Grand oral NSI Brute Force

« Introduction Mesdames, messieurs, Avez-vous confiance en vos mots de passe ? C’est une question cruciale à l’ère de l’Internet. Chacun d’entre nous possède des comptes en ligne, qu’il s’agisse d’une banque, d’une messagerie électronique ou même d’un accès à Pronote.

Tous ces comptes sont protégés par des mots de passe. Mais sommes-nous vraiment à l’abri ? Dans un monde numérique où les pirates utilisent toutes les méthodes possibles pour s’introduire dans nos espaces virtuels et dérober nos biens, il est essentiel de se poser cette question. Aujourd’hui, nous allons explorer l’une des techniques de piratage de mots de passe les plus courantes : la force brute.

Mais est-elle vraiment infaillible ? Pour répondre à cette question, nous commencerons par explorer le domaine du piratage informatique et ses différentes méthodes. Ensuite, nous plongerons dans le concept de la force brute et examinerons ses limites.

Enfin, nous aborderons la prévention : comment se protéger contre ces attaques ? I.

Piratage informatique : les méthodes de piratage A.

Les différents types de piratage les plus courants 1.

Le piratage d’un équipement : Il s’agit de s’introduire dans une ressource comme un ordinateur, un serveur, un réseau, un service en ligne ou un téléphone mobile. 2.

Piratage d’un compte en ligne : Le pirate informatique tente de prendre le contrôle d’un compte en ligne, souvent par le biais de l’hameçonnage plus connu sous le nom de phishing. 3.

Malwares : Ce terme englobe de nombreux sous-ensembles, tels que les ransomwares, les chevaux de Troie, les spywares, les virus, les vers, les enregistreurs de frappe, les robots, le crypto piratage et tout autre type d’attaque exploitant un logiciel de façon malveillante. Le piratage informatique désigne dans le langage courant de nombreux concepts très différents, parfois employés de façon abusive, que ce soit par facilité, par raccourci ou par méconnaissance d’un sujet qui peut rapidement devenir complexe en raison de sa technicité. B.

Les méthodes de piratage utilisées par les hackers 1.

Attaque par force brute : Cette méthode est utilisée en cryptanalyse pour trouver un mot de passe ou une clé.

Il s’agit de tester, une à une, toutes les combinaisons possibles.

En fonction de la longueur et de la complexité du mot de passe, le craquage peut prendre entre quelques secondes et plusieurs années.

C’est une vieille méthode d’attaque, mais elle reste efficace et répandue parmi les pirates.

Les attaquants utilisent un logiciel automatisé pour générer un grand nombre de suppositions consécutives afin de déchiffrer un mot de passe ou de crypter des données. 2.

Phishing ou hameçonnage : Cette technique consiste à faire croire à la victime qu’elle communique avec un tiers de confiance dans le but de lui soutirer des informations personnelles.

Le plus fréquemment, le phishing est réalisé par le biais de faux sites Internet comme je l’ai évoqué très brièvement dans ma précédente sous-partie avec l’exemple des piratages de compte en ligne et des malwares cachées dans ces phishings.

(boutiques en ligne, sites web administratifs, etc.).

Ils peuvent être des copies parfaites de l’original.

Dans quel but ? Récupérer des données de paiement ou mots de passe qui peuvent nuire à vos salariés et à votre entreprise. 3.

Faux réseau Wi-Fi : Les pirates peuvent créer des réseaux Wi-Fi non sécurisés pour intercepter les informations transmises par les utilisateurs.

Ils peuvent inciter les utilisateurs à ouvrir des liens et des pièces jointes malveillants, ce qui entraîne en outre l’exposition d’informations sensibles. C.

La force brute est utilisée partout aujourd’hui Imaginez que vous avez perdu la clé d’une serrure et que vous essayez toutes les clés possibles une par une jusqu’à ce que vous trouviez celle qui ouvre la serrure.

C’est exactement ce que fait la force brute : elle essaie toutes les combinaisons possibles jusqu’à trouver la bonne.

Cette méthode est souvent utilisée pour craquer des mots de passe, résoudre des problèmes complexes et tester la performance des systèmes. En termes de fréquence, le nombre d’attaques par force brute a considérablement augmenté ces dernières années.

