Brute force

01 — DéfinitionQu'est-ce qu'une attaque brute force ?

Une attaque brute force (force brute) consiste à essayer massivement et systématiquement toutes les combinaisons possibles de mots de passe, clés de chiffrement ou identifiants jusqu'à trouver la bonne.

Le principe : la puissance au lieu de la finesse

Pas de sophistication. Juste la puissance de calcul qui teste des milliards de possibilités jusqu'à ce que l'une fonctionne. Économiquement raisonnable si :

• Le mot de passe/clé est suffisamment court/simple.
• Aucun mécanisme ne limite le nombre de tentatives.
• La victoire mérite l'investissement temps/ressource.

Origine du terme

« Brute force » existe depuis les premiers systèmes d'authentification informatique (années 1960-70). Le concept est intuitif : si on peut essayer un mot de passe, on peut essayer tous les mots de passe. L'évolution des ordinateurs a rendu le brute force de plus en plus rapide, forçant l'évolution des défenses en parallèle.

Contextes d'attaque

• Formulaires de login web : applications web avec authentification classique.
• APIs : endpoints d'auth souvent moins protégés que formulaires web.
• SSH, RDP : accès distant aux serveurs. Cibles constantes sur Internet.
• Hashes de mots de passe : après une fuite, brute force hors ligne sur les hashes.
• Clés de chiffrement : théoriquement attaquables (infaisable en pratique sur clés modernes).
• Codes PIN : nombre limité de combinaisons (4 chiffres = 10 000), attaquable si pas de lockout.
• WiFi WPA2 PSK : capture du handshake puis brute force hors ligne.
• Fichiers protégés : ZIP, PDF, Office avec mot de passe.

En ligne vs hors ligne

Distinction fondamentale :

• Brute force en ligne : chaque tentative passe par le serveur cible. Limité par la vitesse du serveur, le rate limiting, les captchas, les lockouts. Lent mais possible sur systèmes mal protégés.
• Brute force hors ligne : l'attaquant a obtenu des hashes de mots de passe (via fuite, dump de base), et les teste localement sur son propre matériel. Rapide selon l'algorithme, avec GPU et cluster.

Toute fuite de hashes change radicalement la situation : le temps d'attaque passe de milliers d'années à quelques heures selon l'algorithme utilisé.

Le brute force est la démonstration ultime qu'en cybersécurité, le temps est un facteur. Un mot de passe court et une stratégie naïve finissent toujours par céder à la force brute — la seule question est combien de temps. D'où l'importance du MFA : même le mot de passe trouvé devient insuffisant.

02 — TypesVariantes d'attaques

Brute force simple (exhaustif)

Essayer toutes les combinaisons possibles dans un ordre systématique : aaa, aab, aac... jusqu'à trouver.

• Efficace sur mots de passe courts : 4-6 caractères.
• Temps exponentiel par rapport à la longueur.
• 8 caractères alphanumériques = 2 × 10^14 combinaisons.
• 12 caractères avec symboles = 10^23 combinaisons → infaisable en ligne.

Attaque par dictionnaire

Essayer des mots courants d'abord. Principe : la majorité des gens utilisent des mots de passe prévisibles.

• Listes de top passwords les plus utilisés (rockyou.txt = 14 millions de passwords leakés de RockYou 2009).
• Mots du dictionnaire avec variations (password, Password, Password1, P@ssw0rd!, password2024).
• Noms propres, dates, lieux.
• Combinaisons (mot + année, mot + symbole).
• Beaucoup plus rapide que brute force complet.

Les mots de passe comme 123456, password, qwerty, azerty, admin tombent en premières tentatives. En 2026, ces mots de passe sont encore massivement utilisés — les top 10 des statistiques annuelles ne changent quasiment pas.

Credential stuffing

Utiliser des paires email + mot de passe issues de fuites sur d'autres services. Voir section dédiée.

Password spraying

Essayer un mot de passe probable sur beaucoup de comptes différents (au lieu de nombreux mots de passe sur un seul compte). Stratégie :

• Choisir un password probable (Password2024!, Welcome1, Été2024!).
• Le tester sur tous les comptes de l'entreprise cible.
• Évite le lockout par compte (un échec par compte, sous le seuil).
• Trouve les utilisateurs aux mots de passe faibles.

