Qu'est-ce qu'une attaque par force brute ?

Une attaque par force brute est un type de cyberattaque au cours de laquelle les pirates informatiques tentent d’obtenir un accès non autorisé à un compte ou à des données chiffrées par essais et erreurs, c’est-à-dire en essayant plusieurs identifiants de connexion ou clés de chiffrement jusqu’à ce qu’ils trouvent le bon mot de passe. Ce type d’attaque cible souvent les systèmes d’authentification tels que les pages de connexion à des sites Web, les serveurs SSH (Secure Shell) ou les fichiers protégés par mot de passe. 
 

Contrairement à d’autres cyberattaques, qui exploitent les vulnérabilités logicielles, les attaques par force brute tirent parti de la puissance de calcul et de l’automatisation pour deviner les mots de passe ou les clés. Les attaques par force brute les plus simples s’appuient sur des scripts automatisés ou des robots pour tester des milliers de combinaisons de mots de passe par minute, un peu comme un voleur qui essaie toutes les combinaisons possibles sur un cadenas jusqu’à ce qu’il s’ouvre.

Les mots de passe faibles ou simples facilitent la tâche des pirates, tandis que les mots de passe forts rendent la méthode extrêmement longue et peu pratique. Cependant, des techniques plus avancées ne cessent d’être mises au point.

Afin d’illustrer la rapidité et l’ampleur des cybermenaces actuelles, sachez que Microsoft bloque en moyenne 4 000 attaques basées sur l’identité par seconde. Pourtant, les pirates continuent de repousser les limites. Des équipements spécialisés dans le craquage de mots de passe peuvent effectuer pas moins de 7,25 billions de tentatives d’accès à la seconde.

Et aujourd’hui, avec l’émergence de l’informatique quantique et la nécessité d’une cryptographie post-quantique, les attaques par force brute ne sont plus limitées par le matériel. Les méthodes cryptographiques modernes d’authentification, telles que le chiffrement RSA, reposent sur la difficulté de factoriser de grands nombres en nombres premiers.

Avec la puissance de calcul actuelle, il faudrait des milliards d’années pour factoriser un nombre supérieur à 2048 bits. Cependant, un ordinateur quantique suffisamment avancé, doté d’environ 20 millions de qubits, pourrait briser une clé RSA de 2048 bits en quelques heures.

Les attaques par force brute constituent une menace sérieuse en matière de cybersécurité, car elles ciblent le maillon faible des systèmes de défense : les mots de passe choisis par les utilisateurs et les comptes mal protégés.

En cas de réussite, une attaque par force brute peut entraîner un accès non autorisé immédiat, permettant aux attaquants d’usurper l’identité de l’utilisateur, de voler des données sensibles ou de s’infiltrer davantage dans un réseau. De plus, contrairement aux piratages plus complexes, cette méthode nécessite relativement peu de compétences techniques, seulement des ressources et de la persévérance.

L’un des risques majeurs est l’effet domino, où la compromission d’un seul compte peut avoir des conséquences en cascade. Par exemple, si des cybercriminels parviennent à forcer les identifiants d’un administrateur, ils peuvent les utiliser pour compromettre d’autres comptes.

Même un compte utilisateur ordinaire, dès lors qu’il a été piraté, peut révéler des données personnelles ou servir de tremplin vers des accès plus privilégiés. Un grand nombre de violations de données et d’incidents liés à des ransomwares commencent par une attaque par force brute dans le but de pirater des comptes d’accès à distance, tels que les connexions RDP (Remote Desktop Protocol) ou VPN. Une fois à l’intérieur, les pirates peuvent déployer des logiciels malveillants, des ransomwares ou simplement verrouiller le système.

Les attaques par force brute constituent également une menace pour la sécurité des réseaux, car le volume des tentatives d’intrusion peut entraîner un bruit important. Or, cela peut saturer les systèmes d’authentification ou servir de diversion en vue de perpétrer des cyberattaques plus discrètes. 

Récemment, des chercheurs ont observé une campagne mondiale d’attaques par force brute utilisant près de 3 millions d’adresses IP uniques pour cibler des VPN et des pare-feux, soulignant ainsi l’ampleur et le caractère distribué que peuvent prendre ces attaques. 

