La plupart des internautes pensent encore qu\u2019un mot de passe \u00ab compliqu\u00e9 \u00bb suffit \u00e0 les prot\u00e9ger. Quelques majuscules, deux chiffres, un symbole\u2026 et l\u2019affaire serait r\u00e9gl\u00e9e.
La r\u00e9alit\u00e9, elle, est beaucoup moins rassurante.<\/p>\n
Avec la puissance des cartes graphiques actuelles, les bases de donn\u00e9es de mots de passe d\u00e9j\u00e0 fuit\u00e9es et les outils automatis\u00e9s disponibles librement, ce qui semblait robuste il y a 5 ans est aujourd\u2019hui trivial \u00e0 casser<\/strong>.<\/p>\n Dans cet article, nous allons voir combien de temps il faut r\u00e9ellement pour craquer un mot de passe<\/strong>, comment ces attaques fonctionnent, et surtout ce que cela implique pour votre s\u00e9curit\u00e9 quotidienne<\/strong> \u2014 que vous soyez particulier, professionnel, ou gestionnaire d\u2019acc\u00e8s pour une \u00e9quipe.<\/p>\n Contrairement \u00e0 l\u2019image du hacker qui \u00ab devine \u00bb votre mot de passe, la majorit\u00e9 des attaques modernes ne reposent pas sur l\u2019intuition, mais sur la puissance de calcul<\/strong> et l\u2019automatisation.<\/p>\n Lorsqu\u2019une base de donn\u00e9es fuit (site e-commerce, forum, SaaS, r\u00e9seau social\u2026), les mots de passe ne sont pas stock\u00e9s en clair mais sous forme de hash<\/strong> (MD5, SHA-1, bcrypt, Argon2\u2026). Les attaquants r\u00e9cup\u00e8rent ces empreintes et les passent dans des machines capables de tester des milliards de combinaisons par seconde<\/strong>.<\/p>\n Deux techniques dominent :<\/p>\n l\u2019attaque par dictionnaire, qui teste en priorit\u00e9 des mots r\u00e9els, pr\u00e9noms, dates, combinaisons connues<\/p>\n<\/li>\n l\u2019attaque par force brute, qui teste m\u00e9thodiquement toutes les combinaisons possibles<\/p>\n<\/li>\n<\/ul>\n Le plus inqui\u00e9tant ? On pense souvent que la complexit\u00e9 prot\u00e8ge : caract\u00e8res sp\u00e9ciaux, majuscules, chiffres. Un mot de passe court mais complexe est infiniment plus facile \u00e0 casser qu\u2019une phrase longue et simple.<\/p>\n Par exemple :<\/p>\n Pourquoi ? Parce que le nombre de combinaisons explose avec la longueur.<\/p>\n Voici une estimation bas\u00e9e sur la puissance de calcul actuelle (GPU grand public, outils disponibles publiquement) :<\/p>\n Ces dur\u00e9es varient selon l\u2019algorithme de hash utilis\u00e9 par le site, mais la tendance reste la m\u00eame<\/strong> : Pour comprendre comment fonctionnent ces algorithmes, vous pouvez consulter la documentation de r\u00e9f\u00e9rence sur les fonctions de hachage s\u00e9curis\u00e9es comme celles d\u00e9crites par le projet OWASP<\/span><\/span>.<\/p>\n Beaucoup de personnes pensent \u00eatre cr\u00e9atives :<\/p>\n remplacer les \u00ab o \u00bb par des \u00ab 0 \u00bb<\/p>\n<\/li>\n ajouter un \u00ab ! \u00bb \u00e0 la fin<\/p>\n<\/li>\n inverser deux lettres<\/p>\n<\/li>\n<\/ul>\n Les outils de cracking connaissent d\u00e9j\u00e0 toutes ces astuces. Elles font partie des premi\u00e8res variantes test\u00e9es. Le vrai probl\u00e8me n\u2019est pas seulement qu\u2019un mot de passe soit cassable. Une fois qu\u2019un pirate a r\u00e9cup\u00e9r\u00e9 votre mot de passe sur un site compromis, il l\u2019essaie automatiquement sur :<\/p>\n votre messagerie<\/p>\n<\/li>\n vos r\u00e9seaux sociaux<\/p>\n<\/li>\n vos comptes professionnels<\/p>\n<\/li>\n vos outils SaaS<\/p>\n<\/li>\n<\/ul>\n Cette technique s\u2019appelle le credential stuffing<\/strong> et elle est responsable d\u2019une immense partie des piratages actuels.