Qu'est-ce qu'une attaque par force brute en termes simples ?

Une attaque par force brute est une tentative d'accès à un compte en devinant son mot de passe par essais et erreurs — un logiciel automatisé teste un nombre énorme de mots de passe possibles jusqu'à ce que l'un fonctionne. Aucune astuce : elle repose sur la vitesse et le volume. Elle réussit surtout contre les mots de passe faibles, courts ou réutilisés, et contre les systèmes de connexion qui ne limitent pas le nombre d'essais. Des mots de passe longs et uniques et la double authentification la rendent impraticable.

Combien de temps prend une attaque par force brute ?

Cela dépend entièrement de la longueur et du caractère aléatoire du mot de passe. Chaque caractère supplémentaire multiplie le nombre de combinaisons possibles : un mot de passe court ou courant peut tomber en quelques secondes, tandis qu'un mot de passe long et aléatoire peut exiger plus d'essais qu'il n'est réalisable dans un temps utile. C'est tout l'intérêt de la longueur : elle ne rend pas le devinage impossible en théorie, mais si lent que ça n'en vaut pas la peine. Les mots de passe réutilisés ou fuités contournent ce calcul, d'où l'importance de l'unicité.

Quelle différence entre force brute et attaque par dictionnaire ?

Ce sont des variantes de la même idée. Une force brute pure essaie toutes les combinaisons de caractères possibles, des plus courtes aux plus longues. Une attaque par dictionnaire est plus maligne et rapide : elle teste d'abord une liste de mots de passe probables — mots courants, noms, mots de passe fuités, schémas prévisibles — car la plupart des mots de passe faibles viennent d'un petit ensemble devinable. Le credential stuffing va plus loin en réutilisant de vrais couples identifiant-mot de passe fuités d'autres violations.

La double authentification arrête-t-elle les attaques par force brute ?

En grande partie, oui — et c'est ce qui la rend si précieuse. Même si un attaquant finit par deviner votre mot de passe, la double authentification (2FA) exige une seconde preuve — un code d'une application, une clé de sécurité ou une passkey — que l'attaquant n'a pas. Un mot de passe correct seul ne suffit donc pas à entrer. La 2FA ne rend pas votre mot de passe fort, mais un mot de passe deviné ou fuité échoue généralement seul. Activez-la partout, idéalement avec une appli d'authentification ou une passkey plutôt que par SMS.

Comment me protéger des attaques par force brute ?

Trois choses couvrent l'essentiel du risque. Utilisez des mots de passe longs et uniques — un gestionnaire de mots de passe peut en générer et stocker un aléatoire pour chaque compte, donc rien de court, devinable ou réutilisé. Activez la double authentification pour qu'un mot de passe deviné ne suffise pas. Et ne réutilisez pas vos mots de passe d'un site à l'autre, sinon une seule fuite ouvre tous les comptes qui le partagent. Longueur + unicité + 2FA rendent le forçage de vos comptes impraticable.

Qu'est-ce qu'une attaque par force brute ? Fonctionnement et défenses (2026)

L'attaque par force brute est la méthode de piratage la plus basique qui soit — et toujours l'une des plus courantes, car elle continue de fonctionner contre les mots de passe faibles. Aucune faille, aucune ruse : juste un ordinateur qui devine des mots de passe, très vite, jusqu'à en trouver un. Ce guide explique comment ces attaques fonctionnent, les types principaux, pourquoi elles réussissent encore, et les défenses qui les arrêtent vraiment.

La définition courte

Une attaque par force brute tente de deviner un mot de passe (ou une clé) en essayant systématiquement un nombre énorme de combinaisons jusqu'à trouver la bonne. Les attaquants l'automatisent : un programme peut faire des milliers ou des millions de tentatives bien plus vite qu'un humain. Elle n'exploite pas une faille logicielle — elle exploite les mots de passe faibles et les systèmes de connexion qui laissent deviner sans limite.

