Cybersécurité

Attaque de force brute

Qu’est-ce qu’une attaque de force brute ?

La force brute s’attaque aux données en essayant toutes les combinaisons possibles, comme un voleur qui s’introduit dans un coffre-fort en essayant tous les chiffres de la serrure.

Qu’est-ce qu’une attaque de force brute ?

Une attaque par force brute est une méthode d’essai et d’erreur utilisée pour décoder des données sensibles. Les applications les plus courantes des attaques par force brute sont le craquage de mots de passe et le déchiffrage de cryptage keys (continuez à lire pour en savoir plus sur les clés de cryptage). Les autres cibles courantes des attaques par force brute sont les clés API et les logins SSH. Les attaques par force brute sur les mots de passe sont souvent effectuées par des scripts ou des robots qui ciblent la page de connexion d’un site web.

Ce qui différencie les attaques de force brute des autres méthodes de craquage est que les attaques de force brute n’emploient pas une stratégie intellectuelle ; elles essaient simplement d’utiliser différentes combinaisons de caractères jusqu’à ce que la combinaison correcte soit trouvée. C’est un peu comme si un voleur essayait de pénétrer dans un coffre-fort à combinaison en essayant toutes les combinaisons de chiffres possibles jusqu’à ce que le coffre s’ouvre.

Quelles sont les forces et les faiblesses des attaques par force brute ?

Les plus grands avantages des attaques par force brute sont qu’elles sont relativement simples à réaliser et, si l’on dispose de suffisamment de temps et qu’il n’y a pas de stratégie d’atténuation pour la cible, elles fonctionnent toujours. Chaque système basé sur un mot de passe et chaque clé de cryptage peut être craqué par une attaque de force brute. En fait, le temps qu’il faut pour que la force brute pénètre dans un système est une mesure utile pour évaluer le niveau de sécurité de ce système.

D’autre part, les attaques par force brute sont très lentes, car elles peuvent devoir passer par toutes les combinaisons possibles de personnages avant d’atteindre leur but. Cette lenteur est d’autant plus grande que le nombre de caractères dans la chaîne cible augmente (une chaîne n’est qu’une combinaison de caractères). Par exemple, un mot de passe de quatre caractères prend beaucoup plus de temps à la force brute qu’un mot de passe de trois caractères, et un mot de passe de cinq caractères prend beaucoup plus de temps qu’un mot de passe de quatre caractères. Une fois que le nombre de caractères dépasse un certain point, le forçage brutal d’un mot de passe correctement randomisé devient irréaliste.

Si la chaîne cible est suffisamment longue, un attaquant de force brute pourrait mettre des jours, des mois, voire des années à décoder un mot de passe correctement randomisé. En raison de la tendance actuelle à exiger des mots de passe et des clés de cryptage plus longs, les attaques par force brute sont un peu plus difficiles. Lorsque de bons mots de passe et un bon cryptage sont utilisés, les attaquants essaient généralement d’autres méthodes de décryptage du code, comme l’ingénierie sociale ou les attaques de type « man-in-the-middle ».

Comment se protéger contre les attaques de force brute

Les développeurs qui gèrent les systèmes d’autorisation peuvent prendre des mesures telles que le verrouillage des adresses IP qui ont généré trop d’échecs de connexion, et l’intégration d’un délai dans leur logiciel de vérification des mots de passe. Un retard, même de quelques secondes, peut considérablement réduire l’efficacité d’une attaque par force brute.

Les utilisateurs de services web peuvent réduire leur vulnérabilité aux attaques par force brute en choisissant des mots de passe plus longs et plus complexes. Il est également recommandé d’activer l’authentification à deux facteurs et d’utiliser des mots de passe uniques pour chaque service. Si un attaquant est capable de forcer le mot de passe d’un utilisateur pour un service, il peut essayer de recycler le même identifiant et le même mot de passe sur de nombreux autres services populaires. C’est ce que l’on appelle l’authentification stuffing.

Les utilisateurs doivent également éviter de saisir des mots de passe ou des informations personnelles telles que des numéros de carte de crédit ou des informations bancaires avec un service web qui ne protège pas leurs données avec des clés de cryptage solides.

Qu’est-ce qu’une clé de cryptage ?

Les clés de chiffrement sont des chaînes de bits aléatoires générées pour brouiller et décrypter les données. Une fois que les données ont été brouillées, elles apparaissent sous la forme d’une chaîne de caractères aléatoires et mélangés jusqu’à ce qu’elles soient déchiffrées avec la clé de chiffrement correcte. Tout comme les mots de passe, les clés de cryptage peuvent être craquées par des attaques de force brute, mais il existe aujourd’hui des clés de cryptage qui prendraient tellement de temps à craquer avec les ordinateurs modernes qu’elles sont considérées comme aussi bonnes qu’incassables.

Quelle est la différence entre le cryptage 128 bits et le cryptage 256 bits ?

Une clé de cryptage plus longue est exponentiellement plus sûre qu’une clé plus courte. Par exemple, dans une clé de chiffrement de 128 bits, il y a 2128 combinaisons possibles qu’un attaquant par force brute devrait essayer. Pour un cryptage de 256 bits, un attaquant devrait essayer 2256 combinaisons différentes, ce qui nécessiterait 2128 fois plus de puissance de calcul pour le craquer qu’une clé de 128 bits ! (2128 = 340.282.366.920.938.463.463.374.607.431.768.211.456 combinaisons possibles).

Pour vous donner une idée de la signification de ces chiffres, un ordinateur puissant capable de vérifier des trillions de combinaisons par seconde nécessiterait encore bien plus d’un sexdécimillion d’années pour craquer une clé de cryptage de 256 bits (un sexdécimillion est un un suivi de 96 zéros).

Ecrire un commentaire