Attaque par Force Brute : comment s'en protéger ?

Qu’est-ce qu’une Attaque Brute Force ?

Une attaque par force brute, ou brute force attack, est une technique de piratage qui consiste à tester une multitude de mots de passe, clés de chiffrement ou identifiants jusqu’à trouver la combinaison qui permette d’obtenir un accès non autorisé à un service.

Ce type d'attaque informatique appartient à la catégorie des cyberattaques ciblant les mots de passe. Pour plus d’efficacité, les pirates utilisent souvent des outils automatisés capables de tester des milliers, voire des millions de combinaisons en un temps record. Mais même avec des logiciels ultra-rapides, la force brute reste une méthode relativement lente et qui connaît quelques limites.

Est-ce qu’une attaque par force brute est dangereuse ?

Oui, une attaque par force brute peut être dangereuse et avoir d’importantes répercussions. Pour vous donner une idée, selon une étude de Verizon, près de 80 % des violations de données sont dues à la compromission de mots de passe. Cela s'explique facilement : d'après NordPass, 70 % des mots de passe les plus utilisés dans le monde peuvent être crackés en moins d’une seconde ; ajoutez à cela que selon Google, 65 % des internautes réutilisent leurs mots de passe sur plusieurs sites, augmentant ainsi leur vulnérabilité.

Avec des outils automatisés, une attaque par force brute peut ainsi compromettre des milliers de comptes en un temps record, surtout si aucune mesure de protection supplémentaire comme l'authentification multifactorielle n’ont pas été mise en place.

Quelles sont les cibles d’une attaque par force brute ?

Les attaques par force brute peuvent s’en prendre à différents types de cibles en fonction de leur objectif (prendre le contrôle d’un système, accéder à des ressources sensibles…) :

• Un compte utilisateur pour accéder à des informations sensibles, voler des données personnelles ou usurper l’identité des victimes pour des escroqueries.
• Un site web ou un serveur pour en prendre le contrôle afin d’en exploiter les ressources, voler des données ou installer des logiciels malveillants.
• Un réseau Wi-Fi pour accéder aux appareils connectés ou lancer des attaques via une connexion détournée.
• Un système d’administration à distance (SSH, RDP) pour prendre le contrôle d’une machine afin d’accéder à des ressources internes ou de propager une cyberattaque.
• Un compte administrateur pour obtenir un accès complet à un système, et pouvoir désactiver ses protections ou exécuter des actions malveillantes.

Quelles sont les conséquences d’une attaque bruteforce ?

Les attaques par force brute peuvent causer des dommages importants, tant pour les utilisateurs dont le compte a été piraté que pour les sites Internet qui ont perdu l’accès à un compte administrateur.

L’impact d’une attaque bruteforce pour un compte utilisateur

• Vol de données sensibles : les pirates peuvent accéder à des informations personnelles comme des e-mails, photos ou documents confidentiels.
• Usurpation d’identité : utilisation des informations du compte pour commettre des fraudes ou lancer d’autres attaques, voire même pour contracter des crédits à votre nom.
• Perte financière : transferts bancaires frauduleux, vols de cryptomonnaies ou achats en ligne non autorisés.

L’impact d’une attaque bruteforce pour un site Internet

• Prise de contrôle du site : les hackers peuvent en profiter pour défacer ce site web pour nuire à l’entreprise, ou encore exploiter ses ressources pour des activités malveillantes (minage de cryptomonnaies, par exemple).
• Placement d’annonces malveillantes : le site est utilisé pour afficher des publicités frauduleuses, qui peuvent initier le téléchargement d’un malware en cas de clic.
• Redirection de trafic : sans qu’ils n’aient rien à faire, les visiteurs sont envoyés vers des sites infectés.
• Infection des visiteurs : propagation de logiciels malveillants, espions ou de ransomwares à travers le site compromis.

Comment fonctionne une attaque par force brute ?