En règle générale, un afflux de tentatives de connexion infructueuses est censé déclencher les systèmes de défense, mais les attaquants disposent de moyens de masquer leur activité. Ils utilisent des bots ou botnets (réseaux d’ordinateurs compromis) afin de répartir leurs tentatives entre différentes sources, par exemple des comptes de réseaux sociaux. De cette manière, les tentatives de connexion malveillantes se fondent dans le comportement normal des utilisateurs. 

Outre leur gravité, il est important de noter que les attaques par force brute vont souvent de pair avec d’autres tactiques. Par exemple, un pirate peut utiliser le phishing pour obtenir les identifiants d’un compte et la force brute pour un autre. Il peut également utiliser les résultats d’une attaque par force brute (mots de passe volés) pour mener des escroqueries par phishing ou des fraudes à d’autres endroits.

Pour comprendre le fonctionnement des attaques par force brute, il convient de considérer le nombre considérable de mots de passe qu’un pirate peut être amené à tester. Le principe est simple : générer des identifiants et les tester à grande vitesse. L’attaquant commence généralement par des identifiants prévisibles (tels que « motdepasse » ou « 123456 ») avant de tester toutes les combinaisons possibles jusqu’à trouver le bon mot de passe.

Pour accélérer le processus, les pirates modernes exploitent une puissance de calcul considérable, allant des processeurs multicœurs (CPU) aux clusters de cloud computing.

Par exemple, un mot de passe de six caractères composé uniquement de lettres minuscules offre 26^6 combinaisons possibles. Cela représente environ 308 millions de combinaisons. Avec le matériel actuel, ce nombre de tentatives peut être effectué presque instantanément, ce qui signifie qu’un mot de passe faible de six lettres peut être craqué en un clin d’œil.

En revanche, un mot de passe plus long, composé de lettres majuscules et minuscules, de chiffres et de caractères spéciaux, offre un nombre exponentiellement plus élevé de possibilités, ce qui augmente considérablement le temps et les efforts nécessaires pour le deviner. 

Les mots de passe ne sont pas les seuls éléments exposés à des risques : les méthodes de force brute peuvent également déchiffrer des fichiers ou découvrir des clés de chiffrement en recherchant de manière exhaustive l’ensemble des clés possibles (également appelé « espace de clés »). La faisabilité de telles attaques dépend de la longueur de la clé et de la force de l’algorithme. Par exemple, une clé de chiffrement de 128 bits offre un nombre extrêmement élevé de possibilités, rendant son piratage par force brute pratiquement impossible avec la technologie actuelle.

Dans la pratique, les attaques par force brute réussissent souvent non pas en craquant des chiffrements inviolables, mais en exploitant des facteurs humains : deviner des mots de passe courants, supposer la réutilisation de mots de passe ou cibler des systèmes sans mécanisme de verrouillage.

Les techniques de force brute peuvent être appliquées dans deux contextes : les attaques en ligne (tentatives en temps réel contre des systèmes actifs) et les attaques hors ligne (utilisant des données volées, telles que des mots de passe hachés, c’est-à-dire des codes courts et fixes générés à partir de mots de passe et pratiquement impossibles à déchiffrer). 

Lors des attaques en ligne, les pirates interagissent avec un système cible, par exemple une connexion à une application Web ou un service SSH, et essaient des mots de passe en temps réel. La vitesse de l’attaque est limitée par le temps de latence du réseau et les mécanismes de défense.

Par exemple, la limitation du débit restreint le nombre de tentatives dans un laps de temps donné, et les CAPTCHA permettent de distinguer les humains des bots. Les attaquants répartissent souvent leurs tentatives en ligne sur plusieurs adresses IP ou utilisent un botnet pour éviter que certaines adresses IP ne se fassent bloquer.

Dans le cas des attaques hors ligne, les pirates ont déjà obtenu les données chiffrées ou les mots de passe hachés (par exemple à la suite d’une violation de données) et utilisent leurs propres machines pour lancer des millions, voire des milliards de tentatives par seconde sans éveiller les soupçons de la cible. Il existe des outils spécialisés, généralement open source, pour mettre en œuvre ce type de stratégie. 

