Ces attaques peuvent être utilisées contre tout type de chiffrement, avec plus ou moins de succès. Les attaques par force brute deviennent de plus en plus rapides et efficaces, jour après jour, à mesure que du matériel informatique plus récent et plus rapide est disponible.
Les bases de la force brute
Les attaques par force brute sont simples à comprendre. Un attaquant possède un fichier crypté, par exemple votre base de données de mots de passe LastPass ou KeePass. Ils savent que ce fichier contient des données qu’ils souhaitent voir et qu’une clé de cryptage le déverrouille. Pour le déchiffrer, ils peuvent commencer à essayer tous les mots de passe possibles et voir si le résultat est un fichier déchiffré.
Ils le font automatiquement avec un programme informatique. Ainsi, la vitesse à laquelle une personne peut chiffrer par force brute augmente à mesure que le matériel informatique disponible devient de plus en plus rapide, capable de faire plus de calculs par seconde. L'attaque par force brute commencerait probablement avec des mots de passe à un chiffre avant de passer aux mots de passe à deux chiffres, etc., en essayant toutes les combinaisons possibles jusqu'à ce que l'un d'eux fonctionne.
Une «attaque par dictionnaire» est similaire et essaie des mots dans un dictionnaire - ou une liste de mots de passe courants - au lieu de tous les mots de passe possibles. Cela peut être très efficace, car de nombreuses personnes utilisent des mots de passe aussi faibles et courants.
Pourquoi les pirates ne peuvent pas utiliser les services Web de force brute
Il existe une différence entre les attaques par force brute en ligne et hors ligne. Par exemple, si un attaquant veut se forcer brutalement à accéder à votre compte Gmail, il peut commencer à essayer tous les mots de passe possibles, mais Google les supprimera rapidement. Les services fournissant un accès à de tels comptes vont limiter les tentatives d'accès et interdire les adresses IP qui tentent de se connecter plusieurs fois. Ainsi, une attaque contre un service en ligne ne fonctionnerait pas très bien, car très peu de tentatives peuvent être faites avant que l’attaque ne soit stoppée.
Par exemple, après quelques tentatives de connexion infructueuses, Gmail vous montrera une image CATPCHA pour vous permettre de vérifier que votre ordinateur n'essaie pas automatiquement de mots de passe. Ils vont probablement arrêter complètement vos tentatives de connexion si vous parvenez à continuer assez longtemps.
Hachage
Des algorithmes de hachage puissants peuvent ralentir les attaques par force brute. Essentiellement, les algorithmes de hachage effectuent un travail mathématique supplémentaire sur un mot de passe avant de stocker une valeur dérivée du mot de passe sur le disque. Si un algorithme de hachage plus lent est utilisé, il vous faudra des milliers de fois plus de travail mathématique pour essayer chaque mot de passe et ralentir considérablement les attaques par force brute. Cependant, plus le travail requis est important, plus un serveur ou un autre ordinateur doit travailler à chaque fois que l'utilisateur se connecte avec son mot de passe. Les logiciels doivent trouver un équilibre entre la résilience, les attaques en force et l'utilisation des ressources.
Force brute vitesse
La vitesse dépend du matériel. Les agences de renseignement peuvent créer du matériel spécialisé uniquement pour les attaques par force brute, tout comme les mineurs de Bitcoin construisent leur propre matériel spécialisé optimisé pour l'extraction de Bitcoin. En ce qui concerne le matériel grand public, le type de matériel le plus efficace pour les attaques par force brute est une carte graphique (GPU). Comme il est facile d’essayer plusieurs clés de chiffrement à la fois, de nombreuses cartes graphiques fonctionnant en parallèle sont idéales.
À la fin de 2012, Ars Technica a indiqué qu'un cluster de 25 GPU pouvait déchiffrer chaque mot de passe Windows de moins de 8 caractères en moins de six heures. L’algorithme NTLM utilisé par Microsoft n’était tout simplement pas assez résistant. Cependant, lors de la création de NTLM, il aurait fallu beaucoup plus de temps pour essayer tous ces mots de passe. Cela n’était pas considéré comme une menace suffisante pour que Microsoft renforce le cryptage.
La vitesse augmente, et dans quelques décennies, nous pourrons peut-être découvrir que même les algorithmes de chiffrement et les clés de chiffrement les plus puissants que nous utilisons aujourd'hui peuvent être rapidement déchiffrés par les ordinateurs quantiques ou par tout autre matériel que nous utiliserons à l'avenir.
Protection de vos données contre les attaques par force brute
Il n’ya aucun moyen de vous protéger complètement. Il est impossible de dire à quelle vitesse le matériel informatique va aller et si l’un des algorithmes de chiffrement que nous utilisons aujourd’hui présente des faiblesses qui seront découvertes et exploitées à l’avenir. Cependant, voici les bases:
- Protégez vos données cryptées contre les attaques des attaquants. Une fois que vos données sont copiées sur leur matériel, ils peuvent essayer à leur guise des attaques par force brute.
- Si vous exécutez un service qui accepte les connexions via Internet, assurez-vous qu'il limite les tentatives de connexion et bloque les personnes qui tentent de se connecter avec de nombreux mots de passe différents sur une courte période. Le logiciel serveur est généralement configuré pour le faire immédiatement, car il s’agit d’une bonne pratique de sécurité.
- Utilisez des algorithmes de cryptage puissants, tels que SHA-512. Assurez-vous de ne pas utiliser d'anciens algorithmes de chiffrement avec des faiblesses connues, faciles à résoudre.
- Utilisez des mots de passe longs et sécurisés. Toute la technologie de cryptage dans le monde ne vous aidera pas si vous utilisez «mot de passe» ou le très populaire «hunter2».
Les attaques par force brute sont un sujet de préoccupation lorsque vous protégez vos données, choisissez des algorithmes de cryptage et choisissez des mots de passe. Ils constituent également une raison de continuer à développer des algorithmes cryptographiques plus puissants: le cryptage doit suivre la vitesse à laquelle il est rendu inefficace par le nouveau matériel.
