Qu'est-ce qu'une attaque par brute force (et comment s'en protéger) ?

Fanny Dufour
28 décembre 2023 à 15h26
3
Conseils Clubic - Se protéger des attaques par force brute
Conseils Clubic - Se protéger des attaques par force brute

Il est conseillé par tous les experts en sécurité de se créer des mots de passe forts et uniques composés de caractères aléatoires pour tous ses comptes. La principale raison ? Les attaques par force brute, qui continuent d'être une méthode efficace pour les pirates afin d'accéder à des comptes utilisateur. Une solution simple pour éviter cela, les générateurs et gestionnaires de mots de passe.

1
NordPass
NordPass
  • mood Version gratuite limitée
  • database Stockage illimité
  • browse_activity Notification de fuite
  • lock Chiffrement XChaCha20
  • Web

9.2

Voir l'offre

Et plus la longueur et le caractère aléatoire d'un mot de passe sont importants, plus il est difficile pour un attaquant de réussir à mener à bien ce type d'attaque informatique, qui dépend d'une grande puissance de calcul et de l'utilisation d'outils automatisés. On vous explique leur fonctionnement.

Attaque par force brute : définition

Une attaque par force brute consiste à essayer de nombreuses combinaisons de caractères jusqu'à trouver la bonne qui donne accès à des informations pour les pirates. Ce genre d'attaque informatique peut être utilisé pour trouver des mots de passe, des noms d'utilisateur ou même des pages web cachées. À l'aide d'un logiciel et d'un ou plusieurs appareils, parfois organisés en botnet, un attaquant teste automatiquement plusieurs combinaisons de lettres, chiffres et caractères spéciaux, jusqu'à trouver celle qu'il recherche. Avec l'évolution de la technologie, il devient de plus en plus rapide pour les attaquants de tester les différentes combinaisons et d'enchainer les tentatives de connexion, certaines attaques pouvant être réussies en quelques secondes. Cependant, la complexité de l'information à trouver rentre également en compte dans le calcul du temps nécessaire pour la réussite de l'attaque et par exemple, l'utilisation d'un mot de passe fort permet de fortement ralentir un attaquant.

Les différentes formes d'attaque par brute force

Les attaques brute force par dictionnaires et variations

Pour aller plus vite, les pirates peuvent employer plusieurs méthodes. L'une d'entre elles est l'attaque par dictionnaire. Au lieu de tester des combinaisons aléatoires, ils testent des mots présents dans des listes. Ces listes peuvent contenir des mots du dictionnaire dans la langue de l'utilisateur ainsi que leurs variantes (argot, fautes d'orthographe, variantes régionales, etc.), des mots de passe utilisés massivement ou ayant déjà fuité, ou encore des mots courants modifiés, avec une majuscule au début, une lettre remplacée par un chiffre et un caractère spécial à la fin, un choix souvent fait par les utilisateurs pour répondre aux exigences en matière de complexité de mot de passe.

Les différentes attaques par brute force
Les différentes attaques par brute force

Les attaques brute force par la force de calcul

Une autre méthode pour les attaques brute force consiste à utiliser des outils et logiciels en combinaison avec la capacité de calcul du CPU et même du GPU pour tester rapidement différentes combinaisons possibles de mots de passe. Les pirates peuvent également exploiter un botnet pour augmenter leurs capacités de calcul et donc leurs chances de deviner un mot de passe. Cette méthode est longue et coûteuse, mais continue d'être très efficace aujourd'hui sur les mots de passe faibles. Si les attaquants possèdent des listes de mots de passe sans avoir les identifiants liés, ils peuvent aussi utiliser cette méthode pour deviner un identifiant.

Comment se protéger des attaques par brute force ?

Des mots de passe complexes

Désormais, une bonne partie des sites ont des protections contre les attaques par brute force, par exemple en ajoutant des CAPTCHA, en limitant le nombre de tentatives de connexion possibles ou en permettant à leurs utilisateurs d'ajouter la double authentification. Mais la meilleure protection de base reste d'utiliser des mots de passe forts et uniques. Forts, car leur longueur et leur complexité rend beaucoup trop difficile pour les attaquants de réussir à les deviner avec une simple attaque par brute force. Et ils doivent être uniques pour éviter une autre sorte d'attaque, où les attaquants testent une même combinaison d'identifiant et de mot de passe sur plusieurs sites à la fois pour réussir à se connecter au maximum de comptes. Comme les attaquants qui utilisent des outils pour faciliter leurs attaques, les utilisateurs ont aussi des logiciels à disposition pour les aider à les contrer avec des mots de passe forts composés de caractères aléatoires, les générateurs et gestionnaires de mots de passe.

