Attaque par dictionnaire : définition, étapes et protection

Qu’est-ce qu’une attaque par dictionnaire ?

Une attaque par dictionnaire vise à deviner un mot de passe en testant des combinaisons tirées d’une liste prédéfinie. Ces listes, appelées « dictionnaires de mots de passe », contiennent des mots, phrases ou combinaisons courantes comme « azerty »,  « 123456 » ou encore « iloveyou ».

Vous l’aurez compris, ce type de cyberattaque exploite la faiblesse des mots de passe simples, qui sont faciles à mémoriser, mais également à cracker. Ainsi, si les mots de passe courts ou prévisibles sont particulièrement vulnérables, l’attaque par dictionnaire échoue face à des mots de passe longs, complexes et uniques, qui sont donc beaucoup plus sécurisés.

Quelle est la différence entre l’attaque par dictionnaire et l’attaque par force brute ?

• L’attaque par dictionnaire se limite à tester une liste de mots préexistante, établie en se basant sur les mots et expressions les plus utilisés. Elle peut donc être relativement rapide, mais ne permettra de cracker que les mots de passe les plus simples.  
• L’attaque par force brute teste systématiquement toutes les combinaisons possibles de caractères. Elle permet donc de deviner même les mots de passe les plus complexes, enfin… si vous avez un peu de temps devant vous, car son principal défaut est qu’elle est particulièrement lente.

Est-ce qu’une attaque par dictionnaire est dangereuse ?

Oui, et pour une raison simple : les mots de passe faibles comme  « azerty », « 123456 » ou encore « admin » sont omniprésents. En 2023, NordPass, a étudié les 200 000 mots de passe les plus utilisés dans le monde, et les chiffres parlent d’eux-mêmes : près de 70 % d’entre eux sont des mots de passe particulièrement faibles, qui pourraient être crackés en moins d’une seconde grâce à une attaque par dictionnaire, entraînant des conséquences qui peuvent être lourdes.

Quelles sont les conséquences d’une attaque par dictionnaire ?

Une attaque par dictionnaire peut avoir d’importantes conséquences, aussi bien pour les particuliers que les entreprises :

• Conséquences directes : accès non autorisé à vos comptes (compte bancaire, adresse mail, réseaux sociaux, services de streaming…), entraînant des fraudes financières et permettant aux cybercriminels d’usurper votre identité.  
• Conséquences indirectes : revente des mots de passe piratés sur le dark web, vous exposant à de nouvelles attaques ou fraudes.  
• Conséquences pour les entreprises : accès à vos logiciels internes et aux informations sensibles stockées, augmentant significativement les risques de vol de données et de sabotage.

Quels sont les deux types d’attaque par dictionnaire ?

Les attaques par dictionnaire se déclinent sous deux formes principales : les attaques online et les attaques offline.

• Les attaques par dictionnaire online s'effectuent directement depuis le formulaire de connexion d’un site dont on cherche à compromettre un compte.  
• Les attaques par dictionnaire offline s’appuient sur une fuite de données contenant des mots de passe chiffrés (ou hashés). À l’aide de son dictionnaire de mots de passe, un hacker essaie de les déchiffrer hors connexion pour ensuite les utiliser ou les revendre.

Les attaques par dictionnaire online

Votre adresse mail a fuité lors d’un vol de données, et est désormais aux mains des pirates. L’un d’eux veut vérifier si elle est associée à un compte sur un site e-commerce, et le cracker le cas échéant. Pour cela, il teste un à un les différents mots de passe d’un dictionnaire directement depuis le formulaire de connexion, et bingo ! Après une dizaine de tentatives, il accède à votre compte ; il peut alors y passer des commandes frauduleuses et récupérer les numéros de votre carte bancaire.

Comment fonctionnent les attaques par dictionnaire en ligne ?

Les attaques par dictionnaire online se déroulent généralement comme suit :

1. Ciblage : le hacker sélectionne la personne ou l’organisation dont il veut pirater le compte.
2. Récupération des informations : l’identifiant, généralement une adresse mail, est obtenu suite à une fuite de données ou à une recherche sur une plateforme publique comme LinkedIn.
3. Tentatives de connexion : directement depuis une page de connexion, le hacker utilise un dictionnaire de mot de passé pour essayer de trouver celui associé à l’identifiant du compte à cracker.
4. Accès au compte : si la victime utilise un mot de passe faible ou compromis, l’attaquant a de fortes chances d’accéder à son compte pour le compromettre.

Si cette technique ne nécessite donc pas de compétences avancées en hacking, elle présente une importante limite : elle échoue si le site met en place des mesures pour sécuriser les connexions (nombre limité de tentatives, utilisation de CAPTCHAs…).

Quels outils sont utilisés pour les attaques online ?