Selon le rapport Human Factor 2023 de Proofpoint, le nombre d’attaques par force brute, et plus particulièrement le ‘password spraying’, est passé d’une moyenne mensuelle de 40 millions en 2022 à près de 200 millions au début de 2023.

Cette augmentation significative souligne l’importance de la cybersécurité dans notre monde numérique actuel. II.

Qu’est-ce que la force brute et quelles sont ses limites A.

La force brute en profondeur Les attaquants utilisent un logiciel automatisé pour générer un grand nombre de suppositions consécutives afin de déchiffrer un mot de passe ou de crypter des données. Cette méthode est souvent considérée comme la plus simple concevable.

En théorie, la complexité d’une attaque par force brute est une fonction exponentielle de la longueur du mot de passe, la rendant en principe impossible pour des mots de passe de longueur moyenne. En pratique, des optimisations peuvent donner des résultats dans des délais beaucoup plus courts. Cette méthode est souvent combinée avec l’attaque par dictionnaire qui consiste à tester tous les mots de passes les plus susceptibles de fonctionner. B.

Complexité et les limites de la force brute La force brute présente une complexité et des limites importantes. En pratique, cela peut se traduire par des temps de craquage allant de quelques minutes à plusieurs années, voire des siècles pour des mots de passe suffisamment longs et complexes.

Cette complexité est à la fois la force et la faiblesse de la méthode de force brute. De plus, la force brute est très gourmande en ressources.

Les attaques par force brute nécessitent une grande puissance de calcul et peuvent donc être coûteuses en énergie et en matériel. La force brute est une méthode « aveugle ».

Par conséquent, elle peut passer beaucoup de temps à tester des combinaisons improbables avant de trouver la bonne. Enfin, la force brute est facilement repérable.

De nombreuses tentatives de connexion infructueuses en provenance de la même adresse IP peuvent éveiller les soupçons et conduire à des mesures de blocage. Bien que la force brute soit une méthode puissante, elle présente une complexité et des limites qui peuvent rendre son utilisation impraticable dans de nombreux cas. C.

Le fonctionnement d’un programme de force brute Les 4 étapes pour construire un programme de force brute : 1.

Définir les caractères possibles : Tout d’abord, vous devez définir tous les caractères qui peuvent être utilisés dans le mot de passe.

Cela peut inclure des lettres minuscules, des lettres majuscules, des chiffres, etc. 2.

Générer toutes les combinaisons possibles : Ensuite, vous devez générer toutes les combinaisons possibles de ces caractères.

Par exemple, si votre mot de passe a une longueur de 3, vous commencerez par générer toutes les combinaisons de 1 caractère, puis toutes les combinaisons de 2 caractères, et enfin toutes les combinaisons de 3 caractères. 3.

Comparer chaque combinaison au mot de passe : Pour chaque combinaison que vous générez, vous la comparez au mot de passe que vous essayez de deviner.

Si la combinaison correspond au mot de passe, vous avez réussi à “ouvrir la serrure”. 4.

Arrêter lorsque vous trouvez le mot de passe : Une fois que vous avez trouvé le mot de passe, vous pouvez arrêter le programme.

Sinon, vous continuez à générer de nouvelles combinaisons et à les comparer au mot de passe. Dans la majorité des cas, nous voulons utiliser la force brute non pas pour craquer un mot de passe mais pour trouver une clé de déchiffrement afin de déchiffrer des données sensibles qui ont été préalablement chiffrées.

Mais comment fonctionne le chiffrement ? Deux types de chiffrement : • Le chiffrement symétrique : la clé utilisée par l’expéditeur pour chiffrer le message est la même que celle utilisée par le destinataire pour déchiffrer le message (Schémas à expliquer à l’oral et à faire sur feuille de brouillon) • Le chiffrement asymétrique : utilise un couple de clés, l’une est publique connue par tous et l’autre est privée, connue par le destinataire uniquement.

L’expéditeur chiffre le message avec la clé publique.

Le récepteur le déchiffre avec la clé privée. Pour renforcer la sécurité des mots de passe, les sites web ne stockent jamais les mots de passe en clair.

À la place, ils utilisent des algorithmes de hachage.

Un algorithme de hachage transforme un mot de passe.... »