210799381147
Signal
Signal
Sécurité
Malwares
Virus
Ransomwares
Menaces
Astuces
Internet
Arnaques
Hameçonnage
IoT
Actualités AVG
Voir tous les Sécurité articles
Confidentialité
Navigateur
VPN
Adresse IP
Piratage
Mots de passe
Réseaux sociaux
Conseils
Voir tous les Confidentialité articles
Performances
Nettoyage
Vitesse
Jeux
Matériel
Guides
Voir tous les Performances articles
Français
English
Español
Deutsch
Français
Nederlands
Italiano
Português
Blog AVG Signal Confidentialité Piratage Qu’est-ce qu’une attaque par force brute ?
Piratage

Qu’est-ce qu’une attaque par force brute ?

Quand on entend « attaque par force brute », on imagine peut-être des chevaliers enfonçant les portes d’un château. En ligne, il s’agit pourtant d’une toute autre forme d’agression. À la place des béliers, les cybercriminels testent les mots de passe les uns après les autres jusqu’à trouver le bon pour s’introduire dans un compte. La meilleure défense consiste à comprendre le fonctionnement de ces attaques et à utiliser des outils de protection contre les violations pour sécuriser vos données.

Obtenir AVG BreachGuard

Disponible aussi sur PC

Obtenir AVG BreachGuard

Disponible aussi sur Mac

Obtenir AVG BreachGuard

Disponible aussi sur PC

Obtenir AVG BreachGuard

Disponible aussi sur Mac

Trustpilot
Écrit par Nicola Massier-Dhillon
Publié le April 10, 2026
Cet article contient
Cet article contient

    Fonctionnement des attaques par force brute

    Une attaque par force brute, c’est comme frapper encore et encore sur une porte verrouillée jusqu’à ce qu’elle cède. La persévérance finit parfois par l’emporter sur la finesse. Les pirates qui recourent à cette méthode procèdent par tâtonnement pour deviner les mots de passe, déchiffrer des données sensibles ou s’introduire dans des systèmes, sites web ou réseaux protégés.

    Par exemple, un attaquant peut commencer par des mots courants ou des informations personnelles (le nom de votre premier animal de compagnie : Fluffy), puis tester des variantes avec des chiffres ou des symboles jusqu’à trouver la bonne combinaison (Fluffy123).

    Bien que la force brute soit l’une des techniques les plus anciennes du piratage, elle reste redoutablement efficace. Les attaquants modernes accélèrent le processus grâce à des outils spécialisés comme Hashcat, qui permettent de tester des millions de combinaisons de mots de passe en quelques secondes.

    Ces attaques réussissent le plus souvent contre les mots de passe faibles ou réutilisés. C’est pourquoi l’utilisation d’identifiants uniques et robustes, combinée à des protections en couches, constitue la meilleure défense.

    Un mot de passe faible en cours de déchiffrement face à un mot de passe fort qui sécurise l’ordinateur.Les mots de passe composés d’un mélange de caractères (minuscules, majuscules, symboles et chiffres) sont plus difficiles à craquer pour les pirates.

    Types d’attaque par force brute

    Le terme vient du fait que les attaquants misent sur la puissance brute de tentatives rapides et répétées pour s’introduire dans des systèmes et dérober des données sensibles. C’est l’une des formes les plus courantes de déchiffrement de mots de passe, et les pirates emploient plusieurs variantes de cette attaque.

    Attaques par force brute simples

    Conditions requises : temps, persévérance et mots de passe faibles.

    Dans une attaque par force brute simple, un pirate tente manuellement et méthodiquement de deviner les identifiants de connexion d’un utilisateur, sans recourir à des outils automatisés. C’est l’équivalent numérique d’essayer chaque clé d’un trousseau géant jusqu’à trouver celle qui ouvre la serrure.

