Obtenez Avast One pour iPhone pour aider à bloquer les pirates et les malwares
- Sécurité
- Confidentialité
- Performances
On parle d’attaque par force brute lorsqu’un pirate tente de déchiffrer des mots de passe par tâtonnements. Cette méthode d’attaque est également utilisée pour le déchiffrement illégal d’informations chiffrées. Lisez la suite pour découvrir comment fonctionnent les attaques par force brute et comment un outil de cybersécurité solide comme Avast One peut vous aider à protéger vos mots de passe et à assurer votre sécurité en ligne.
Une attaque par force brute est un type de cyberattaque dans laquelle un pirate utilise la technologie pour soumettre de nombreux mots de passe ou phrases de passe différents afin d’essayer de deviner un mot de passe ou un code de déchiffrement permettant d’obtenir un accès non autorisé à un système. Les attaquants y parviennent en essayant méthodiquement autant de combinaisons de mots de passe que possible jusqu’à ce qu’ils parviennent à la bonne combinaison de caractères.
Cette article contient :
Le temps nécessaire pour percer un mot de passe dépend de la force du mot de passe et de la technologie du pirate. Les pirates peuvent déchiffrer des mots de passe faibles en quelques secondes, alors qu’il faudrait des années pour découvrir des mots de passe plus longs et plus complexes. Il existe un nombre fini de combinaisons de caractères pour chaque longueur de mot de passe, et les ordinateurs modernes peuvent effectuer des centaines de milliards de tentatives de connexion par seconde.
Les mots de passe contenant davantage de caractères et de variétés (lettres, chiffres et symboles) sont plus difficiles à deviner. Par exemple, un pirate est capable de forcer un mot de passe en quelques secondes s’il ne contient que sept lettres. Cependant, il faudrait près de 500 000 ans pour trouver un mot de passe de 18 caractères avec la technologie actuelle.
L’expression « technologie actuelle » est toutefois à nuancer. Au fur et à mesure que les pirates ont accès à des technologies plus avancées, leurs méthodes s’améliorent. Chaque année, ils utilisent des attaques par force brute pour découvrir des mots de passe plus complexes plus rapidement. C’est pourquoi il est si important de mettre à jour régulièrement vos mots de passe et de les renforcer.
Les attaques par force brute ne sont pas illégales en soi. Ils constituent un outil précieux pour déterminer la force de vos mots de passe, et les entreprises les utilisent souvent pour améliorer leurs capacités en matière de cybersécurité.
Mais les attaques par force brute sont illégales lorsqu’elles sont utilisées comme méthode de piratage pour accéder à des données sans autorisation. L’accès aux données sans autorisation est illégal, même si vous avez réussi à déchiffrer le mot de passe pour y accéder.
C’est un peu comme forcer un coffre-fort, ce qui n’est pas illégal en soi. Vous pouvez vous acheter un coffre-fort et le percer toute la journée, ou vous pouvez percer le coffre-fort de quelqu’un d’autre, avec sa permission, bien sûr. Mais dès que vous percez un coffre-fort et que vous en volez le contenu, vous commettez un acte illégal.
On distingue cinq types d’attaque par force brute parmi les plus répandues : attaque simple, attaque par dictionnaire, attaque hybride, attaque inversée et credential stuffing.
Les attaques par force brute simples passent systématiquement par des combinaisons de mots, de lettres et de caractères jusqu’à ce qu’elles déchiffrent un mot de passe. Ces attaques requièrent peu de connaissances et de ressources informatiques. Elles sont si simples qu’elles peuvent être réalisées manuellement, bien que cela prenne évidemment plus de temps.
Ainsi, les mots de passe longs et complexes sont hors de portée des attaques simples, qui se limitent généralement à des variations des mots de passe les plus courants ou les plus probables.
Un robot peut facilement forcer un mot de passe prévisible, les pires mots de passe étant ceux qui comportent des chiffres séquentiels (123456), le nom ou la date d’anniversaire d’une personne, ou le fameux (et toujours aussi populaire) « motdepasse ».
Les attaques par force brute simples permettent de trouver facilement des mots de passe simples.
