Combien de temps faut-il pour qu'une attaque par force brute craque un mot de passe ?

Cela dépend entièrement de la longueur et de la complexité du mot de passe. Un code PIN à 4 chiffres prend quelques secondes, un mot de passe de 8 caractères minuscules prend des heures avec des outils accélérés par GPU comme Hashcat, mais un mot de passe mixte de 16 caractères avec symboles prendrait des millions d'années. Ajouter un seul caractère augmente exponentiellement le temps de craquage.

Quelle est la différence entre force brute et attaque par dictionnaire ?

Une attaque par force brute essaie chaque combinaison possible de caractères systématiquement (aaaa, aaab, aaac...), tandis qu'une attaque par dictionnaire utilise une liste précompilée de mots de passe courants, mots et identifiants divulgués. Les attaques par dictionnaire sont plus rapides mais ne réussissent que si le mot de passe correspond à une entrée de la liste. Les attaques hybrides combinent les deux approches.

Comment se protéger contre les attaques par force brute ?

Implémentez le verrouillage de compte après 5 à 10 tentatives échouées, utilisez des défis CAPTCHA, imposez l'authentification multifacteur (MFA), exigez des mots de passe d'au moins 12 caractères avec complexité mixte, déployez la limitation de débit sur les endpoints de connexion et surveillez les schémas d'authentification inhabituels. Des outils comme fail2ban bloquent automatiquement les IP attaquantes.

Quels outils les attaquants utilisent-ils pour les attaques par force brute ?

Les outils courants incluent Hashcat et John the Ripper pour le craquage hors ligne de mots de passe, Hydra et Medusa pour les attaques de connexion en ligne, et Burp Suite pour la force brute sur les applications web. Ces outils supportent l'accélération GPU et peuvent tester des milliards de hachages de mots de passe par seconde contre des bases de données hors ligne.

Attaque par Force Brute : Types et Prevention

Pourquoi c'est Important

Les attaques par force brute representent l'approche la plus fondamentale pour casser l'authentification : essayer toutes les possibilites jusqu'a ce qu'une fonctionne. Bien que conceptuellement simples, ces attaques restent efficaces contre les mots de passe faibles, les limitations de taux insuffisantes et les systemes sans mecanismes de protection adequats.

Les mathematiques de la force brute creent une course entre la puissance de calcul de l'attaquant et la complexite du mot de passe du defenseur. Un code PIN a 4 chiffres n'a que 10 000 combinaisons, triviales pour les ordinateurs modernes. Un mot de passe de 8 caracteres en minuscules a environ 200 milliards de combinaisons, encore cassable avec du materiel dedie. Les mots de passe forts avec des caracteres mixtes et une longueur suffisante rendent la force brute impraticable.

La reutilisation des mots de passe amplifie les risques de force brute. Les identifiants exposes dans une violation deviennent des entrees pour des attaques de credential stuffing contre d'autres services. La prevalence des mots de passe faibles et reutilises garantit que la force brute reste un vecteur d'attaque viable.

Pour les professionnels de la securite, comprendre les mecanismes de force brute informe les decisions de politique de mots de passe, la conception des systemes d'authentification et les strategies de detection d'incidents.

Comment Fonctionnent les Attaques par Force Brute

Approche de Base

Tester systematiquement chaque combinaison possible :

brute-force-logic.txt

Text


Cible : mot de passe de 4 caracteres minuscules
Tentatives :
aaaa → incorrect
aaab → incorrect
aaac → incorrect
...
(continue a travers les 456 976 combinaisons)
...
pass → correct !

Temps et Complexite

password-complexity.txt

Text


Calculs d'Espace de Mots de Passe :

PIN a 4 chiffres :
10^4 = 10 000 combinaisons
A 1000 essais/seconde : 10 secondes maximum

8 caracteres minuscules :
26^8 = 208 milliards de combinaisons
A 1000 essais/seconde : 6 600 ans
A 1 milliard d'essais/seconde : 3,5 minutes (attaque hors ligne)

8 caracteres mixtes (majuscules, minuscules, chiffres, symboles) :
95^8 = 6,6 quadrillions de combinaisons
A 1 milliard d'essais/seconde : 209 ans

12 caracteres mixtes :
95^12 = 540 sextillions de combinaisons
A 1 milliard d'essais/seconde : 17 millions d'annees

Types d'Attaques par Force Brute

Force Brute Pure

Teste chaque combinaison possible systematiquement. Garantit un succes eventuel mais souvent impraticable pour les mots de passe forts.

Attaque par Dictionnaire

Utilise des listes de mots de passe courants, mots et phrases au lieu de combinaisons aleatoires. Bien plus efficace contre les mots de passe choisis par des humains.

common-passwords.txt

Text


Top 10 des Mots de Passe les Plus Courants :
1. 123456
2. password
3. 12345678
4. qwerty
5. 123456789
6. 12345
7. 1234
8. 111111
9. 1234567
10. dragon

Attaque Hybride

Combine des mots du dictionnaire avec des modifications courantes :

Ajout de chiffres : password1, password123
Substitution leetspeak : p@ssw0rd
Ajout de caracteres speciaux : password!
Patterns de capitalisation : Password, PASSWORD

Attaque par Table Arc-en-ciel

Tables precalculees mappant les hash vers les mots de passe. Echange du stockage contre du temps de calcul. Vaincue par le salage des mots de passe.

