2025-04-30T09:48:13Z

---

Au moment de créer un mot de passe, de nombreux services en ligne demandent désormais aux utilisateurs de fournir des combinaisons de caractères alphanumériques et spéciaux complexes. Ce n’est pas pour le plaisir d’enquiquiner les réfractaires aux gestionnaires de mots de passe ; plus les ordinateurs gagnent en puissance, plus il devient facile de craquer un mot de passe en utilisant des méthodes basées sur la force brute. Pour aider le public à y voir plus clair, un cabinet de conseil en cybersécurité a dévoilé une nouvelle version d’un tableau fort utile qui permet d’estimer la vulnérabilité de vos mots de passe en un clin d’œil. C’est quoi, une attaque par force brute ? Ce terme désigne une stratégie assez rudimentaire qui consiste à demander à un ordinateur d’explorer toutes les possibilités, une par une, de manière systématique, jusqu’à tomber sur la solution. Le gros avantage de cette approche, c’est qu’elle offre un taux de succès théorique de 100 %. La question n’est pas de savoir si la machine finira par tomber sur la bonne combinaison de caractères, mais plutôt quand. Mais cela ne signifie pas que cette approche est toujours viable en pratique, loin de là. En effet, les ressources nécessaires pour mener ce genre d’attaque augmentent exponentiellement avec la taille et la diversité de la chaîne de caractères. Avec un mot de passe suffisamment complexe, le temps nécessaire explose rapidement pour atteindre des ordres de grandeur largement supérieurs au cycle de vie d’un mot de passe. C’est notamment pour cette raison que les pirates modernes ont tendance à privilégier d’autres approches. On peut citer les attaques par dictionnaire, qui cherchent à accélérer le processus en privilégiant les solutions plus probables, en se basant sur des listes de termes fréquents (wordlists)… ou sur des listes de mots de passe réels récupérées lors de piratages antérieurs. L’autre approche, sans doute la plus dangereuse, repose sur l’ingénierie sociale. Vous connaissez sans doute le célèbre phishing, qui exploite une vulnérabilité de l’utilisateur afin de l’amener à livrer son précieux identifiant sur un plateau d’argent. Mais cela ne signifie pas pour autant que la force brute est complètement désuète. Toute la question, c’est donc de déterminer à partir de quel niveau de complexité un mot de passe devient suffisamment sécurisé. Longueur et complexité, la combinaison gagnante C’est là qu’intervient Hive Systems, un cabinet de conseil qui maintient un tableau spécialement prévu à cet effet. Son objectif : déterminer combien de temps il faudrait à un pirate bien équipé pour craquer votre précieux sésame en utilisant du matériel grand public de dernière génération (12 exemplaires du GPU le plus performant du moment). Ce document vient d’être mis à jour sur la base des performances des nouvelles Nvidia RTX 5090. Et il contient quelques informations très intéressantes. Première évolution notable par rapport à la version 2024 : désormais, tous les mots de passe à 4 caractères, quels qu’ils soient, tombent instantanément, c’est-à-dire en moins d’une seconde dans ce contexte. Cela vaut aussi pour tous les mots de passe constitués uniquement de chiffres : s’il en comporte 8 ou moins, il tombera en un clin d’œil face à un pirate bien équipé. Mais heureusement, presque plus personne n’utilise de mots de passe aussi courts de nos jours. D’après une étude de DemandSage, plus de la moitié des internautes protègent l’accès à leurs comptes avec 8 à 11 caractères. Cette plage est très intéressante, car on arrive dans un domaine où le choix des caractères fait une différence gigantesque. Avec 8 chiffres, par exemple, le mot de passe peut être craqué presque instantanément. Mais ajoutez-y des lettres majuscules, minuscules et des symboles, et le temps de calcul estimé passe à 164 ans. La différence est encore plus flagrante à 11 caractères : 1 semaine de travail si le mot de passe ne contient que des chiffres, et… 56 millions d’années avec la combinaison citée plus haut. Morale de l’histoire : n’ignorez pas les recommandations de ceux qui suggèrent d’utiliser des mots de passe longs et complexes. Évitez aussi de vous reposer sur des termes courants, des noms de personnes connues ou des dates, qui sont bien plus vulnérables aux attaques par dictionnaire mentionnées plus haut. Au bout du compte, rien ne vaut une bonne vieille chaîne de caractères sans queue ni tête ; c’est certes plus contraignant au quotidien, mais cette couche de sécurité supplémentaire n’a pas de prix à cette époque où une grande partie de notre vie se déroule en ligne. Pour plus de détail, l’analyse complète de Hive Systems est disponible ici.