Qu’est-ce qu’une attaque par force brute ?

Qu’est-ce qu’une attaque par force brute ?

On parle d’attaque par force brute lorsqu’un pirate essaie de trouver (« craquer ») un mot de passe via un processus intensif d’essais et d’erreurs assisté par ordinateur. Avec l’évolution de la technologie, le cadre et la définition des attaques par force brute se sont élargis.

Cette article contient :

Cette article contient :

Voir tous les Security articles

Cette article contient :

Dans les années 1970, un pirate ne pouvait essayer que des milliers de mots de passe différents par seconde. De nos jours, l’informatique permet d’essayer des centaines de milliards de mots de passe par seconde.

Bien que la signification de la force brute se soit élargie, la méthode reste la même : essayer un maximum de combinaisons de mots de passe en espérant que l’une d’entre elles fonctionne. Bien souvent, les chances de réussite de l’attaque dépendent du temps et des ressources qu’un pirate est prêt à y consacrer. Mais quelles méthodes utilisent les pirates modernes ?

Types d’attaque par force brute

On distingue 5 types d’attaque par force brute : attaque simple, attaque par dictionnaire, attaque hybride, attaque inversée et credential stuffing. Avec quelques recherches et un peu de savoir-faire, on peut facilement obtenir un logiciel de déchiffrement pour lancer automatiquement une attaque par force brute.

En général, on utilise des outils de force brute pour craquer des mots de passe ou déchiffrer des base de mots de passe volées. L’efficacité de ces outils dépend des ressources et des connaissances informatiques de leurs développeurs.

Les pirates œuvrant en solitaire n’ont pas forcément les moyens de s’offrir un ordinateur haut de gamme capable de craquer des mots de passe. Mais avec le temps, la définition de pirate informatique a évolué. Aujourd’hui, de nombreux cybercriminels appartiennent à des groupes financés et étroitement organisés, et ont accès aux meilleures techniques de décodage de mots de passe.

Attaques simples

Les attaques par force brute simples requièrent peu de connaissances et de ressources informatiques. Elles testent des combinaisons de mots, de lettres et de caractères jusqu’à réussir à s’introduire dans le système. Les mots de passe longs et complexes ne sont pas exposés à ces attaques, car celles-ci se limitent généralement à des variations des mots de passe les plus courants ou les plus probables.

Une attaque par force brute simple est si facile qu’on peut la réaliser manuellement (même si cela prend évidemment plus de temps).

Un bot (agent logiciel) peut facilement deviner un mot de passe prévisible. C’est pourquoi certains des pires mots de passe sont des séries de chiffres (123456), le nom ou la date de naissance d’une personne, ou le fameux (et toujours aussi populaire) « motdepasse ».

Les attaques par force brute simples permettent de trouver facilement des mots de passe simples.

Les attaques par force brute simples peuvent être très efficaces car beaucoup d’utilisateurs ne comprennent pas le danger qu’implique l’utilisation de mots de passe faibles. Certains utilisateurs préfèrent risquer leur sécurité que devoir se souvenir de mots de passe plus longs et plus complexes. Si vous avez du mal à mémoriser vos mots de passe, nous vous conseillons d’utiliser un bon gestionnaire de mots de passe.

Attaque par dictionnaire

Les attaques par dictionnaire ciblent les mots de passe utilisant des termes plus complexes, à l’aide d’un dictionnaire numérique ou d’une liste de mots. En définissant un mot complexe comme mot de passe, vous pouvez vous protéger contre les attaques par force brute simples, car de nombreux pirates refusent de passer trop de temps sur un mot de passe. Mais l’utilisation de mots plus complexes ne vous protégera pas des attaques par dictionnaire.

Pour trouver un mot de passe, les attaques par dictionnaire passent en revue chaque mot : ses combinaisons courantes avec d’autres mots, ses variations orthographiques et sa traduction dans plusieurs langues. Si votre mot de passe n’est constitué que d’un mot, une attaque par dictionnaire le devinera en quelques secondes.