Très efficace en entreprise : même 1% de comptes faibles suffit à obtenir un pied dans le SI. Technique favorite des APT et ransomware gangs.

Brute force de clés cryptographiques

Tenter de casser des clés de chiffrement par force.

• AES-128 : 2^128 combinaisons. Infaisable avec l'informatique classique (milliards d'années).
• AES-256 : encore plus fort.
• RSA 2048+ : attaques mathématiques plus efficaces que brute force pur, mais encore infaisable.
• Ordinateur quantique : algorithme de Shor réduit l'effort de factorisation. Pas encore d'ordinateur quantique exploitable, mais transition post-quantique en cours.

Attaque par rainbow tables

Pré-calcul de hashes correspondant à des mots de passe courants, stockés dans des tables.

• Efficace contre hashes non salés.
• Permet de retrouver un mot de passe en consultant la table (temps quasi-constant).
• Outils : RainbowCrack, tables publiques pour MD5, SHA1 non salés.
• Contre-mesure : sel dans le hashage. Un sel unique par utilisateur rend les rainbow tables inutiles.

Brute force hybride

Combinaison dictionnaire + variations. Les outils modernes (Hashcat, John the Ripper) supportent des règles de mutation : ajouter chiffres, majuscules, symboles, substitutions leet (a→4, e→3).

Brute force ciblé via OSINT

Construire un dictionnaire personnalisé pour une cible : nom du chien, dates clés, équipe préférée, enfants, hobbies — à partir des réseaux sociaux. Efficace contre mots de passe personnels moins sophistiqués.

03 — OutilsTechniques et vitesses

Outils classiques

• Hashcat : outil de brute force hors ligne le plus utilisé, supporte GPU/CPU, des dizaines de formats de hash, des règles de mutation sophistiquées.
• John the Ripper : historique, toujours utilisé. John Jumbo ajoute des formats.
• Hydra (THC-Hydra) : brute force en ligne sur HTTP, SSH, FTP, SMB, RDP, etc.
• Medusa : alternative à Hydra.
• Patator : plus flexible que Hydra, écrit en Python.
• Ncrack : brute force réseau.
• Burp Suite Intruder : brute force de formulaires web.
• Sentry MBA, OpenBullet : outils dédiés au credential stuffing.
• Aircrack-ng, Hashcat : brute force WiFi WPA2.
• fcrackzip, pdfcrack : fichiers protégés.

Vitesses indicatives (GPU moderne RTX 4090)

• MD5 (sans sel) : ~100 milliards hashes/seconde.
• SHA-1 : ~40 milliards/seconde.
• SHA-256 : ~15 milliards/seconde.
• SHA-512 : ~5 milliards/seconde.
• NTLM (Windows) : ~100 milliards/seconde.
• bcrypt cost 10 : ~100 mille/seconde.
• bcrypt cost 12 : ~25 mille/seconde.
• Argon2id par défaut : ~10-100 mille/seconde.
• PBKDF2 (avec 100k itérations) : ~10-50 mille/seconde.
• scrypt : ~1-10 mille/seconde.

Enseignement : les algorithmes conçus pour être lents (bcrypt, Argon2, scrypt) ralentissent massivement l'attaque. MD5 et SHA sans sel sont catastrophiques en 2026 — un mot de passe de 8 caractères tombe en minutes.

Clusters de cracking

• Multi-GPU : empiler 8 RTX 4090 multiplie les vitesses par 8.
• Cloud : AWS, GCP, Azure offrent des GPU à la demande. Quelques dollars l'heure pour des vitesses équivalentes.
• Services payants : hashes.com, certains services illégaux offrent des services de cracking.
• Clusters ASIC : pour certains algorithmes, ASIC (utilisés en crypto-mining) encore plus rapides que GPU.

Temps pour casser selon algorithme et longueur

Exemples avec GPU moderne pour mot de passe alphanumérique + quelques symboles :

• MD5, 8 caractères : minutes.
• MD5, 10 caractères : jours.
• bcrypt cost 12, 8 caractères : années.
• bcrypt cost 12, 12 caractères : infaisable (millions d'années).
• Argon2id, 12+ caractères : infaisable.

04 — Credential stuffingLa variante moderne critique

Principe

Utiliser des paires email + mot de passe issues de fuites de données sur d'autres services pour tenter de se connecter à votre service. Voir aussi notre fiche credential stuffing.

