Vous avez sûrement déjà entendu le terme « brute force ». On vous a peut-être dit que c’était une méthode qui permettait de casser un mot de passe facilement, et que c’était pour cette raison qu’il fallait mettre des majuscules, des chiffres et des caractères spéciaux pour limiter la casse.
Mais au fond, qu’est-ce que le brute force, concrètement ?
Principe d’une attaque brute force : comment ça fonctionne ?
Une attaque par force brute consiste à tester automatiquement toutes les combinaisons possibles jusqu’à tomber sur la bonne. L’attaquant n’a pas besoin de connaître quoi que ce soit sur vous : il laisse simplement un logiciel faire le travail à sa place.
Prenons un exemple simple. On veut casser un mot de passe de 4 caractères, avec un logiciel de brute force. Que va-t-il se passer ?
Le logiciel va tout simplement essayer toutes les combinaisons possibles. Il commence par « aaaa ». Ça ne marche pas ? Il tente « aaab ». Toujours pas bon ? Alors « aaac ». Et ainsi de suite, jusqu’à « zzzz ».
Ça vous semble laborieux et interminable ? Pour un humain, oui. Mais pour un ordinateur, c’est l’histoire d’une seconde.
En effet, la puissance de calcul des machines actuelles permet de tester des millions de combinaisons par seconde. Avec une machine bien configurée, on peut atteindre un milliard de tests par seconde sur un mot de passe simple.
Pourquoi les attaques brute force sont si rapides aujourd’hui ?
« Moi, mon mot de passe est sécurisé ! »
Ah oui ? Voyons ça ensemble.
Dans la plupart des cas en entreprise, les mots de passe ressemblent à ça : un prénom (enfant, conjoint, animal de compagnie) suivi d’une date (année de naissance, jour de changement de mot de passe…).
Voyons combien de temps il faut pour casser chacun de ces exemples :
Mon chien s’appelle Youkki (oui, avec deux K, c’est plus stylé).
- Youkki → moins d’une seconde
- Youkki08 (hop je change le chiffre tous les mois) → moins d’une seconde
- Youkki082025 (hahaha j’ai rajouté l’année) → moins d’une seconde
- Youkki082025! (j’ai rajouté un caractère spécial) → environ 1 heure
- Y0uKK108205! → jusqu’à 10 jours
Du coup, est-ce suffisant ?
Si c’est un simple mot de passe personnel, peut-être. Il y a peu de chances qu’un hacker passe 10 jours à essayer de pirater votre compte Netflix. Mais pour une entreprise ? C’est largement insuffisant.
Qu’est-ce que 10 jours d’attente pour un ordinateur qui tourne dans un coin, si derrière on peut récupérer des données clients, des informations stratégiques ou un accès à la comptabilité ?
Attaque par dictionnaire : la cousine redoutable du brute force
Au-delà du brute force, il existe une autre méthode d’attaque : le dictionnaire.
Si votre mot de passe contient un prénom, le nom d’un animal, d’une ville, d’un personnage de jeu vidéo… bref, tout ce qui peut figurer dans une base de données, alors le travail du pirate est encore plus simple.
Et s’il fait partie d’une liste de mots de passe déjà fuitée (ce qui est très fréquent), il sera testé en priorité. Ces dictionnaires sont mis à jour en permanence, avec des millions de mots de passe issus de fuites.
Donc Léo45002, azerty1234, password123 ou bonjour2025, même si ça vous semble sérieux, ne protègent rien.
Les outils d’attaque actuels sont capables de prendre un mot, de tester toutes ses variantes (majuscules, chiffres, symboles) et de combiner cela avec du brute force pour finir le travail.
Alors, c’est quoi un bon mot de passe ?
Dans l’idéal :
- Il ne doit pas contenir de mot du dictionnaire, ni de nom propre
- Il ne doit avoir aucun lien personnel avec vous. Ne sous estimez jamais les informations trouvables en quelques secondes via les réseaux sociaux ou les nombreuses fuites sur le darkweb.
- Il doit être long (minimum 20 caractères)
- Il doit être aléatoire (majuscule, minuscule, chiffre, symbole)
Exemple solide : Jv@7#x9K$uNp13!qZc4T
Temps estimé pour le casser : environ 19 trillions d’années
Bien sûr, les technologies évoluent vite. Avec l’IA et les futurs ordinateurs quantiques, cela ne sera peut-être plus suffisant quelques années.
Mais aujourd’hui, c’est la meilleure solution.
D’accord… mais comment je m’en souviens ?
Et bien… vous ne vous en souviendrez pas. Et ce n’est pas un problème.
Car chaque application, chaque boîte mail, chaque compte doit avoir un mot de passe différent.
Ainsi, en cas de fuite (et il y en a très souvent), le pirate ne pourra pas accéder à l’ensemble de vos comptes avec un seul mot de passe.
C’est là qu’entrent en jeu les gestionnaires de mots de passe. Ils permettent de générer, stocker et remplir automatiquement vos identifiants.
Mais ça… c’est un autre sujet. On en reparlera très bientôt.
Le mot d’Arthur, éclaireur cybersécurité
Les attaques brute force, je connais. Et je sais aussi que beaucoup de SMSI tiennent plus du château de sable que du bastion bien construit.
Avec ELIOPOLIS, on peut t’aider, que tu sois en Saône-et-Loire ou dans les départements autour.
Tu es plus loin ? Pas de souci, l’expertise se fait aussi très bien à distance.
On plonge ensemble dans ton système quand tu veux.
