En 2025, une vulnérabilité sur les cartes Tangem a montré qu'un attaquant pouvait contourner les protections anti-brute force et tester des mots de passe à une vitesse accélérée. Ce genre de faille transforme un mot de passe de 6 caractères, qui devrait résister deux semaines en théorie, en une barrière franchissable en quelques heures. Les mots de passe faibles sur vos comptes exchange sont un risque réel, pas théorique.
Une attaque brute force est la méthode la plus bête et la plus efficace du hacking. Pas de ruse, pas de social engineering : le programme teste toutes les combinaisons possibles jusqu'à trouver la bonne. C'est long sur un mot de passe de 16 caractères, et instantané sur un mot de passe de 4 chiffres.
Le temps de craquage en 2025
Les chiffres varient selon la puissance de calcul disponible, mais voici les ordres de grandeur avec un GPU moderne (type RTX 4090). Un mot de passe de 6 caractères minuscules : quelques secondes. 8 caractères minuscules : environ 2 heures. 8 caractères avec majuscules et chiffres : 8 jours. 8 caractères avec majuscules, chiffres et symboles : 164 ans. 12 caractères mixtes : des millions d'années.
Le calcul parallèle avec des GPU change la donne. Un rig de minage reconverti en machine de craquage peut tester des milliards de combinaisons par seconde. Et les services cloud permettent de louer de la puissance GPU à la demande. Pour quelques dizaines de dollars, un attaquant peut tester votre mot de passe pendant des heures.
Les attaques par dictionnaire sont une variante plus intelligente. Au lieu de tester toutes les combinaisons, l'attaquant utilise des listes de mots de passe courants ("password123", "bitcoin2024", "monmotdepasse") et leurs variations. Ça réduit considérablement le temps de craquage si votre mot de passe est un mot courant avec quelques chiffres.
Les cibles dans l'écosystème crypto
Vos comptes exchange sont la cible la plus évidente. Si un attaquant obtient un hash de votre mot de passe (via une fuite de données par exemple), il peut le bruteforcer hors ligne sans limitation de tentatives. C'est différent de l'attaque en ligne où l'exchange bloque après X tentatives. Hors ligne, il n'y a pas de limite.
Les wallets logiciels protégés par mot de passe sont aussi vulnérables. Si quelqu'un obtient le fichier de votre wallet MetaMask (stocké localement), le chiffrement est protégé par votre mot de passe. Un mot de passe faible = un wallet crackable. La sécurité de votre seed phrase ne sert à rien si le fichier wallet est mal protégé.
Les archives chiffrées contenant des backups de seed phrases. J'ai vu des gens stocker leur seed dans un fichier ZIP protégé par mot de passe. Si le mot de passe est faible, un outil comme Hashcat craque le ZIP en minutes.
Comment se protéger efficacement
Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass). Générez des mots de passe aléatoires de 16 caractères ou plus pour chaque service. Vous n'avez besoin de mémoriser qu'un seul mot de passe maître, qui lui doit être long et complexe. Une phrase de passe comme "le-chat-mange-des-crevettes-sur-la-lune" est plus sûre et plus facile à retenir qu'un "P@ssw0rd!".
Activez la double authentification (2FA) sur tous vos comptes crypto. Même si votre mot de passe est cracké, l'attaquant a besoin du deuxième facteur. Préférez une app (Google Authenticator, Authy) au SMS : le SIM swapping permet de recevoir vos SMS.
Ne réutilisez jamais un mot de passe. Si un site quelconque fuite vos identifiants et que vous utilisez le même mot de passe sur Binance, l'attaquant n'a même pas besoin de bruteforce. Il teste directement. C'est le credential stuffing, et ça marche terriblement bien.
Pour les wallets, utilisez un hardware wallet. Le Ledger ou le Trezor ne stockent pas la clé privée sur votre ordinateur. Même si votre machine est compromise, l'attaquant ne peut pas bruteforcer ce qu'il ne possède pas.
Les outils des attaquants
Hashcat et John the Ripper sont les deux outils de craquage les plus utilisés. Hashcat exploite les GPU pour du craquage massivement parallèle. John the Ripper est plus polyvalent et gère des dizaines de formats de hash différents. Les deux sont open source et légaux (ils sont utilisés par les pentesters et les chercheurs en sécurité).
Les rainbow tables sont une approche différente : des tables précalculées de hashs qui permettent de retrouver un mot de passe instantanément à partir de son hash. Le salage (ajout d'une valeur aléatoire au hash) les rend inutiles, et la plupart des services modernes utilisent du salage. Mais les vieux systèmes ne le font pas toujours.
Ce que je retiens
La brute force est une attaque primitive mais qui fonctionne encore parce que les gens utilisent des mots de passe faibles. La solution est simple : des mots de passe longs et aléatoires, un gestionnaire de mots de passe, et la double authentification. Ce n'est pas sexy comme conseil, mais c'est ce qui marche.