Grâce à des outils de pentesting comme Hydra ou Burp Suite, vous pouvez automatiser les tests de mots de passe à partir d’un dictionnaire prédéfini pour faciliter une attaque online. Ces logiciels se chargeront pour vous de tester une à une les différentes combinaisons, et vous indiqueront lorsqu’ils en découvrent une correcte.

Notez toutefois que ces outils sont avant tout destinés aux professionnels de la cybersécurité, qui les utilisent pour réaliser des tests de pénétration afin d’identifier les vulnérabilités d’une infrastructure pour les corriger.

Les attaques par dictionnaire offline

Imaginez qu’une célèbre plateforme de streaming vidéo soit victime d’une fuite de données. Les noms d’utilisateur et les mots de passe de tous ses abonnés circulent désormais sur le web. Heureusement, la plateforme avait pris soin de crypter les mots de passe grâce à un algorithme de hashage, les rendant inutilisables en l’état. Mais un hacker met la main sur cette base de données et décide de la déchiffrer pour revendre les comptes compromis.

À l’aide d’un dictionnaire de mots de passe et d’outils spécialisés, il commence à tester différentes combinaisons pour cracker les mots de passe hashés. Cette méthode, c’est l’attaque par dictionnaire offline. Bien que plus lente qu’une attaque online, elle est redoutable, car elle contourne les limites de connexion imposées par les sites et, si elle réussit, permet de récupérer un grand nombre de paires identifiant/mot de passe exploitables.

Qu’est-ce qu’un Hash ?

Pour sécuriser les mots de passe et les rendre illisibles en cas de fuite de données, il est possible de les encrypter grâce à des algorithmes de hashing. Un mot de passe devient alors un hash, soit une chaîne de caractères unique et de longueur fixe, qui peut être comparée à l’empreinte numérique d’un mot de passe. Par exemple, « 12345 » peut être transformé en une empreinte comme 5994471abb01112afcc18159f6cc74b4.

Ces hashes sont supposés être irréversibles. Mais avec des outils dédiés et des dictionnaires, les hackers peuvent tenter de les décrypter. Ils comparent alors les empreintes générées à partir de mots de passe courants avec celles trouvées dans une base de données compromise. Si une correspondance est trouvée, le mot de passe peut être deviné.

Comment fonctionnent les attaques par dictionnaire hors ligne ?

Reposant davantage sur la logique, une attaque par dictionnaire offline peut s’apparenter à un jeu de devinettes :

1. Accès à une base de données compromise : le hacker met la main sur une base contenant des mots de passe hashés, souvent issue d’une fuite de données.
2. Création d’un dictionnaire : il prépare ensuite son propre dictionnaire de mots de passe, contenant notamment tous ceux qui sont les plus fréquemment utilisés comme « 12345 » ou « password » ; cette liste peut également inclure des variantes, comme « p@ssword » ou « Password » par exemple.
3. Génération des hashes : chaque mot du dictionnaire est transformé en hash à l’aide d’un outil ou d’un algorithme de hashage identique à celui utilisé pour la base de données compromise.
4. Comparaison : les hashes générés sont comparés à ceux de la base ; si deux d’entre eux correspondent, c’est que le mot de passe original a été identifié.

Quels outils sont utilisés pour cracker les hashes offline ?

Des outils existent pour aider les Pentesters à décrypter les hashes plus rapidement. Parmi eux :

• Hashcat : considéré comme l’un des outils les plus performants, il exploite la puissance des cartes graphiques GPU pour accélérer ses calculs, et prend en plus en charge de nombreux algorithmes de hashage.  
• John the Ripper : outil open source utilisé pour auditer les mots de passe, pour déduire les mots de passe originaux, il est capable de détecter automatiquement le type de hash et d’utiliser des techniques avancées, comme l’ajout de variations ou la combinaison des mots du dictionnaire.

Ces outils sont principalement utilisés dans un cadre légitime par les professionnels de la cybersécurité pour tester la robustesse des mots de passe et améliorer les politiques de sécurité. Leur usage non autorisé est illégal et contraire à l’éthique.

Comment se protéger de l’attaque par dictionnaire ?

Plusieurs bonnes pratiques cyber vous permettront de vous protéger des attaques par dictionnaire :

• Variez les types de caractères : utilisez aussi bien des lettres minuscules, majuscules, des chiffres et des caractères spéciaux pour créer un mot de passe complexe.
• Pensez à quelque chose d’unique : votre mot de passe aura ainsi moins de chances de figurer sur un dictionnaire ou une liste des mots de passe les plus utilisés.
• Optez pour un mot de passe long : plus difficile à cracker, il vous offre une meilleure protection ; par exemple, plutôt que « soleil », optez pour quelque chose comme « IlYADuSoleilAujourd’huiEnNormandie », que vous pourrez encore complexifier davantage en remplaçant certaines lettres par des chiffres.
• Activez l’authentification multifactorielle : même si votre mot de passe est compromis, ce deuxième facteur de vérification empêchera un utilisateur non autorisé d’accéder à votre compte.
• Sensibilisez vos proches : informez-les quant aux dangers des mots de passe faibles et incitez-les à les renouveler systématiquement après une fuite.
• Utilisez un gestionnaire de mots de passe : cet outil pourra générer et stocker des mots de passe forts sans que vous ayez à les retenir.
• Surveillez vos données avec des outils comme Have I Been Pwned : vérifiez si vos identifiants ont été exposés lors d’une fuite, et le cas échéant, modifiez-les immédiatement.