Attaques hybrides

Les attaques par force brute hybrides combinent les attaques par force brute simples et les attaques par dictionnaire. Les mots de passe courants sont mélangés à des mots du dictionnaire et à des caractères aléatoires afin de créer une base de données plus importante de combinaisons de mots de passe à essayer. Un mot de passe comme « p@$$w0rd » peut tromper une attaque par dictionnaire, mais il a peu de chances de résister à une attaque hybride.

Au lieu de se contenter d’essayer des mots un par un, les pirates recourant aux attaques hybrides personnalisent leur stratégie d’attaque. L’infiltré sait quelles combinaisons de mots sont les plus probables car il dispose d’une liste de mots (peut-être achetée sur le Dark Web), a identifié la cible et a une connaissance générale du comportement humain. Cela lui permet de hiérarchiser ses attaques pour cibler des combinaisons en priorité.

Attaques inversées

Les attaques par force brute inversées inversent l’ordre des opérations : elles commencent par un mot de passe commun ou connu et essaient de forcer le nom d’utilisateur. Suite à des violations de données, des mots de passe sont parfois publiés sur Internet. Et lorsqu’ils le sont, ils sont souvent utilisés pour lancer des attaques inversées.

De nombreux internautes ne pensent pas à la sécurité de leurs identifiants de connexion, ce qui rend le piratage par force brute des noms d’utilisateur plus lucratif qu’on ne le pense.

Credential stuffing

On parle de « credential stuffing » lorsqu’un pirate réussit à obtenir un nom d’utilisateur et un mot de passe pour un site, puis tente de se connecter à d’autres sites avec les mêmes identifiants (ou des similaires). Au lieu de forcer un mot de passe ou un nom d’utilisateur, il force l’endroit où le mot de passe ou nom d’utilisateur est utilisé. C’est l’une des raisons pour lesquelles vous ne devriez jamais enregistrer vos mots de passe dans votre navigateur.

Si vous utilisez le même mot de passe ou nom d’utilisateur pour plusieurs sites – comme beaucoup d’entre nous – et que l’un de vos comptes est compromis, tous vos autres comptes sont menacés. Outre l’utilisation de mots de passe uniques pour tous vos comptes, pensez à renforcer votre sécurité avec un antivirus.

Avast One vous protège contre tous les problèmes de sécurité : fuite de mots de passe, paramètres dangereux, extensions suspectes, logiciels malveillants et autres cybermenaces. Smart Scan, l’une de ses fonctionnalités intégrées, parcourt votre système pour que vous puissiez facilement détecter et corriger toute vulnérabilité avant qu’elle ne devienne un problème.

Outils utilisé lors d’une attaque par force brute

Les tentatives manuelles de force brute contre tous les mots de passe, sauf les plus faibles, prennent beaucoup de temps. Mais les pirates informatiques ont développé toute une série d'outils automatisés pour les aider à décoder les mots de passe plus facilement, et tous ne fonctionnent pas en exécutant toutes les combinaisons de caractères possibles.

Voici quelques-uns des principaux outils utilisés par les pirates pour les attaques par force brute :

• Outils de ciblage des mots de passe faibles

  En utilisant des outils qui identifient et testent d'abord les mots de passe les plus faciles et les plus évidents, les pirates informatiques n'ont souvent pas besoin de recourir à des méthodes plus lourdes.

• Outils de piratage Wi-Fi

  Les outils de piratage Wi-Fi analysent la sécurité des réseaux Wi-Fi et récoltent des données qui leur permettent d'attaquer plus efficacement les réseaux ciblés.

• Fonctions de hachage

  Les méthodes de chiffrement basées sur des algorithmes, connues sous le nom de « fonctions de hachage », produisent des mots de passe longs et aléatoires qui peuvent être utilisés par les outils de décodage pour deviner leurs mots de passe ciblés.