    Les attaquants commencent généralement par les choix les plus évidents et les plus courants, comme « 1234 », « azerty » ou « motdepasse123 ». Certains effectuent même de légères recherches, comme parcourir les réseaux sociaux à la recherche d’informations personnelles (le nom d’un animal de compagnie, une date d’anniversaire ou le nom de jeune fille de la mère) pour formuler des suppositions plus éclairées.

    La défense la plus efficace consiste à utiliser des mots de passe longs, complexes et uniques. En augmentant considérablement le nombre de combinaisons possibles, ces mots de passe rendent les tentatives par force brute lentes, peu pratiques et rarement rentables. À l’inverse, les mots de passe courts ou prévisibles sont des cibles faciles, permettant aux pirates de réussir leur coup plus rapidement.

    Attaques par dictionnaire

    Conditions requises : listes de mots précompilées, temps et mots de passe faibles.

    Contrairement à une attaque par force brute pure qui teste toutes les combinaisons possibles, une attaque par dictionnaire s’appuie sur des listes précompilées de mots et de variantes couramment utilisés comme mots de passe. C’est comme feuilleter un dictionnaire, en testant une entrée après l’autre jusqu’à trouver celle qui déverrouille le compte.

    Les attaquants enrichissent souvent ces listes avec des variantes prévisibles, comme le remplacement de lettres par des chiffres ou l’ajout de caractères spéciaux. Bien que cette méthode requière plus de réflexion que la force brute seule, elle est souvent combinée avec des méthodes de force brute pour accélérer le processus.

    Les attaques par dictionnaire sont plus lentes et moins efficaces contre des phrases de passe fortes et uniques. Si votre mot de passe n’apparaît pas dans les listes de mots courants et n’est pas lié à des informations personnelles (comme des noms d’animaux ou des dates d’anniversaire), les attaquants utilisant cette méthode ont beaucoup moins de chances de réussir.

    Attaques hybrides par force brute

    Conditions requises : listes de mots précompilées, temps et mots de passe prévisibles.

    Une attaque hybride par force brute combine les méthodes d’une attaque par dictionnaire avec la persistance de la force brute pure. Les pirates commencent généralement par un nom d’utilisateur connu, puis parcourent un dictionnaire de mots probables (comme des noms, des expressions ou des lieux), et ajoutent enfin des combinaisons prévisibles de chiffres, de dates ou de symboles.

    Les techniques courantes comprennent :

    • La modification légère d’un mot ou groupe de mots du dictionnaire comme « motdepasse » pour créer « mOtdep@sse ».

    • La combinaison de mots avec des chiffres ou des symboles, comme « Tuesàmoi2023 ».

    • La réutilisation de mots de passe divulgués lors de violations de données pour voir s’ils fonctionnent encore sur d’autres comptes.

    En mêlant supposition et reconnaissance de schémas, cette méthode peut déchiffrer des mots de passe trop complexes pour de simples attaques par dictionnaire, mais trop prévisibles pour résister à la force brute. Les mots de passe combinant des mots réels avec des ajouts évidents sont particulièrement vulnérables.

    Attaques par force brute inversées

    Conditions requises : listes de comptes utilisateurs et mots de passe réutilisés.

    Une attaque par force brute inversée renverse la méthode traditionnelle. Au lieu de bombarder un nom d’utilisateur d’innombrables tentatives de mots de passe, les attaquants prennent un seul mot de passe faible, comme « 123456 » ou « motdepasse », et le testent sur une liste massive de noms d’utilisateurs. Avec suffisamment de comptes, il y a de fortes chances qu’au moins une personne utilise le mot de passe choisi.

    Les pirates s’appuient souvent sur des violations de données pour ces listes de noms d’utilisateurs. Les bases de données compromises peuvent contenir des milliers (voire des millions) de comptes, offrant aux attaquants de nombreuses occasions de frapper. Le danger se multiplie lorsque des personnes réutilisent le même mot de passe faible sur plusieurs plateformes. Un identifiant compromis peut entraîner la prise de contrôle de plusieurs comptes en cascade, comme une rangée de dominos qui tombe.

