de passe, car celles-ci reposent sur la réutilisation de mots de passe faibles par les organisations. En utilisant toujours des mots de passe forts(new window) en combinaison avec l’authentification à deux facteurs(new window) (A2F), qui vous oblige à utiliser un second appareil pour prouver votre identité, vous rendez toute tentative de pulvérisation de mots de passe inutile.

Comment prévenir les attaques par force brute avec Proton

Tous les conseils ci-dessus font partie d’une bonne politique de mots de passe(new window), que vous soyez une entreprise ou un particulier. Cependant, pour les mettre en œuvre, vous aurez besoin d’un gestionnaire de mots de passe(new window), un programme capable de générer et de stocker des mots de passe pour vous et de les remplir automatiquement lorsque vous naviguez. C’est un moyen non seulement d’améliorer votre sécurité en ligne, mais aussi votre qualité de vie.

Un gestionnaire de mots de passe peut être bien plus encore, c’est pourquoi nous avons développé Proton Pass(new window). Notre gestionnaire de mots de passe possède toutes les fonctionnalités de base dont vous avez besoin pour vous protéger contre les attaques par force brute, y compris la prise en charge intégrée de l’A2F qui rend cette fonctionnalité essentielle beaucoup moins contraignante, mais offre également quelques extras uniques qui vous aideront à construire une identité numérique(new window) qui vous gardera à l’abri des attaques.

Par exemple, lors de la création de comptes, vous pouvez utiliser des alias « hide-my-email »(new window), qui renvoient à votre véritable adresse e-mail sans la révéler. Cela rend très difficile pour la plupart des attaques par force brute de vous cibler, car elles n’auront pas de nom d’utilisateur ayant été utilisé sur d’autres comptes. Vous pouvez également opter pour l’utilisation de clés d’accès(new window) sur les sites qui prennent en charge cette méthode d’authentification de pointe. En les utilisant, il n’y a pas de mot de passe à deviner, rendant les attaques par force brute inutiles.

En plus de ces fonctionnalités, nous avons aussi quelques options qui améliorent votre sécurité de manière plus générale. Le meilleur exemple est le chiffrement de bout en bout(new window), qui garantit que vos mots de passe ne sont connus que de vous. Personne, pas même nous, ne sait ce que vous stockez chez nous. Cela est excellent pour la sécurité, mais favorise également une plus grande confidentialité.

Cette combinaison de sécurité et de confidentialité fait de Proton le leader dans ce domaine. Comme nous sommes entièrement financés par les abonnements, sans capital-risque, sans entreprises qui font de la publicité, nous comptons sur vous pour nous maintenir en activité. En conséquence, nous placerons toujours vous, notre communauté, en priorité. Si cela vous semble être quelque chose auquel vous aimeriez participer, rejoignez Proton Pass dès aujourd’hui.

Protégez votre vie privée avec Proton
Créer un compte gratuit

Articles similaires

compromised passwords
en
  • Vie privée, les fondamentaux
How do passwords become compromised?
Compromised passwords are a common issue and probably one of the biggest cybersecurity threats for regular people. How do passwords get compromised, and is there anything you can do to prevent it? * What does compromised password mean? * How do pa
Is WeTransfer safe?
en
  • Vie privée, les fondamentaux
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Vie privée, les fondamentaux
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
Les fuites de données sont de plus en plus courantes. Lorsque vous vous inscrivez à un service en ligne, vous fournissez des informations personnelles précieuses pour les pirates, telles que des adresses e-mail, des mots de passe, des numéros de télé
Une communication sécurisée et fluide est la base de toute entreprise. Alors que de plus en plus d’organisations sécurisent leurs données avec Proton, nous avons considérablement élargi notre écosystème avec de nouveaux produits et services, de notre
Note : les liens dans cet article renvoient à des contenus en anglais. La section 702 du Foreign Intelligence Surveillance Act est devenue tristement célèbre comme justification juridique permettant à des agences fédérales telles que la NSA, la CIA