Attaque par force brute : comment se protéger contre les voleurs de mots de passe ?

Accès par "force brute" : lors d'une attaque par force brute, les cybercriminels tentent de deviner le mot de passe d'un compte. Pour ce faire, ils n'utilisent pas de techniques sophistiquées mais essaient de manière automatique des chaînes de caractères aléatoires et des mots de passe fréquemment utilisés. Lisez notre article sur les méthodes qu'ils utilisent et sur la manière dont vous pouvez minimiser les risques en tant qu'utilisateur.
Les boutiques en ligne, les plateformes et même les réseaux internes des entreprises reposent généralement sur des comptes protégés par un mot de passe. En 2017, l'internaute américain moyen possédait 150 comptes. Pour accéder à un compte sécurisé, les pirates utilisent souvent la méthode la plus banale : ils essayent de deviner le mot de passe. Ils procèdent pour cela comme un voleur de vélo qui testerait toutes les combinaisons possibles d'un cadenas à chiffres jusqu'à réussir à trouver la bonne.
Selon le rapport Data Breach 2021 de Verizon ⇱, 23 % des entreprises participant à l'étude ont subi, sous une forme ou une autre, une attaque par force brute. Lorsqu'un compte est piraté, les cybercriminels commettent souvent d'autres méfaits, par exemple des attaques de ransomware. En revanche, s'ils échouent, les utilisateurs n'en sont souvent pas informés car toutes les plateformes ne sont pas transparentes à ce sujet.
Lors d'une attaque par force brute, les pirates procèdent par tâtonnement, en testant des combinaisons de caractères. Ceux-ci ne sont pas générés manuellement, mais au moyen d'un algorithme. La rapidité avec laquelle le bon mot de passe peut être trouvé dépend de la longueur de ce dernier et du matériel utilisé :
A l’aide du testeur de mot de passe d'EXPERTE.com, vous pouvez découvrir combien de temps il faut à un ordinateur pour craquer un mot de passe ciblé :
Tout comme avec les techniques de phishing et d'autres formes de cybercriminalité, des pirates informatiques sont à l’origine de ces attaques et poursuivent souvent plusieurs objectifs à la fois :
Les pirates ne se limitent pas toujours à essayer des chaînes de caractères aléatoires. Selon la méthode utilisée, les attaques par force brute se répartissent dans les catégories suivantes :
Souvent, le public n'est pas informé des tentatives plus ou moins réussies d'attaques par force brute qui ont eu lieu. Mais il arrive que ces attaques fassent la une des journaux :
Il est impossible d'empêcher les attaques par force brute. Toutefois, en adoptant les bonnes stratégies, les utilisateurs rendent la tâche difficile aux pirates qui tentent de deviner leur mot de passe. Par ailleurs, les professionnels de l'informatique peuvent veiller à ce que les serveurs résistent mieux à une attaque.
Les attaques par force brute constituent une menace pour les utilisateurs d'Internet, les gestionnaires de serveurs et les entreprises. Une sécurité sans faille n'existe pas, mais avec les bonnes stratégies vous pouvez rendre la tâche des pirates particulièrement difficile.
En tant qu'utilisateur, vous pouvez protéger vos données en choisissant des mots de passe forts, de préférence via un gestionnaire de mots de passe, et en vous connectant à l'aide de l'authentification à deux facteurs ou de méthodes sans mot de passe. Les administrateurs se protègent des pirates en configurant correctement les connexions SSH ou via le bureau à distance, en limitant le nombre maximal de tentatives de connexion et en surveillant le trafic.
Lors d’attaques par force brute, les pirates informatiques devinent un mot de passe en essayant toutes les combinaisons possibles. Soit ils font générer des chaînes de caractères aléatoires par un logiciel (attaques par force brute classiques), soit ils utilisent par exemple une liste de mots existants (attaques par dictionnaire).