    Credential stuffing

    Conditions requises : identifiants volés et mots de passe réutilisés.

    Le credential stuffing est une attaque automatisée et rationalisée qui cible les personnes réutilisant les mêmes identifiants de connexion sur plusieurs comptes. Au lieu de deviner des mots de passe, les pirates utilisent des noms d’utilisateurs et des mots de passe volés, souvent divulgués lors de violations de données, et les « injectent » dans d’autres sites et applications pour voir où ils fonctionnent encore.

    Comme de nombreux utilisateurs recyclent leurs identifiants, cette variante insidieuse des attaques par force brute est à la fois rapide et très efficace. Les attaquants utilisent des bots pour tester des milliers de combinaisons d’identifiants en quelques minutes, passant souvent inaperçus devant les systèmes de sécurité de base.

    Les mots de passe forts sont la kryptonite des attaques par force brute, et leur gestion est bien plus facile avec le bon outil. Pour protéger vos identifiants de connexion, AVG BreachGuard est doté d’un gestionnaire de mots de passe intégré et d’un coffre-fort sécurisé, synchronisés sur tous vos appareils. Non seulement il contribue à vous protéger des cyberattaques, mais il vous évite également de gérer les e-mails de réinitialisation de mot de passe.

    Obtenir AVG BreachGuard

    Disponible aussi sur PC

    Obtenir AVG BreachGuard

    Disponible aussi sur Mac

    Obtenir AVG BreachGuard

    Disponible aussi sur PC

    Obtenir AVG BreachGuard

    Disponible aussi sur Mac

    Objectifs courants des attaques par force brute

    Les raisons pour lesquelles les pirates ciblent des systèmes informatiques et des bases de données lors d’attaques par force brute sont nombreuses. Ils sont généralement à la recherche d’argent facile ou souhaitent semer la panique et le chaos. D’autres sont motivés par leur ego.

    Vol de données personnelles
    En déchiffrant des mots de passe, les attaquants peuvent accéder à des informations sensibles comme des e-mails, des adresses, des relevés financiers et des numéros d’identification. Ces informations sont très précieuses pour l’usurpation d’identité, la revente sur le Dark Web, ou le lancement d’attaques plus larges. Les violations de données d’entreprises sont particulièrement lucratives, donnant aux pirates accès à de grandes bases de données de clients et de données commerciales.

    Gain financier
    L’objectif final est souvent le profit. Une fois à l’intérieur, les attaquants peuvent vider des comptes bancaires, exploiter des systèmes de paiement ou commettre des fraudes à l’aide d’identifiants volés. Certains piratent également des sites web avec des publicités indésirables pour collecter des revenus publicitaires ou vendre les données de navigation des victimes à des annonceurs.

    Propagation de malwares
    Les systèmes compromis peuvent être utilisés pour déployer des malwares, des ransomwares, ou des portes dérobées pour des attaques plus importantes via des e-mails usurpés, des SMS ou de faux sites web conçus pour imiter des sites légitimes. Dans certains cas, l’attaquant souhaite simplement semer le chaos, tester ses compétences ou prouver qu’il en est capable.

    Atteinte à la réputation d’une entreprise
    Données clients divulguées, temps d’arrêt, exposition publique... Une attaque par force brute réussie est un cauchemar en termes de relations publiques et peut avoir de graves conséquences pour les entreprises. C’est une arme idéale pour les pirates cherchant à éroder la crédibilité et à nuire à l’image d’une marque.

    Les attaques par force brute en action

    Comme pour toute cyberattaque, personne n’est à l’abri. En 2018, une attaque par force brute a compromis le Parlement d’Irlande du Nord lorsque des cybercriminels ont piraté les comptes de messagerie des membres de l’assemblée en devinant leurs mots de passe de manière répétée. Ils ont accédé à des données confidentielles et ont même supprimé des comptes, causant d’importantes perturbations.

