Sécurité des mots de passe : la stratégie des attaquants, décryptée

En début de semaine, nous vous demandions combien de combinaisons vous estimiez possibles de trouver avec 52 lettres (MAJ et min), 10 chiffres et 32 caractères spéciaux. 

On vous expliquait que la formule suivante devait être utilisée : 

Nombre de combinaisons possibles = nombre de caractères possibles ^ Longueur du mot de passe.

La durée nécessaire pour qu’un ordinateur décrypte un mot de passe varie en fonction du nombre de caractères utilisés et de la puissance machine (ici 2^9 calculs par seconde). Voici quelques exemples illustrant le temps requis selon le nombre de caractères :

"On dira qu’à partir de 10 caractères vous commencerez sérieusement à compliquer la tâche de votre Cyber-attaquant !"

Quelles sont les méthodes employées par les cyberattaquants pour trouver un mot de passe ?

1- L’Attaque par force brute (Brute Force) : 

C’est la méthode la plus basique : tester toutes les combinaisons possibles de caractères jusqu’à trouver le bon mot de passe. Vous avez le nombre de combinaisons et le temps dans le tableau ci-dessus.

 Exemple :

• Si le mot de passe est abc123, l’attaquant essaiera toutes les combinaisons comme aaa, aab, aac... puis aba, etc.
• Plus le mot de passe est long, plus il faut de temps pour tester toutes les possibilités. 

 Problème pour l’attaquant :

• La complexité augmente exponentiellement avec la longueur du mot de passe.
• Un mot de passe de 12 caractères aléatoires prend des millions d’années à casser avec cette méthode. 

2- L’Attaque avec Wordlist + Règles

Les attaquants sont malins : au lieu de tester toutes les combinaisons possibles, ils utilisent des dictionnaires de mots de passe courants, puis appliquent des règles de transformation. 

Comment ça marche ?

• Wordlist : Une liste de mots de passe souvent utilisés (ex: password, 123456, letmein).
• Règles : Ajout/modification de caractères (ex: transformer password en P@ssw0rd123).

 Si vous pouvez faire plus compliqué, alors allez-y ! 

Exemple d’attaque :

• L’attaquant a une liste de mots courants : admin, welcome, azerty, loveyou…
• Il applique des règles comme :Ajouter des chiffres (password1, password123).Remplacer certaines lettres (p@ssword, P@ssw0rd).Doubler le mot (passwordpassword).
• Il teste les variantes les plus probables en priorité.

Avantages pour l’attaquant :

• Beaucoup plus rapide qu’une attaque brute force.
• Basé sur des mots de passe humains, donc plus efficace.
• Peut casser des mots de passe longs, si la structure est prévisible (Azerty1234, Football2024, etc.). 

Pourquoi la longueur du mot de passe ne suffit-elle pas ? 

On pourrait penser qu’un mot de passe long est plus sûr, mais pas toujours. Un mot de passe long mais prévisible est faible :

• Password2024! (13 caractères) sera cassé rapidement.
• JohnDoe1975! (14 caractères) est deviné facilement si ton nom est connu. 

Un mot de passe court mais aléatoire sera donc bien plus solide :

gF7#Lp@x (8 caractères) est beaucoup plus difficile à casser qu’un Football2023!. 

Le vrai critère de sécurité ?

• Aléatoire et Unique : Un bon mot de passe est imprévisible.
• Passphrase longue (si elle est facile à retenir) : Ciel_Rouge_Arbre!74 est plus sûr que P@ssword123

Il faudrait des centaines d’années à un ordinateur pour déchiffrer un mot de passe du type “je suis une brune” contre 3 jours pour un mot de passe du type “pr0t3cT!”

Conclusion

Force brute : Essayer toutes les combinaisons possibles (longueur très importante). 

Wordlist + Règles : Tester des mots courants avec des variantes (longueur moins importante, structure plus critique).  

Ce qui protège vraiment :

1. Des mots de passe longs ET aléatoires.
2. Utiliser un gestionnaire de mots de passe pour éviter d’en créer des trop prévisibles.
3. L’activation du 2FA (authentification à deux facteurs).

"En gros : ce n’est pas juste la longueur du mot de passe qui compte, mais surtout l’imprévisibilité !"