Les attaques par force brute (également appelées cracking par force brute ) sont un type de cyberattaque qui consiste à essayer différentes variantes de symboles ou de mots jusqu'à ce que vous deviniez le mot de passe correct . Comme vous l’avez peut-être deviné, les attaques par force brute ne sont pas les plus efficaces. Cependant, avec quelques astuces et variantes astucieuses, ils peuvent fonctionner très bien.
Avec un logiciel spécialisé et une situation adaptée, les pirates peuvent automatiquement essayer des millions, voire des milliards de mots de passe par seconde. Cela fait des attaques par force brute un élément essentiel de l’arsenal du pirate informatique.
Toutes les attaques par force brute peuvent être regroupées en deux catégories : en ligne et hors ligne . En plus de cela, il existe de nombreuses variantes différentes, telles que les attaques par dictionnaire.
Lors d'une attaque en ligne, le pirate informatique configure un logiciel pour essayer tous les mots de passe possibles sur un système en cours d'exécution. Deviner les mots de passe des pages de connexion aux sites Web et des connexions aux bureaux à distance serait une attaque en ligne. Un autre exemple consiste à essayer tous les codes d’accès iPhone possibles.
Lors d'une attaque en ligne, le pirate informatique doit attendre que le serveur qu'il pirate dise si chaque mot de passe était correct ou incorrect. C'est lent. La plupart des opérateurs de sites Web sérieux ajoutent une limitation de débit , ce qui rend l'attaque encore plus lente. Votre iPhone dispose également de cette fonctionnalité ; si vous tapez le mauvais mot de passe trop de fois, cela vous bloque pendant un certain temps.
Même avec ces protections, de nombreuses personnes gâchent la sécurité des serveurs, de sorte que les attaques en ligne fonctionnent toujours. Le programme d'accès au serveur distant Secure Shell (SSH) est parfois configuré avec une connexion par mot de passe et sans limitation de débit. Si vous exécutez SSH sur l'Internet public, il est fort probable que quelqu'un l'attaque à tout moment.
Les attaques hors ligne sont plus difficiles à réaliser, mais elles sont également plus efficaces. Un hacker disposant d’un ordinateur sérieux peut tester un nombre fou de mots de passe par seconde car les mots de passe sont vérifiés sur son propre ordinateur.
Les propriétaires de sites Web hachent généralement les mots de passe dans leur base de données. Une fonction de hachage est un processus à sens unique, de sorte que le logiciel du site Web peut vérifier les mots de passe mais il ne peut pas déchiffrer les hachages pour obtenir les mots de passe lui-même. Si un pirate informatique vole la base de données, il obtient des mots de passe hachés au lieu des originaux .
Les opérateurs de sites Web peuvent renforcer la sécurité de leurs hachages de mots de passe grâce au salage . Sans hachages salés, les pirates peuvent utiliser des tables arc-en-ciel, ce qui leur permet d'éviter beaucoup de travail en testant les hachages précalculés .
Au lieu de tester chaque mot de passe possible, ils peuvent télécharger une table arc-en-ciel avec un grand nombre de mots de passe possibles et leurs hachages déjà calculés. Ensuite, tout ce qu’ils auraient à faire serait de comparer les hachages de la table arc-en-ciel avec ceux de la base de données volée.
Ils peuvent également créer leurs propres tables arc-en-ciel - le processus est essentiellement identique au forçage brut, sauf qu'au lieu d'essayer les combinaisons directement comme mots de passe, vous les exécuteriez via une fonction de hachage et les placeriez dans une table.
Le salage rend les hachages uniques, même si le mot de passe est le même que celui d'une table arc-en-ciel.
Au lieu de deviner des combinaisons aléatoires de symboles, les pirates peuvent également parcourir des mots existants dans un dictionnaire . Les gens utilisent souvent des mots dans leurs mots de passe pour les rendre plus mémorisables, ce qui facilite la tâche des pirates informatiques. Le logiciel Brute Force peut même muter les mots de passe du dictionnaire pour augmenter les chances de succès.
Même un mot de passe très long peut être facilement deviné s'il est similaire à celui du dictionnaire de l'attaquant. Cette bande dessinée xkcd classique sur la force des mots de passe explique assez bien la situation.
Les attaques par force brute laissent des indices évidents aux opérateurs de serveurs. La plupart des logiciels serveur enregistrent automatiquement les tentatives de connexion infructueuses. Si les administrateurs système remarquent une augmentation soudaine des tentatives de connexion infructueuses , il y a de fortes chances que le service soit attaqué.
Les services Web populaires tels que Gmail et Twitter envoient des courriers électroniques aux utilisateurs lorsque leurs comptes pourraient être attaqués. Si l'authentification à deux facteurs est activée et que vous recevez une notification « Confirmez si c'est vous qui vous connectez à votre compte ». Si ce n'est pas vous qui vous êtes connecté, vous savez que quelqu'un d'autre possède votre mot de passe. Ils l’ont peut-être obtenu grâce à une attaque par force brute, bien que le phishing et d’autres attaques soient également possibles.
Bien que les attaques par force brute soient efficaces, il est possible de les rendre beaucoup plus difficiles en suivant quelques étapes simples.
Différents types d'attaques par force brute nécessitent des outils différents. Vous trouverez ci-dessous quelques outils de force brute courants et leurs cas d'utilisation.