Conseils Clubic - Se protéger des attaques par force brute
Conseils Clubic - Se protéger des attaques par force brute

Il est conseillé par tous les experts en sécurité de se créer des mots de passe forts et uniques composés de caractères aléatoires pour tous ses comptes. La principale raison ? Les attaques par force brute, qui continuent d'être une méthode efficace pour les pirates afin d'accéder à des comptes utilisateur. Une solution simple pour éviter cela, les générateurs et gestionnaires de mots de passe.

NordPass
Clubic
NordPass
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement XChaCha20
9.2 / 10
9.2 /10

Et plus la longueur et le caractère aléatoire d'un mot de passe sont importants, plus il est difficile pour un attaquant de réussir à mener à bien ce type d'attaque informatique, qui dépend d'une grande puissance de calcul et de l'utilisation d'outils automatisés. On vous explique leur fonctionnement.

Attaque par force brute : définition

Une attaque par force brute consiste à essayer de nombreuses combinaisons de caractères jusqu'à trouver la bonne qui donne accès à des informations pour les pirates. Ce genre d'attaque informatique peut être utilisé pour trouver des mots de passe, des noms d'utilisateur ou même des pages web cachées. À l'aide d'un logiciel et d'un ou plusieurs appareils, parfois organisés en botnet, un attaquant teste automatiquement plusieurs combinaisons de lettres, chiffres et caractères spéciaux, jusqu'à trouver celle qu'il recherche. Avec l'évolution de la technologie, il devient de plus en plus rapide pour les attaquants de tester les différentes combinaisons et d'enchainer les tentatives de connexion, certaines attaques pouvant être réussies en quelques secondes. Cependant, la complexité de l'information à trouver rentre également en compte dans le calcul du temps nécessaire pour la réussite de l'attaque et par exemple, l'utilisation d'un mot de passe fort permet de fortement ralentir un attaquant.

Les différentes formes d'attaque par brute force

Les attaques brute force par dictionnaires et variations

Pour aller plus vite, les pirates peuvent employer plusieurs méthodes. L'une d'entre elles est l'attaque par dictionnaire. Au lieu de tester des combinaisons aléatoires, ils testent des mots présents dans des listes. Ces listes peuvent contenir des mots du dictionnaire dans la langue de l'utilisateur ainsi que leurs variantes (argot, fautes d'orthographe, variantes régionales, etc.), des mots de passe utilisés massivement ou ayant déjà fuité, ou encore des mots courants modifiés, avec une majuscule au début, une lettre remplacée par un chiffre et un caractère spécial à la fin, un choix souvent fait par les utilisateurs pour répondre aux exigences en matière de complexité de mot de passe.

Les différentes attaques par brute force

Les attaques brute force par la force de calcul

Une autre méthode pour les attaques brute force consiste à utiliser des outils et logiciels en combinaison avec la capacité de calcul du CPU et même du GPU pour tester rapidement différentes combinaisons possibles de mots de passe. Les pirates peuvent également exploiter un botnet pour augmenter leurs capacités de calcul et donc leurs chances de deviner un mot de passe. Cette méthode est longue et coûteuse, mais continue d'être très efficace aujourd'hui sur les mots de passe faibles. Si les attaquants possèdent des listes de mots de passe sans avoir les identifiants liés, ils peuvent aussi utiliser cette méthode pour deviner un identifiant.

Comment se protéger des attaques par brute force ?

Des mots de passe complexes

Désormais, une bonne partie des sites ont des protections contre les attaques par brute force, par exemple en ajoutant des CAPTCHA, en limitant le nombre de tentatives de connexion possibles ou en permettant à leurs utilisateurs d'ajouter la double authentification. Mais la meilleure protection de base reste d'utiliser des mots de passe forts et uniques. Forts, car leur longueur et leur complexité rend beaucoup trop difficile pour les attaquants de réussir à les deviner avec une simple attaque par brute force. Et ils doivent être uniques pour éviter une autre sorte d'attaque, où les attaquants testent une même combinaison d'identifiant et de mot de passe sur plusieurs sites à la fois pour réussir à se connecter au maximum de comptes. Comme les attaquants qui utilisent des outils pour faciliter leurs attaques, les utilisateurs ont aussi des logiciels à disposition pour les aider à les contrer avec des mots de passe forts composés de caractères aléatoires, les générateurs et gestionnaires de mots de passe.

Utiliser des mots de passe forts pour éviter les attaques informatiques

Les meilleurs gestionnaires de mots de passe

Les générateurs de mots de passe sont pratiques parce qu'il est possible d'en trouver sans téléchargement sur Internet, et donc de générer rapidement un nouveau mot de passe. Mais les gestionnaires sont le choix optimal : en plus de s'occuper de la génération de mots de passe, ils les enregistrent et permettent de les rentrer automatiquement dans les formulaires de connexion. Il en existe de nombreux, avec des versions gratuites ou non, et nous avons sélectionné les trois meilleurs d'entre eux.