Attaque par Table Arc-en-ciel

Hash Vole

Recherche

Table Arc-en-ciel

Correspondance

Mot de Passe Original

Credential Stuffing

Utilise des identifiants fuites d'autres violations pour tester contre de nouvelles cibles. Exploite la reutilisation des mots de passe entre services.

Force Brute Inversee

Au lieu d'essayer plusieurs mots de passe contre un compte, essaie un mot de passe courant contre plusieurs comptes. Evite les verrouillages par compte.

Outils et Techniques

Outils d'Attaque En Ligne

hydra-example.sh

Bash


# Hydra - Craquage de mots de passe en ligne (tests autorises uniquement)

# Force brute SSH
hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://target

# Force brute formulaire web
hydra -l admin -P passwords.txt target http-post-form \
"/login:user=^USER^&pass=^PASS^:Invalid credentials"

Outils d'Attaque Hors Ligne

hashcat-example.sh

Bash


# Hashcat - Craquage de hash accelere par GPU

# Attaque par dictionnaire sur hash MD5
hashcat -m 0 hashes.txt /usr/share/wordlists/rockyou.txt

# Force brute avec masque (8 caracteres, minuscules + chiffres)
hashcat -m 0 hashes.txt -a 3 ?l?l?l?l?l?d?d?d

# Attaque basee sur regles (dictionnaire + modifications)
hashcat -m 0 hashes.txt wordlist.txt -r rules/best64.rule

Strategies de Defense

Politiques de Mots de Passe Robustes

password-requirements.txt

Text


Recommandations NIST 800-63B :

A FAIRE :
- Minimum 8 caracteres (plus long encourage)
- Autoriser jusqu'a 64+ caracteres
- Accepter tous les caracteres imprimables
- Verifier contre les bases de donnees de violations
- Autoriser le coller dans les champs de mot de passe

A NE PAS FAIRE :
- Exiger des regles de complexite (majuscules, minuscules, symbole)
- Forcer des changements periodiques de mot de passe
- Utiliser des indices de mot de passe
- Imposer des regles de composition arbitraires

Limitation de Taux et Verrouillages

Implementer des delais progressifs apres les echecs
Verrouillage de compte apres un seuil (avec reinitialisation automatique)
CAPTCHA apres activite suspecte
Throttling base sur l'IP

Authentification Multi-Facteurs

Le MFA rend les mots de passe voles insuffisants :

Quelque chose que vous savez (mot de passe)
Quelque chose que vous avez (telephone, cle de securite)
Quelque chose que vous etes (biometrique)

Stockage Securise des Mots de Passe

secure-hashing.py

Python


import bcrypt

# SECURISE - Utilisation de bcrypt avec sel
password = b"user_password"

# Hachage avec generation automatique de sel
hashed = bcrypt.hashpw(password, bcrypt.gensalt(rounds=12))

# Verification
if bcrypt.checkpw(password, hashed):
  print("Mot de passe correspond")

Utiliser des algorithmes de hachage lents (bcrypt, Argon2, scrypt)
Generer un sel unique par mot de passe
Ne jamais utiliser MD5 ou SHA1 pour les mots de passe
Stocker les hash, jamais en clair

Lien avec les Carrieres

La securite des mots de passe intersecte les systemes d'authentification, la gestion des identites et les operations de securite. Les professionnels qui comprennent a la fois les techniques d'attaque et les controles defensifs sont precieux pour concevoir des systemes securises et tester ceux existants.

Roles en Securite d'Authentification (Marche US)

Role	Entry Level	Mid Level	Senior
Specialiste IAM	70 000 $US	95 000 $US	125 000 $US
Testeur de Penetration	80 000 $US	110 000 $US	145 000 $US
Ingenieur Securite	85 000 $US	115 000 $US	155 000 $US

Source: CyberSeek

Dans le Bootcamp

Comment nous enseignons Attaque par Force Brute

Dans notre programme de cybersécurité, vous n'apprendrez pas seulement Attaque par Force Brute en théorie — vous pratiquerez avec de vrais outils dans des travaux pratiques, guidé par des professionnels du secteur qui utilisent ces concepts quotidiennement.

Couvert dans :

Module 10: Tests d'Intrusion et Hacking Éthique

Sujets connexes que vous maîtriserez :MetasploitNmapBurp SuiteÉlévation de Privilèges

Voir comment nous enseignons cela

360+ heures de formation par des experts • 94% de taux d'emploi

Blog

Guides de Carrière

Glossaire

Certifications

Comparatifs

Outils

Auteurs

Formation entreprise

Recrutez Nos Talents

Attaque par Force Brute

Pourquoi c'est Important

Comment Fonctionnent les Attaques par Force Brute

Approche de Base

Temps et Complexite

Types d'Attaques par Force Brute

Force Brute Pure

Attaque par Dictionnaire

Attaque Hybride

Attaque par Table Arc-en-ciel

Credential Stuffing

Force Brute Inversee

Outils et Techniques

Outils d'Attaque En Ligne

Outils d'Attaque Hors Ligne

Strategies de Defense

Politiques de Mots de Passe Robustes

Limitation de Taux et Verrouillages

Authentification Multi-Facteurs

Stockage Securise des Mots de Passe

Lien avec les Carrieres

Roles en Securite d'Authentification (Marche US)

Comment nous enseignons Attaque par Force Brute