Les attaques par force brute suivent un processus structuré, souvent facilité par des outils automatisés :

1. Ciblage de la victime : le pirate détermine sa cible selon ses motivations et les opportunités qu’elle représente ; il peut s’agir d’un compte utilisateur, administrateur, d’un serveur SSH, ou encore d’une base de données contenant des mots de passe hashés.
2. Préparation de l’attaque : il détermine les caractères à inclure (lettres, chiffres, symboles), configure les permutations à tester, ou utilise un dictionnaire de mot de passe. Il peut aussi exploiter une base de données compromise pour accélérer son attaque.
3. Automatisation des tests : grâce à des outils spécialisés, l’attaquant exécute les tentatives de connexion, soit directement sur le service cible, soit hors ligne pour décrypter des mots de passe hashés.
4. L’attente : plus le mot de passe à cracker est long et complexe, plus l’attaque prend du temps, de quelques minutes à plusieurs mois pour les identifiants les plus sécurisés ; autant dire que durant ce laps de temps, celui-ci a même pu être modifié, compliquant encore plus l’attaque.
5. Résultat : si le mot de passe est cracké, le pirate obtient un accès non autorisé ; il peut alors voler des données, détourner des fonds, effectuer des achats frauduleux ou pénétrer un système sécurisé.

Cas concret d’une attaque par force brute

Prenons un exemple réaliste : un pirate veut se connecter aux comptes d'utilisateurs d'un site e-commerce pour réaliser des achats frauduleux.

1. Le ciblage : il identifie les adresses mail à tester pour se connecter, qu'il trouve généralement grâce à une fuite de données.
2. Les outils : il utilise un logiciel comme Hydra ou Burp Suite pour lancer une attaque brute force directement sur la page de connexion du service.
3. Le test des combinaisons : l’outil soumet des milliers de combinaisons d'adresse mail et de mots de passe jusqu’à trouver une correspondance.
4. Le résultat : une fois connecté, le pirate peut accéder aux données personnelles et bancaires des comptes détournés, ou réaliser des achats frauduleux en faisant payer ses victimes.

Cet exemple souligne l’importance des mesures de protection robustes. De leur côté, pour réduire l'impact des attaques par force brute, les sites qui proposent la création de comptes utilisateur devraient sécuriser leur formulaire de connexion, et ne permettre qu'un nombre limité de tentatives d'identification. Quant aux utilisateurs, ils ont tout intérêt à choisir un mot de passe long et complexe, et à activer l'authentification multifactorielle si elle est proposée.

Quels sont les outils Brute Force ?

Les professionnels de la cybersécurité et notamment les Pentesters peuvent compter sur plusieurs outils de brute force pour gagner en efficacité lorsqu’ils effectuent des tests de pénétration. Parmi les plus connus, vous trouverez :

• Hydra, un outil extrêmement rapide qui permet de tester des mots de passe sur de nombreux protocoles (notamment SSH, FTP, HTTP)  
• John the Ripper, conçu pour cracker les mots de passe hashés et qui prend en charge plusieurs algorithmes de hashage.  
• Hashcat, qui permet de cracker même les hashes les plus complexes, et qui utilise la puissance des cartes graphiques GPU pour effectuer des attaques rapides.
• Aircrack-ng, qui capture des paquets de données sur les réseaux Wi-Fi pour ensuite essayer de casser des clés de cryptage.
• Medusa, similaire à Hydra mais qui supporte de plus nombreux protocoles ; il est aussi privilégié pour les attaques multi-serveurs.
• Crunch, qui permet de générer des dictionnaires personnalisés et qui peut être utilisé en complément d’autres outils comme Hydra ou John the Ripper.
• Burp Suite, utilisé pour automatiser des attaques par force brute sur des champs d’identification en ligne.

Bien que ces outils soient principalement conçus pour les Pentesters disposant d’une autorisation explicite des services ciblés, ils sont malheureusement souvent détournés par des cybercriminels ,qui les utilisent sans consentement et sont donc dans l’illégalité.