NordPass

NordPass
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement XChaCha20
9.2 / 10

NordPass est un très bon gestionnaire de mots de passe sans fioritures. Il assure le service qu’on lui demande : gérer ses mots de passe et quelques données sensibles. Ce service est simple, efficace et il bénéficie d’une politique de cybersécurité plus que correcte. Cependant, il manque peut-être d’ambition en ne proposant pas de fonctionnalités innovantes pour se démarquer de la concurrence. Par exemple, LastPass permet de gérer les codes d’accès et mot de passe de vos applications installées sur Windows tandis que la version Premium de Dashlane intègre un VPN.

Les plus
  • Interface claire et efficace
  • Niveaux de sécurité
  • Authentification biométrique
  • Importation des données
Les moins
  • Version Premium un peu chiche
  • Pas de fonctionnalités qui sortent du lot

Si on connait surtout Nord pour NordVPN, son gestionnaire de mots de passe, NordPass, se place parmi les meilleurs qui existent actuellement sur le marché. En plus d'être disponible pour tous les appareils (Windows, Mac, Linux, Android, iOS, extensions de navigateur), il peut être téléchargé et utilisé gratuitement. Avec la version gratuite, les utilisateurs peuvent générer et sauvegarder un nombre illimité de mots de passe, importer et exporter leurs sésames actuels s'ils sont déjà enregistrés dans un autre gestionnaire, stocker de façon sécurisée leurs cartes bancaires et notes et profiter de la synchronisation automatique. En contrepartie, le logiciel ne peut être utilisé que sur un seul appareil à la fois. Pour aller plus loin, les abonnements payants offrent la connexion sur plusieurs appareils, le partage avec des personnes de confiance ainsi que la surveillance du web pour repérer les fuites de données.

Dashlane

Dashlane
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement AES-256
9 / 10

Dashlane est un gestionnaire de mots de passe réputé pour ses performances et l'ergonomie de sa solution. Compatible avec les différents systèmes d'exploitation d'ordinateur et de smartphone, il propose une extension pour la majorité des navigateurs. La confidentialité de vos comptes est renforcée par différentes solutions d'authentification à multiples facteurs. Très complète, son offre premium intègre aussi un VPN afin de limiter les risques de piratage lorsque vous vous connectez à vos sites depuis une borne Wi-Fi. On regrette cependant que Dashlane ait décidé de limiter à nouveau son offre gratuite, qui devient inutilisable au quotidien.

Les plus
  • Offre complète.
  • VPN intégré (premium).
  • Support technique en français.
Les moins
  • Offre Famille un peu chère.
  • Surveillance du dark web réservée à la version premium.
  • Version gratuite très limitée.

Lorsque l'on choisit un gestionnaire de mots de passe, il est important de savoir que l'on peut lui faire confiance niveau sécurité. Dashlane peut se vanter de ne jamais avoir été victime de piratage, ce qui est un bon point en sa faveur. Comme NordPass, Dashlane est disponible dans une version gratuite généreuse : il permet de générer et de stocker un nombre illimité de mots de passe, de les partager en toute sécurité, de profiter d'un stockage chiffré de 1 Go pour toutes ses notes importantes, mais également d'alertes de sécurité personnalisées. Là aussi, la limitation vient du nombre d'appareils qui peut être utilisé à la fois, un seul. Dashlane propose une version plus étendue de son gestionnaire pour les utilisateurs prêts à payer un abonnement, avec un nombre d'appareils illimité, une surveillance du dark web et un VPN inclus pour l'offre la plus chère. Dashlane est disponible sur smartphones et en tant qu'extension pour navigateur.

1Password

1Password
  • moodVersion d'essai limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement AES-GCM-256
8.7 / 10

1Password propose des applications faciles à utiliser et perfectionnées qui fonctionnent sur PC, Mac, Chromebook et smartphones (iOS et Android). Sa fonction Watchtower vous aide à identifier et à modifier les mots de passe faibles, réutilisés ou compromis. Son « mode itinérant » reste original et pratique si vous allez dans des pays un peu trop curieux avec vos données personnelles. En cas de difficultés, vous pouvez contacter le support technique (par email, Twitter ou chat) qui est assez réactif et précis. Pour finir, 1Password est un bon gestionnaire pour une famille ou un groupe d’utilisateurs professionnel. Pour un usage personnel et grand public, d'autres gestionnaires sont gratuits et plus adaptés.

Les plus
  • Mode itinérant
  • Gestion de la sécurité
  • Authentification à deux facteurs
  • Offre « famille » très flexible
Les moins
  • Pas d’offre gratuite
  • Peu d’options d’authentification multiple
  • Traduction de la documentation partielle

Autre choix de gestionnaire de mots de passe multiplateforme (Windows, Mac, Linux, iOS, Android et navigateurs), 1Password ne propose cependant pas de version gratuite. Mais avec un abonnement abordable et une version d'essai de 14 jours, il se place tout de même parmi les meilleurs gestionnaires du marché. Pour 2,99 $ par mois dans sa version pour une personne, 1Password propose la création et l'enregistrement automatique de mots de passe et autres informations sensibles, 1 Go de stockage pour enregistrer ses documents importants, un système d'alerte lorsqu'un site ou un mot de passe est compromis, le partage sécurisé d'informations ainsi qu'une assistance disponible 24h/24 et 7j/7 par mail. Son mode voyage permet entre autres de pouvoir supprimer rapidement les informations stockées pour empêcher qui que ce soit d'y avoir accès et de les restaurer tout aussi rapidement lorsqu'on le souhaite.