Notes d’ordinateur : que sont les attaques Forza Bruta ou Brute Force et comment découvrent-ils les mots de passe et les clés de cryptage ?

Même un système de cryptographie complexe peut maintenant être forcé par une attaque brute-force (ou force brute) effectuée par une série d’ordinateurs rapides.

Ces attaques Forza Bruta peuvent être lancées contre n’importe quel type de cryptage, et elles deviennent plus rapides et plus efficaces chaque fois que des ordinateurs de plus en plus puissants sont produits.

Les attaques de force brute ou « Brute-force » dans le domaine du calcul sont assez simples à comprendre.

Ayant un programme protégé par mot de passe, un hacker qui veut le décrypter commence à essayer, en série, toute combinaison de caractères, symboles, lettres ou chiffres jusqu’à ce que la bonne clé soit trouvée.

Evidemment ces tentatives ne se font pas à la main, mais automatiquement avec un programme informatique aussi rapide que l’ordinateur utilisé.

L’attaque en force brute commence avec les clés d’un personnage, puis avec deux et ainsi de suite aussi longtemps qu’il le peut.

Une « attaque dictionnaire » (attaque dictionnaire) est similaire à la force brute mais recherche des mots écrits dans un dictionnaire qui est une liste de mots de passe courants.

En pratique, au lieu d’essayer toutes les combinaisons possibles de mots de passe, vous essayez les mots les plus utilisés par les gens comme, par exemple, les noms propres, les noms des villes, les noms des footballeurs, les années et les dates, etc.

Gardez à l’esprit que les mots de passe et les clés de cryptage sont des choses différentes : la clé est générée de manière totalement aléatoire alors qu’un mot de passe doit être mémorisé et entré manuellement, donc c’est un mot plus simple.

Voir aussi :  Ce qu'il faut faire pour vivre en toute sécurité sur Internet

Trouver la clé de cryptage est difficile et nécessite une attaque Brute Force alors que les mots de passe sont trouvés avec de simples attaques par dictionnaire.

Les attaques de force brute ne fonctionnent pas pour les sites Web.

Il y a une différence claire entre une attaque en ligne et une attaque par force brute hors ligne.

Par exemple, si un utilisateur malveillant voulait voler mon mot de passe Gmail, il ne pouvait pas le trouver en essayant les différentes combinaisons sur le site Gmail car Google l’empêche.

Après plusieurs tentatives, en fait, il bloque l’accès en vous demandant d’entrer un code Captcha pour empêcher un programme automatique d’y accéder.

Les services qui donnent accès à des comptes en ligne ainsi que Facebook stoppent les tentatives d’accès et ceux qui tentent d’y accéder trop souvent en saisissant un mot de passe incorrect.

Par contre, si le pirate avait accès à un ordinateur qui possède un programme de gestion de mots de passe avec une clé chiffrée, il peut avoir tout le temps de lancer une attaque par force brute ou par dictionnaire, en le maintenant actif jusqu’à ce que le mot de passe soit trouvé.

Il n’y a aucun moyen d’empêcher qu’un grand nombre de mots de passe ne soient testés dans un court laps de temps.

Théoriquement, aucune cryptographie n’est invincible, même si cela peut prendre plus d’un mois pour percer les résistances les plus dures.

Hachage

De puissants algorithmes de hachage peuvent ralentir les attaques par force brute.

Ces algorithmes de hachage comme SHA1 et MD5 font un travail mathématique supplémentaire sur un mot de passe avant de le stocker.

Voir aussi :  Outils de sécurité Mozilla : Firefox Monitor et autres

Une attaque par force brute sera beaucoup plus lente avec un cryptage Hash.

La vitesse d’une attaque Brute-Force dépend entièrement du matériel utilisé.

Les agences de renseignements ne peuvent construire que du matériel spécialisé pour trouver des clés de chiffrement.

A titre indicatif, sur le site Internet d’Ars Tecnica, il est signalé qu’un groupe de 25-GPU pouvait craquer chaque mot de passe Windows jusqu’à 8 caractères en moins de six heures. L’algorithme NTLM de Microsoft utilisé n’est plus assez fort, mais il l’était au moment de sa création.

Protégez nos données contre les attaques par la force brute.

Il n’y a aucun moyen de vous protéger complètement, mais il est peu probable que quelqu’un se déverse sur nous, mortels ordinaires, attaques de force brute de haut niveau.

Il n’y a donc pas lieu de s’inquiéter outre mesure de cyberattaques aussi complexes.

Cependant, il est important de protéger les données chiffrées en essayant de ne laisser personne y accéder et d’utiliser des mots de passe sécurisés générés automatiquement (c.-à-d. des clés de chiffrement).

Le problème est plutôt de se défendre contre les attaques d’ingénierie sociale pour voler des données personnelles et tricher qui ne sont pas tant basées sur la technique que sur l’ingéniosité et la ruse.

Par exemple, n’ouvrez jamais les courriels qui vous demandent d’accéder à notre compte bancaire par Internet pour le sécuriser ou pour approuver de nouvelles règles.

Deuxièmement, cependant, il est toujours important d’utiliser des mots de passe complexes et de suivre les conseils pour générer un mot de passe fort pour tous les sites Web afin qu’on puisse s’en souvenir.

Voir aussi :  Vérifier la sécurité du réseau LAN/Wifi en simulant les attaques de pirates informatiques

Vous pouvez toujours utiliser un programme comme LastPass ou KeePass pour gérer les mots de passe de manière centralisée, couvrant tous les mots de passe avec une clé de cryptage.