• Bots de dictionnaire

  Grâce aux attaques par dictionnaire, les outils de force brute peuvent décoder extrêmement rapidement des mots de passe constitués d’un seul mot.

Tous ces outils logiciels fonctionnent en traitant rapidement de grandes quantités de données, ce qui consomme beaucoup de puissance de calcul. Les outils matériels spécialisés dans le forçage brut combinent généralement un processeur (CPU) et un processeur graphique (GPU) pour accélérer considérablement la vitesse de décodage d’un mot de passe.

Pourquoi les cybercriminels lancent-ils des attaques par force brute ?

Les attaques par force brute peuvent avoir divers motifs. De nombreux pirates ou cybercriminels les utilisent contre des sites web pour insérer des publicités ou voler des données personnelles via des attaques de phishing. Un attaquant vindicatif peut aussi s’en servir pour détruire la réputation d’un site web.

Les logiciels de cassage de mots de passe (logiciels essayant plusieurs mots de passe jusqu’à trouver le bon) sont disponibles gratuitement sur le web. Cela signifie qu’ils sont à la disposition de toute personne ayant de mauvaises intentions ou un peu de temps à tuer. Ainsi, le motif et l’intensité peuvent varient d’une attaque à une autre. Cependant, les attaques par force brute graves peuvent prendre le contrôle d’un système entier.

Maintenant que nous avons passé en revue les exemples les plus courants d’attaques par force brute, examinons ce qui peut motiver des pirates à y recourir.

Possibilité d’explorer des pages web cachées

Les attaques de piratage par force brute peuvent révéler bien plus que des mots de passe et des noms d’utilisateur. En forçant des adresses web, les attaquants peuvent accéder à des pages web ou à des répertoires autrement cachés au public.

Ces pages web sont généralement créées pour des raisons techniques ou personnelles, ou ont simplement été oubliées. Dans les deux cas, leur sécurité peut être plus faible que celle des sites destinés au grand public. Elles sont probablement plus vulnérables aux exploits informatiques, aux logiciels malveillants tels que les chevaux de Troie, aux injections SQL et à d’autres cybermenaces.

Si un pirate peut forcer une page web cachée, il peut s’assurer une porte dérobée (backdoor) fiable vers le site web principal.

Tirer profit des publicités

En accédant illégalement à des sites web, les pirates peuvent inonder leurs visiteurs de publicités, chaque clic ou vue générant de l’argent pour le pirate. Les pirates peuvent également rediriger le trafic vers des sites illégitimes et remplis de publicités, ou vers des sites de pharming déguisés en sites réels.

En exploitant les modèles économiques de la publicité et en forçant les utilisateurs à voir et à subir des cascades de publicités, les pirates peuvent gagner de l’argent grâce au spam.

Propager des malwares

Les attaques par force brute sont souvent utilisées pour propager des virus et autres logiciels malveillants (malware) dans un système. Selon le type de malware utilisé par le pirate, celui-ci peut accéder à des données sensibles, telles qu’une liste de contacts ou des données de localisation.

En installant un logiciel publicitaire (adware) sur votre appareil, un pirate peut vous spammer avec des publicités et gagner de l’argent chaque fois qu’elles apparaissent sur votre écran. Les pirates peuvent également forcer un site web, puis y installer un logiciel malveillant infectant tout visiteur du site.

Avast One peut vous protéger contre ce type de menaces inattendues. Pendant que vous naviguez sur le web, notre Agent web bloque le téléchargement de logiciels malveillants connus sur votre PC. Et notre Agent des fichiers analyse les fichiers inconnus avant qu’ils ne vous parviennent, et les met immédiatement en quarantaine s’ils sont malveillants.

En effet, Avast One bloque les attaques malveillantes sur votre ordinateur, même si elles proviennent de domaines de confiance qui ont été compromis à leur insu lors d’une attaque par force brute.

