Qu’est-ce qu’une attaque Brute Force ?

Une attaque Brute Force attaque les données en essayant toutes les combinaisons possibles, comme un voleur qui pénètre dans un coffre-fort en essayant tous les chiffres de la serrure.

Qu’est-ce qu’une attaque Brute Force ?

Une attaque Brute Force est une méthode d’essai et d’erreur utilisée pour décoder des données sensibles. Les applications les plus courantes des attaques Brute Force sont le craquage de mots de passe et le craquage de clés de cryptage (continuez à lire pour en savoir plus sur les clés de cryptage). Les autres cibles courantes des attaques par force brute sont les clés API et les logins SSH. Les attaques Brute Force de mots de passe sont souvent effectuées par des scripts ou des robots qui ciblent la page de connexion d’un site web.

Ce qui différencie les attaques Brute Force des autres méthodes de craquage est que les attaques Brute Force n’emploient pas une stratégie intellectuelle ; elles essaient simplement d’utiliser différentes combinaisons de caractères jusqu’à ce que la combinaison correcte soit trouvée. C’est un peu comme si un voleur essayait de pénétrer dans un coffre-fort à combinaison en essayant toutes les combinaisons de chiffres possibles jusqu’à ce que le coffre s’ouvre.

Quelles sont les forces et les faiblesses des attaques Brute Force ?

Les plus grands avantages des attaques Brute Force sont qu’elles sont relativement simples à réaliser et, si l’on dispose de suffisamment de temps et qu’il n’y a pas de stratégie d’atténuation pour la cible, elles fonctionnent toujours. Chaque système basé sur un mot de passe et chaque clé de cryptage peut être craqué par une attaque Brute Force. En fait, le temps qu’il faut pour que la force brute pénètre dans un système est une mesure utile pour évaluer le niveau de sécurité de ce système.

D’autre part, les attaques Brute Force sont très lentes, car elles peuvent devoir passer par toutes les combinaisons de caractères possibles avant d’atteindre leur but. Cette lenteur est d’autant plus grande que le nombre de caractères dans la chaîne cible augmente (une chaîne n’est qu’une combinaison de caractères). Par exemple, un mot de passe de quatre caractères prend beaucoup plus de temps à la force brute qu’un mot de passe de trois caractères, et un mot de passe de cinq caractères prend beaucoup plus de temps qu’un mot de passe de quatre caractères. Une fois que le nombre de caractères dépasse un certain point, le forçage brutal d’un mot de passe correctement randomisé devient irréaliste.

[Temps de crackage par force brute]

Logiciels pour attaques par force brute – Un Téléphone

Si la chaîne cible est suffisamment longue, un attaquant de force brute pourrait mettre des jours, des mois, voire des années à décoder un mot de passe correctement randomisé. En raison de la tendance actuelle à exiger des mots de passe et des clés de cryptage plus longs, les attaques Brute Force sont un peu plus difficiles. Lorsque de bons mots de passe et un bon cryptage sont utilisés, les attaquants essaient généralement d’autres méthodes de décryptage du code, comme l’ingénierie sociale ou les attaques sur le chemin.

Comment se protéger contre les attaques de force brute

Les développeurs qui gèrent les systèmes d’autorisation peuvent prendre des mesures telles que le verrouillage des adresses IP qui ont généré trop d’échecs de connexion, et l’intégration d’un délai dans leur logiciel de vérification des mots de passe. Un retard, même de quelques secondes, peut considérablement affaiblir l’efficacité d’une attaque Brute Force.

Les utilisateurs de services web peuvent réduire leur vulnérabilité aux attaques par force brute en choisissant des mots de passe plus longs et plus complexes. Il est également recommandé d’activer l’authentification à deux facteurs et d’utiliser des mots de passe uniques pour chaque service. Si un attaquant est capable de forcer le mot de passe d’un utilisateur pour un service, il peut essayer de recycler le même identifiant et le même mot de passe sur de nombreux autres services populaires. C’est ce que l’on appelle le bourrage d’identification.

Les utilisateurs doivent également éviter de saisir des mots de passe ou des informations personnelles telles que des numéros de carte de crédit ou des informations bancaires avec un service web qui ne protège pas leurs données avec des clés de cryptage solides.

Qu’est-ce qu’une clé de cryptage ?

Les clés de chiffrement sont des chaînes de bits aléatoires générées pour brouiller et décrypter les données. Une fois que les données ont été brouillées, elles apparaissent sous la forme d’une chaîne de caractères aléatoires et mélangés jusqu’à ce qu’elles soient déchiffrées avec la clé de chiffrement correcte. Tout comme les mots de passe, les clés de cryptage peuvent être craquées par des attaques Brute Force, mais il existe aujourd’hui des clés de cryptage qui prendraient tellement de temps à craquer avec les ordinateurs modernes qu’elles sont considérées comme pratiquement inviolables.

Quelle est la différence entre le cryptage 128 bits et le cryptage 256 bits ?

Une clé de cryptage plus longue est exponentiellement plus sûre qu’une clé plus courte. Par exemple, dans une clé de chiffrement de 128 bits, il y a 2128 combinaisons possibles qu’un attaquant par force brute devrait essayer. Pour un cryptage de 256 bits, un attaquant devrait essayer 2256 combinaisons différentes, ce qui nécessiterait 2128 fois plus de puissance de calcul pour craquer qu’une clé de 128 bits ! (2128 = 340.282.366.920.938.463.463.374.607.431.768.211.456 combinaisons possibles).

Pour vous donner une idée de la signification de ces chiffres, un ordinateur puissant capable de vérifier des trillions de combinaisons par seconde nécessiterait encore bien plus d’un sexdécimillion d’années pour craquer une clé de cryptage de 256 bits (un sexdécimillion est un un suivi de 96 zéros).

Comme les clés de cryptage à haut débit sont pratiquement immunisées contre les attaques Brute Force actuelles, il est recommandé que tous les services web qui collectent des informations sur les utilisateurs cryptent leurs données et leurs communications en utilisant des clés de cryptage à 256 bits. Cloudflare utilise le meilleur cryptage TLS de sa catégorie pour prévenir les attaques par force brute, et a travaillé à la mise à l’épreuve de l’informatique quantique dans le futur.

Articles connexes

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

TESTEZ LA PERFORMANCE DIGITALE DE VOTRE SITE EN 5 MINUTES, CLIQUEZ ICI :
parcours-performance-digitale
parcours-performance-digitale
CONTACTEZ-NOUS
Une question, une campagne media à lancer ?
Vous êtes au bon endroit !
WINDOWS SERVER
VOUS AVEZ AIMÉ
COVID-19