Le par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s’agit de tester, une à une, toutes les combinaisons possibles.
Cette méthode est en général considérée comme la plus simple concevable. Elle permet de casser tout mot de passe en un temps fini indépendamment de la protection utilisée, mais le temps augmente avec la longueur du mot de passe. En théorie la complexité d’une attaque par force brute est une fonction exponentielle de la longueur du mot de passe, la rendant en principe impossible pour des mots de passe de longueur moyenne. En pratique des optimisations heuristiques peuvent donner des résultats dans des délais beaucoup plus courts.
Cette méthode est souvent combinée avec l’attaque par dictionnaire et par table arc-en-ciel pour trouver le secret plus rapidement.
Si le mot de passe contient N caractères, indépendants (la présence d’un caractère ne va pas influencer un autre) et uniformément distribués (aucun caractère n’est privilégié), le nombre maximum d’essais nécessaires se monte alors à :
- 26N si le mot de passe ne contient que des lettres de l’alphabet totalement en minuscules ou en majuscules ;
- 36N si le mot de passe mélange des chiffres et des lettres de l’alphabet totalement en minuscules ou en majuscules ;
- 62N si le mot de passe mélange les majuscules et les minuscules ainsi que les chiffres.
Il suffit en fait d’élever la taille de « l’alphabet » utilisé à la puissance N. Il s’agit ici d’une borne supérieure et en moyenne, il faut deux fois moins d’essais pour trouver le mot de passe (si celui-ci est aléatoire). En réalité, bien peu de mots de passe sont totalement aléatoires et le nombre d’essais est bien inférieur aux limites données ci-dessus (grâce à la possibilité d’une attaque par dictionnaire).
Le tableau ci-dessous donne le nombre maximum d’essais nécessaires pour trouver des mots de passe de longueurs variables.
Un ordinateur personnel est capable de tester plusieurs centaines de milliers voire quelques millions de mots de passe par seconde. Cela dépend de l’algorithme utilisé pour la protection mais on voit qu’un mot de passe de seulement 6 caractères, eux-mêmes provenant d’un ensemble de 62 symboles (minuscules ou majuscules accompagnés de chiffres), ne tiendrait pas très longtemps face à une telle attaque.
Dans le cas des clés utilisées pour le chiffrement, la longueur est souvent donnée en bits. Dans ce cas, le nombre de possibilités (si la clé est aléatoire) à explorer est de l’ordre de 2N où N est la longueur de la clé en bits. Une clé de 128 bits représente déjà une limite impossible à atteindre avec la technologie actuelle et l’attaquant doit envisager d’autres solutions cryptanalytiques si celles-ci existent. Il faut cependant prendre en compte que la puissance du matériel informatique évolue sans-cesse (voir Loi de Moore) et un message indéchiffrable à un moment donné peut l’être par le même type d’attaque une dizaine d’années plus tard.
Aucune réponse