Les attaques par force brute simples peuvent être très efficaces, car beaucoup d’utilisateurs ne comprennent pas le danger qu’implique l’utilisation de mots de passe faibles. Certains préfèrent risquer leur sécurité que devoir se souvenir de mots de passe plus longs et plus complexes. Mais vous n’avez même pas besoin de vous souvenir des mots de passe si vous utilisez un bon gestionnaire de mots de passe.
Les attaques par dictionnaire utilisent un dictionnaire numérique ou une liste de mots pour cibler les mots de passe les plus obscurs. Ces attaques par dictionnaire passent en revue chaque mot : ses combinaisons courantes avec d’autres mots, ses variations orthographiques et sa traduction dans plusieurs langues.
Le choix d’un mot plus obscur pour votre mot de passe peut vous protéger contre de simples attaques de piratage par force brute, mais il ne vous mettra pas à l’abri d’attaques par dictionnaire. Si vous utilisez un seul mot pour votre mot de passe, une attaque par dictionnaire en force brute peut réussir en quelques secondes.
Les attaques par force brute hybrides combinent les attaques par force brute simples et les attaques par dictionnaire. Les mots de passe courants sont mélangés à des mots du dictionnaire et à des caractères aléatoires afin de créer une base de données plus importante de combinaisons de mots de passe. Un mot de passe comme « p@$$w0rd » peut tromper une attaque par dictionnaire, mais il a peu de chances de résister à une attaque hybride.
Au lieu de se contenter d’essayer des mots un par un, les pirates recourant aux attaques hybrides personnalisent leur stratégie d’attaque. L’infiltré sait quelles combinaisons de mots sont les plus probables car il dispose d’une liste de mots (peut-être achetée sur le Dark Web), a identifié la cible et a une connaissance générale du comportement humain. Cela lui permet de hiérarchiser ses attaques pour cibler des combinaisons en priorité.
Les attaques par force brute inversée tentent de forcer le nom d’utilisateur au lieu du mot de passe. Lorsque des mots de passe courants sont divulgués en ligne à la suite d’une violation de données, il est souvent plus facile de saisir le mot de passe et de déchiffrer les noms d’utilisateur. De nombreux utilisateurs choisissent le même mot de passe, de sorte qu’une attaque inverse peut permettre aux pirates d’accéder à de nombreux comptes.
De nombreux internautes ne pensent pas à la sécurité de leurs identifiants de connexion, ce qui rend le piratage par force brute des noms d’utilisateur plus simple et plus lucratif qu’on ne le pense.
On parle de « credential stuffing » lorsqu’un pirate réussit à obtenir un nom d’utilisateur et un mot de passe pour un site, puis tente de se connecter à d’autres sites avec les mêmes identifiants (ou des similaires). Plutôt que de forcer un mot de passe ou un nom d’utilisateur, il force l’endroit où le mot de passe ou nom d’utilisateur est utilisé. C’est pourquoi vous devez être prudent lorsque vous enregistrez des mots de passe dans votre navigateur.
Si vous utilisez le même mot de passe ou le même nom d’utilisateur sur plusieurs sites, si l’un de vos comptes est compromis, les autres le sont aussi. Outre l’utilisation de mots de passe uniques pour tous vos comptes, pensez à renforcer votre sécurité avec un antivirus.
Avast One aide à se protéger contre les problèmes de sécurité, des fuites de mots de passe aux extensions suspectes en passant par les malwares et autres menaces. Il surveille le web à la recherche de failles 24 h/24, 7 j/7, et vous alerte lorsqu’il détecte que l’un de vos mots de passe a été compromis. Commencez à utiliser Avast One dès aujourd’hui et protégez-vous des pirates.
Les tentatives manuelles de force brute contre tous les mots de passe, sauf les plus faibles, prennent beaucoup de temps. Mais, les pirates ont développé une gamme d’outils automatisés pour les aider à déchiffrer les mots de passe plus facilement. Toute personne ayant un peu de savoir-faire peut utiliser un outil de déchiffrement par force brute, qui est un type de logiciel spécialisé permettant de mener des attaques par force brute.