Quels sont les types d’attaque brute force ?

« Force brute » est une expression générale qui ne désigne pas une seule méthode, mais plutôt une famille de techniques utilisées pour deviner des mots de passe. Il existe ainsi plusieurs types d’attaques de brute force, dont voici les principaux :

• L’attaque par force brute simple, qui consiste à tester toutes les combinaisons possibles de caractères jusqu’à trouver le bon mot de passe. Cette technique est longue mais imparable face à un mot de passe faible ou de courte longueur.
• L’attaque par dictionnaire, qui utilise des listes préétablies de mots de passe courants (appelées dictionnaires) pour gagner en rapidité. Elle cible les utilisateurs qui choisissent des mots de passe simplistes comme « 123456 » ou « azerty ».
• Le credential stuffing, une technique qui repose sur l’utilisation de paires identifiants/mot de passe qui ont fuité, les attaquants partant du principe que nombreux sont ceux à utiliser le même mot de passe sur plusieurs sites.
• L’attaque par reverse brute force et le password spraying, qui consistent à tester un mot de passe populaire comme « 123456 » sur une multitude de noms d’utilisateurs différents jusqu’à trouver une correspondance.
• L’attaque par force brute hybride, qui permet de générer et tester des variations des mots de passe présents dans un dictionnaire (« azerty12345 » à la place de « azerty » par exemple).
• L’attaque par distributed brute force, qui s’appuie sur un botnet pour répartir la charge du test des combinaisons, permettant d’accélérer le processus et de contourner les limitations ou les systèmes de détection basés sur des adresses IP.
• La rainbow table attack, qui permet de cracker des mots de passe hashés, et s’appuie pour cela sur des tables pré-calculées associant des hashes à leur mot de passe en clair.
• La brute force timing attack, qui exploite les temps de réponse du système pour détecter les bons identifiants caractère par caractère, des variations minimes dans le délai de réponse pouvant donner des indices sur la proximité avec une tentative réussie.
• La targeted brute force attack, qui cible une personne spécifique et s’appuie sur ses informations personnelles (nom, date de naissance, prénom des enfants ou animaux…) souvent extraites des réseaux sociaux ou d’une fuite de données, pour réduire le champ des combinaisons possibles.

Comment se protéger de l’attaque par force brute ?

Tout le monde peut être victime d’une attaque par force brute, mais heureusement, il existe des solutions pour vous en protéger et protéger les utilisateurs de votre service web.

Comment les particuliers peuvent-ils se protéger ?

Plusieurs bonnes pratiques vous aideront à vous protéger des attaques par force brute si vous êtes un particulier :

• Utilisez des mots de passe forts et uniques, d’au moins 12 caractères, qui combinent des majuscules, minuscules, chiffres et symboles, et qui ne contiennent pas d’informations personnelles comme votre date de naissance.  
• Activez l’authentification multifactorielle, ce qui empêchera un pirate d’accéder à votre compte même s’il trouve votre mot de passe.  
• Changez régulièrement vos mots de passe pour empêcher qu’un mot de passe compromis reste exploitable sur le long terme.  
• Évitez de réutiliser vos mots de passe.  
• Utilisez un gestionnaire pour générer et stocker des mots de passe complexes.  
• Activez les alertes de connexion sur vos comptes pour être immédiatement au courant des connexions suspectes.  
• Vérifiez régulièrement sur un outil comme Have I Been Pwned si vos informations figurent sur une base de données compromise.  
• Souscrire à une assurance cyber-risques pour particuliers pour couvrir vos pertes si vous êtes victime d’une attaque par force brute.

Comment les sites peuvent-ils renforcer leur protection face aux attaques par force brute ?