Source des credentials

Les fuites massives alimentent des bases de plusieurs milliards de paires :

• Yahoo 2013 : 3 milliards de comptes compromis.
• Collection #1-5 (2019) : 2+ milliards de paires email/password uniques.
• LinkedIn 2012/2016 : 700 millions de comptes.
• MySpace 2016 : 360 millions.
• Adobe 2013 : 150 millions.
• MyHeritage, Dropbox, LinkedIn, Marriott, Equifax, T-Mobile : chacun des dizaines à centaines de millions.
• RockYou.txt : 14 millions de mots de passe leakés en 2009, toujours la référence des dictionnaires.
• RockYou2021, RockYou2024 : compilations de tous les leaks, 9-10 milliards de passwords uniques.

Efficacité

Exploite le fait que 60-80% des utilisateurs réutilisent leurs mots de passe sur plusieurs services. Si le mot de passe Alice@gmail.com a fuité d'un site e-commerce en 2019, il y a de bonnes chances qu'elle l'utilise aussi sur Netflix, PayPal, Amazon.

Taux de succès typique du credential stuffing : 0.5-2% des paires testées fonctionnent. Avec 100 millions de paires, 500 000 à 2 millions de comptes compromis.

Password spraying en entreprise

Variante ciblée sur une organisation :

1. Énumérer les emails de l'entreprise (OSINT, fuites précédentes).
2. Tester un mot de passe probable sur tous (Société2024!).
3. Trouver 1-3% de comptes vulnérables.
4. Utiliser comme pied dans le SI pour escalader.

Très utilisé par les groupes ransomware et APT comme vecteur d'Initial Access (technique T1110.003 Password Spraying dans MITRE ATT&CK).

Protection spécifique

• MFA indispensable : le mot de passe est par définition valide, seul le second facteur bloque.
• Vérification HaveIBeenPwned lors du changement ou création de mot de passe : refuser les passwords présents dans les leaks.
• Password managers encouragés : un password unique par service.
• Détection comportementale : patterns de credential stuffing (volume, diversité IPs, vitesses).
• Communication utilisateurs : sensibilisation sur la réutilisation.

05 — IncidentsExemples marquants

The Fappening / iCloud 2014

Vol de photos privées de célébrités (Jennifer Lawrence et autres) via brute force de comptes iCloud. Apple a subséquemment ajouté du rate limiting sur l'API Find My iPhone qui était exploitée. L'incident a accéléré l'adoption du MFA chez Apple et les utilisateurs grand public.

GitHub password spraying 2022

Campagne massive de password spraying contre les comptes GitHub, utilisant des credentials issus de fuites précédentes. GitHub a renforcé la détection et recommandé largement l'activation du MFA.

Colonial Pipeline (mai 2021)

Le ransomware DarkSide qui a paralysé un oléoduc US est entré via un compte VPN avec mot de passe compromis (trouvé dans un leak précédent sur le dark web). Pas de MFA activée. Cas d'école des conséquences du credential stuffing / réutilisation de mots de passe. ~5 millions USD de rançon payés.

Disney+ lancement 2019

Dans les heures suivant le lancement, des milliers de comptes Disney+ se sont retrouvés à vendre sur le dark web. Credential stuffing exploitant la réutilisation de mots de passe. Disney a dû renforcer sa détection.

Dunkin' Donuts 2019

Attaques credential stuffing récurrentes contre le programme de fidélité. Condamnation de 650 000 USD par l'état de New York pour manquement à la sécurité. Premier cas régulatoire de sanction pour défense insuffisante contre le credential stuffing.

T-Mobile (plusieurs années)

Plusieurs incidents successifs, certains via password spraying / brute force sur les APIs. Augmentation progressive des protections.

Attaques continues SSH

Tout serveur SSH exposé à Internet reçoit plusieurs milliers de tentatives de brute force par jour (logs auth.log). Principalement des bots automatisés cherchant root:root, admin:admin, comptes par défaut. D'où l'importance de désactiver login SSH par password, utiliser clés + MFA, changer le port, ou mieux : ne pas exposer SSH directement à Internet.

06 — ProtectionDéfense en profondeur

07 — FAQQuestions fréquentes

Faut-il changer ses mots de passe régulièrement ?

