Qu'est-ce que Attaque par force brute ?
Une attaque par force brute est une méthode cryptanalytique qui tente de découvrir un mot de passe, une clé de chiffrement ou un autre secret en testant systématiquement toutes les combinaisons possibles jusqu'à trouver la valeur correcte.
Aussi connu sous le nom de : brute force, password cracking, exhaustive search
Les attaques par force brute sont la forme d'attaque la plus simple contre n'importe quel secret : essayer toutes les possibilités. Pour un code PIN à 4 chiffres, il existe 10 000 combinaisons — trivial pour un ordinateur. Pour un mot de passe de 8 lettres minuscules, il existe environ 209 milliards de combinaisons — réalisable avec du matériel moderne. Pour une clé de chiffrement de 256 bits, il existe 2^256 possibilités — informatiquement irréalisable avec toute technologie concevable selon les lois physiques connues.
En pratique, les attaquants mènent rarement des attaques par force brute pures contre des mots de passe. Ils utilisent plutôt des variantes optimisées : attaques par dictionnaire (tester les mots de passe et mots courants), attaques fondées sur des règles (appliquer des transformations courantes comme ajouter des chiffres ou substituer des caractères), credential stuffing (utiliser des mots de passe divulgués lors d'autres fuites) et attaques par table arc-en-ciel (utiliser des tables de correspondance de hachages précalculées). Ces techniques exploitent la prévisibilité des mots de passe choisis par des humains pour réduire drastiquement l'espace de recherche.
Les défenses contre les attaques par force brute opèrent à plusieurs niveaux. Des mots de passe robustes et des clés de chiffrement longues rendent impraticable une recherche exhaustive. La limitation de débit borne le nombre de tentatives par période. Les politiques de verrouillage de compte empêchent l'accès après plusieurs tentatives échouées. Les fonctions de dérivation de clé comme PBKDF2 et bcrypt rendent chaque tentative coûteuse en calcul. Le salage empêche les attaques par correspondance précalculée. Ensemble, ces défenses élèvent le coût d'une attaque par force brute au-delà de tout seuil pratique.
Comment Vaulted utilise Attaque par force brute
Vaulted se défend contre les attaques par force brute à plusieurs niveaux. La clé de chiffrement AES-256-GCM est une valeur aléatoire de 256 bits, ce qui rend un déchiffrement par force brute informatiquement impossible. Pour les secrets protégés par phrase secrète, PBKDF2 avec 100 000 itérations rend chaque tentative de deviner le mot de passe nettement plus coûteuse. La limitation de débit côté serveur (10 créations par minute, 30 consultations par minute par IP) empêche les tentatives automatisées rapides contre l'API. Et les limites de consultations garantissent qu'un secret est définitivement supprimé après un petit nombre d'accès, fermant ainsi la fenêtre des tentatives répétées.