Votre mot de passe de 8 caractères vous semble solide ? Une RTX 4090 le teste en 17 secondes chrono. Ce n’est pas une métaphore sur la cybersécurité – c’est le résultat mesuré par Kaspersky en 2024, avec du matériel grand public.
La distance entre « mot de passe acceptable » et « mot de passe résistant » se compte en ordres de grandeur : de 37 secondes à 26 trillions d’années, selon les choix que vous faites.
C’est quoi une attaque brute force et comment fonctionne-t-elle?
Une attaque brute force repose sur un principe brutal : tester toutes les combinaisons possibles jusqu’à trouver la bonne. Pas de ruse, pas d’ingénierie sociale – juste de l’énumération exhaustive à vitesse industrielle.
L’outil de référence dans ce domaine, c’est Hashcat. Il exploite la puissance de calcul des GPU pour tester des milliards de combinaisons par seconde contre un hash capturé.
Un attaquant n’a pas besoin d’accès en temps réel à votre compte – il récupère le hash stocké, puis travaille hors ligne, sans limite de tentatives.
C’est précisément là que réside le danger : aucun système de verrouillage de compte ne peut vous protéger si la base de données de hachages est compromise.
Quels facteurs influencent réellement le temps de calcul d’une attaque brute force?
Le temps de calcul brute force dépend de quatre variables. Chacune peut multiplier la durée de crackage par des facteurs astronomiques – ou la diviser.
- La longueur du mot de passe : chaque caractère supplémentaire multiplie l’espace de recherche par la taille du jeu de caractères utilisé.
- Le jeu de caractères : 10 possibilités par caractère avec des chiffres seuls, 26 avec des minuscules, 52 en ajoutant les majuscules, 95 et plus avec lettres, chiffres et symboles.
- L’algorithme de hachage : certains algorithmes sont conçus pour être lents – c’est volontaire et déterminant.
- La puissance matérielle : une RTX 4090, un cluster de 12 GPU ou un réseau distribué n’opèrent pas dans le même ordre de grandeur.
Ces quatre variables interagissent. Un mot de passe long mais haché avec NTLM reste vulnérable. Un mot de passe court protégé par bcrypt peut tenir des années. La combinaison compte plus que chaque facteur pris isolément.
Combien de temps faut-il pour craquer un mot de passe selon sa longueur?
Les données Hive Systems 2025 sont parlantes. Voici ce que représentent concrètement ces durées pour des mots de passe à complexité maximale (minuscules, majuscules, chiffres, symboles) :
| Longueur | Durée estimée (configuration 12x RTX 4090) |
|---|---|
| Moins de 8 caractères (chiffres seuls) | 37 secondes |
| 8 caractères (lettres + chiffres) | 17 secondes |
| 11 caractères (tous types) | 3 ans |
| 12 caractères complexes | 3 000 ans |
| 18 caractères tous types | 26 trillions d’années |
Le saut entre 11 et 12 caractères mérite qu’on s’y arrête : on passe de 3 ans à 3 000 ans. Un seul caractère supplémentaire multiplie la résistance par mille. Ce n’est pas linéaire – c’est exponentiel, et c’est votre meilleure alliée.
Notez aussi l’accélération du matériel : Hive Systems estimait ce même mot de passe de 11 caractères à 34 ans en 2022. En 2023, ce chiffre était tombé à 3 ans. Les GPU progressent vite.
Quel matériel est utilisé pour les attaques brute force modernes?
Hive Systems a standardisé ses tests sur une configuration de 12 cartes RTX 4090 depuis 2023. C’est devenu la référence du secteur pour évaluer le temps de calcul brute force dans des conditions réalistes.
Pour donner une idée de ce que ça représente : en 2022, 8 GPU RTX 4090 couplés via Hashcat ont traité 200 milliards de combinaisons de hachages NTLM en 48 minutes.
Une seule RTX 4090 craque un mot de passe de 8 caractères alphanumériques en 17 secondes. Ce matériel est accessible – on parle d’une carte vendue dans n’importe quelle boutique informatique.