    Même les plus grands acteurs du monde en ligne ne sont pas intouchables. En 2016, Alibaba a été victime d’une attaque par force brute qui a exposé les noms d’utilisateurs et les mots de passe de 99 millions d’utilisateurs. Et la menace ne cesse de croître. Selon le rapport mondial sur les menaces Elastic 2024, les techniques de force brute ont augmenté de 12 % au cours de l’année écoulée, représentant près de 35 % de toutes les méthodes d’attaque dans Microsoft Azure.

    Outils et technologies utilisés dans les attaques par force brute

    Les attaques par force brute ne se limitent plus à des devinettes sans fin et sans réflexion. Les pirates modernes ont affiné leurs méthodes, combinant stratégie et outils sophistiqués pour rendre le processus plus rapide, plus intelligent et bien plus dangereux.

    Des programmes populaires comme Aircrack-ng, John the Ripper et Hashcat automatisent le processus de tâtonnement à des vitesses incroyables. Ces outils peuvent parcourir d’immenses listes de mots de passe et tester des combinaisons complexes qu’il faudrait des siècles à un humain pour deviner manuellement. L’automatisation supprime les contraintes de patience et d’envergure, permettant aux attaquants d’opérer comme de véritables super-vilains numériques.

    Mais ces attaques par force brute de pointe nécessitent une puissance de calcul considérable. Pour les accélérer, les pirates combinent la puissance brute des CPU avec la capacité de traitement parallèle des GPU. Les GPU, conçus à l’origine pour des tâches graphiques intensives comme les jeux ou le rendu vidéo, peuvent traiter des milliers de tentatives de mots de passe simultanément. Cette configuration hybride réduit considérablement le temps nécessaire pour s’introduire dans des comptes.

    Avec l’automatisation combinée à la puissance des GPU, les attaques par force brute sont passées d’un travail lent et manuel à des assauts organisés à grande échelle. Les pirates peuvent désormais cibler d’innombrables comptes simultanément, venant à bout des mots de passe faibles en un rien de temps.

    Les attaques par force brute ne sont qu’un exemple de la façon dont la cybercriminalité devient une menace toujours plus rapide et plus redoutable. Chaque jour, les attaquants innovent. On estime actuellement que 190 000 nouvelles attaques de malwares ont lieu par seconde.

    Comment contrer les attaques par force brute

    Les attaques par force brute reposent sur la persistance, mais les bonnes défenses peuvent les stopper net. Voici comment contribuer à sécuriser vos comptes et vos données :

    • Créez des mots de passe complexes : choisissez des mots de passe forts et uniques comportant au moins 15 caractères aléatoires, voire plus.

    • Utilisez une phrase de passe : mieux encore, utilisez des phrases de passe, des expressions mémorables assemblées qui sont plus faciles à retenir mais bien plus difficiles à déchiffrer. Évitez les choix courants ou tout ce qui vous est personnellement lié, comme votre équipe favorite ou votre lieu de naissance.

    • Utilisez un gestionnaire de mots de passe : un gestionnaire de mots de passe génère des mots de passe forts et uniques et les stocke en sécurité dans un coffre-fort chiffré. Grâce au remplissage automatique et à la synchronisation entre appareils, il rend également les connexions quotidiennes plus rapides et plus sûres.

    • Utilisez la 2FA ou l’AMF : l’authentification à deux facteurs (2FA) ou l’authentification multifacteur (AMF) ajoute un verrou supplémentaire à vos comptes. Qu’il s’agisse d’un code SMS à usage unique, d’une application d’authentification ou d’une lecture d’empreinte digitale, cette étape supplémentaire tient les attaquants à l’écart même s’ils devinent votre mot de passe.