Voici quelques-uns des principaux logiciels spécialisés dans les attaques par force brute qu’utilisent les pirates :
Outils de ciblage de mots de passe faibles
En utilisant des outils qui identifient et testent d’abord les mots de passe les plus faciles et les plus évidents, les pirates informatiques n’ont souvent pas besoin de recourir à des méthodes plus lourdes.
Outils de piratage Wi-Fi
Ils analysent la sécurité des réseaux Wi-Fi et récoltent des données qui leur permettent d’attaquer plus efficacement les réseaux ciblés.
Fonctions de hachage
Les méthodes de chiffrement basées sur des algorithmes, connues sous le nom de « fonctions de hachage », produisent des mots de passe longs et aléatoires qui peuvent être utilisés par les outils de décodage pour deviner leurs résultats.
Bots de dictionnaires
Grâce aux attaques par dictionnaire, les outils de force brute peuvent décoder extrêmement rapidement des mots de passe constitués d’un seul mot.
John the Ripper
Cet outil est un outil libre de craquage de mots de passe qui peut effectuer différents types d’attaques comme les attaques par dictionnaire.
Hashcat
Hashcat est un outil avancé de piratage de mot de passe qui peut effectuer différents types d’attaques comme les attaques par dictionnaire et les attaques hybrides.
Rainbow Crack
Cet outil réduit le temps nécessaire pour craquer les mots de passe en utilisant des Rainbow Tables (tables arc-en-ciel) précalculées de hachages de mots de passe inversés.
Aircrack-ng
Aircrack-ng est une suite d’outils conçus pour évaluer la sécurité des réseaux Wi-Fi. Son objectif principal est d’aider les professionnels de la sécurité et les hackers éthiques à tester un réseau. Il comprend un outil qui vise à craquer les mots de passe Wi-Fi en parcourant les mots de passe les plus courants dans l’espoir de pirater le réseau.
Le pirate solitaire type n’a peut-être pas les moyens de s’offrir un outil de déchiffrement de mots de passe haut de gamme et l’ordinateur puissant nécessaire pour le faire fonctionner. Cependant, avec le temps, la définition de pirate informatique a évolué. Aujourd’hui, de nombreux cybercriminels appartiennent à des groupes financés et étroitement organisés, et ont accès aux meilleures techniques de décodage de mots de passe.
Les attaques par force brute peuvent avoir divers motifs. De nombreux pirates ou cybercriminels les utilisent contre des sites web pour insérer des publicités ou voler des données personnelles via des attaques de phishing. Un attaquant vindicatif peut utiliser une cyberattaque par force brute pour détruire la réputation d’un site web.
Les logiciels de cassage de mots de passe (logiciels essayant plusieurs mots de passe jusqu’à trouver le bon) sont disponibles gratuitement sur le web. Cela signifie qu’ils sont à la disposition de toute personne ayant de mauvaises intentions ou un peu de temps à tuer. Ainsi, le motif et l’intensité peuvent varient d’une attaque à une autre. Les attaques par force brute graves peuvent prendre le contrôle d’un système entier.
Maintenant que nous avons passé en revue les exemples les plus courants d’attaques par force brute, voyons ce qui peut motiver des pirates à y recourir.
Possibilité d’explorer des pages web cachéesLes attaques de piratage par force brute peuvent révéler bien plus que des mots de passe et des noms d’utilisateur. En forçant des adresses web, les attaquants peuvent accéder à des pages web ou à des répertoires autrement cachés au public.
Ces pages web sont généralement créées pour des raisons techniques ou personnelles, ou ont simplement été oubliées. Dans les deux cas, leur sécurité peut être plus faible que celle des sites destinés au grand public. Elles sont probablement plus vulnérables aux exploits informatiques, aux malwares tels que les chevaux de Troie, aux injections SQL et à d’autres cybermenaces.
Si un pirate peut utiliser la force brute pour accéder à une page web cachée, il peut s’assurer une porte dérobée (backdoor) fiable vers le site web principal.
Tirer profit des publicitésEn accédant illégalement à des sites web, les pirates peuvent inonder leurs visiteurs de publicités, chaque clic ou vue générant de l’argent pour le pirate. Les pirates peuvent également rediriger le trafic vers des sites illégitimes et remplis de publicités, ou vers des sites de pharming déguisés en sites réels.
