Un mot de passe de 6 caractères peut être cracké en moins d’une seconde avec le bon matériel. Pourtant, des millions d’utilisateurs continuent d’en utiliser.
Comprendre le temps de calcul brute force change radicalement la façon dont vous concevez vos mots de passe.
Qu’est-ce que le temps de calcul en attaque brute force?
Une attaque brute force consiste à tester systématiquement toutes les combinaisons possibles d’un mot de passe jusqu’à trouver la bonne. Pas de finesse, pas de ruse – juste de la puissance de calcul brute appliquée de façon méthodique.
Le temps de calcul brute force représente la durée nécessaire pour parcourir l’ensemble de ces combinaisons. Cette durée dépend de deux facteurs fondamentaux : le nombre total de combinaisons à tester, et la vitesse à laquelle votre attaquant peut en tester par seconde.
Ce n’est pas un concept théorique. C’est une réalité mesurable, avec une formule précise et des chiffres concrets.
De quoi dépend le temps nécessaire pour une attaque brute force?
Quatre variables déterminent la durée d’une attaque brute force. Chacune peut multiplier ou diviser le temps de calcul par des ordres de grandeur considérables.
- La longueur du mot de passe : chaque caractère supplémentaire multiplie le nombre de combinaisons par la taille du jeu de caractères utilisé.
- Le jeu de caractères : minuscules uniquement (26), minuscules + majuscules (52), alphanumérique (62), avec symboles (95 caractères ou plus).
- La puissance matérielle de l’attaquant : un GPU moderne teste des milliards de combinaisons par seconde là où un CPU en teste des millions.
- L’algorithme de hachage ciblé : MD5 permet des milliards de tentatives par seconde, bcrypt en autorise à peine quelques dizaines.
Ces quatre variables interagissent entre elles. Un mot de passe de 8 caractères avec des symboles sur un hash bcrypt résiste infiniment mieux que le même mot de passe haché en MD5.
Comment calculer précisément le temps d’une attaque brute force?
La formule de base est simple. Le nombre de combinaisons possibles est égal à la taille du jeu de caractères élevée à la puissance de la longueur du mot de passe.
Soit : Combinaisons = C^L, où C est le nombre de caractères possibles et L la longueur du mot de passe. Pour un mot de passe de 8 caractères alphanumériques (62 caractères) : 62^8 = 218 340 105 584 896 combinaisons.
Ensuite, divisez ce nombre par la vitesse de test de votre attaquant. Si un GPU teste 10 milliards de combinaisons par seconde : 218 340 105 584 896 / 10 000 000 000 ≈ 21 834 secondes, soit environ 6 heures. Dans le pire cas – si le bon mot de passe est le dernier testé.
En pratique, on divise souvent par deux ce résultat pour obtenir le temps moyen attendu.
Quels sont les temps de calcul réels selon la longueur du mot de passe?
Voici une estimation des durées de craquage selon la longueur et la complexité du mot de passe, en supposant un attaquant utilisant un GPU moderne (10 milliards de tentatives/seconde) sur un hash MD5.
| Longueur | Minuscules seulement (26) | Alphanumérique (62) | Avec symboles (95) |
|---|---|---|---|
| 6 caractères | < 1 seconde | < 1 seconde | 2 secondes |
| 8 caractères | 2 secondes | 6 heures | 7 jours |
| 10 caractères | 58 minutes | 3,5 semaines | 180 ans |
| 12 caractères | 10 heures | 34 ans | 1,6 million d’années |
| 14 caractères | 11 jours | 130 000 ans | > 10^12 ans |
Ces chiffres illustrent l’effet exponentiel de la longueur. Passer de 8 à 12 caractères avec des symboles transforme une attaque de quelques jours en quelque chose d’astronomiquement long.
Quel matériel influence le plus la vitesse de calcul brute force?
Le choix du matériel est l’un des leviers les plus décisifs pour un attaquant. Les écarts de performance sont massifs selon la technologie employée.
- CPU : quelques millions à dizaines de millions de hashes par seconde selon le nombre de cœurs. Solution accessible mais lente pour le craquage.