Non, pas sans raison. La recommandation a changé : le NIST (SP 800-63B) et l'ANSSI ne recommandent plus la rotation périodique des mots de passe en l'absence de suspicion. Raison : forcer des changements fréquents pousse les utilisateurs à créer des mots de passe faibles prévisibles (Été2024, Automne2024, Hiver2024). Recommandations modernes : mots de passe forts et stables, + MFA, + monitoring. Changer uniquement en cas de suspicion de compromission (incident interne, fuite détectée, alerte HaveIBeenPwned). Cette évolution s'applique aussi en entreprise : la rotation imposée tous les 90 jours n'est plus considérée comme une bonne pratique.

Un mot de passe long suffit-il contre le brute force ?

Un mot de passe long et aléatoire (12+ caractères avec diversité) est très résistant au brute force actuel, y compris hors ligne avec GPU. Un mot de passe de 16 caractères aléatoires = 10^28 combinaisons = infaisable à casser même sur cluster. Mais le brute force n'est pas la seule menace. Un mot de passe fort ne protège pas contre : phishing (l'utilisateur le donne lui-même), credential stuffing (si le mot de passe fuite sur un autre service), malware keylogger, shoulder surfing, attaques sur les questions de sécurité ou reset password, compromission du serveur (hashes exfiltrés). D'où l'importance du MFA en complément — le second facteur protège contre la quasi-totalité de ces vecteurs.

Comment savoir si mon mot de passe est compromis ?

Plusieurs services : HaveIBeenPwned (haveibeenpwned.com) est la référence. Créé par le chercheur Troy Hunt, il permet : de vérifier si un email est présent dans des fuites connues, de vérifier si un mot de passe spécifique est présent dans la base (via API anonyme utilisant k-anonymity). Intégré par de nombreux navigateurs (Firefox Monitor) et password managers (1Password Watchtower, Bitwarden). Autres : Google Password Checkup dans Chrome, Apple Keychain Security Recommendations. Action recommandée si compromis : changer immédiatement sur le service concerné, vérifier si réutilisé ailleurs, activer MFA.

Le CAPTCHA bloque-t-il le brute force moderne ?

Partiellement. Les CAPTCHAs bloquent efficacement les bots simples mais les attaques modernes les contournent de plusieurs façons : services CAPTCHA-solving payants (~1 USD pour 1000 CAPTCHAs résolus par des humains en Inde/Asie du Sud-Est), IA de résolution (reCAPTCHA v3 peut être trompé par des bots sophistiqués), scripts qui simulent des comportements humains convaincants, farmes de comptes pré-résolus. Le CAPTCHA reste utile comme barrière supplémentaire mais ne doit pas être l'unique défense. Combinaison recommandée : CAPTCHA (filtre bots simples) + rate limiting (ralentit même les humains) + MFA (bloque même le compte compromis). Voir notre fiche Captcha.

Quelle différence entre brute force et dictionary attack ?

Relation d'inclusion. Dictionary attack = variante du brute force utilisant un dictionnaire de mots probables au lieu de toutes les combinaisons. Brute force (strictement) = toutes les combinaisons possibles. En pratique, le terme « brute force » est souvent utilisé au sens large pour inclure les variantes par dictionnaire. Différence opérationnelle : la dictionary attack est beaucoup plus rapide et prioritaire — elle trouve les mots de passe faibles en premier. Les outils modernes (Hashcat, John) font dictionary puis dictionary + règles de mutation (ajout de chiffres, leet speak) puis brute force total.

Les passkeys éliminent-ils le brute force ?

Oui, structurellement. Les passkeys (standard FIDO2/WebAuthn) remplacent les mots de passe par des paires de clés cryptographiques asymétriques. Il n'y a plus de secret partagé entre utilisateur et serveur : le serveur ne stocke que la clé publique, inutilisable pour se connecter sans la clé privée détenue uniquement par l'appareil de l'utilisateur. Conséquence : pas de mot de passe à brute forcer, pas de hash à dump-er. Même en cas de fuite de la base de données, les clés publiques seules n'ont aucune valeur. Adoption progressive depuis 2022-2023 par les grands services (Apple, Google, Microsoft, GitHub, PayPal, etc.). Les passkeys résolvent aussi le phishing (clé liée à un domaine spécifique). Probable remplacement progressif des mots de passe sur 5-10 ans — mais coexistence encore longtemps.