Article Informatique - Mots de passe : l'attaque par force brute...

Mots de passe : l’attaque par force brute

L'attaque par force brute est une méthode pour trouver un mot de passe ou une clé. Il s'agit de tester, une à une, toutes les combinaisons possibles. Cette méthode de recherche exhaustive ne réussit que dans les cas où le mot de passe cherché est constitué de peu de caractères…

Ces programmes tentent toutes les possibilités de mot de passe dans un ordre aléatoire afin de berner les logiciels de sécurité qui empêchent de tenter tous les mots de passe dans l'ordre.
Pour contrer cette méthode, il suffit simplement de choisir des mots de passe d'une grande longueur ou des clés suffisamment grandes. Ainsi, l'attaquant devra mettre beaucoup de temps pour trouver le bon mot de passe. Cette méthode est très sensible aux capacités de calcul des machines effectuant l'algorithme.
Cette méthode est souvent combinée avec l'attaque par dictionnaire et par table arc-en-ciel pour trouver le secret plus rapidement.

Explication mathématique
Si le mot de passe contient ncaractères, indépendants (la présence d'un caractère ne va pas influencer un autre) et uniformément distribués (aucun caractère n'est privilégié), le nombre maximum d'essais nécessaires se monte alors à :
26ⁿ si le mot de passe ne contient que des lettres de l'alphabet totalement en minuscules ou en majuscules ;
52ⁿ si le mot de passe ne contient que des lettres de l'alphabet, avec un mélange de minuscules et de majuscules ;
62ⁿ si le mot de passe mélange les majuscules et les minuscules ainsi que les chiffres.
Il suffit en fait d'élever la taille de « l'alphabet » utilisé à la puissance n. Il s'agit ici d'une borne supérieure et en moyenne, il faut deux fois moins d'essais pour trouver le mot de passe (si celui-ci est aléatoire). En réalité, bien peu de mots de passe sont totalement aléatoires et le nombre d'essais est bien inférieur aux limites données ci-dessus (grâce à la possibilité d'une attaque par dictionnaire).
Le tableau ci-dessous donne le nombre maximum d'essais nécessaires pour trouver des mots de passe de longueurs variables.

Type	3 caractères	6 caractères	9 caractères
lettres minuscules	17 576	308 915 776	5,4 × 10¹²
lettres minuscules et chiffres	46 656	2 176 782 336	1,0 × 10¹⁴
minuscules, majuscules et chiffres	238 328	5,6 × 10¹⁰	1,3 × 10¹⁶

Un ordinateur personnel est capable de tester plusieurs centaines de milliers voire quelques millions de mots de passe par seconde. Cela dépend de l'algorithme utilisé pour la protection mais on voit qu'un mot de passe de seulement 6 caractères, eux-mêmes provenant d'un ensemble de 62 symboles (minuscules ou majuscules accompagnés de chiffres), ne tiendrait pas très longtemps face à une telle attaque.
Dans le cas des clés utilisées pour le chiffrement, la longueur est souvent donnée en bits. Dans ce cas,
le nombre de possibilités (si la clé est aléatoire) à explorer est de l'ordre de 2ⁿ où n est la longueur de la clé en bits. Une clé de 128 bits représente déjà une limite impossible à atteindre avec la technologie actuelle et l'attaquant doit envisager d'autres solutions cryptanalytiques si celles-ci existent. Il faut cependant prendre en compte que la puissance du matériel informatique évolue sans-cesse et un message indéchiffrable à un moment donné peut l'être par le même type d'attaque une dizaine d'années plus tard.

Limiter la recherche exhaustive
Pour éviter des attaques par force brute, la meilleure solution est :
- d'allonger le mot de passe ou la clé si cela est possible ;
- utiliser la plus grande gamme de symboles possibles (minuscules, majuscules, ponctuations, chiffres); l'introduction de caractères nationaux (Â, ÿ...) rend plus difficile le travail des pirates (mais parfois aussi l'entrée de son mot de passe quand on se trouve à l'étranger) ;
- pour éviter d'avoir à faire face à une attaque par dictionnaire, faire en sorte que le mot de passe soit aléatoire ;
- et pour une sécurité optimum, empêcher de dépasser un nombre maximal d'essais en un temps ou pour une personne donnée.

Comment choisir un mot de passe difficile à deviner mais facile à retenir ?

La méthode phonétique

Cette méthode consiste à utiliser les sons de chaque syllabe pour fabriquer une phrase facile à retenir. Par exemple, la phrase « j'ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am

La méthode des premières lettres

Il s'agit de garder les premières lettres d'une phrase (citation, paroles de chanson...) en veillant à ne pas utiliser que des minuscules. Par exemple, la citation « un tiens vaut mieux que deux tu l'auras » deviendra 1TvmQ2tl'@

Tester son mot de passe

Pour s’assurer de la robustesse de son mot de passe, il existe plusieurs sites, comme celui de Microsoft, qui assurent ce service tout en garantissant la confidentialité de la chaîne de caractères saisie.
Sans oublier, bien entendu, de le changer assez régulièrement et d'opter pour une politique personnelle avec, par exemple, un préfixe pour chaque type d'activité. Comme BKE-MONMOTDEPASSE pour la banque, IMP-MONMOTDEPASSE pour les impôts. Quelque chose de très facile à mémoriser qui complexifie votre mot de passe et, surtout, vous permet de le diversifier.

Un spécialiste de la sécurité informatique :

78430 - ABC INFORMATIK PC MAC ASSISTANCE PRO http://www.assistance-mac-pc-78.com

Lien vers HaOui : www.haoui.com
Lien vers : historique des newsletters