Comment ça marche

L'attaquant dirige un logiciel vers une page de connexion ou un fichier volé de mots de passe brouillés (hachés) et le laisse parcourir les candidats. La force du mot de passe cible décide de tout : chaque caractère supplémentaire multiplie le nombre de possibilités, donc le temps de devinage croît de façon explosive avec la longueur. Un mot de passe court ou courant peut tomber presque instantanément ; un long aléatoire peut exiger plus d'essais qu'il n'est réalistement atteignable.

Les types principaux

La « force brute » est en réalité une famille de techniques liées :

Force brute simple — essayer toutes les combinaisons de caractères possibles, des plus courtes aux plus longues. Exhaustive mais lente contre les mots de passe longs.
Attaque par dictionnaire — tester d'abord une liste de mots de passe probables (mots courants, noms, mots de passe fuités, schémas prévisibles), car la plupart des mots de passe faibles viennent d'un petit ensemble.
Credential stuffing — réutiliser de vrais couples identifiant-mot de passe fuités d'autres violations, en pariant sur la réutilisation. Rapide et efficace contre la réutilisation.
Password spraying — essayer quelques mots de passe très courants contre de nombreux comptes, pour passer sous les seuils de verrouillage qui se déclenchent sur les échecs répétés d'un seul compte.

Gros plan des touches lettres d'un clavier — une attaque par force brute parcourt des combinaisons de caractères comme celles-ci jusqu'à déverrouiller le compte.

Pourquoi la force brute marche encore

Si c'est si rudimentaire, pourquoi ça persiste ? Parce que le maillon faible est rarement le calcul — ce sont les habitudes humaines et les systèmes laxistes :

Les mots de passe courts ou courants tombent à une attaque par dictionnaire en un instant.
Les mots de passe réutilisés font qu'une seule fuite donne aux attaquants une clé valide pour vos autres comptes.
Les pages de connexion sans limitation de débit ni verrouillage laissent deviner indéfiniment.

La force brute ne bat pas les mots de passe forts et uniques — elle récolte les faibles et les réutilisés.

Ce qui rend un mot de passe résistant à la force brute

Deux propriétés : la longueur et le caractère aléatoire. Ensemble, elles créent une forte entropie — tant de combinaisons possibles que le devinage devient impraticable. Un mot de passe long et généré aléatoirement n'est pas « impossible » à forcer en théorie ; cela prend simplement un temps si astronomique qu'aucun attaquant ne s'y attelle. La prévisibilité est l'ennemie : un long mot de passe bâti sur une citation ou un schéma est bien plus faible que sa longueur ne le suggère.

Comment vous défendre

Les défenses sont simples et se cumulent :

Utilisez des mots de passe longs et uniques. La méthode pratique est un gestionnaire de mots de passe qui génère et stocke un mot de passe aléatoire pour chaque compte — rien de court, devinable ou réutilisé. Cette seule habitude bat d'un coup les attaques par dictionnaire et le credential stuffing.
Activez la double authentification. Même un mot de passe correctement deviné échoue sans le second facteur. Préférez une appli d'authentification ou une passkey au SMS.
Ne réutilisez jamais vos mots de passe. La réutilisation transforme la fuite d'un site en passe-partout pour le reste de vos comptes.

Côté service, la limitation de débit, le verrouillage de compte et un stockage des mots de passe correctement haché-et-salé émoussent encore ces attaques — mais en tant qu'utilisateur, longueur + unicité + 2FA est ce qui rend le forçage de vos comptes non rentable.

Le verdict

Une attaque par force brute, c'est du devinage automatisé tout simple — et elle ne reste efficace que parce que les mots de passe faibles et réutilisés continuent de la nourrir. Rendez chaque mot de passe long, aléatoire et unique (un gestionnaire le fait pour vous), ajoutez la double authentification, et le calcul penche nettement en votre faveur : deviner votre mot de passe devient un travail qu'aucun attaquant ne peut réalistement terminer.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Verrouille tes comptes → NordPassMots de passe forts et uniques · scanner de fuites · offre gratuite→