En exploitant les modèles économiques de la publicité et en forçant les utilisateurs à voir et à subir des cascades de publicités, les pirates peuvent gagner de l’argent grâce au spam.
Propager des malwaresLes attaques par force brute sont souvent utilisées pour propager des virus et autres logiciels malveillants (malware) dans un système. Selon le type de malware utilisé par le pirate, celui-ci peut accéder à des données sensibles, telles qu’une liste de contacts ou des données de localisation.
En installant un logiciel publicitaire (adware) sur votre appareil, un pirate peut vous spammer avec des publicités et gagner de l’argent chaque fois qu’elles apparaissent sur votre écran. Les pirates peuvent également forcer un site web et y installer un malware infectant tout visiteur du site.
Avast One peut vous aider à vous protéger contre des menaces inattendues. Pendant que vous naviguez sur le web, notre Agent web aide à bloquer le téléchargement de malwares connus sur votre PC. Et notre Agent des fichiers analyse les fichiers inconnus avant qu’ils ne vous parviennent, et les met immédiatement en quarantaine s’ils sont malveillants.
En effet, Avast One aide à bloquer les attaques malveillantes sur votre ordinateur, même si elles proviennent de domaines de confiance qui ont été compromis à leur insu lors d’une attaque par force brute. De plus, notre fonction intégrée Smart Scan corrige les failles de votre cybersécurité en aidant à surveiller tous vos paramètres et modules complémentaires pour détecter d’éventuelles menaces.
Vous avez besoin d’une protection encore plus efficace ? Découvrez Avast Premium Security et son Agent contre l’accès à distance : il permet de bloquer automatiquement les tentatives de force brute sur votre appareil.
Voler des donnéesEn gagnant un accès aux sites web, les pirates peuvent suivre vos données de navigation et les vendre à des tiers. Vos informations sont précieuses pour les annonceurs qui veulent vous vendre leurs produits, pour les sociétés d’analyse qui aident les sites web à optimiser leurs modèles économiques et pour les courtiers en données qui vendent des données personnelles ou agrégées.
Télécharger et utiliser un logiciel de cassage est tellement simple que les pirates malchanceux n’ont rien à perdre. De nos jours, les données peuvent rapporter beaucoup.
Et bien sûr, quiconque vole vos données peut aussi les utiliser pour lui-même. Par exemple, avec une attaque par force brute, un pirate peut insérer un logiciel espion (spyware) pour collecter vos données personnelles et les utiliser pour faire du doxxing ou pour usurper votre identité.
Détourner des systèmesAprès avoir réussi une attaque par force brute, les pirates peuvent infecter votre appareil avec un rançongiciel (ransomware) pour prendre en otage vos fichiers ou vous bloquer l’accès à votre appareil. Après avoir pris le contrôle de votre appareil, les pirates peuvent vous extorquer de l’argent en menaçant de détruire vos fichiers ou de divulguer les informations sensibles qu’ils contiennent.
Des ransomwares comme Petya et WannaCry peuvent chiffrer vos fichiers et vous demander une rançon pour leur déchiffrement. Mais même si vous payez, vous n’avez aucune garantie de récupérer vos données.
La mise en œuvre d’une bonne cyber-hygiène est le meilleur moyen de vous protéger contre les attaques par force brute. L’adoption de meilleures habitudes en matière de mots de passe, l’utilisation de l’authentification à deux facteurs et l’utilisation de logiciels de sécurité en ligne sont autant d’éléments qui peuvent contribuer à vous protéger contre les tentatives de piratage par force brute.
Voici comment bloquer les attaques par force brute :
Le choix d’un mot de passe sûr est votre première ligne de défense contre une attaque par force brute. Définissez des mots de passe uniques pour tous vos comptes, et stockez-les précieusement avec un gestionnaire de mots de passe puissant. Plus le mot de passe est long et complexe, mieux c’est.
Vous avez peut-être remarqué que des sites web vous demandent si vous souhaitez qu’ils génèrent un mot de passe sécurisé pour vous. Il s’agit d’un moyen simple de générer des chaînes aléatoires de lettres, de chiffres et de symboles, ce qui permet d’accroître considérablement la sécurité des mots de passe.