- GPU : des dizaines de milliards de hashes par seconde pour MD5. Un RTX 4090 atteint environ 164 milliards de tentatives/seconde sur MD5, selon les benchmarks de Hashcat.
- FPGA : programmables et efficaces énergétiquement, utilisés dans des configurations professionnelles ou gouvernementales. Performances intermédiaires entre GPU grand public et ASIC.
- ASIC : circuits conçus spécifiquement pour une tâche. Utilisés massivement pour le minage de Bitcoin, ils atteignent des performances inégalées sur les algorithmes pour lesquels ils sont construits.
Pour un attaquant disposant d’un cluster de plusieurs GPU haut de gamme, les temps de craquage des tableaux précédents doivent être divisés d’autant. Un cluster de 10 RTX 4090 rend les mots de passe de 8 caractères MD5 presque instantanément vulnérables.
Quel algorithme de hachage résiste le mieux à une attaque brute force?
Tous les algorithmes de hachage ne se valent pas face à une attaque brute force. La différence entre MD5 et bcrypt est abyssale.
| Algorithme | Tentatives/seconde (GPU) | Résistance |
|---|---|---|
| MD5 | ~164 milliards | Très faible |
| SHA-1 | ~60 milliards | Faible |
| SHA-256 | ~12 milliards | Moyenne |
| bcrypt (coût 12) | ~20 000 | Élevée |
| Argon2id | ~1 000 à 10 000 | Très élevée |
bcrypt et Argon2id sont conçus pour être lents intentionnellement. Leur paramètre de coût peut être augmenté au fil du temps pour compenser l’amélioration du matériel. C’est la raison pour laquelle le NIST recommande ces algorithmes pour le stockage des mots de passe.
Un mot de passe de 8 caractères cracké en 6 heures avec MD5 demanderait plusieurs siècles avec Argon2id bien configuré.
Comment wks.fr calcule-t-il le temps d’une attaque brute force?
L’outil proposé sur wks.fr permet de simuler le temps de calcul brute force d’un mot de passe sans avoir à poser vous-même les équations. Vous renseignez les paramètres de votre scénario, et l’outil vous retourne une estimation précise.
Les paramètres disponibles incluent généralement la longueur du mot de passe, le jeu de caractères utilisé, l’algorithme de hachage ciblé et la puissance de calcul supposée de l’attaquant. Chaque variable modifie le résultat en temps réel.
L’intérêt de cet outil est pédagogique autant que pratique. Vous visualisez immédiatement l’effet d’ajouter deux caractères à votre mot de passe, ou de passer de MD5 à bcrypt. Ces comparaisons concrètes sont bien plus parlantes que n’importe quelle recommandation abstraite.
Quelles mesures réduisent concrètement le risque d’attaque brute force?
Les recommandations qui suivent ne sont pas des généralités – chacune a un impact mesurable sur le temps de calcul brute force qu’un attaquant devra affronter.
- Longueur minimale de 12 caractères : en dessous, même avec des symboles, le risque reste réel avec du matériel moderne.
- Jeu de caractères complet : mélanger minuscules, majuscules, chiffres et symboles spéciaux multiplie le nombre de combinaisons par plusieurs dizaines.
- Salage des hashs : ajouter un sel aléatoire unique par utilisateur rend inutiles les attaques par tables arc-en-ciel précalculées.
- Algorithme adapté : stocker les mots de passe avec bcrypt, scrypt ou Argon2id – jamais MD5 ou SHA-1 seuls.
- Limitation des tentatives : bloquer ou ralentir les connexions après plusieurs échecs consécutifs coupe court à toute attaque en ligne.
- Authentification multifacteur (MFA) : même si le mot de passe est compromis, un second facteur rend l’accès impossible sans le dispositif physique.
Ces mesures se cumulent. Un mot de passe long et complexe, haché en Argon2id avec un sel, protégé par un limiteur de tentatives et un MFA – c’est une forteresse que même les meilleurs GPU du monde ne peuvent pas traverser dans un temps utile.
La sécurité d’un mot de passe ne se mesure pas à son caractère mémorable, mais au temps qu’il impose à celui qui veut le briser.