Si vous gérez un site intégrant un formulaire de connexion, vous pourriez également implémenter certaines bonnes pratiques pour éviter que vos utilisateurs ne soient victimes d’une attaque par mot de passe :

• Limitez les tentatives de connexion : restreindre un compte après plusieurs échecs réduit les chances d’une attaque online.
• Intégrez des CAPTCHAs : bloquez les attaques automatisées en exigeant une action humaine, ou en utilisant une CAPTCHA invisible qui détecte les bots.
• Chiffrez les mots de passe : utilisez des algorithmes de hashage robustes pour protéger les mots de passe que vous stockez.

Comment devenir un expert de la cybersécurité pour protéger les mots de passe ?

Vous avez conscience que protéger une organisation des cyberattaques ne se limite pas à protéger ses mots de passe, et vous aimeriez aller plus loin. C’est pour cela que chez Jedha, nous avons conçu des formations qui vous permettront d’acquérir une vision globale de la cybersécurité, peu importe votre niveau de départ :

• Notre formation en cybersécurité pour débutant vous permettra de découvrir les bases et d’apprendre à identifier et à faire face aux principales menaces.  
• Notre formation pour devenir Pentester vous préparera aux métiers de la cybersécurité et vous apprendra à maîtriser les outils et techniques indispensables pour décrocher votre premier poste.  
• Notre formation pour devenir expert en cybersécurité vous permettra de développer des compétences avancées et recherchées en cybersécurité, et d’acquérir une vision à 360° du secteur.

Vous voulez en savoir plus sur nos bootcamps éligibles au CPF et aux autres financements publics ? Découvrez-les en détail dans notre syllabus, et venez nous rencontrer lors de notre prochaine Soirée Portes Ouvertes en ligne !

Questions fréquentes à propos de l’attaque par dictionnaire

Quelles sont les variantes des attaques par dictionnaire ?

Il existe plusieurs variantes des attaques par dictionnaire, qui conservent ses principes généraux mais varient sur certains points :

• Attaque rainbow table : grâce à des tables pré-calculées associant des hashes à leurs mots de passe originaux, il est possible de retrouver rapidement le mot de passe en clair correspondant à un hash donné.
• Attaque hybride : utilise des variations telles que l’ajout de chiffre et la modification de certains caractères pour tester plusieurs variantes à partir d’un dictionnaire de mots de passe.
• Attaque par masques : combine un dictionnaire avec un modèle prédéfini (ex. : ajout systématique de « 123 » ou d’initiales à la fin de chaque mot).
• Attaque ciblée : crée un dictionnaire personnalisé basé sur des informations spécifiques à la victime visée, comme son nom, son lieu de naissance, ses préférences…
• Attaque par permutations : teste toutes les variantes possibles d’un mot ou d’une phrase (ex. : alternance de majuscules et minuscules : "pAsSwOrD").
• Dictionary Spray Attack : teste les mots de passe les plus courants sur un grand nombre de comptes différents, au lieu de cibler un seul utilisateur.

Quels outils utiliser pour savoir si son mot de passe a été cracké ?

Plusieurs outils vous aideront à savoir si l’un de vos mots de passe a été cracké :

• Have I Been Pwned vous permet de vérifier si votre mot de passe figure dans une base de données compromise.
• CyberNews vous permet de vérifier dans combien de bases de données volées figure votre mot de passe.
• Le gestionnaire de mots de passe Google vous prévient s’il détecte l’un de vos identifiants dans une base de données qui a été compromise.

Quels sont les exemples connus d’attaque par dictionnaire ?

Certaines des cyberattaques qui ont marqué l’histoire sont en fait des attaques par dictionnaire :

• Twitter : En janvier 2009, un hacker connu sous le pseudonyme « GMZ » a utilisé une attaque par dictionnaire pour accéder au compte administrateur de Twitter. Cette intrusion lui a permis de modifier les mots de passe de comptes célèbres, notamment ceux du président élu Barack Obama et de Britney Spears.  
• LinkedIn : En 2012, LinkedIn a été victime d’une fuite massive de données, lors de laquelle près de six millions de mots de passe hashés ont fuité. Bien que hashés, ces mots de passe n’étaient pas salés et les hackers auraient réussi à les déchiffrer en hors-ligne, leur permettant de les utiliser de façon malveillante par la suite.