Proton
what is a brute force attack

Concernant la cybersécurité, un terme souvent mentionné est l’attaque par force brute. Une attaque par force brute est toute attaque qui ne repose pas sur la finesse, mais utilise plutôt la puissance brute des calculs pour contourner la sécurité ou même le chiffrement sous-jacent.

Dans cet article, nous examinons ce que sont les attaques par force brute, comment elles fonctionnent et comment vous pouvez prévenir cela.

Que signifie une attaque par force brute ?

L’équivalent dans le monde réel d’une attaque par force brute est de forcer une serrure non pas avec un crochet, mais plutôt avec un pied-de-biche. C’est bruyant, déroutant et pas très élégant, mais cela fait le travail.

Un bon exemple de la façon dont ce principe se traduit numériquement est ce qu’on appelle une attaque par dictionnaire — utilisée lors de l’incident de sécurité célèbre de 2012 concernant Dropbox, où les identifiants de 68 millions d’utilisateurs ont été compromis. Dans ce scénario, un attaquant essaiera de deviner un mot de passe pour un compte en ligne en ayant un programme essayer des milliers, voire des millions, de mots courants, espérant avoir de la chance et en trouver un qui fonctionne.

Les suppositions sont basées sur des mots de passe connus et leurs dérivés, pas seulement des mots de dictionnaire, et chaque supposition est généralement faite une par une. Tout ce qu’il faut, c’est un système suffisamment puissant pour faire les calculs encore et encore, jusqu’à ce que le programme trouve la bonne combinaison de symboles qui compose le mot de passe pour ce compte.

Il convient de mentionner que l’utilisation d’un pied-de-biche numérique de cette manière n’est pas seulement gourmande en ressources, mais prend aussi beaucoup de temps. Bien que la saisie des mots de passe possibles puisse être faite rapidement, en quelques millisecondes, le grand volume signifie que ces millisecondes s’accumulent. En conséquence, les propriétaires d’un site peuvent souvent arrêter une attaque avant qu’elle ne cause de réels dommages, mais pas toujours.

Exemples d’attaques par force brute

Les attaques par dictionnaire ne sont qu’un type d’attaque par force brute, tout comme les pieds-de-biche ne sont qu’une façon de forcer une serrure. Voici quelques-unes des plus courantes.

Bourrage d’identifiants

Les attaques de bourrage d’identifiants sont un autre type très basique. Plutôt que de deviner les informations de connexion des victimes, elles prennent plutôt des identifiants connus, généralement rendus publics lors d’une fuite, et les essaient ensuite sur différents sites en grand nombre (les ‘stuffing’). 

Puisque de nombreuses personnes réutilisent leur nom d’utilisateur et leur mot de passe, résultat de la fatigue des mots de passe autant que de toute autre chose, cela rend le remplissage d’identifiants une tactique d’attaque réussie pour tout cybercriminel cherchant à gagner de l’argent rapidement.

Attaques par pulvérisation de mots de passe

Les attaques par pulvérisation de mots de passe, également connues sous le nom d’attaques par force brute inversée, suivent une approche similaire. Dans ce cas, les attaquants auront une liste de noms d’utilisateur et ils parcourront cette liste en utilisant des mots de passe simples, espérant avoir de la chance. 

Ce type est particulièrement efficace contre les organisations ayant une sécurité négligée. La plupart des entreprises ont une méthode établie pour générer des noms d’utilisateur (en combinant le prénom et le nom, par exemple) et les administrateurs ne font pas toujours changer le mot de passe par défaut (qui est souvent quelque chose comme motdepasse123). Si même un utilisateur n’a pas changé son mot de passe, les attaquants ont un accès facile.

Prévention des attaques par force brute

Si vous avez l’œil vif, vous avez remarqué que tous les types d’attaques par force brute ci-dessus ont une chose en commun : tous ciblent des mots de passe facilement devinables. Donc, si vous sécurisez votre mot de passe, vous êtes pour la plupart en sécurité contre ces types de tactiques de force brute.

Par exemple, les attaques par dictionnaire peuvent être évitées en utilisant des mots de passe longs et aléatoires. Cela bloquera tout programme de génération de mots de passe puisqu’il ne peut pas prédire quel sera le prochain symbole. Plus vous les rendrez longs, plus ils mettront de temps à être craqués, atteignant des milliards d’années avec un mot de passe de 16 caractères.

Les attaques de bourrage d’identifiants peuvent être évitées en utilisant toujours des mots de passe aléatoires et en ne réutilisant jamais le même mot de passe deux fois. Même si une violation expose l’un de vos mots de passe, vous savez que tous vos autres comptes sont en sécurité.

L’utilisation de ces deux tactiques empêchera également les attaques par pulvérisation de mots de passe, car celles-ci reposent sur la réutilisation de mots de passe faibles par les entreprises. En utilisant toujours des mots de passe forts combinés à l’authentification à deux facteurs (A2F), qui vous oblige à utiliser un second appareil pour prouver votre identité, vous rendez toute tentative de pulvérisation de mots de passe inutile.

Comment prévenir les attaques par force brute avec Proton

Tous les conseils ci-dessus font partie d’une politique de mots de passe décente, que vous soyez une entreprise ou un particulier. Cependant, pour les mettre en œuvre, vous aurez besoin d’un gestionnaire de mots de passe, un programme capable de générer et de stocker des mots de passe pour vous et de les remplir automatiquement lorsque vous naviguez. Ils sont un moyen non seulement d’améliorer votre sécurité en ligne, mais aussi votre qualité de vie.

Un gestionnaire de mots de passe peut également être bien plus, c’est pourquoi nous avons développé Proton Pass. Notre gestionnaire de mots de passe possède toutes les fonctionnalités de base dont vous avez besoin pour vous protéger contre les attaques par force brute, y compris la prise en charge intégrée de l’A2F qui rend cette fonctionnalité essentielle beaucoup moins contraignante, mais offre également quelques extras uniques qui vous aideront à construire une identité numérique qui vous protégera des attaques.

Par exemple, lors de la création de comptes, vous pouvez utiliser des alias hide-my-email, qui pointent vers votre véritable adresse e-mail sans la révéler. Ceci rend très difficile pour la plupart des attaques par force brute de vous cibler, car elles n’auront pas de nom d’utilisateur utilisé sur d’autres comptes. Vous pouvez également choisir d’utiliser des clés d’accès sur les sites qui supportent cette méthode d’authentification à la pointe de la technologie. En utilisant cela, il n’y a pas de mot de passe à deviner, rendant les attaques par force brute inutiles.

En plus de cela, nous avons également quelques fonctionnalités qui améliorent votre sécurité de manière plus générale. Le meilleur exemple est le chiffrement de bout en bout, qui garantit que vos mots de passe ne sont connus que de vous. Personne, même pas nous, ne sait ce que vous stockez chez nous. C’est excellent pour la sécurité, mais cela favorise également une plus grande confidentialité.

Cette combinaison de sécurité et de confidentialité est ce qui fait de Proton le leader dans ce domaine. Comme nous sommes entièrement financés par des abonnements — pas de capital-risque, pas d’annonceurs — nous comptons sur vous pour rester en affaires. C’est pourquoi nous vous ferons toujours passer en premier, vous, notre communauté. Si cela vous semble quelque chose que vous aimeriez rejoindre, rejoignez Proton Pass aujourd’hui.

Articles similaires

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.