Que sont les attaques par force brute? Comment vous protéger contre eux
Si vous avez lu des articles sur la sécurité ou entendu parler de violations majeures, vous avez probablement entendu le terme «attaque par force brute». Mais vous ne savez peut-être pas exactement ce que cela signifie.
Voyons ce qu'est une attaque par force brute, comment elles fonctionnent généralement et comment vous pouvez rester protégé contre elles.
Les bases des attaques par force brute
Sur un plan fondamental, une attaque par force brute est vraiment simple. Forcer brutalement un mot de passe consiste à deviner toutes les combinaisons possibles jusqu'à ce que vous les compreniez finalement. Et bien que vous puissiez le faire manuellement, cela devient évidemment fastidieux avant longtemps.
Ainsi, dans la plupart des attaques par force brute de base, un programme informatique essaie de deviner un mot de passe ou une clé de chiffrement en parcourant toutes les combinaisons possibles pour un certain nombre de caractères.
Par exemple, disons que vous avez écrit un utilitaire qui a tenté de forcer brutalement un mot de passe iPhone à quatre chiffres. Il commencerait par deviner 0000 , puis 0001 , puis 0002 , 0003 , et ainsi de suite jusqu'à ce qu'il atteigne 9999 .
Le même principe fonctionne avec des mots de passe plus compliqués. Un algorithme de force brute essayant de déchiffrer un mot de passe comportant six caractères alphanumériques peut commencer par aaaaaa , aaaaab , aaaaac , etc. Il procéderait ensuite à l'inclusion de nombres (et éventuellement de majuscules), comme aabaa1 , aabaa2 , aabaa3 , etc. Cela passerait par toutes les combinaisons possibles de six caractères de chiffres et de lettres, jusqu'à zzzzzz , zzzzz1 et au-delà.
Il existe également une technique connexe connue sous le nom d'attaque par force brute inverse, dans laquelle vous essayez un mot de passe commun contre de nombreux noms d'utilisateurs différents. C'est moins courant et plus difficile à utiliser avec succès, mais cela permet de contourner certaines contre-mesures courantes (dont nous parlerons un peu plus loin).
De toute évidence, ce n'est pas une manière élégante de deviner un mot de passe. En théorie, si vous disposiez de suffisamment de puissance et de temps de calcul, vous pourriez deviner n'importe quel mot de passe en utilisant la force brute. Mais si vous essayez de casser autre chose qu'un mot de passe court et simple, les attaques par force brute sont inefficaces. Il faudrait des années et des tonnes de puissance de calcul pour forcer brutalement un mot de passe fort.
Comme vous vous en doutez, les schémas de craquage de mots de passe sont devenus plus sophistiqués que cela.
Attaques avancées par force brute
Parce que les attaques par force brute sont limitées lorsqu'elles sont utilisées contre des mots de passe autres que simples, les pirates ont des moyens de les améliorer.
Une attaque par dictionnaire, par exemple, ne se contente pas de parcourir toutes les combinaisons de caractères possibles. Au lieu de cela, il utilise des mots, des nombres ou des chaînes de caractères d'une liste pré-compilée – généralement tirés de quelque chose comme une liste de mots de passe couramment divulgués. Parce que ces mots de passe sont si courants, ils sont susceptibles de fournir une entrée dans d'autres comptes.
Par exemple, une attaque par dictionnaire peut essayer un certain nombre de mots de passe courants , comme "mot de passe", "123456", "letmein", etc., avant de se lancer dans une attaque par force brute standard. Ou il peut ajouter l'année en cours à la fin de tous les mots de passe qu'il essaie avant de passer au mot de passe suivant.
Les attaques par dictionnaire réduisent considérablement les combinaisons rares de mots de passe. Cela a du sens – pour un mot de passe de base à huit caractères, quelqu'un est plus susceptible d'utiliser "dogs1234" que "zp1vg8el". En vous concentrant d'abord sur les combinaisons les plus probables, vous pouvez réduire le temps passé lors du forçage brutal.
Diverses méthodes d'utilisation des attaques par force brute existent, mais elles reposent toutes sur l'essai d'un grand nombre de mots de passe aussi rapidement que possible jusqu'à ce que le bon soit trouvé. Certains nécessitent plus de puissance de calcul, mais économisent du temps. D'autres sont plus rapides, mais nécessitent une plus grande quantité de ressources lors de l'attaque.
Là où les attaques par force brute sont dangereuses
En théorie, les attaques par force brute peuvent être utilisées sur n'importe quel compte ou autre plateforme disposant d'un mot de passe ou d'une clé de chiffrement. Mais de nombreux endroits où ils pourraient travailler ont généralement des contre-mesures efficaces contre eux, comme examiné ci-dessous.
Vous êtes le plus en danger d'une attaque par force brute si vous perdez vos données et qu'un acteur malveillant s'en empare. Une fois que quelque chose se trouve sur l'ordinateur d'une autre personne, certaines des protections en place sur votre machine ou en ligne peuvent être contournées.
