Les attaques par force brute

Les attaques par force brute sont menées par des pirates informatiques qui tentent de craquer un mot de passe en essayant simplement différentes combinaisons de caractères en succession rapide. L'algorithme est très simple et se limite à essayer autant de combinaisons de caractères que possible, c'est pourquoi on parle également de « recherche exhaustive ». Le pirate utilise généralement un ordinateur très performant, qui effectue un grand nombre de calculs par seconde et, par conséquent, peut tester un grand nombre de combinaisons en très peu de temps.

Cette méthode est souvent utilisée avec succès dans la pratique, car de nombreux utilisateurs utilisent des mots de passe courts, qui ne sont souvent composés que des lettres de l'alphabet. Cela réduit considérablement le nombre de combinaisons possibles et facilite la découverte du mot de passe.

Décryptage des mots de passe

Le projet RC5 de l'organisation Distributed.net montre à quelle vitesse les mots de passe peuvent être décryptés. L'objectif de ce projet est de décrypter un message qui a été chiffré avec une clé de 72 bits. Pour ce faire, toutes les clés possibles sont testées jusqu'à ce que la clé appropriée soit trouvée. Comme plusieurs utilisateurs mettent leurs capacités informatiques à disposition dans le cadre de ce projet, plus de 800 milliards de clés peuvent être générées par seconde (situation au 08 mai 2012). Des projets plus anciens de cette organisation ont permis de cracker une clé de 56 bits en 250 jours et une clé de 64 bits en 1 757 jours.

Combinaison et longueur du mot de passe

Quelques exemples de calcul permettent d'illustrer l'interaction entre la longueur et les caractères utilisés pour la sécurité d'un mot de passe. Dans les exemples de calcul, on s'attend à une génération de 2 milliards de clés par seconde, car cela correspond approximativement à la vitesse de calcul d'un ordinateur personnel très puissant.

Lors de la création d'un mot de passe, les caractères suivants sont généralement disponibles :

  • Chiffres (10 différents : 0-9) ;
  • Lettres (52 différentes : A-Z et a-z) ;
  • Caractères spéciaux (32 différents).

Le nombre de combinaisons possibles est calculé à l'aide de la formule suivante :

Combinaisons possibles = nombre de caractères possiblesLongueur du mot de passe

Les exemples de calcul suivants sont obtenus sans tenir compte d'autres facteurs, tels que les attaques de dictionnaires :

Le mot de passe consiste en Combinaisons possibles Temps nécessaire au décryptage

5 caractères
(3 lettres minuscules,
2 chiffres)

365 = 60 466 176

60 466 176 /
2 000 000 000 =
0,03 seconde

7 caractères
(1 lettre majuscule,
6 lettres minuscules)

527 = 1 028 071 702 528

1 028 071 702 528 /
2 000 000 000 =
514 secondes =
environ 9 minutes

8 caractères
(4 lettres minuscules,
2 caractères spéciaux,
2 chiffres)

688 = 457 163 239 653 376

457 163 239 653 376 /
2 000 000 000 =
228 581 secondes =
environ 2,6 jours

9 caractères
(2 lettres majuscules,
3 lettres minuscules,
2 chiffres,
2 caractères spéciaux)

949 = 572 994 802 228 616 704

572 994 802 228 616 704 /
2 000 000 000 =
286 497 401 secondes =
environ 9,1 ans

12 caractères
(3 lettres majuscules,
4 lettres minuscules,
3 caractères spéciaux,
2 chiffres)

9412 = 475 920 314 814 253 376 475 136

475 920 314 814 253 376 475 136 /
2 000 000 000 =
237 960 157 407 127 secondes =
environ 7,5 millions d'années

Vous pouvez voir très clairement l'impact de la longueur du mot de passe et de l'utilisation de différents groupes de caractères sur sa sécurité.

Protection contre les attaques par force brute

La seule façon de vous défendre contre les attaques par force brute est d'utiliser un mot de passe complexe, suffisamment long et composé d'une combinaison de lettres, de caractères spéciaux, de chiffres et d'éléments majuscules / minuscules. Plus votre mot de passe est long et complexe, plus la probabilité que le logiciel utilisé « devine » par hasard la combinaison que vous avez choisie est faible, comme vous pouvez le constater dans les exemples de calcul ci-dessus.

Lorsque vous créez un nouveau mot de passe dans Password Depot, ou qu'il est généré automatiquement à l'aide du générateur de mots de passe, vous verrez combien de temps il faudrait pour le craquer. Password Depot ne prend pas seulement en compte les facteurs précédemment évoqués, comme le nombre de caractères, mais aussi d'autres faiblesses, comme la vulnérabilité aux attaques par dictionnaire.

Une autre façon de rendre les attaques par force brute plus difficiles consiste à allonger le délai entre deux tentatives de connexion (après avoir saisi un mot de passe incorrect). En conséquence, l'ordinateur du pirate, aussi performant soit-il, peut être ralenti malgré les nombreux calculs par seconde qu'il serait théoriquement capable d'effectuer. C'est pourquoi, dans Password Depot, la boîte de dialogue du mot de passe principal est verrouillée pendant quelques secondes si vous entrez un mot de passe principal incorrect. Ce temps d'attente augmente également avec le nombre de saisies erronées du mot de passe principal.