De plus, notre fonction intégrée Smart Scan corrige les failles de votre cybersécurité en surveillant tous vos paramètres et extensions pour détecter d’éventuelles menaces.

Vous avez besoin d’une protection encore plus poussée contre les attaques par force brute ? Découvrez Avast Premium Security et son Agent contre l’accès à distance : il bloque automatiquement les tentatives de force brute sur votre appareil.

Voler des données

En gagnant un accès aux sites web, les pirates peuvent suivre vos données de navigation et les vendre à des tiers. Vos informations sont précieuses pour les annonceurs qui veulent vous vendre des produits, pour les sociétés d’analyse qui aident les sites web à optimiser leurs modèles économiques et pour les courtiers en données qui vendent des données personnelles ou agrégées.

Télécharger et utiliser un logiciel de cassage est si simple que les pirates malchanceux n’ont rien à perdre. De nos jours, les données peuvent rapporter beaucoup.

Et bien sûr, quiconque vole vos données peut aussi les utiliser pour lui-même. Par exemple, avec une attaque par force brute, un pirate peut insérer un logiciel espion (spyware) pour collecter vos données personnelles et les utiliser pour faire du doxxing ou pour usurper votre identité.

Détourner des systèmes

Après avoir forcé leur entrée, les pirates peuvent infecter votre appareil avec un rançongiciel (ransomware) pour prendre en otage vos fichiers ou vous bloquer l’accès à votre appareil. Après avoir pris le contrôle de votre appareil, les pirates peuvent vous extorquer de l’argent en menaçant de détruire vos fichiers ou de divulguer les informations sensibles qu’ils contiennent.

Des ransomwares comme Petya et WannaCry peuvent chiffrer vos fichiers et vous demander une rançon pour leur déchiffrement. Mais même si vous payez, vous n’avez aucune garantie de récupérer vos données.

Comment se protéger des attaques par force brute

Le choix d’un mot de passe sûr est votre première ligne de défense contre une attaque par force brute. Définissez des mots de passe uniques pour tous vos comptes, et stockez-les précieusement avec un gestionnaire de mots de passe puissant.

Google et d’autres services tentent d’empêcher les attaques par force brute en limitant le nombre de tentatives de connexion ou en utilisant un CAPTCHA et d’autres méthodes similaires pour vérifier si un utilisateur est humain. Cependant, les derniers logiciels d’attaque par force brute peuvent échapper à ces mesures de sécurité.

Si un pirate dispose de la fonction de hachage d’un mot de passe, il peut essayer de se connecter au compte hors ligne depuis un autre appareil, autant de fois qu’il le souhaite. Et comme beaucoup d’entre nous ont tendance à utiliser le même nom d’utilisateur et le même mot de passe pour plusieurs comptes, les pirates peuvent essayer de se connecter à des milliers de sites web jusqu’à trouver une correspondance, puis revenir en arrière pour tester un mot de passe sur la cible initiale.

Mais vous pouvez faire beaucoup de choses pour prévenir les attaques par force brute, notamment suivre de meilleures pratiques en matière de mots de passe, activer l’authentification multi-facteurs et utiliser un logiciel de cybersécurité.

Utilisez des mots de passe longs, complexes et uniques

Plus le mot de passe est long, mieux c’est. Nous sommes nombreux à utiliser le même mot de passe pour plusieurs sites, et nous utilisons souvent des mots de passe courts, car récupérer son mot de passe est toujours fastidieux. Pour éviter ce problème et créer des mots de passe difficiles à pirater, vous pouvez utiliser un gestionnaire de mots de passe sécurisé qui génère et stocke automatiquement les mots de passe pour vous.

Les mots de passe complexes sont plus sûrs que les mots de passe simples. Vous avez dû remarquer que certains sites web vous demandaient de générer un mot de passe sécurisé. Ces mots de passe longs et complexes correspondent à des séries aléatoires de lettres, de chiffres et de symboles. En augmentant la longueur de vos mots de passe et en utilisant des combinaisons uniques de mots ou de lettres, vous augmentez de façon exponentielle la sécurité de vos mots de passe.