<\/p>\n Une passphrase est une phrase longue, naturelle, facile \u00e0 retenir, mais incroyablement longue pour un ordinateur.<\/p>\n Exemple : C\u2019est lisible, m\u00e9morisable, et pratiquement impossible \u00e0 brute-forcer.<\/p>\n C\u2019est aujourd\u2019hui la recommandation officielle<\/strong> des experts en s\u00e9curit\u00e9, notamment relay\u00e9e par des organismes comme le National Institute of Standards and Technology<\/span><\/span>.<\/p>\n M\u00eame avec un mot de passe tr\u00e8s solide, un autre risque subsiste : la mani\u00e8re dont il est partag\u00e9<\/strong>.<\/p>\n Envoyer un mot de passe par mail, messagerie, ticket support ou fichier texte annule totalement la s\u00e9curit\u00e9 que vous venez de mettre en place. Ces canaux sont historis\u00e9s, sauvegard\u00e9s, index\u00e9s.<\/p>\n C\u2019est pr\u00e9cis\u00e9ment pour r\u00e9soudre ce probl\u00e8me que des outils comme https:\/\/seecret.it<\/a><\/strong> permettent de partager un mot de passe via un lien \u00e0 usage unique<\/strong>, qui devient inactif apr\u00e8s consultation.<\/p>\n Ainsi, le mot de passe n\u2019existe jamais en clair dans une messagerie ou un historique.<\/p>\nComment les pirates \u201ccassent\u201d r\u00e9ellement un mot de passe<\/h2>\n
\n
Les pirates ne partent jamais de z\u00e9ro. Ils disposent de gigantesques bases de donn\u00e9es issues de pr\u00e9c\u00e9dentes fuites<\/strong> contenant des milliards de mots de passe r\u00e9els. Cela rend l\u2019attaque extr\u00eamement efficace<\/strong>, m\u00eame contre des mots de passe qui paraissent \u00ab originaux \u00bb.<\/p>\nLe facteur d\u00e9terminant : la longueur, pas la complexit\u00e9<\/h2>\n
En r\u00e9alit\u00e9, le facteur qui ralentit r\u00e9ellement un attaquant est la longueur<\/strong>.<\/p>\n\n
P@ssw0rd!<\/code> peut \u00eatre cass\u00e9 en quelques secondes<\/p>\n<\/li>\nMonChatDortSurLeRadiateurEnHiver<\/code> peut prendre des si\u00e8cles<\/p>\n<\/li>\n<\/ul>\nCombien de temps faut-il vraiment pour casser un mot de passe ?<\/h2>\n
\n\n
\n \nType de mot de passe<\/th>\n Exemple<\/th>\n Temps estim\u00e9 pour le casser<\/th>\n<\/tr>\n<\/thead>\n \n 8 caract\u00e8res, lettres uniquement<\/td>\n bonjouraa<\/code><\/td>\nquelques secondes<\/td>\n<\/tr>\n \n 8 caract\u00e8res, complexe<\/td>\n B0nj0uR!<\/code><\/td>\nmoins d\u2019une minute<\/td>\n<\/tr>\n \n 10 caract\u00e8res alphanum\u00e9riques<\/td>\n Paris2024!<\/code><\/td>\nquelques heures<\/td>\n<\/tr>\n \n 12 caract\u00e8res alphanum\u00e9riques<\/td>\n Vacances2025!<\/code><\/td>\nplusieurs ann\u00e9es<\/td>\n<\/tr>\n \n 20+ caract\u00e8res (passphrase)<\/td>\n LeSoleilSeLeveToujoursA6h<\/code><\/td>\nvirtuellement incassable<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n
les mots de passe courts ne tiennent pas face aux attaques modernes.<\/p>\nLe pi\u00e8ge des mots de passe \u201cmalins\u201d<\/h2>\n
\n
Autrement dit, ces \u00ab am\u00e9liorations \u00bb n\u2019apportent presque aucune protection.<\/p>\nCe qui rend une attaque r\u00e9ellement dangereuse : la r\u00e9utilisation<\/h2>\n
C\u2019est qu\u2019il soit r\u00e9utilis\u00e9 ailleurs<\/strong>.<\/p>\n\n
Pourquoi les passphrases changent compl\u00e8tement la donne<\/h2>\n
MonVoisinA3ChiensQuiAboientLaNuit<\/code><\/p>\nLe probl\u00e8me du partage de mots de passe<\/h2>\n
Tester si vos mots de passe ont d\u00e9j\u00e0 fuit\u00e9<\/h2>\n