ElyesChaque jour, on entend de nouvelles annonces qui font peur sur la facilité d’être piraté et la quantité de données personnelles qui pourraient déjà être entre les mains de cybercriminels. Des termes comme « logiciels malveillants », « rançongiciels« , « violations de données » et « virus chevaux de Troie » font maintenant partie de notre langage courant. Ce sont des problèmes informatiques qui inquiètent même les experts en informatique.
Mais il existe une méthode utilisée depuis des années et qui devient de plus en plus fréquente et puissante : l’attaque par force brute. Mais en quoi consiste réellement cette attaque et que pouvez-vous faire pour l’empêcher ? Explorons ensemble ce que cela implique.
Qu’est-ce qu’une attaque par force brute ?
Une attaque par force brute se produit lorsque qu’un pirate tente de se connecter à votre compte en essayant toutes les combinaisons possibles d’un mot de passe.
Une fois qu’ils ont déterminé quel est votre nom d’utilisateur, ils essaient simplement le premier mot de passe possible. Lorsque cela échoue, ils passent au suivant et ainsi de suite jusqu’à ce qu’ils aient la chance de trouver le mot de passe correct. Cela prend énormément de temps, mais il existe des applications et des programmes qui aident le pirate en automatisant le processus.
Les calculs derrière les attaques par force brute
Imaginons que vous vouliez utiliser une attaque par force brute pour essayer de pirater le code confidentiel (PIN) d’un distributeur automatique de billets (DAB). La plupart de ces codes sont composés de quatre chiffres aléatoires, chacun pouvant aller de 0 à 9. Cela signifie que si un pirate essayait toutes les combinaisons de manière aléatoire (en commençant par 0000 et en finissant par 9999), il devrait essayer dix mille codes PIN différents.
Un mot de passe d’email a généralement huit caractères, pas quatre, et il inclut également des lettres et des chiffres. Il existe 26 lettres minuscules, 26 lettres majuscules et 10 chiffres, ce qui donne un total de 62 caractères possibles pour chacun des huit caractères d’un mot de passe. Cela représente plus de 200 billions de combinaisons possibles, sans compter les caractères spéciaux (comme !, @ et #) et les mots de passe plus longs qui peuvent ajouter à la complexité.
Mais avant de penser que cela serait impossible à obtenir avec une attaque par force brute, il faut réaliser qu’un réseau de pirates travaillant ensemble pourrait craquer votre mot de passe en moins d’une minute en utilisant des générateurs aléatoires.
Comment se protéger des attaques par force brute
Si vous souhaitez éviter d’être victime d’une telle attaque, il y a quelques mesures que vous pouvez prendre pour sécuriser votre site web.
Utilisez le mot de passe le plus complexe possible
Cela ne garantit pas une protection totale, mais cela aide. Si un mot de passe est trop complexe, les pirates pourraient vous ignorer et choisir une cible plus facile. Un mot de passe de douze à seize caractères est encore plus sécurisé et il devrait être un mélange aléatoire de lettres minuscules, de lettres majuscules, de chiffres et de caractères spéciaux.
Limitez les tentatives de connexion
La solution la plus simple à ce problème est de limiter le nombre de tentatives de connexion à chaque fois. Si vous limitez le nombre à trois, vous avez trois chances d’entrer le mot de passe correct. Ainsi, si vous faites une erreur lors de la connexion, vous disposez encore de deux autres chances. Mais après la troisième tentative de connexion, le système verrouillera le compte jusqu’à ce qu’il puisse être vérifié ou jusqu’à ce qu’une limite de temps soit atteinte. Cela signifie qu’un pirate n’a que trois chances d’essayer de s’introduire avant que l’alarme ne se déclenche et que le compte ne soit verrouillé.
Activez la vérification à deux facteurs
Une autre solution consiste à activer la vérification à deux facteurs. Dans ce cas, les pirates peuvent utiliser la force brute pour obtenir votre mot de passe. Mais lorsqu’ils le saisissent, ils doivent également entrer un code qui est envoyé à votre téléphone portable. Pour pirater ce compte, ils devraient donc voler à la fois votre mot de passe ET votre téléphone portable… une proposition difficile.