Évitez d’utiliser des identifiants courants tels que votre équipe de foot préférée, le nom de votre ville ou toute autre information pouvant facilement être trouvée à partir de votre localisation ou d’autres données démographiques. Et créez toujours un nouveau mot de passe pour chacun de vos comptes.

Un mot de passe de 7 lettres permet environ 8 milliards de combinaisons, ce qui reste à la portée des attaques par force brute. Doublez ce chiffre à 14 lettres, et les combinaisons explosent à 64 quintillions, soit plus que le nombre de grains de sable sur terre. Et si vous passez à 21 lettres, vous obtenez plus de combinaisons possibles que toutes les étoiles de l’univers.

Activez l’authentification multi-facteurs

Pour vous connecter, l’authentification multi-facteurs (MFA) et l’authentification à deux facteurs (2FA) requièrent au moins deux types d’éléments d’authentification différents. Ces facteurs peuvent être basés sur la connaissance, comme une question de sécurité. Veillez à éviter de choisir des questions dont les réponses peuvent être facilement trouvées sur vos profils de réseaux sociaux.

Il est facile de configurer le système 2FA sur Facebook ou Google : vous devez l’activer depuis les paramètres de sécurité, puis confirmer votre identité par SMS ou par une application d’authentification.

Les facteurs d’authentification peuvent aussi être des éléments à usage unique que vous devez avoir en votre possession lorsque vous vous connectez : par exemple, un mot de passe à usage unique (OTP) qui vous est envoyé par e-mail, des notifications push avec des codes spéciaux ou une application d’authentification dédiée.

Un troisième facteur d’authentification peut être un identifiant biométrique, tel qu’une empreinte digitale ou un logiciel de reconnaissance faciale. Les pirates spécialisés peuvent toujours imiter ou voler ces informations, mais cela est très difficile et n’en vaut pas la peine, à moins que vous ne soyez une cible de très grande valeur.

L’authentification multi-facteurs ajoute des couches de sécurité à votre mot de passe.

Renforcez vos défenses

Parfois, le meilleur moyen de contrer un programme maléfique est d’utiliser un bon programme. En plaçant votre réseau ou site web derrière un pare-feu ou en configurant une passerelle VPN, vous pouvez ajouter une ligne de défense contre les programmes de force brute.

Les logiciels antivirus peuvent s’assurer que votre système est sécurisé jusque dans le moindre recoin. Ces programmes de défense doivent être à la pointe de la technologique et les meilleurs antivirus doivent être constamment mis à jour pour bloquer les virus et stopper les tentatives de piratage.

Contrez les attaques par force brute avec Avast One

Pour suivre les pirates les plus audacieux, les entreprises doivent innover. Avast One dispose d’une fonction intégrée qui analyse le Dark Web pour y détecter votre adresse e-mail et les données qui y sont associées. Il surveille également vos mots de passe pour s’assurer qu’ils n’ont pas été exposés et vous avertit si vous devez les changer.

Heureusement, peu d’entre nous sont directement visés par les attaques par force brute. Les pirates ciblent plutôt les sites web pour le forçage brut, puis utilisent cet accès pour diffuser des logiciels malveillants aux visiteurs du site.

Avast One bloque et supprime automatiquement les logiciels malveillants (malware) provenant de sites compromis (même ceux qui sont habituellement sûrs) afin qu’aucun virus ou malware ne puisse infecter votre ordinateur. Il vous protège également contre les téléchargements malveillants, les liens infectés et les pièces jointes non sécurisées des e-mails.

Avec toute cette gamme de cybermenaces, vous devez absolument disposer d’une couche de défense supplémentaire pour protéger vos données et autres informations personnelles. Téléchargez tout de suite Avast One pour garder une longueur d’avance sur les pirates informatiques.