Si vous gérez un site web qui permet à des utilisateurs de se connecter, il est de votre devoir de mettre en place des mesures de protection solides pour limiter le risque d’attaque par force brute. Vous pouvez par exemple :

• Limiter le nombre de tentatives de connexion et intégrer des délais croissants entre les tentatives pour ralentir les attaques.  
• Ajouter une validation par CAPTCHA sur les formulaires de connexion pour bloquer les attaques par bot.  
• Implémenter l’authentification multifactorielle pour ajouter une couche de protection à votre processus de connexion.  
• Exiger que vos utilisateurs utilisent des mots de passe robustes, d’une longueur minimale et avec plusieurs types de caractères.  
• Analyser vos journaux de connexion pour essayer de détecter les comportements inhabituels, comme les connexions à des comptes différents depuis une même adresse IP.  
• Installer un pare-feu applicatif et utiliser des services comme Cloudflare pour détecter et bloquer le trafic malveillant.  
• Hasher vos mots de passe avec des algorithmes robustes et utiliser un processus de salage pour les rendre quasiment impossibles à décrypter en cas de fuite de données.  
• Corriger les failles de sécurité de votre site en effectuant les dernières mises à jour pour votre CMS, votre serveur et vos plugins.  
• Mettre en place des listes blanches ou noires d’IP pour seulement autoriser des IP de confiance à accéder aux zones sensibles de votre site (page de connexion au panneau d’administration par exemple).  
• Modifier vos ports par défaut, comme le port SSH qui est souvent le port 22, et désactiver les services dont vous n’avez pas besoin.  
• Mettre en place un plan de réponse aux incidents pour pouvoir réagir rapidement en cas de cyberattaque.

Comment se reconvertir dans la cybersécurité ?

Face à des cybermenaces comme les attaques par force brute, les besoins en experts en cybersécurité explosent. Que vous cherchiez à vous reconvertir ou que vous soyez simplement curieux, sachez que la cybersécurité vous offre des opportunités passionnantes et bien rémunérées. Et chez Jedha, nous vous proposons justement des bootcamps en accéléré, conçus pour vous rendre opérationnel en à peine quelques mois, et qui s’adaptent à votre niveau de départ :

• Notre formation en cybersécurité pour débutant vous permettra d’acquérir les bases et vous apprendra à identifier les menaces les plus courantes pour mieux y faire face.  
• Notre formation pour devenir Pentester vous donnera les clés pour sécuriser même les systèmes les plus complexes et débuter votre carrière dans la sécurité informatique.  
• Notre formation pour devenir expert en cybersécurité vous enseignera des compétences avancées et recherchées, faisant de vous un élément indispensable de votre équipe cyber.

Vous voulez en savoir plus sur nos formations éligibles au CPF ? Découvrez-les en détails dans notre syllabus, et venez nous rencontrer lors d’une de nos Soirées Portes Ouvertes en ligne !

Questions fréquentes à propos de l’Attaque par Force Brute

Quelle est la différence entre l’attaque par force brute et l’attaque par dictionnaire ?

L’attaque par dictionnaire est un type d’attaque par force brute, mais ce n’est pas le seul. Là où l’attaque par dictionnaire utilise une liste préétablie de mots de passe à tester, la force brute teste toutes les combinaisons possibles.

Que faire si mon mot de passe a été piraté ?

Si votre mot de passe a été piraté :

1. Changez-le immédiatement.  
2. Activez l’authentification multifactorielle si elle vous est proposée.  
3. Vérifiez si vous utilisez le mot de passe compromis sur d’autres sites, et modifiez-le le cas échéant.

Quels sont les exemples connus d’attaque par force brute ?

Parmi les cyberattaques qui ont marqué l’histoire, plusieurs ont utilisé la force brute :

• LinkedIn : en 2012, des hackers ont combiné ingénierie sociale et force brute pour compromettre des millions de mots de passe d’utilisateurs de LinkedIn.  
• Sony PlayStation Network : en 2011, lors d’une violation majeure, des attaquants ont notamment mené des attaques par force brute pour accéder aux comptes d’utilisateurs ; ils ont ainsi pu compromettre leurs données personnelles, mais aussi interrompre des services de gaming pendant plusieurs semaines.