Que sont les attaques Brute Force pour trouver des mots de passe et des clés

Que sont les attaques Brute Force ou Brute Force et comment sont-elles utilisées pour découvrir les mots de passe et les clés de chiffrement chiffrés

Les attaques par force brute sont assez simples à comprendre, mais difficiles à contrer. Même un système cryptographique complexe peut désormais être craqué par une attaque par force brute (ou force brute) effectuée par une série d'ordinateurs rapides. Ces attaques peuvent être lancées contre tout type de système de cryptage ou de sécurité avec des informations d'identification d'accès (d'un simple mot de passe pour se connecter à un site ou un service au fichier compressé crypté), et deviennent à chaque fois plus rapides et plus efficaces. sont produits.

Voyons ensemble, avec des mots simples et faciles à comprendre, ce que la force brute attaque, quels outils sont utilisés et ce que nous risquons si nous ne choisissons pas correctement le mot de passe de sécurité et / ou si nous nous appuyons sur des protocoles de sécurité anciens et obsolètes (plus faciles à casser).

Comment fonctionnent les attaques Brute Force

Attaques par force brute ou «force brute» dans le domaine informatique ils sont assez simples à comprendre. Avoir un programme protégé par mot de passe, un hacker qui veut le cracker commence essayez chaque combinaison de caractères, symboles, lettres ou chiffres en série jusqu'à ce que la bonne clé soit trouvée.
Évidemment, ces tentatives ne sont pas faites à la main, mais automatiquement avec un programme informatique ce qui est d'autant plus rapide que l'ordinateur utilisé est puissant.

Attaque de dictionnaire

L'attaque par force brute la plus simple qui puisse être effectuée est la attaque sur le dictionnaire (attaque par dictionnaire): la nature de cette attaque est basée sur un dictionnaire de mots écrits, souvent basé sur un liste des mots de passe courants ou sur une série de mots ciblés (c'est-à-dire adaptés à la personne ou au service à cibler).

Dans la pratique, au lieu d'essayer toutes les combinaisons possibles de mots de passe, essayez les mots les plus utilisés par les gens comme, par exemple, les noms propres, les noms de villes, les noms des joueurs, les années et les dates, etc. Gardez à l'esprit que les mots de passe et les clés de cryptage sont des choses différentes: la clé est générée de manière totalement aléatoire tandis qu'un mot de passe doit être mémorisé et saisi manuellement, c'est donc un mot plus simple. Trouver la clé de cryptage est difficile et nécessite une attaque Brute Force tandis que les mots de passe sont trouvés avec de simples attaques par dictionnaire.

Crack du protocole de cryptage

L'attaque par force brute la plus efficace mais aussi la plus difficile à mener est la fissure du protocole de cryptage. Le pirate (c'est-à-dire le hacker qui tente de faire ce type d'attaque) n'essaie pas de deviner le mot de passe d'un dictionnaire, mais tente de violer le protocole qui protège la communication, le fichier crypté ou la page de connexion: une fois trouvé le point faible l'utilise pour contourner le mot de passe et accéder immédiatement à toutes les données.

Comme mentionné, mener ce type d'attaque n'est pas du tout aisé et nécessite une grande expérience en cracking, ainsi que de grandes ressources d'un point de vue économique et informatique: avec la mise à jour des protocoles de sécurité ce type d'attaque est devenu très rare et accompli uniquement avec l'utilisation d'un grand nombre de crackers, qui se concentrent tous sur un seul protocole pour casser.
Possiamo stare abbastanza tranquilli: questo tipo d'attacco non è facile da portare a termine e le risorse necessarie non vengono certo impiegate per una rete Wi-Fi casalinga, a meno che non utilizziamo protocolli già violati come WEP e WPA, come visto nella nostra guide Comment déchiffrer le mot de passe du réseau WiFi WPA / WPA2.

Attaques par force brute sur les sites Web

Il existe une différence nette entre une attaque par force brute en ligne et hors ligne. Par exemple, si un attaquant voulait voler mon mot de passe Gmail, il n'a pas pu trouver mon mot de passe en essayant les différentes combinaisons sur le site Gmail car Google l'empêche. Après plusieurs tentatives, il bloque l'accès en vous demandant d'entrer un code Captcha pour empêcher un programme automatique de tenter d'accéder. Les services qui donnent accès à des comptes en ligne ainsi que Facebook empêchent les tentatives de connexion et ceux qui essaient de se connecter trop souvent en se trompant de mots de passe.

D'un autre côté, si le pirate a accès à un ordinateur doté d'un gestionnaire de mots de passe avec une clé cryptée, il peut disposer de suffisamment de temps pour lancer une attaque par force brute ou par dictionnaire en le maintenant actif jusqu'à ce que le mot de passe soit trouvé. Il n'y a alors aucun moyen d'empêcher un grand nombre de mots de passe d'être essayés dans un court laps de temps. Théoriquement, aucune cryptographie n'est invincible bien que cela puisse prendre plus d'un mois pour briser les résistances les plus difficiles.

