Attaques par force brute : arrêtez de vous faire avoir
Les attaques par force brute sont l’une des méthodes les plus anciennes et toujours parmi les plus efficaces, pour compromettre des comptes en ligne. Elles consistent à tester automatiquement des milliers, voire des millions de combinaisons de mots de passe jusqu’à trouver la bonne. L’année dernière, une base de données contenant plus de 80 000 identifiants liés à des comptes CyberGhost a circulé en ligne. Le service a assuré que son infrastructure n’avait pas été compromise, mais cet incident rappelle une réalité simple : la plupart des violations de comptes ne viennent pas d’une faille du service, mais de mots de passe faibles ou réutilisés.
Dans cet article, nous allons expliquer comment fonctionnent les attaques par force brute, pourquoi elles restent redoutablement efficaces malgré les progrès de la cybersécurité, et quelles mesures concrètes permettent de s’en protéger efficacement.
Qu’est-ce qu’une attaque par force brute ?
Une attaque par force brute consiste à tenter systématiquement des combinaisons d’identifiants (noms d’utilisateur, mots de passe, PIN, phrases de passe) jusqu’à trouver la bonne. Les attaquants automatisent le processus à l’aide d’outils qui génèrent et testent des milliers, voire des milliards, de variations de mots de passe.
On distingue deux scénarios principaux :
- Attaque en ligne (online) : l’attaquant tente de se connecter directement sur un service (page de connexion, API). Ces attaques sont freinées par des protections serveur (blocage après X tentatives, CAPTCHA, MFA).
- Attaque hors-ligne (offline) : l’attaquant a réussi à obtenir une copie chiffrée d’une base de mots de passe (souvent à la suite d’une fuite de données). Il peut alors tester des combinaisons localement, sans aucune restriction. Le principe consiste à comparer les empreintes cryptographiques (ou “hashes”) des mots de passe générés avec celles présentes dans la base. Si deux empreintes correspondent, le mot de passe est trouvé, d’où la grande dangerosité de ce type d’attaque.
Il existe plusieurs variantes : attaques exhaustives (tester toutes les combinaisons possibles), attaques par dictionnaire (tester des mots courants et leurs variantes), attaques hybrides (mélange des deux) et credential stuffing (réutiliser des identifiants volés sur d’autres services). L’efficacité d’une attaque dépend surtout de la longueur et l’entropie du mot de passe, et du fait que le système protège ou non les tentatives de connexion.
Une attaque par force brute pourrait ressembler à ça.
Comment fonctionne une attaque par force brute ?
Vous l’aurez compris, une attaque par force brute repose sur un principe simple : tester toutes les combinaisons possibles d’un mot de passe jusqu’à trouver la bonne. Chaque caractère ajouté augmente le nombre de combinaisons de manière exponentielle, autrement dit, chaque nouveau caractère multiplie la difficulté du piratage.
Mais la longueur seule ne suffit pas : la puissance de calcul joue un rôle essentiel. Certains attaquants disposent aujourd’hui de cartes graphiques capables de réaliser plusieurs milliards de tentatives par seconde, surtout lors d’attaques hors ligne (c’est-à-dire à partir d’une base de données volée). Dans ce cas, ils ne sont pas limités par les protections d’un site ou d’une application.
Ordres de grandeur
Pour illustrer cette différence, voici le temps moyen nécessaire pour tester toutes les combinaisons possibles d’un mot de passe selon sa longueur, en supposant un alphabet complet (lettres, chiffres et symboles, soit environ 94 caractères).
| Longueur (caractères) | Combinaisons (≈) | À 1 × 10⁹ tests/s | À 1 × 10¹¹ tests/s |
|---|---|---|---|
| 7 | 64 847 759 419 264 ≈ 6,48 × 10¹³ | ~18 heures | ~11 minutes |
| 8 | 6 095 689 385 410 816 ≈ 6,10 × 10¹⁵ | ~71 jours | ~17 heures |
| 9 | 572 994 802 228 616 704 ≈ 5,73 × 10¹⁷ | ~18 ans | ~66 jours |
| 10 | 53 861 511 409 489 970 176 ≈ 5,39 × 10¹⁹ | ~1 708 ans | ~17 ans |
| 11 | 5 062 982 072 492 057 196 544 ≈ 5,06 × 10²¹ | ~160 547 ans | ~1 605 ans |
| 12 | 475 920 314 814 253 376 475 136 ≈ 4,76 × 10²³ | ~15 091 334 ans | ~150 913 ans |
Estimations basées sur des vitesses de 1 à 100 milliards de tentatives par seconde, selon la puissance de calcul disponible.
