Proton
what is a brute force attack

Concernant la cybersécurité, un terme souvent mentionné est l’attaque par force brute. Une attaque par force brute est toute attaque qui ne repose pas sur la finesse, mais utilise plutôt la puissance brute des calculs pour contourner la sécurité ou même le chiffrement sous-jacent.

Dans cet article, nous examinons ce que sont les attaques par force brute, comment elles fonctionnent et comment vous pouvez prévenir cela.

Que signifie une attaque par force brute ?

L’équivalent dans le monde réel d’une attaque par force brute est de forcer une serrure non pas avec un crochet, mais plutôt avec un pied-de-biche. C’est bruyant, déroutant et pas très élégant, mais cela fait le travail.

Un bon exemple de la façon dont ce principe se traduit numériquement est ce qu’on appelle une attaque par dictionnaire — utilisée lors de l’incident de sécurité célèbre de 2012 concernant Dropbox, où les identifiants de 68 millions d’utilisateurs ont été compromis. Dans ce scénario, un attaquant essaiera de deviner un mot de passe pour un compte en ligne en ayant un programme essayer des milliers, voire des millions, de mots courants, espérant avoir de la chance et en trouver un qui fonctionne.

Les suppositions sont basées sur des mots de passe connus et leurs dérivés, pas seulement des mots de dictionnaire, et chaque supposition est généralement faite une par une. Tout ce qu’il faut, c’est un système suffisamment puissant pour faire les calculs encore et encore, jusqu’à ce que le programme trouve la bonne combinaison de symboles qui compose le mot de passe pour ce compte.

Il convient de mentionner que l’utilisation d’un pied-de-biche numérique de cette manière n’est pas seulement gourmande en ressources, mais prend aussi beaucoup de temps. Bien que la saisie des mots de passe possibles puisse être faite rapidement, en quelques millisecondes, le grand volume signifie que ces millisecondes s’accumulent. En conséquence, les propriétaires d’un site peuvent souvent arrêter une attaque avant qu’elle ne cause de réels dommages, mais pas toujours.

Exemples d’attaques par force brute

Les attaques par dictionnaire ne sont qu’un type d’attaque par force brute, tout comme les pieds-de-biche ne sont qu’une façon de forcer une serrure. Voici quelques-unes des plus courantes.

Bourrage d’identifiants

Les attaques de bourrage d’identifiants sont un autre type très basique. Plutôt que de deviner les informations de connexion des victimes, elles prennent plutôt des identifiants connus, généralement rendus publics lors d’une fuite, et les essaient ensuite sur différents sites en grand nombre (les ‘stuffing’). 

Puisque de nombreuses personnes réutilisent leur nom d’utilisateur et leur mot de passe, résultat de la fatigue des mots de passe autant que de toute autre chose, cela rend le remplissage d’identifiants une tactique d’attaque réussie pour tout cybercriminel cherchant à gagner de l’argent rapidement.

Attaques par pulvérisation de mots de passe

Les attaques par pulvérisation de mots de passe, également connues sous le nom d’attaques par force brute inversée, suivent une approche similaire. Dans ce cas, les attaquants auront une liste de noms d’utilisateur et ils parcourront cette liste en utilisant des mots de passe simples, espérant avoir de la chance. 

Ce type est particulièrement efficace contre les organisations ayant une sécurité négligée. La plupart des entreprises ont une méthode établie pour générer des noms d’utilisateur (en combinant le prénom et le nom, par exemple) et les administrateurs ne font pas toujours changer le mot de passe par défaut (qui est souvent quelque chose comme motdepasse123). Si même un utilisateur n’a pas changé son mot de passe, les attaquants ont un accès facile.

Prévention des attaques par force brute

Si vous avez l’œil vif, vous avez remarqué que tous les types d’attaques par force brute ci-dessus ont une chose en commun : tous ciblent des mots de passe facilement devinables. Donc, si vous sécurisez votre mot de passe, vous êtes pour la plupart en sécurité contre ces types de tactiques de force brute.

Par exemple, les attaques par dictionnaire peuvent être évitées en utilisant des mots de passe longs et aléatoires. Cela bloquera tout programme de génération de mots de passe puisqu’il ne peut pas prédire quel sera le prochain symbole. Plus vous les rendrez longs, plus ils mettront de temps à être craqués, atteignant des milliards d’années avec un mot de passe de 16 caractères.