Utiliser des mots de passe forts pour éviter les attaques informatiques
Utiliser des mots de passe forts pour éviter les attaques informatiques

Les meilleurs gestionnaires de mots de passe

Les générateurs de mots de passe sont pratiques parce qu'il est possible d'en trouver sans téléchargement sur Internet, et donc de générer rapidement un nouveau mot de passe. Mais les gestionnaires sont le choix optimal : en plus de s'occuper de la génération de mots de passe, ils les enregistrent et permettent de les rentrer automatiquement dans les formulaires de connexion. Il en existe de nombreux, avec des versions gratuites ou non, et nous avons sélectionné les trois meilleurs d'entre eux.

NordPass

NordPass
NordPass
  • mood Version gratuite limitée
  • database Stockage illimité
  • browse_activity Notification de fuite
  • lock Chiffrement XChaCha20
  • Web
9.2

NordPass est un très bon gestionnaire de mots de passe sans fioritures. Il assure le service qu’on lui demande : gérer ses mots de passe et quelques données sensibles. Ce service est simple, efficace et il bénéficie d’une politique de cybersécurité plus que correcte. Cependant, il manque peut-être d’ambition en ne proposant pas de fonctionnalités innovantes pour se démarquer de la concurrence. Par exemple, LastPass permet de gérer les codes d’accès et mot de passe de vos applications installées sur Windows tandis que la version Premium de Dashlane intègre un VPN.

Lire le test complet Essayez NordPass maintenant !
Avantages NordPass
  • Interface claire et efficace
  • Niveaux de sécurité
  • Authentification biométrique
  • Importation des données
Inconvénients NordPass
  • Version Premium un peu chiche
  • Pas de fonctionnalités qui sortent du lot

Si on connait surtout Nord pour NordVPN, son gestionnaire de mots de passe, NordPass, se place parmi les meilleurs qui existent actuellement sur le marché. En plus d'être disponible pour tous les appareils (Windows, Mac, Linux, Android, iOS, extensions de navigateur), il peut être téléchargé et utilisé gratuitement. Avec la version gratuite, les utilisateurs peuvent générer et sauvegarder un nombre illimité de mots de passe, importer et exporter leurs sésames actuels s'ils sont déjà enregistrés dans un autre gestionnaire, stocker de façon sécurisée leurs cartes bancaires et notes et profiter de la synchronisation automatique. En contrepartie, le logiciel ne peut être utilisé que sur un seul appareil à la fois. Pour aller plus loin, les abonnements payants offrent la connexion sur plusieurs appareils, le partage avec des personnes de confiance ainsi que la surveillance du web pour repérer les fuites de données.

Dashlane

Dashlane
Dashlane
  • mood Version gratuite limitée
  • database Stockage illimité
  • browse_activity Notification de fuite
  • lock Chiffrement AES-256
  • Web
9

Dashlane est un gestionnaire de mots de passe réputé pour ses performances et l'ergonomie de sa solution. Compatible avec les différents systèmes d'exploitation d'ordinateur et de smartphone, il propose une extension pour la majorité des navigateurs. La confidentialité de vos comptes est renforcée par différentes solutions d'authentification à multiples facteurs. Très complète, son offre premium intègre aussi un VPN afin de limiter les risques de piratage lorsque vous vous connectez à vos sites depuis une borne Wi-Fi. On regrette cependant que Dashlane ait décidé de limiter à nouveau son offre gratuite, qui devient inutilisable au quotidien.

