Attaques par force brute
Catégories
Sensibilisation

Attaques par force brute : Zoom sur une menace persistante

11 janvier 2024 par Laurine

Les attaques informatiques ont connu une diversification au cours des dernières années et force est de constater que les pirates ne manquent pas d’inventivité. Pourtant, parmi les méthodes « classiques » de cyberattaque, l'attaque par force brute continue d'occuper une place importante dans le palmarès et demeure redoutablement efficace contre des cibles mal préparées.

Qu'est-ce qu'une attaque par force brute ?

L'attaque par force brute consiste à tenter de deviner un mot de passe ou une clé de déchiffrement en essayant toutes les combinaisons possibles, une à une, jusqu'à trouver la bonne.

Si ce type de cyberattaque peut être effectué « à la main », le plus souvent les pirates utilisent des outils informatisés (souvent revendus sur des places de marché illégales) permettant d’augmenter fortement le nombre de combinaisons testées en un minimum de temps.

À titre d’exemple, en 2023, un pirate équipé du matériel adapté n’a besoin que de quelques minutes pour réussir à craquer un mot de passe de 8 caractères comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux.

Pour faciliter l’exercice, l’attaquant peut exploiter les informations personnelles que nous déposons sur nos réseaux sociaux (nom, prénom, date de naissance, photos, départ en congé, adresse, loisirs…), nos formulaires en ligne et nos sites e-commerce. Il s’agit de la fraude par ingénierie sociale. Autrement dit : plus on laisse de traces, plus on aide (sans le vouloir) à deviner nos mots de passe.

Ce type d’attaque va impacter un des piliers de la sécurité des données : la confidentialité. En effet, si le pirate trouve le mot de passe, il peut accéder aux systèmes, usurper une identité, voler des données, les vendre ou les exposer.

Comment fonctionne une attaque par force brute ?

Le mécanisme est simple :

  • Sélection de la cible : L'attaquant choisit un compte ou un système qu'il souhaite infiltrer.
  • Automatisation : À l'aide d'outils spécifiques, il lance un processus qui teste des combinaisons en masse, des plus simples aux plus complexes.
  • Exploitation : Une fois le mot de passe (ou la clé) trouvé, l'attaquant peut accéder au compte ou au système et aux données initialement protégées.

Le succès des attaques par force brute s’explique principalement par deux facteurs :

  • Négligence : beaucoup continuent d'utiliser des mots de passe simples et faciles à deviner. « 123456 » reste un mot de passe très utilisé. Une étude de NordPass met régulièrement en évidence ce phénomène.
  • Progrès technologique : les capacités de calcul et l’industrialisation des outils permettent de tester un nombre colossal de combinaisons, toujours plus rapidement.

Comment se protéger des attaques par force brute ?

Des mesures de sécurité permettent de se prémunir des attaques par force brute :

  • Utiliser des mots de passe complexes : Utilisez des mots de passe complexes : au moins 12 caractères (et 15+ pour les services critiques), avec des caractères variés (majuscules, minuscules, chiffres, caractères spéciaux). Évitez les mots du dictionnaire et les éléments personnels évidents.
  • Limiter les tentatives : Quand c’est possible, limitez le nombre d’essais infructueux et ajoutez des délais d'attente après plusieurs échecs (ou un blocage temporaire).
  • Activer l'authentification multifacteur : Dès que cela est possible, activez l’ authentification multifacteur. Ainsi, même si un pirate obtient votre mot de passe, il lui sera bien plus difficile d’accéder au compte.
  • Mettre en place des alertes : Configurez des alertes en cas de comportements suspects (pics de tentatives de connexion échouées, connexions depuis des lieux inhabituels, etc.).

Mini-rappel : La force brute profite surtout des mauvaises habitudes. En combinant mot de passe robuste + limitation de tentatives + MFA, vous faites chuter drastiquement le risque.