Les attaques de bourrage d’identifiants peuvent être évitées en utilisant toujours des mots de passe aléatoires et en ne réutilisant jamais le même mot de passe deux fois. Même si une violation expose l’un de vos mots de passe, vous savez que tous vos autres comptes sont en sécurité.

L’utilisation de ces deux tactiques empêchera également les attaques par pulvérisation de mots de passe, car celles-ci reposent sur la réutilisation de mots de passe faibles par les entreprises. En utilisant toujours des mots de passe forts combinés à l’authentification à deux facteurs (A2F), qui vous oblige à utiliser un second appareil pour prouver votre identité, vous rendez toute tentative de pulvérisation de mots de passe inutile.

Comment prévenir les attaques par force brute avec Proton

Tous les conseils ci-dessus font partie d’une politique de mots de passe décente, que vous soyez une entreprise ou un particulier. Cependant, pour les mettre en œuvre, vous aurez besoin d’un gestionnaire de mots de passe, un programme capable de générer et de stocker des mots de passe pour vous et de les remplir automatiquement lorsque vous naviguez. Ils sont un moyen non seulement d’améliorer votre sécurité en ligne, mais aussi votre qualité de vie.

Un gestionnaire de mots de passe peut également être bien plus, c’est pourquoi nous avons développé Proton Pass. Notre gestionnaire de mots de passe possède toutes les fonctionnalités de base dont vous avez besoin pour vous protéger contre les attaques par force brute, y compris la prise en charge intégrée de l’A2F qui rend cette fonctionnalité essentielle beaucoup moins contraignante, mais offre également quelques extras uniques qui vous aideront à construire une identité numérique qui vous protégera des attaques.

Par exemple, lors de la création de comptes, vous pouvez utiliser des alias hide-my-email, qui pointent vers votre véritable adresse e-mail sans la révéler. Ceci rend très difficile pour la plupart des attaques par force brute de vous cibler, car elles n’auront pas de nom d’utilisateur utilisé sur d’autres comptes. Vous pouvez également choisir d’utiliser des clés d’accès sur les sites qui supportent cette méthode d’authentification à la pointe de la technologie. En utilisant cela, il n’y a pas de mot de passe à deviner, rendant les attaques par force brute inutiles.

En plus de cela, nous avons également quelques fonctionnalités qui améliorent votre sécurité de manière plus générale. Le meilleur exemple est le chiffrement de bout en bout, qui garantit que vos mots de passe ne sont connus que de vous. Personne, même pas nous, ne sait ce que vous stockez chez nous. C’est excellent pour la sécurité, mais cela favorise également une plus grande confidentialité.

Cette combinaison de sécurité et de confidentialité est ce qui fait de Proton le leader dans ce domaine. Comme nous sommes entièrement financés par des abonnements — pas de capital-risque, pas d’annonceurs — nous comptons sur vous pour rester en affaires. C’est pourquoi nous vous ferons toujours passer en premier, vous, notre communauté. Si cela vous semble quelque chose que vous aimeriez rejoindre, rejoignez Proton Pass aujourd’hui.

Articles similaires

laptop showing Bitcoin price climbing
en
  • Guides vie privée
Learn what a Bitcoin wallet does and the strengths and weaknesses of custodial, self-custodial, hardware, and paper wallets.
pixel tracking: here's how to tell which emails track your activity
en
Discover what pixel tracking is and how it works, how to spot emails that track you, and how to block these hidden trackers.
A cover image for a blog describing the next six months of Proton Pass development which shows a laptop screen with a Gantt chart
en
  • Nouveautés produits
  • Proton Pass
Take a look at the upcoming features and improvements coming to Proton Pass over the next several months.
The Danish mermaid and the Dutch parliament building behind a politician and an unlocked phone
en
We searched the dark web for Danish, Dutch, and Luxembourgish politicians’ official email addresses. In Denmark, over 40% had been exposed.
Infostealers: What they are, how they work, and how to protect yourself
en
Discover insights about what infostealers are, where your stolen information goes, and ways to protect yourself.
Mockup of the Proton Pass app and text that reads "Pass Lifetime: Pay once, access forever"
en
Learn more about our exclusive Pass + SimpleLogin Lifetime offer. Pay once and enjoy premium password manager features for life.