    • Limitez les tentatives de connexion et utilisez le CAPTCHA : la restriction des tentatives de connexion et l’ajout d’un CAPTCHA rendent beaucoup plus difficile pour les bots automatisés de s’introduire dans des comptes par force brute.

    • Protégez les données par salage et hachage : le hachage transforme un mot de passe en une chaîne de caractères irréversible, tandis que le salage ajoute un élément aléatoire et unique avant le hachage. Ensemble, ils rendent les données volées bien plus résistantes au déchiffrement.

    • Surveillez vos comptes pour détecter toute activité suspecte : configurez des alertes ou une surveillance pour les connexions inhabituelles, les tentatives échouées ou les transactions inattendues. Repérer les signaux d’alarme tôt peut vous aider à stopper les tentatives de force brute avant qu’elles ne causent des dommages.

    Contribuez à prévenir les attaques par force brute avec AVG BreachGuard

    De la gestion des mots de passe à la surveillance et à l’analyse en temps réel, AVG BreachGuard contribue à protéger vos données sensibles contre les attaques par force brute et autres cybermenaces. En plus de créer et de stocker des identifiants de connexion forts et uniques, il analyse continuellement Internet à la recherche de données personnelles exposées, vous alertant des éventuelles fuites avant que les criminels ne puissent les exploiter. Prenez le contrôle de votre sécurité en ligne dès aujourd’hui.

    Obtenir AVG BreachGuard

    Disponible aussi sur PC

    Obtenir AVG BreachGuard

    Disponible aussi sur Mac

    Obtenir AVG BreachGuard

    Disponible aussi sur PC

    Obtenir AVG BreachGuard

    Disponible aussi sur Mac

    DESKTOP

    Ce que disent les clients

    Trustpilot
    AVG

    Protégez vos données personnelles

    Obtenez AVG BreachGuard pour protéger vos données personnelles sensibles et découvrir si vos mots de passe ont été compromis ou divulgués.

    Obtenir

    Obtenir pour PC

    AVG

    Protégez vos données personnelles

    Obtenez AVG BreachGuard pour protéger vos données personnelles sensibles et découvrir si vos mots de passe ont été compromis ou divulgués.

    Obtenir

    Obtenir pour Mac

    AVG

    Protégez vos données personnelles

    Obtenez AVG BreachGuard pour protéger vos données personnelles sensibles et découvrir si vos mots de passe ont été compromis ou divulgués.

    Obtenir

    Obtenir pour PC

    AVG

    Protégez vos données personnelles

    Obtenez AVG BreachGuard pour protéger vos données personnelles sensibles et découvrir si vos mots de passe ont été compromis ou divulgués.

    Obtenir

    Obtenir pour Mac

    Cet article contient:

    Plus d’articles sur la confidentialité

    Qu’est-ce qu’une attaque par force brute ?

    Compte Spotify piraté : comment récupérer votre profil et vos listes de lecture

    Votre compte PayPal a-t-il été piraté ? Signes indiquant que votre compte a été piraté et quoi faire ensuite

    Signes que votre compte Amazon a été piraté

    Les différents types de pirates informatiques : white hat, black hat, gray hat, et bien plus encore

    Comment les ordinateurs sont-ils piratés et comment pouvez-vous y remédier ?

    Comment savoir si votre e-mail a été piraté et comment le récupérer

    Comment savoir si vous avez été piraté

    Les pirates les plus dangereux et célèbres de notre génération

    Comment savoir si votre téléphone a été piraté

    Qu’est-ce que le piratage de routeur et comment s’en protéger

    Qu’est-ce que le hacking ? Tout ce que vous devez savoir

    Protégez vos données personnelles avec AVG Antivirus pour Android

    AVG AntiVirus

    Installation gratuite

    Protégez vos données personnelles avec AVG Mobile Security

    AVG
    Mobile Security

    Installation gratuite
    Piratage
    Confidentialité
    Nicola Massier-Dhillon
    10-04-2026