Differents types d’attaques par force brute
Par essence, une attaque par force brute consiste à deviner le plus grand nombre possible de combinaisons. Il existe cependant quelques variantes :
L’attaque par dictionnaire
Il s’agit de l’attaque la plus basique. L’attaquant prend un dictionnaire de mots de passe (une liste de mots de passe populaires) et les vérifie tous. Ainsi, si votre mot de passe est « qwerty123 » ou « 123456 », un robot de force brute le craquera en quelques secondes.
Attaque brute hybride
Méthode intermédiaire entre dictionnaire et brute force pure : on part d’une liste (noms, mots courants) et on applique des règles (ajout de chiffres, remplacement de caractères) pour générer des variantes. Très efficace contre les mots de passe légèrement modifiés.
Attaque brute inversée
Comme son nom l’indique, cette attaque fait appel à une méthode inverse pour deviner les informations d’identification. Au lieu de cibler un ensemble de mots de passe, une attaque inversée compare plusieurs noms d’utilisateur à un seul mot de passe populaire. Dans ce cas, les attaquants tentent de forcer un nom d’utilisateur avec ce mot de passe particulier jusqu’à ce qu’ils trouvent la bonne paire.
Bourrage d’identifiants (Credential Stuffing)
Après une fuite, les attaquants réutilisent des paires identifiant/mot de passe volées pour tenter l’accès sur d’autres sites (les gens réutilisent souvent les mêmes mots de passe). Le succès provient de la réutilisation, pas d’un craquage pur. On parle alors de recyclage de données.
Comment se protéger contre une attaque par force brute ?
Se prémunir contre une attaque par force brute ne demande pas de compétences techniques particulières. Quelques réflexes simples suffisent à bloquer la majorité des tentatives automatisées.
1. Utilisez des mots de passe longs et uniques
Plus un mot de passe est long, plus il devient complexe à deviner. Privilégiez les phrases de passe (par exemple : LesChatsDansent@Minuit) plutôt que des combinaisons courtes et compliquées.
Un gestionnaire de mots de passe fiable vous aidera à créer et stocker des identifiants solides sans avoir à les mémoriser.
2. Activez l’authentification à deux facteurs (2FA / MFA)
Cette option ajoute une vérification supplémentaire (code SMS, e-mail, ou application d’authentification). Même si votre mot de passe est compromis, un attaquant ne pourra pas se connecter sans cette seconde étape.
3. Vérifiez si vos données ont fuité
Le site haveibeenpwned permet de savoir si vos identifiants figurent dans une fuite de données connue.
Si c’est le cas, changez immédiatement les mots de passe concernés et désactivez la réutilisation d’adresses e-mail ou d’identifiants identiques.
4. Évitez de réutiliser le même mot de passe
Réutiliser un mot de passe sur plusieurs services, c’est offrir à un pirate une porte d’entrée unique pour plusieurs comptes. Un gestionnaire peut générer automatiquement des mots de passe différents pour chaque site.
5. Renforcez votre sécurité globale avec un VPN
Un VPN (réseau privé virtuel) n’empêche pas directement une attaque par force brute, mais il améliore considérablement votre hygiène numérique :
- il chiffre votre connexion Internet,
- cache votre adresse IP,
- protège les connexions publiques (Wi-Fi, hôtels, aéroports, cafés),
- et réduit les risques d’exposition à des tentatives de phishing ou de vol d’identité.
Utiliser un VPN ne remplace pas un mot de passe fort, mais il complète votre protection en empêchant les acteurs malveillants d’observer, collecter ou corréler vos données de connexion.
Pour conclure
Les attaques par force brute sont une piqure de rappel : la sécurité ne dépend pas uniquement de la technologie, mais surtout de nos habitudes numériques.
En combinant de bons réflexes, mots de passe solides, double authentification, vérification régulière des fuites, et quelques outils de protection, on réduit considérablement les risques d’intrusion.
La cybersécurité n’est pas qu’une affaire d’experts : c’est une routine quotidienne qui commence par un mot de passe bien choisi.
A propos de l'auteur : Lisa
Fondatrice de VPN Mon Ami
Experte en cybersécurité avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.