Vitesse d'une attaque Brute-Force

Quant à la rapidité avec laquelle une attaque par force brute peut être menée, tout dépend du matériel utilisé. Les agences de renseignement (mais aussi les hackers sur papier) peuvent construire d'énormes serveurs spécialisés dans l'informatique partagée, pesés uniquement pour trouver des clés de chiffrement ou pour les casser. La méthode exploite souvent le potentiel des GPU modernes, les mêmes que ceux utilisés pour les jeux et les crypto-monnaies, capables de travailler à des vitesses absurdes sur des milliards de données en une seconde et craquez n'importe quel mot de passe simple ou protocole standard (au prix de l'électricité et des coûts de gestion très élevés).

Personne n'utilisera ces ressources pour notre cher PC domestique, à moins que nous ne cachions quelques secrets à la NSA ou à la CIA! Dans ce cas, il est préférable de lire immédiatement les chapitres suivants.

Comment ralentir les attaques par force brute

L'une des méthodes les plus utilisées pour rendre la vie difficile aux pirates Hashing: L'utilisation d'algorithmes de hachage puissants peut ralentir les attaques par force brute. Ces algorithmes de hachage comme SHA1 et MD5 effectuent un travail mathématique supplémentaire sur un mot de passe avant de le stocker.

De toute évidence, un bon moyen de ralentir les attaques par force brute nécessite l'utilisation des protocoles de sécurité les plus récents et à jour. Par exemple pour le Wi-Fi, nous devons nous référer à WPA3 (pas encore très courant), tandis que pour les autres types de cryptage, le Protocole AES-256 (souvent combiné avec Hash) est devenu un standard suffisamment sûr pour se protéger contre une attaque menée sans les ressources nécessaires (rien n'est inviolable, seulement cela prend trop de temps et doit vraiment en valoir la peine).

Protégez nos données des attaques par force brute.

Il n'y a aucun moyen de vous protéger pleinement, mais il est peu probable que quelqu'un se retourne contre nous, de simples mortels, des attaques par force brute de haut niveau. Par conséquent, il n'est pas nécessaire de trop s'inquiéter de subir ce type de cyberattaque complexe. Cependant, il est important de protéger les données cryptées en essayant de ne laisser personne y accéder utiliser des mots de passe sécurisés et auto-générés presque au hasard, comme on le voit dans notre guide générer un mot de passe fort pour tous les sites Web. À un mot de passe sécurisé, nous pouvons ajouter un système d'authentification plus difficile à déchiffrer comme le Authentificateur bidirectionnel, authentification à deux facteurs: même si le pirate devine le mot de passe, il ne peut pas accéder à notre compte sans un code généré sur notre téléphone, comme on le voit dans nos guides Sites / applications sur lesquels vous pouvez activer la vérification du mot de passe en deux étapes est Meilleures applications pour générer OTP, pour un accès sécurisé aux sites.

Le problème est plutôt celui de se défendre contre les soi-disant attaques d'ingénierie sociale voler des données personnelles et tricher qui ne reposent pas tant sur la technique que sur l'ingéniosité et la ruse; par exemple, n'ouvrez jamais les e-mails demandant à accéder à notre compte bancaire via Internet pour le sécuriser, pour confirmer ou bloquer une transaction suspecte ou pour approuver de nouvelles règles.

Conclusions

Une attaque par force brute n'est pas une promenade dans le parc et on ne sera guère victime de ce type d'attaque: évidemment on essaie toujours d'utiliser des protocoles de chiffrement à jour, on utilise des mots de passe complexes qui sont difficiles à trouver dans un dictionnaire et nous activons tous les systèmes de sécurité offerts par un site (comme l'authentification à deux facteurs), afin de donner du fil à retordre à tout hacker du dimanche et d'empêcher l'accès à nos services.

Si vous avez du mal à vous souvenir des mots de passe générés aléatoirement, nous vous recommandons de lire notre guide Comment créer et gérer les mots de passe de compte Web.
Si, en revanche, nous avons peur que l'attaque de notre ordinateur ait été faite par des virus ou des logiciels malveillants, nous vous recommandons de lire notre guide Meilleur anti-malware pour trouver même les logiciels espions cachés.

Index
  1. Comment fonctionnent les attaques Brute Force
    1. Attaque de dictionnaire
    2. Crack du protocole de cryptage
    3. Attaques par force brute sur les sites Web
    4. Vitesse d'une attaque Brute-Force
    5. Comment ralentir les attaques par force brute
    6. Protégez nos données des attaques par force brute.
    7. Conclusions

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Go up