Par exemple, John the Ripper, Hashcat et Aircrack-ng sont des outils populaires qui automatisent le craquage de mots de passe par force brute. Des algorithmes gèrent le déferlement de tentatives, tandis que des processeurs graphiques (GPU) hachent et comparent les mots de passe à une vitesse folle.

Les attaques par force brute se présentent sous plusieurs formes, chacune utilisant des stratégies différentes pour deviner ou réutiliser des identifiants afin d’obtenir un accès non autorisé.

Cette approche consiste à essayer tous les mots de passe possibles en faisant défiler progressivement toutes les combinaisons de caractères autorisés. Également appelé recherche exhaustive, ce type d’attaque ne nécessite aucune connaissance préalable du mot de passe. Il consiste simplement à essayer systématiquement des mots de passe tels que « aaaa... », « aaab... », « zzzz... », etc., en incluant des chiffres ou des symboles selon le jeu de caractères.

Avec suffisamment de temps, une attaque par force brute simple finira par trouver les bons identifiants par essais successifs. Cependant, cela peut prendre énormément de temps si le mot de passe est long ou complexe.

Plutôt que d’essayer aveuglément toutes les combinaisons de mots de passe possibles, les attaques par dictionnaire utilisent une liste de mots de passe susceptibles d’être utilisés (un « dictionnaire » de termes) afin d’accélérer le processus. 

Les attaquants dressent des listes de mots, d’expressions et de mots de passe courants (tels que « admin », « letmein » (laisse-moi entrer) ou « motdepasse123 »). Étant donné que de nombreux utilisateurs choisissent des mots de passe faibles, simples ou basés sur des mots que l’on trouve généralement dans le dictionnaire, cette méthode peut s’avérer très efficace.

Certaines attaques hybrides combinent l’approche par dictionnaire et des méthodes simples de force brute. Les attaquants commencent par une liste de mots de base probables, puis modifient ces mots selon la méthode de force brute. Par exemple, le mot « printemps » peut être remplacé par « Printemps2025! » en ajoutant des majuscules, des chiffres ou des symboles pour satisfaire aux exigences de complexité.

Le bourrage d’identifiants (« credential stuffing » en anglais) est une variante spécialisée des attaques par force brute, dans laquelle les pirates utilisent des identifiants de connexion (noms d’utilisateur et mots de passe) volés lors de précédentes attaques pour tenter de se connecter à d’autres sites Web et services. Plutôt que de deviner de nouveaux mots de passe, ils utilisent des mots de passe connus sur une grande quantité de pages de connexion, en misant sur le fait que de nombreuses personnes réutilisent les mêmes identifiants sur différents comptes.

Une attaque par table arc-en-ciel (« rainbow table » en anglais) est une technique de piratage de mot de passe hors ligne qui échange du temps de calcul contre de la mémoire en utilisant des tables de hachage précalculées. Au lieu de hacher les mots de passe devinés à la volée, les attaquants utilisent une « table arc-en-ciel », c’est-à-dire une table de recherche géante contenant les valeurs de hachage de nombreux mots de passe possibles, afin de faire rapidement correspondre un hachage à son mot de passe d’origine. 

Lors des attaques par force brute inversée, les pirates informatiques inversent la méthode généralement utilisée. Au lieu d’essayer de nombreux mots de passe pour un seul utilisateur, ils essaient un seul mot de passe (ou un petit ensemble) sur de nombreux comptes utilisateur différents.

Les attaques par rafale de mots de passe (« password spraying » en anglais) sont une version plus furtive de la technique de force brute inversée. Les attaquants utilisent une petite liste de mots de passe courants (tels que « Ete2025! ») sur plusieurs comptes. Cela leur permet de cibler de nombreux utilisateurs sans déclencher les protections de verrouillage sur un compte en particulier. 

Les entreprises peuvent mettre en œuvre diverses mesures de sécurité pour se protéger contre les attaques par force brute. En voici les principales :

Chaque protection supplémentaire, qu’il s’agisse d’une règle de verrouillage ou d’un chiffrement, peut contribuer à repousser les tentatives d’infiltration par force brute. Afin de mieux se protéger contre les attaques par force brute, les entreprises doivent adopter une approche à plusieurs niveaux qui prend en compte les facteurs humains et techniques.