Si vous créez votre propre mot de passe, évitez d’utiliser des identifiants courants tels que votre équipe sportive préférée, le nom de votre ville ou toute autre information qui peut être facilement déduite de vos données personnelles de base.
Enfin, créez toujours un mot de passe différent pour chacun de vos comptes. De nombreuses personnes utilisent le même mot de passe sur plusieurs sites, car il est très ennuyeux de devoir récupérer son mot de passe. Pour éviter ce problème et créer des mots de passe difficiles à pirater, vous pouvez utiliser un gestionnaire de mots de passe sécurisé qui génère et stocke automatiquement les mots de passe pour vous.
Pour vous connecter, l’authentification multi-facteurs (MFA) et l’authentification à deux facteurs (2FA) requièrent au moins deux types d’éléments d’authentification différents.
Il s’agit par exemple d’éléments à usage unique qu’il faut avoir en sa possession au moment de se connecter, comme un code à usage unique envoyé par SMS ou une clé provenant d’une application d’authentification dédiée. Autre facteur d’authentification, il est aussi possible d’utiliser un identifiant biométrique, tel qu’une empreinte digitale ou un logiciel de reconnaissance faciale.
L’authentification multi-facteurs ajoute des couches de sécurité à votre mot de passe.
La mise en place d’un VPN peut vous apporter une ligne de défense supplémentaire contre les programmes de force brute. Il est particulièrement important d’utiliser un VPN lorsque vous vous connectez à des réseaux Wi-Fi publics. Ces réseaux manquent souvent de sécurité et peuvent être envahis par des pirates qui cherchent à s’emparer de vos données lorsque vous vous connectez.
Un bon logiciel antivirus ne se contente pas de détecter et de prévenir les malwares. Les programmes de cybersécurité comme Avast One vous avertissent des fuites de mots de passe connues, aident à protéger votre boîte de réception des escroqueries par phishing et suppriment les fichiers menaçants de votre appareil. Avast One inclut également un VPN sécurisé qui vous permet de surfer anonymement sur le web où que vous soyez.
Le CAPTCHA est un système de vérification qui tente de déterminer si un utilisateur est humain. Vous avez probablement déjà rencontré des CAPTCHA si l’on vous a déjà demandé de sélectionner toutes les images contenant un bateau ou de saisir le texte que vous voyez avant d’accéder à un site.
Les outils d’attaque par force brute ne sont pas humains, et les CAPTCHA empêchent nombre d’entre eux de faire plusieurs tentatives de mots de passe. Bien que le CAPTCHA soit principalement utilisé par les entreprises, il peut également être utilisé par les particuliers qui possèdent un site web. L’ajout d’un CAPTCHA à votre site peut empêcher les pirates de l’utiliser pour recueillir vos informations et celles d’autres personnes.
Si vous possédez un site web sur lequel des utilisateurs ou des clients se connectent, vous devez limiter le nombre de tentatives de connexion autorisées. Pour ce faire, vous pouvez utiliser un plug-in pour interdire ou verrouiller temporairement une adresse IP après un certain nombre de tentatives infructueuses.
Certains sites et comptes permettent encore un nombre illimité de tentatives de connexion. C’est pourquoi la restriction du nombre de tentatives de connexion en tant qu’utilisateur n’est pas une solution à part entière. Prenez le contrôle votre propre sécurité en ligne grâce à un antivirus puissant.
Les attaques par force brute peuvent sembler redoutables, mais il n’est pas difficile de mettre en place une défense solide pour les contrer. Il vous suffit d’avoir des mots de passe forts et uniques et des outils de cybersécurité puissants comme Avast One pour renforcer considérablement votre sécurité en ligne.
Avast One surveille vos mots de passe liés à votre adresse e-mail et vous avertit si l’un d’entre eux est compromis. Il permet également de protéger votre appareil contre de nombreuses menaces telles que les téléchargements malveillants, les liens infectés, les pièces jointes dangereuses, etc. Téléchargez-le sans attendre pour garder une longueur d’avance sur les pirates.