Comment un mécréant peut-il mettre vos données sur son ordinateur? Vous pourriez perdre une clé USB lorsqu'elle sort de votre poche. Peut-être que vous laissez votre téléphone dans un trajet Uber. Un service cloud piraté pourrait exposer certains de vos fichiers à d'autres personnes, ou des logiciels malveillants pourraient copier vos données sur l'ordinateur de quelqu'un d'autre à votre insu.
Le fait est que même si les attaques par force brute ne sont pas efficaces à certains endroits, il existe encore des moyens pour les pirates de les déployer contre vos données. Pour éviter les situations où une attaque par force brute pourrait casser des protections sur vos données, vous devez suivre de près où se trouvent vos appareils et vos fichiers.
Protéger contre les attaques par force brute
Il existe un certain nombre de défenses que les sites Web et d'autres outils utilisent contre les attaques par force brute, ainsi que des moyens de vous en protéger.
Comment les services se protègent contre les attaques par force brute
L'une des protections les plus simples et les plus couramment utilisées est le verrouillage. Avec cela, si vous entrez un mot de passe incorrect un certain nombre de fois, le compte refuse d'accepter d'autres tentatives de connexion. Pour réessayer, vous devez contacter le service client ou attendre un certain temps.
Cela arrête une attaque par force brute sur ses traces – au lieu d'essayer des milliers de combinaisons en quelques minutes, devoir attendre 10 minutes ou une heure pour continuer à essayer dissuadera un pirate potentiel.
Les sites Web peuvent également dissuader les attaques par force brute avec un défi CAPTCHA ou similaire. Le fait de devoir remplir un CAPTCHA chaque fois que vous voulez essayer un mot de passe ralentit considérablement le processus, ce qui va à l'encontre de ce point.
Cependant, aucune de ces méthodes ne fonctionnera contre une attaque par force brute inverse. Ces attaques n'échouent qu'une seule fois au test de mot de passe pour chaque compte, ce qui ne sera probablement pas suffisant pour déclencher la protection.
Il convient de noter que si ces tactiques sont idéales pour éviter les attaques par force brute, elles offrent également d'autres moyens d'attaquer un site. Par exemple, si une attaque par force brute est lancée contre un site qui verrouille des comptes après cinq tentatives incorrectes, son équipe de service client pourrait être inondée d'appels d'utilisateurs légitimes, ralentissant ainsi ses opérations.
Accabler un site avec des tentatives de force brute pourrait également être utilisé dans le cadre d'une attaque par déni de service distribuée .
Comment vous protéger contre les attaques par force brute
L'authentification à deux facteurs est un moyen puissant de vous protéger contre les attaques par force brute, à la fois standard et inversée. Avec l'authentification à deux facteurs (2FA), même si un hacker devine le bon mot de passe, devoir entrer un autre code empêchera un attaquant d'accéder à votre compte.
De loin, cependant, le moyen le plus simple de vous protéger contre une attaque par force brute est d'utiliser un mot de passe long. À mesure que la longueur d'un mot de passe augmente, la puissance de calcul requise pour deviner toutes les combinaisons de caractères possibles augmente de façon exponentielle.
Considérez l'exemple de code d'accès iPhone précédent. Les anciennes versions d'iOS utilisaient un code PIN à quatre chiffres, qui a 10000 combinaisons possibles. Cependant, les versions modernes d'iOS utilisent un mot de passe à six chiffres par défaut. Cela augmente le nombre de combinaisons possibles à un million.
Dans les deux cas, il est peu probable que quelqu'un puisse réellement forcer le mot de passe de votre iPhone, en partie grâce au verrouillage qui se produit après quelques erreurs. Mais vous pouvez voir qu'en ajoutant seulement deux chiffres supplémentaires, le facteur de protection augmente 100 fois.
En plus de la longueur, les mots de passe complexes sont également beaucoup plus difficiles à utiliser par force brute. Si quelqu'un voulait casser un mot de passe et savait qu'il ne contenait que des lettres minuscules, il pouvait sauter de nombreuses combinaisons possibles. Mais cette même longueur de mot de passe avec des chiffres, des lettres majuscules et des symboles ajoutés augmenterait le temps de force brute du mot de passe de plusieurs ordres de grandeur.
Utilisez des mots de passe sécurisés – idéalement avec un gestionnaire de mots de passe pour ne pas avoir à vous en souvenir de tous – et vous serez pratiquement à l'abri des attaques par force brute. Un mot de passe de 12 caractères qui utilise des lettres majuscules et minuscules, des chiffres et un pool de 18 symboles aurait plus de 68 sextillions de possibilités. Cela prendrait des siècles à la force brute.
Les attaques par force brute peuvent être efficaces dans certains cas
Ces types d'attaques sont simples et inélégants – le nom est «force brute» pour une raison, après tout. Vous savez maintenant comment fonctionnent les attaques par force brute et comment vous en protéger, vous ne devriez donc pas avoir grand-chose à craindre.
Utilisez des mots de passe forts et ne laissez pas vos données se retrouver dans un endroit où elles ne sont pas protégées par des contre-mesures de force brute. N'oubliez pas qu'il existe d'autres moyens de compromettre les mots de passe.