Lire le test complet Essayez Dashlane maintenant !
Avantages Dashlane
  • Offre complète
  • VPN intégré (premium)
  • Support technique en français
Inconvénients Dashlane
  • Offre Famille un peu chère
  • Surveillance du dark web réservée à la version premium
  • Version gratuite très limitée

Lorsque l'on choisit un gestionnaire de mots de passe, il est important de savoir que l'on peut lui faire confiance niveau sécurité. Dashlane peut se vanter de ne jamais avoir été victime de piratage, ce qui est un bon point en sa faveur. Comme NordPass, Dashlane est disponible dans une version gratuite généreuse : il permet de générer et de stocker un nombre illimité de mots de passe, de les partager en toute sécurité, de profiter d'un stockage chiffré de 1 Go pour toutes ses notes importantes, mais également d'alertes de sécurité personnalisées. Là aussi, la limitation vient du nombre d'appareils qui peut être utilisé à la fois, un seul. Dashlane propose une version plus étendue de son gestionnaire pour les utilisateurs prêts à payer un abonnement, avec un nombre d'appareils illimité, une surveillance du dark web et un VPN inclus pour l'offre la plus chère. Dashlane est disponible sur smartphones et en tant qu'extension pour navigateur.

1Password

1Password
1Password
  • mood Version d'essai limitée
  • database Stockage illimité
  • browse_activity Notification de fuite
  • lock Chiffrement AES-GCM-256
  • Web
8.7

1Password propose des applications faciles à utiliser et perfectionnées qui fonctionnent sur PC, Mac, Chromebook et smartphones (iOS et Android). Sa fonction Watchtower vous aide à identifier et à modifier les mots de passe faibles, réutilisés ou compromis. Son « mode itinérant » reste original et pratique si vous allez dans des pays un peu trop curieux avec vos données personnelles. En cas de difficultés, vous pouvez contacter le support technique (par email, Twitter ou chat) qui est assez réactif et précis. Pour finir, 1Password est un bon gestionnaire pour une famille ou un groupe d’utilisateurs professionnel. Pour un usage personnel et grand public, d'autres gestionnaires sont gratuits et plus adaptés.

Lire le test complet Essayez 1Password maintenant !
Avantages 1Password
  • Mode itinérant
  • Gestion de la sécurité
  • Authentification à deux facteurs
  • Offre « famille » très flexible
Inconvénients 1Password
  • Pas d’offre gratuite
  • Peu d’options d’authentification multiple
  • Traduction de la documentation partielle

Autre choix de gestionnaire de mots de passe multiplateforme (Windows, Mac, Linux, iOS, Android et navigateurs), 1Password ne propose cependant pas de version gratuite. Mais avec un abonnement abordable et une version d'essai de 14 jours, il se place tout de même parmi les meilleurs gestionnaires du marché. Pour 2,99 $ par mois dans sa version pour une personne, 1Password propose la création et l'enregistrement automatique de mots de passe et autres informations sensibles, 1 Go de stockage pour enregistrer ses documents importants, un système d'alerte lorsqu'un site ou un mot de passe est compromis, le partage sécurisé d'informations ainsi qu'une assistance disponible 24h/24 et 7j/7 par mail. Son mode voyage permet entre autres de pouvoir supprimer rapidement les informations stockées pour empêcher qui que ce soit d'y avoir accès et de les restaurer tout aussi rapidement lorsqu'on le souhaite.

Si vous souhaitez en savoir davantage sur la thématique des mots de passe :

Fanny Dufour

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news
Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (3)

Lightniing68
Perso j’utilise Bitwarden qui je trouve est excellent par rapport aux autres. Et un des avantages de Bitwarden qui n’est quasiment jamais cité dans les tests de ce dernier, c’est la possibilité, pour les sites qui le permet, de géré les clés d’auth TOTP directement dans bitwarden, et je trouve ça génial. Plus besoin d’avoir une app tierce, tout est géré par bitwarden.
skyman3
Pareil, Bitwarden et depuis plusieurs années : un must
Sweety
Je me demande si le ton alarmant n’est pas là pour la pub. Il est bon de rappeler que sur les sites sensibles (banque, sécu, impôt, caf…) un blocage est opéré suite à x tentatives et le délai pour pouvoir entrer sur le compte variable suivant les sites. Pour les sites marchands la double sécurité entre en action.
Voir tous les messages sur le forum

Top gestionnaires de mot de passe

NordPass
NordPass Voir l'offre
Dashlane
Dashlane Voir l'offre
1Password
1Password Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page