La frontière entre « attaquant étatique » et « attaquant motivé avec un budget modeste » s’est considérablement réduite. Partir du principe que seuls des acteurs sophistiqués disposent de cette puissance de calcul, c’est une erreur de jugement.
Pourquoi l’algorithme de hachage change-t-il tout au temps de crackage?
NTLM, l’algorithme encore utilisé dans de nombreux environnements Windows, est un désastre en termes de résistance : 200 milliards de combinaisons testées en 48 minutes avec 8 GPU. C’est conçu pour être rapide – et cette rapidité se retourne contre vous.
Bcrypt fonctionne à l’opposé. Avec 32 itérations – ce qui est devenu la norme industrielle en 2024 selon le Journal du Geek – un mot de passe de 8 caractères complexes nécessite 7 années pour être cracké, même avec une configuration puissante. La lenteur est une fonctionnalité, pas un défaut.
Le même mot de passe, haché différemment, peut passer de « cracké en quelques minutes » à « cracké dans plusieurs décennies ». Vous n’avez pas toujours le choix de l’algorithme – c’est le service qui décide – mais ça devrait influencer la confiance que vous accordez à une plateforme.
Quelle proportion de mots de passe réels peut être craquée en moins d’une heure?
L’étude Kaspersky 2024 sur des bases de données réelles de mots de passe compromis donne un résultat qui devrait faire réfléchir : 59 % des mots de passe analysés ont été craqués en moins d’une heure. Pas en moins d’un jour. En moins d’une heure.
L’explication principale : 57 % des mots de passe contenaient un mot du dictionnaire. Parmi ces mots de passe « dictionnaire », 50 % tombaient en moins d’une minute, et 67 % en moins d’une heure. Les attaques par dictionnaire précèdent la brute force pure – elles testent d’abord les mots réels et leurs variantes communes.
« Mot de passe » avec un 0 à la place du o, ou « Password1! » – ce type de substitution prévisible est intégré dans les outils d’attaque depuis des années. La complexité apparente ne vaut rien si elle suit un schéma connu.
Comment calculer soi-même le temps de brute force d’un mot de passe avec wks.fr?
WKS.fr propose un calculateur brute force qui évalue la résistance d’un mot de passe en quelques secondes, sans que vous ayez besoin de connaître les formules mathématiques sous-jacentes.
Vous saisissez votre mot de passe, l’outil calcule l’espace de combinaisons, applique des algorithmes avancés et vous retourne une estimation concrète du temps de crackage.
Le résultat prend en compte la composition réelle du mot de passe – présence de majuscules, de symboles, de chiffres, longueur effective. C’est le moyen le plus rapide de tester plusieurs variantes avant de choisir celle que vous allez réellement utiliser.
Utilisez-le comme un miroir : si le résultat affiché se compte en minutes ou en heures, vous avez votre réponse.
Quelles sont les règles à suivre pour créer un mot de passe résistant à la brute force?
Les données chiffrées permettent de fixer des seuils précis, sans approximation. Voici ce que les études récentes permettent d’affirmer concrètement :
- 12 caractères minimum avec tous les types (minuscules, majuscules, chiffres, symboles) pour atteindre une résistance estimée à 3 000 ans.
- Évitez tout mot du dictionnaire, même modifié : les substitutions classiques (@ pour a, 0 pour o) sont intégrées dans les outils d’attaque courants.
- Pas de schéma prévisible : une majuscule en début et un chiffre en fin sont les structures les plus testées en priorité.
- Utilisez une phrase de passe longue et aléatoire plutôt qu’un mot court complexifié – la longueur prime sur la complexité apparente.
- Vérifiez l’algorithme de hachage du service utilisé quand l’information est disponible : bcrypt avec un facteur de coût élevé offre une protection structurellement supérieure à MD5 ou NTLM.
Le paradoxe final : le mot de passe le plus résistant n’est pas le plus difficile à retenir pour vous – c’est celui qui est le plus imprévisible pour une machine qui teste des milliards de combinaisons par seconde.
Une phrase absurde de 14 mots aléatoires bat n’importe quel « P@ssw0rd! » à plate couture.